1 概述

    工作流環(huán)境的隨機性、時變性、外界干擾的不確定性以及系統(tǒng)運行中的動態(tài)職責(zé)難以分離與綁定等常導(dǎo)致工作流管理混亂，因此，管理系統(tǒng)的安全可靠性相對而言不太高。盡管基于角色的訪問控制(Role based Access Control，RBAC)模型提供了高效便捷的安全授權(quán)方式和授權(quán)維護模型，但是從系統(tǒng)層次分析，其實現(xiàn)方法還存在諸多不安全因素，許多文獻對此從不同角度作了探討�；�于角色的訪問模式已被廣泛應(yīng)用于各行業(yè)的各類工作流管理系統(tǒng)，為了增強和提高訪問的安全性，創(chuàng)建更加可靠的工作流安全訪問模式，本文提出一種基于動態(tài)控制機制的工作流安全訪問模型。

2 傳統(tǒng)RBAC模型存在的安全隱患

    傳統(tǒng)RBAC模型的基本組成元素為角色、用戶、會話、權(quán)限和約束，各元素之間的關(guān)系如圖1所示。

圖1 RBAC模型

    RBAC的核心思想是通過角色對用戶進行授權(quán)控制。角色依據(jù)組織中的各種工作職能創(chuàng)建，其中，權(quán)限和角色相關(guān)聯(lián)，用戶根據(jù)職位和資格被分配適當(dāng)?shù)慕巧�，從而獲得相應(yīng)的權(quán)限。在傳統(tǒng)RBAC模型中，系統(tǒng)根據(jù)用戶的角色進行訪問授權(quán)與控制，通過角色的中介作用實現(xiàn)用戶與訪問權(quán)限的邏輯分離，因此，用戶可以非常容易地從一種角色轉(zhuǎn)換到另一種角色，同時，從某個角色回收權(quán)限或者根據(jù)新的需求賦予某個角色新的權(quán)限也是非常方便的。

    傳統(tǒng)的RBAC模型擁有靈活高效的授權(quán)機制，但存在如下3個方面的安全隱患：

    (1)基于角色的訪問控制是靜態(tài)的，事實上，訪問控制研究正朝著復(fù)雜化、多層次方向發(fā)展，即基于角色的訪問控制應(yīng)該是動態(tài)的，因此，在應(yīng)用方面有其局限性。

    (2)在大型聯(lián)合企業(yè)群中，組織和功能變化是經(jīng)常發(fā)生的，一旦有變動，必須進行角色的重新分配，大量的組織管理工作調(diào)整所需的成本是十分昂貴的。

    (3)隨著IT技術(shù)的迅猛發(fā)展，信息系統(tǒng)功能越來越強，結(jié)構(gòu)變得更加復(fù)雜，傳統(tǒng)的RBAC模型很難適應(yīng)新形勢的發(fā)展變化。如：過去只需要“前臺顯示+后臺信息管理”模式，現(xiàn)在則更多地需要動態(tài)控制顯示的欄目、區(qū)分瀏覽者的類別、針對不同用戶提供不同的用戶界面等。

3 基于動態(tài)控制機制的訪問模型

    3.1 動態(tài)安全訪問模型結(jié)構(gòu)

    在訪問過程中，工作流系統(tǒng)是以多個基本的工作活動按照某種固定程序組織起來的，一般可將其分解為目標(biāo)、角色、規(guī)則和過程4個元素的集合，通過合理調(diào)配和精確監(jiān)控各個元素之間的關(guān)系來提高企業(yè)管理水中和工作效率。針對工作流系統(tǒng)中動態(tài)職責(zé)分離、互惠職責(zé)分離、案例約束、動態(tài)職責(zé)綁定等階段存在的安全性隱患，本文通過對傳統(tǒng)RBAC模型的相關(guān)環(huán)節(jié)進行改進，建立基于動態(tài)控制機制的工作流安全訪問模型。基于RBAC元模型的動態(tài)安全訪問模型在傳統(tǒng)RBAC模型中引入目標(biāo)案例(Target Case，TC)、用戶管理(User Management，UM)與目標(biāo)(Target，T)元素，其結(jié)構(gòu)如圖2所示。圖2的模型通過各個實體之間的相互關(guān)系來進行實例化約束，同時借助會話來實現(xiàn)動態(tài)約束。TC是指工作流系統(tǒng)中業(yè)務(wù)流程的實例；T則是具體業(yè)務(wù)流程實現(xiàn)的目標(biāo)實體，如定義一個用戶在特定的工作流業(yè)務(wù)流程中只執(zhí)行一個特定的目標(biāo)，可用三元關(guān)系doer(u，c，t)，u∈U，t∈T，c∈TC表達。

圖2 動態(tài)安全訪問模型

    3.2 動態(tài)安全訪問模型的組成元素

    動態(tài)安全訪問模型主要的組成元素如下：

    (1)用戶(User)，指工作流系統(tǒng)中被賦予一定角色集合且具有相應(yīng)權(quán)限從事一項工作的人員或者資源主體，可以是人、進程等，一般指人，工作流環(huán)境下的所有用戶構(gòu)成用戶集U。

    (2)角色(Role)，指工作流系統(tǒng)中的工作或所處職位，它代表了具有一種資格、權(quán)利和責(zé)任的集合體。由多個角色構(gòu)成的角色集合記為R。

    (3)權(quán)限(Permission)，指對工作流系統(tǒng)數(shù)據(jù)或與該數(shù)據(jù)相關(guān)的其他數(shù)據(jù)資源進行操作或訪問的許可。權(quán)限表示對工作流系統(tǒng)中的客體進行某種特定的訪問操作，其相應(yīng)的操作模式與具體應(yīng)用有關(guān)。

    (4)用戶管理，指對組織內(nèi)部人員結(jié)構(gòu)的定義。

    (5)角色關(guān)系管理(Role Relation Management)，指對角色之間的各種層次關(guān)系進行定義，如管理角色之間的繼承關(guān)系就是通過權(quán)限劃分來實現(xiàn)的，角色1和角色2是繼承關(guān)系就表示角色1擁有角色2的全部權(quán)限。

    (6)會話(Session)，指用戶激活某種角色的過程。角色必須通過會話才能被激活，用戶可通過多次會話激活不同的角色，同時用戶也擁有被激活角色所具有的各種權(quán)限。

    (7)權(quán)限關(guān)系管理(Permission Management)，指對權(quán)限之間的暗含、持有和繼承關(guān)系的分配和收回操作。

    上述定義表明動態(tài)安全訪問模型是一個完整的模型。

    3.3 動態(tài)安全訪問模型的運行策略

    動態(tài)安全訪問模型的運行是由基本約束關(guān)系與動態(tài)約束條件予以保證的。

    (1)基本約束關(guān)系

    基本約束關(guān)系可借助基于謂詞邏輯的形式化語言進行描述。如對于圖2的模型，按照基本約束關(guān)系描述，可借助形式化語言表達為：

    (2)動態(tài)約束條件

    依據(jù)當(dāng)前目標(biāo)案例的先前活動順序，工作流環(huán)境下的動態(tài)約束條件用于動態(tài)地描繪約束執(zhí)行情況，分別動態(tài)地授予角色和用戶的訪問權(quán)限，其中包括動態(tài)權(quán)責(zé)的分離與動態(tài)權(quán)責(zé)的捆綁、案例間依賴的約束以及互惠職責(zé)分離等。

    1)動態(tài)權(quán)責(zé)分離

    系統(tǒng)中某項目標(biāo)的完成，其主體執(zhí)行時不能相互矛盾，必須實施互斥規(guī)則。就像在一場競技比賽中絕對不容許某個人既是運動員又是裁判員一樣，運動員與裁判員兩者的關(guān)系必須是相互排斥的。在管理系統(tǒng)中如果忽視動態(tài)職責(zé)分離有可能導(dǎo)致不良后果，如在勘察協(xié)同設(shè)計業(yè)務(wù)中，不允許在同一協(xié)同工作流程中實施項目審查的人員和提交協(xié)同設(shè)計方案的人員是相同的人，借助謂詞邏輯形式化語言可描述為：

    2)動態(tài)職責(zé)捆綁

    動態(tài)職責(zé)捆綁與動態(tài)權(quán)責(zé)分離相反，有時主體為執(zhí)行某個目標(biāo)，相容規(guī)則的捆綁是必要的，為了簡化繁雜的管理程序以提高辦事效率，常常希望在某一個協(xié)同設(shè)計流程中，實施審查項目協(xié)同任務(wù)的審查人和實現(xiàn)協(xié)同設(shè)計的直接審批人是相同的人，用謂詞邏輯形式化語言可描述為：

    3)案例間依賴的約束

    在執(zhí)行任務(wù)中，各個任務(wù)之間如存在依賴關(guān)系，為了簡化操作，則對其參考案例進行一定的約束。

    4)互惠職責(zé)分離

    鑒于利益關(guān)系，用戶間的業(yè)務(wù)要杜絕跨越多個案例操作，避免相互耦合帶來的不良影響，也就是相互之間的操作要互惠互利，面不是相互影響。

4 框架模型及其應(yīng)用

    動態(tài)安全訪問模型已經(jīng)成功應(yīng)用到工程勘察設(shè)計企業(yè)網(wǎng)絡(luò)化協(xié)同設(shè)計項目中，并從系統(tǒng)授權(quán)許可角度提出了基于工作流管理系統(tǒng)框架的協(xié)同設(shè)計集成模型。在工程勘察設(shè)計企業(yè)各部門和工作環(huán)節(jié)之間構(gòu)建了一個安全訪問集成框架，提供可靠的授權(quán)許可服務(wù)，使協(xié)同設(shè)計工作流管理系統(tǒng)局部的改動不致影響系統(tǒng)的安全性，并且能方便地與工作流管理系統(tǒng)實現(xiàn)無縫集成，其體系結(jié)構(gòu)如圖3所示。

圖3 動態(tài)安全訪問模型應(yīng)用集成框架

    該集成框架基于C/S體系結(jié)構(gòu)與SOA理念，采用J2EE的技術(shù)路線和多層模式的框架設(shè)計，框架集成中，訪問控制系統(tǒng)根據(jù)RBAC數(shù)據(jù)庫中的信息為用戶分配角色。用戶向業(yè)務(wù)應(yīng)用發(fā)送請求時，RBAC訪問控制模塊根據(jù)角色、權(quán)限關(guān)系、特征類別以及特征實例，對協(xié)同用戶請求即時做出響應(yīng)。

5 結(jié)束語

    隨著網(wǎng)絡(luò)規(guī)模逐步擴大、用戶數(shù)量急劇增加、協(xié)同層次日益復(fù)雜，傳統(tǒng)的安全訪問模型已經(jīng)不適用于當(dāng)今的工作流系統(tǒng)。因此，本文提出一種基于動態(tài)控制機制的工作流安全訪問模型。該模型可輕松實現(xiàn)對動態(tài)權(quán)責(zé)的分離與捆綁，加強各案例間的約束管理以及互惠職責(zé)分離，并已成功應(yīng)用在工程勘察設(shè)計企業(yè)網(wǎng)絡(luò)化協(xié)同設(shè)計項目中，與工作流引擎組件實施框架集成后，能很好地解決沒計協(xié)同資源庫的訪問控制問題，為工作流管理系統(tǒng)的安全運行提供良好的技術(shù)支撐。

核心關(guān)注：拓步ERP系統(tǒng)平臺是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用，蘊涵了豐富的ERP管理思想，集成了ERP軟件業(yè)務(wù)管理理念，功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理，全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域，是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。

轉(zhuǎn)載請注明出處：拓步ERP資訊網(wǎng)http://www.oesoe.com/

本文標(biāo)題：基于動態(tài)控制機制的工作流安全訪問模型

本文網(wǎng)址：http://www.oesoe.com/html/consultation/1083959522.html