工作流管理系统中的信息安全分析.docxVIP

PAGE 1 PAGE 1 工作流管理系统中的信息安全分析  对于工作流管理系统来说，安全性和可管理性都很重要。依据工作流管理系统的特点以及安全需求，首先对系统存在的主要安全问题进行了分析，然后提出了一个新的安全模型，即利用数字签名和基于角色的访问掌握来实现系统的安全，以形成一个安全性与可管理性兼顾的工作流管理系统。在实际应用上，利用该安全模型成功开发了一个以J2EE/Oracle9i，Bes6.5的B/S模式的实用工作流管理系统。  0引言  随着计算机技术的迅猛发展，基于预定流程的工作流管理系统应运而生。利用该系统来管理根据预定流程实现的业务过程，可大大简化和优化运行流程，提高运转效率，但同时也引入了一个急需解决的问题——安全问题。同时，作为管理系统，其可管理性也很重要。因此，如何构建一个安全的、便于管理的系统是工作流管理系统建设的目标和追求。  依据工作流管理系统的特点，本文重点分析了其主要的安全问题，并在此基础上提出了一个新的安全模型，即利用数字签名技术和基于角色的访问掌握(RBAC)来构造系统安全，使系统既具有数字签名的安全性也具有RBAC的可管理性。在实现上，利用该模型成功开发了一个基于J2EE，Oracle9i，Bes6.5的B/S模式工作流管理系统。  1工作流管理系统主要安全问题分析  工作流安全白皮书指出，工作流的基本安全问题包括认证、授权、访问掌握、审计、数据保密性、数据完整性、防否认、安全管理等。工作流管理系统作为交互系统，其安全隐患多出现于系统与人的交互环节。结合工作流管理系统的特别性，其安全问题要体现在访问掌握、保持数据的完整性以及防止抵赖等方面。  1.1访问掌握  系统交互是软件系统最主要的安全隐患，主要表现在用户对系统资源的非法访问和越权访问。访问掌握的性能将打算系统的安全性能。对工作流管理系统，访问掌握既要保证不让用户执行未授权的任务，又要保证授权用户顺当执行已经授权的任务。同时，便利合理的安全管理也是系统安全性能的一个重要方面。因此，采用合适的访问掌握策对系统来说至关重要，适合的访问掌握方式不仅可以使系统更加安全，也使系统的管理与维护都更加便利。  1.2传送信息的正确性  在保证授权用户顺当访问授权资源的同时，确保交互数据的正确性也很重要。由于访问掌握不涉及交互信息的正确性验证问题，交互数据有被篡改或者传送不完整的可能。因此，只有对交互信息进行正确性验证才能充分保证系统的安全。信息的正确性验证通常是通过发送方和接受方的信息进行比较来推断的，假如二者相同，则传送的信息正确，否则不正确。  1.3防止抵赖  工作流管理系统主要包括工作流的流转及其管理，需要相关责任人进行确认和责任的担当。因此，防止抵赖也是工作流管理系统安全的一个重要方面。防止抵赖包括两个方面，一个是从技术上来保证这个操作的确是某人所为，没有被冒名顶替操作的可能；二是需要对系统重要操作信息进行记录，使其更具有说服力。通过在技术上的保证来说明只有自己才有操作的可能。同时，由于任何系统的安全保护措施都不是最完美不缺的，总是有人想方设法地打破掌握。因此，对重要操作信息的记录（即审计）也相当重要。  2安全模型  2.1基于角色的访问掌握  访问掌握是当今信息安全策略的主流，其目的是为了限制主体对客体的访问权限，使系统在合法范围内使用。访问掌握包括自主访问掌握(DAC)、强制访问掌握(MAC)、基于任务的访问掌握(TBAC)和基于角色的访问掌握(RBAC)。其中，RBAC最为敏捷、有效，它正在逐步成为访问掌握方式的主流。  RBAC模型主要包括由美国国家标准与技术局(NIST)提出的RBAC模型以及GeorgeMason大学的提出的RBAC96模型，它是基于角色访问掌握模型的权威参考文档，NIST已经将其作为制作规范的基础。图1为RBAC96基本思想示意图，其核心思想是在资源权限和用户之间增加一个中介“角色”，把对资源访问的权限赋予一定的角色，再把角色赋予相应的用户，当用户登录系统时，系统通过用户角色来推断其是否可以访问系统资源的方式来实现访问掌握。RBAC最大的优点是兼顾安全性和可管理性。 图1RBAC96模型核心思想示意 2.2数宇签名  数字签名技术是指附加在数据单元上的一些数据或对数据单元所作的密码变换技术，它具有3个主要功能：一是信息接收方能够证明信息发送方的身份；二是信息发送方事后不能否认发送的信息；三是接收方或非法者不能伪造篡改信息。数字签名常通过RSA加密算法结合消息摘要(MD)的密码技术来进行，目前广泛使用的是MD5消息摘要算法MD。  数字签名主要