1 概述

    工作流環(huán)境的隨機(jī)性、時(shí)變性、外界干擾的不確定性以及系統(tǒng)運(yùn)行中的動(dòng)態(tài)職責(zé)難以分離與綁定等常導(dǎo)致工作流管理混亂，因此，管理系統(tǒng)的安全可靠性相對(duì)而言不太高。盡管基于角色的訪問控制(Role based Access Control，RBAC)模型提供了高效便捷的安全授權(quán)方式和授權(quán)維護(hù)模型，但是從系統(tǒng)層次分析，其實(shí)現(xiàn)方法還存在諸多不安全因素，許多文獻(xiàn)對(duì)此從不同角度作了探討�；�于角色的訪問模式已被廣泛應(yīng)用于各行業(yè)的各類工作流管理系統(tǒng)，為了增強(qiáng)和提高訪問的安全性，創(chuàng)建更加可靠的工作流安全訪問模式，本文提出一種基于動(dòng)態(tài)控制機(jī)制的工作流安全訪問模型。

2 傳統(tǒng)RBAC模型存在的安全隱患

    傳統(tǒng)RBAC模型的基本組成元素為角色、用戶、會(huì)話、權(quán)限和約束，各元素之間的關(guān)系如圖1所示。

圖1 RBAC模型

    RBAC的核心思想是通過角色對(duì)用戶進(jìn)行授權(quán)控制。角色依據(jù)組織中的各種工作職能創(chuàng)建，其中，權(quán)限和角色相關(guān)聯(lián)，用戶根據(jù)職位和資格被分配適當(dāng)?shù)慕巧�，從而獲得相應(yīng)的權(quán)限。在傳統(tǒng)RBAC模型中，系統(tǒng)根據(jù)用戶的角色進(jìn)行訪問授權(quán)與控制，通過角色的中介作用實(shí)現(xiàn)用戶與訪問權(quán)限的邏輯分離，因此，用戶可以非常容易地從一種角色轉(zhuǎn)換到另一種角色，同時(shí)，從某個(gè)角色回收權(quán)限或者根據(jù)新的需求賦予某個(gè)角色新的權(quán)限也是非常方便的。

    傳統(tǒng)的RBAC模型擁有靈活高效的授權(quán)機(jī)制，但存在如下3個(gè)方面的安全隱患：

    (1)基于角色的訪問控制是靜態(tài)的，事實(shí)上，訪問控制研究正朝著復(fù)雜化、多層次方向發(fā)展，即基于角色的訪問控制應(yīng)該是動(dòng)態(tài)的，因此，在應(yīng)用方面有其局限性。

    (2)在大型聯(lián)合企業(yè)群中，組織和功能變化是經(jīng)常發(fā)生的，一旦有變動(dòng)，必須進(jìn)行角色的重新分配，大量的組織管理工作調(diào)整所需的成本是十分昂貴的。

    (3)隨著IT技術(shù)的迅猛發(fā)展，信息系統(tǒng)功能越來越強(qiáng)，結(jié)構(gòu)變得更加復(fù)雜，傳統(tǒng)的RBAC模型很難適應(yīng)新形勢(shì)的發(fā)展變化。如：過去只需要“前臺(tái)顯示+后臺(tái)信息管理”模式，現(xiàn)在則更多地需要?jiǎng)討B(tài)控制顯示的欄目、區(qū)分瀏覽者的類別、針對(duì)不同用戶提供不同的用戶界面等。

3 基于動(dòng)態(tài)控制機(jī)制的訪問模型

    3.1 動(dòng)態(tài)安全訪問模型結(jié)構(gòu)

    在訪問過程中，工作流系統(tǒng)是以多個(gè)基本的工作活動(dòng)按照某種固定程序組織起來的，一般可將其分解為目標(biāo)、角色、規(guī)則和過程4個(gè)元素的集合，通過合理調(diào)配和精確監(jiān)控各個(gè)元素之間的關(guān)系來提高企業(yè)管理水中和工作效率。針對(duì)工作流系統(tǒng)中動(dòng)態(tài)職責(zé)分離、互惠職責(zé)分離、案例約束、動(dòng)態(tài)職責(zé)綁定等階段存在的安全性隱患，本文通過對(duì)傳統(tǒng)RBAC模型的相關(guān)環(huán)節(jié)進(jìn)行改進(jìn)，建立基于動(dòng)態(tài)控制機(jī)制的工作流安全訪問模型�；�于RBAC元模型的動(dòng)態(tài)安全訪問模型在傳統(tǒng)RBAC模型中引入目標(biāo)案例(Target Case，TC)、用戶管理(User Management，UM)與目標(biāo)(Target，T)元素，其結(jié)構(gòu)如圖2所示。圖2的模型通過各個(gè)實(shí)體之間的相互關(guān)系來進(jìn)行實(shí)例化約束，同時(shí)借助會(huì)話來實(shí)現(xiàn)動(dòng)態(tài)約束。TC是指工作流系統(tǒng)中業(yè)務(wù)流程的實(shí)例；T則是具體業(yè)務(wù)流程實(shí)現(xiàn)的目標(biāo)實(shí)體，如定義一個(gè)用戶在特定的工作流業(yè)務(wù)流程中只執(zhí)行一個(gè)特定的目標(biāo)，可用三元關(guān)系doer(u，c，t)，u∈U，t∈T，c∈TC表達(dá)。

圖2 動(dòng)態(tài)安全訪問模型

    3.2 動(dòng)態(tài)安全訪問模型的組成元素

    動(dòng)態(tài)安全訪問模型主要的組成元素如下：

    (1)用戶(User)，指工作流系統(tǒng)中被賦予一定角色集合且具有相應(yīng)權(quán)限從事一項(xiàng)工作的人員或者資源主體，可以是人、進(jìn)程等，一般指人，工作流環(huán)境下的所有用戶構(gòu)成用戶集U。

    (2)角色(Role)，指工作流系統(tǒng)中的工作或所處職位，它代表了具有一種資格、權(quán)利和責(zé)任的集合體。由多個(gè)角色構(gòu)成的角色集合記為R。

    (3)權(quán)限(Permission)，指對(duì)工作流系統(tǒng)數(shù)據(jù)或與該數(shù)據(jù)相關(guān)的其他數(shù)據(jù)資源進(jìn)行操作或訪問的許可。權(quán)限表示對(duì)工作流系統(tǒng)中的客體進(jìn)行某種特定的訪問操作，其相應(yīng)的操作模式與具體應(yīng)用有關(guān)。

    (4)用戶管理，指對(duì)組織內(nèi)部人員結(jié)構(gòu)的定義。

    (5)角色關(guān)系管理(Role Relation Management)，指對(duì)角色之間的各種層次關(guān)系進(jìn)行定義，如管理角色之間的繼承關(guān)系就是通過權(quán)限劃分來實(shí)現(xiàn)的，角色1和角色2是繼承關(guān)系就表示角色1擁有角色2的全部權(quán)限。

    (6)會(huì)話(Session)，指用戶激活某種角色的過程。角色必須通過會(huì)話才能被激活，用戶可通過多次會(huì)話激活不同的角色，同時(shí)用戶也擁有被激活角色所具有的各種權(quán)限。

    (7)權(quán)限關(guān)系管理(Permission Management)，指對(duì)權(quán)限之間的暗含、持有和繼承關(guān)系的分配和收回操作。

    上述定義表明動(dòng)態(tài)安全訪問模型是一個(gè)完整的模型。

    3.3 動(dòng)態(tài)安全訪問模型的運(yùn)行策略

    動(dòng)態(tài)安全訪問模型的運(yùn)行是由基本約束關(guān)系與動(dòng)態(tài)約束條件予以保證的。

    (1)基本約束關(guān)系

    基本約束關(guān)系可借助基于謂詞邏輯的形式化語言進(jìn)行描述。如對(duì)于圖2的模型，按照基本約束關(guān)系描述，可借助形式化語言表達(dá)為：

    (2)動(dòng)態(tài)約束條件

    依據(jù)當(dāng)前目標(biāo)案例的先前活動(dòng)順序，工作流環(huán)境下的動(dòng)態(tài)約束條件用于動(dòng)態(tài)地描繪約束執(zhí)行情況，分別動(dòng)態(tài)地授予角色和用戶的訪問權(quán)限，其中包括動(dòng)態(tài)權(quán)責(zé)的分離與動(dòng)態(tài)權(quán)責(zé)的捆綁、案例間依賴的約束以及互惠職責(zé)分離等。

    1)動(dòng)態(tài)權(quán)責(zé)分離

    系統(tǒng)中某項(xiàng)目標(biāo)的完成，其主體執(zhí)行時(shí)不能相互矛盾，必須實(shí)施互斥規(guī)則。就像在一場(chǎng)競(jìng)技比賽中絕對(duì)不容許某個(gè)人既是運(yùn)動(dòng)員又是裁判員一樣，運(yùn)動(dòng)員與裁判員兩者的關(guān)系必須是相互排斥的。在管理系統(tǒng)中如果忽視動(dòng)態(tài)職責(zé)分離有可能導(dǎo)致不良后果，如在勘察協(xié)同設(shè)計(jì)業(yè)務(wù)中，不允許在同一協(xié)同工作流程中實(shí)施項(xiàng)目審查的人員和提交協(xié)同設(shè)計(jì)方案的人員是相同的人，借助謂詞邏輯形式化語言可描述為：

    2)動(dòng)態(tài)職責(zé)捆綁

    動(dòng)態(tài)職責(zé)捆綁與動(dòng)態(tài)權(quán)責(zé)分離相反，有時(shí)主體為執(zhí)行某個(gè)目標(biāo)，相容規(guī)則的捆綁是必要的，為了簡(jiǎn)化繁雜的管理程序以提高辦事效率，常常希望在某一個(gè)協(xié)同設(shè)計(jì)流程中，實(shí)施審查項(xiàng)目協(xié)同任務(wù)的審查人和實(shí)現(xiàn)協(xié)同設(shè)計(jì)的直接審批人是相同的人，用謂詞邏輯形式化語言可描述為：

    3)案例間依賴的約束

    在執(zhí)行任務(wù)中，各個(gè)任務(wù)之間如存在依賴關(guān)系，為了簡(jiǎn)化操作，則對(duì)其參考案例進(jìn)行一定的約束。

    4)互惠職責(zé)分離

    鑒于利益關(guān)系，用戶間的業(yè)務(wù)要杜絕跨越多個(gè)案例操作，避免相互耦合帶來的不良影響，也就是相互之間的操作要互惠互利，面不是相互影響。

4 框架模型及其應(yīng)用

    動(dòng)態(tài)安全訪問模型已經(jīng)成功應(yīng)用到工程勘察設(shè)計(jì)企業(yè)網(wǎng)絡(luò)化協(xié)同設(shè)計(jì)項(xiàng)目中，并從系統(tǒng)授權(quán)許可角度提出了基于工作流管理系統(tǒng)框架的協(xié)同設(shè)計(jì)集成模型。在工程勘察設(shè)計(jì)企業(yè)各部門和工作環(huán)節(jié)之間構(gòu)建了一個(gè)安全訪問集成框架，提供可靠的授權(quán)許可服務(wù)，使協(xié)同設(shè)計(jì)工作流管理系統(tǒng)局部的改動(dòng)不致影響系統(tǒng)的安全性，并且能方便地與工作流管理系統(tǒng)實(shí)現(xiàn)無縫集成，其體系結(jié)構(gòu)如圖3所示。

圖3 動(dòng)態(tài)安全訪問模型應(yīng)用集成框架

    該集成框架基于C/S體系結(jié)構(gòu)與SOA理念，采用J2EE的技術(shù)路線和多層模式的框架設(shè)計(jì)，框架集成中，訪問控制系統(tǒng)根據(jù)RBAC數(shù)據(jù)庫中的信息為用戶分配角色。用戶向業(yè)務(wù)應(yīng)用發(fā)送請(qǐng)求時(shí)，RBAC訪問控制模塊根據(jù)角色、權(quán)限關(guān)系、特征類別以及特征實(shí)例，對(duì)協(xié)同用戶請(qǐng)求即時(shí)做出響應(yīng)。

5 結(jié)束語

    隨著網(wǎng)絡(luò)規(guī)模逐步擴(kuò)大、用戶數(shù)量急劇增加、協(xié)同層次日益復(fù)雜，傳統(tǒng)的安全訪問模型已經(jīng)不適用于當(dāng)今的工作流系統(tǒng)。因此，本文提出一種基于動(dòng)態(tài)控制機(jī)制的工作流安全訪問模型。該模型可輕松實(shí)現(xiàn)對(duì)動(dòng)態(tài)權(quán)責(zé)的分離與捆綁，加強(qiáng)各案例間的約束管理以及互惠職責(zé)分離，并已成功應(yīng)用在工程勘察設(shè)計(jì)企業(yè)網(wǎng)絡(luò)化協(xié)同設(shè)計(jì)項(xiàng)目中，與工作流引擎組件實(shí)施框架集成后，能很好地解決沒計(jì)協(xié)同資源庫的訪問控制問題，為工作流管理系統(tǒng)的安全運(yùn)行提供良好的技術(shù)支撐。

核心關(guān)注：拓步ERP系統(tǒng)平臺(tái)是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用，蘊(yùn)涵了豐富的ERP管理思想，集成了ERP軟件業(yè)務(wù)管理理念，功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理，全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域，是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。

轉(zhuǎn)載請(qǐng)注明出處：拓步ERP資訊網(wǎng)http://www.ezxoed.cn/

本文標(biāo)題：基于動(dòng)態(tài)控制機(jī)制的工作流安全訪問模型

本文網(wǎng)址：http://www.ezxoed.cn/html/consultation/1083959522.html