巫 茜，張 棟，包 坤

(1.重慶理工大學(xué) 計(jì)算機(jī)科學(xué)與工程學(xué)院，重慶400050;2.ABB中國有限公司重慶分公司，重慶401121)

工作流技術(shù)作為一種新興的信息處理技術(shù)，被廣泛應(yīng)用于各行業(yè)，隨之存在的安全問題也越顯突出，而其中針對(duì)獨(dú)立的安全域中安全的授權(quán)訪問服務(wù)需求是最為迫切的［1－2］。本文旨在建立一種基于角色的工作流平臺(tái)動(dòng)態(tài)訪問控制安全模型，解決工作流環(huán)境下的動(dòng)態(tài)職責(zé)分離、動(dòng)態(tài)職責(zé)綁定、案例間約束、互惠職責(zé)分離等實(shí)際問題，為工作流管理系統(tǒng)的安全運(yùn)行提供技術(shù)支持。

1 基于角色的工作流訪問控制模型

工作流是一種反映業(yè)務(wù)過程計(jì)算機(jī)化的模型，是在先進(jìn)計(jì)算機(jī)集成支持下，實(shí)現(xiàn)經(jīng)營過程集成與經(jīng)營過程自動(dòng)化而建立的由工作流管理系統(tǒng)執(zhí)行的業(yè)務(wù)模型。工作流管理系統(tǒng)指運(yùn)行在一個(gè)或多個(gè)工作流引擎上，用于定義工作流運(yùn)行的一套軟件系統(tǒng)。它與工作流執(zhí)行者(人、應(yīng)用)交互，確保工作流實(shí)例執(zhí)行，監(jiān)控工作流運(yùn)行狀態(tài)［3－6］。

1.1 RBAC

基于角色的訪問控制模型技術(shù)(role-based access control，RBAC)，較以往的自主型訪問控制(discretionary access control，DAC)和強(qiáng)制型訪問控制(mandatory access control，MAC)具有更強(qiáng)的靈活性和廣泛的適用性。RBAC的基本思想是以角色為中介，對(duì)用戶進(jìn)行授權(quán)控制。系統(tǒng)安全管理員可根據(jù)需要定義各種角色，并為其設(shè)置合適的訪問權(quán)限，然后根據(jù)用戶所擔(dān)任的工作職責(zé)或級(jí)別分配相應(yīng)的角色，從而使用戶獲得相關(guān)的權(quán)限集。其中角色可以看成是一個(gè)表達(dá)訪問控制策略的語義結(jié)構(gòu)，也可以表示承擔(dān)特定工作的資格。RBAC根據(jù)用戶在組織內(nèi)所處的角色做出訪問授權(quán)與控制，但用戶不能自主地將訪問權(quán)限傳給他人。引入角色的管理模式后，資源授權(quán)管理可分為2個(gè)過程，即首先實(shí)現(xiàn)訪問權(quán)限與角色相關(guān)聯(lián)，然后再實(shí)現(xiàn)角色與用戶相關(guān)聯(lián)，從而實(shí)現(xiàn)用戶與訪問權(quán)限的邏輯分離。

RBAC模型是一個(gè)完整的模型，其中所使用的術(shù)語定義如下:

1)用戶(User)，一個(gè)可以獨(dú)立訪問計(jì)算機(jī)系統(tǒng)中的數(shù)據(jù)或用數(shù)據(jù)表示的其他資源的主體，可以是人、進(jìn)程等，一般指人。

2)角色(Role)，一個(gè)組織或者任務(wù)中的工作或者位置，它代表了一種資格、權(quán)利和責(zé)任，例如經(jīng)理、會(huì)計(jì)、出納、教師等。

3)會(huì)話(Session)，一個(gè)用戶和一組激活的角色，表示用戶的某種角色激活的過程。一個(gè)用戶可以進(jìn)行多次會(huì)話，在每次會(huì)話中激活不同的角色，這樣用戶也將具有激活的角色所具有的各種權(quán)限。用戶必須通過會(huì)話才能激活角色。

4)權(quán)限(Permission)，對(duì)計(jì)算機(jī)系統(tǒng)中的數(shù)據(jù)或者用數(shù)據(jù)表示的其它資源進(jìn)行訪問的許可。它表示對(duì)系統(tǒng)中的客體進(jìn)行特定模式的訪問操作，與實(shí)現(xiàn)的機(jī)制密切相關(guān)。權(quán)限的本質(zhì)取決于系統(tǒng)的實(shí)現(xiàn)細(xì)節(jié)，如操作系統(tǒng)中保護(hù)的對(duì)象是文件、目錄、設(shè)備、端口等資源，相應(yīng)的操作模式有讀、寫、執(zhí)行等，而在關(guān)系數(shù)據(jù)庫管理系統(tǒng)中保護(hù)的對(duì)象是關(guān)系、元組、屬性、視圖，相應(yīng)的操作模式有查詢、更新、刪除和插入等。

5)約束(Constraint)，角色之間以及角色與權(quán)限之間的一種限制關(guān)系。

6)角色的層次關(guān)系(Role hierarchy)，RBAC模型的重要特征。角色之間的繼承關(guān)系是根據(jù)權(quán)限劃分的，即角色1繼承角色2就表示了角色1擁有角色2的全部權(quán)限。

7)管理角色(Administrative role)，一種具有以下許可的角色，它可以修改用戶、角色、許可集，或修改用戶和許可的分配關(guān)系。

RBAC模型各元素之間的關(guān)系如圖1所示。

圖1 RBAC模型

1.2 改進(jìn)訪問控制模型的建立

工作流是一類工作中具有固定程序的常規(guī)活動(dòng)，它將工作活動(dòng)分解成定義的任務(wù)、角色、規(guī)則和過程，通過科學(xué)監(jiān)控和合理調(diào)配以上元素，達(dá)到提高生產(chǎn)組織水平和工作效率的目的。工作流管理系統(tǒng)針對(duì)動(dòng)態(tài)職質(zhì)分離、動(dòng)態(tài)職責(zé)綁定、案例間約束、互惠職責(zé)分離等問題對(duì)于系統(tǒng)安全性能有特殊要求，需要建立動(dòng)態(tài)訪間控制機(jī)制對(duì)RBAC模型進(jìn)行擴(kuò)展改進(jìn)，為此在傳統(tǒng)RBAC模型中引入任務(wù)案例(TC)、用戶管理(UM)、任務(wù)(T)元素，在RBAC元模型基礎(chǔ)上擴(kuò)展形成如圖2的改進(jìn)RBAC模型。

圖2 改進(jìn)的RBAC模型

1)模型元素。在改進(jìn)的RBAC模型中應(yīng)用會(huì)話的概念，實(shí)現(xiàn)動(dòng)態(tài)約束。在工作流管理系統(tǒng)應(yīng)用中，由于臨時(shí)邊界難于界定，因此會(huì)話的概念很難給出一個(gè)清晰的定義。正如在電氣銷售企業(yè)，如何禁止同一次銷售特價(jià)申請(qǐng)業(yè)務(wù)過程中同一個(gè)用戶執(zhí)行特價(jià)請(qǐng)求和特價(jià)批準(zhǔn)業(yè)務(wù)等情況呢?在改進(jìn)的RBAC模型中，動(dòng)態(tài)約束的概念是禁止用戶在同一會(huì)話時(shí)間內(nèi)綁定用戶和角色。很明顯，該例中的銷售特價(jià)請(qǐng)求和銷售特價(jià)批準(zhǔn)業(yè)務(wù)處于2個(gè)會(huì)話中，因此無法應(yīng)用會(huì)話動(dòng)態(tài)約束控制在不同會(huì)話中的用戶和角色的綁定。

為了適應(yīng)業(yè)務(wù)過程的實(shí)例化約束的要求，增加了實(shí)體:任務(wù)案例(TC)和任務(wù)(T)，如圖2示，任務(wù)案例(TC)是一個(gè)工作流系統(tǒng)中提到的業(yè)務(wù)過程的實(shí)例;任務(wù)(T)則是工作流系統(tǒng)中具體業(yè)務(wù)過程實(shí)現(xiàn)的任務(wù)實(shí)體。與此同時(shí)定義了一個(gè)3元關(guān)系doer(u，t，c)，u∈U，t∈T，c∈TC，意味著一個(gè)用戶(U)在一個(gè)特定的業(yè)務(wù)流程中只執(zhí)行一個(gè)特定的任務(wù)。

2)模型結(jié)構(gòu)。在工作流應(yīng)用中，企業(yè)組織內(nèi)部人員常處于不同的部門、工作組，并且有多個(gè)不定的上級(jí)，所以對(duì)人員及角色分層網(wǎng)格化管理有很強(qiáng)的要求。

以某電氣銷售公司為例，以地域(西南、華南、西北等)劃分銷售分公司，以渠道(行業(yè)設(shè)計(jì)院、盤廠、供電局、OEM、系統(tǒng)集成商、分銷商、大工業(yè)客戶等)劃分工作崗位，形成了一個(gè)有層次的樹形結(jié)構(gòu)，樹的每個(gè)層次代表了級(jí)別的不同，每個(gè)子樹又代表了不同部門分布，每個(gè)節(jié)點(diǎn)代表的用戶角色同時(shí)處于不同的級(jí)別和不同的部門，從而形成了一個(gè)典型而且嚴(yán)格的層次關(guān)系結(jié)構(gòu)。其中，各渠道部門以及銷售分公司是組織單元，包含在以總裁辦領(lǐng)導(dǎo)的銷售總公司中;銷售人員屬于不同渠道事業(yè)部門和銷售分公司的成員，同一個(gè)銷售人員在渠道事業(yè)部門和銷售分公司都有不同的領(lǐng)導(dǎo)。

RBAC模型原本沒有這么多的層次概念，然而在面向工作流管理系統(tǒng)應(yīng)用中，這種需求相繼而生，因此擴(kuò)展了該模型以適應(yīng)于工作流環(huán)境。這個(gè)強(qiáng)大的層次概念中暗含的權(quán)力信息，給人們提供了表達(dá)安全約束的能力。某電氣銷售企業(yè)的關(guān)系層次如圖3所示。

圖3 關(guān)系層次示意圖

圖3關(guān)系層次可抽象出3種關(guān)系，定義如下:

包含關(guān)系include(d1，d2)，d1，d2∈UM，表示組織d1包含組織d2。

成員關(guān)系member(u，d)，u∈U，d∈UM，表示用戶u是組織d的一個(gè)成員。

領(lǐng)導(dǎo)關(guān)系head(u，d)，u∈U，d∈UM，表示用戶u是組織d中的一個(gè)領(lǐng)導(dǎo)。

3)約束關(guān)系。在改進(jìn)的RBAC模型中，借助基于謂詞邏輯的形式化語言描述約束，文獻(xiàn)［7］中的約束關(guān)系描述可用形式化語言表達(dá)為:

4)動(dòng)態(tài)約束。動(dòng)態(tài)約束描繪在工作流環(huán)境下依據(jù)當(dāng)前任務(wù)案例的先前活動(dòng)的執(zhí)行情況，動(dòng)態(tài)授予用戶和角色訪問權(quán)限。

動(dòng)態(tài)職責(zé)分離:要求系統(tǒng)為一個(gè)任務(wù)選擇執(zhí)行主體時(shí)實(shí)施互斥規(guī)則。如，在電氣商品銷售特價(jià)申請(qǐng)業(yè)務(wù)中不允許在同一申請(qǐng)業(yè)務(wù)流程中，執(zhí)行審查特價(jià)需求任務(wù)的審查人和執(zhí)行財(cái)務(wù)審批特價(jià)需求任務(wù)的最終審批人是同一個(gè)人。

﹁←doer(u，audit，c)＆＆doer(u，approve2，c)

動(dòng)態(tài)職責(zé)綁定:同動(dòng)態(tài)職責(zé)分離恰恰相反。要求系統(tǒng)為一個(gè)任務(wù)選擇執(zhí)行主體時(shí)實(shí)施相容規(guī)則，如在銷售發(fā)貨業(yè)務(wù)中，基于弱化管理的繁雜程序，提高辦事效率的考慮，要求在同一筆銷售業(yè)務(wù)流程中，執(zhí)行審查銷售單任務(wù)的審查人和執(zhí)行審批銷售單任務(wù)的直接審批人是同一個(gè)人。

﹁←doer(u，audit，c)＆＆doer(u'，approve1，c)＆＆not(u=u')

案例間依賴的約束:約束參考其他案例的情況。

互惠職責(zé)分離:防止跨越多個(gè)案例，不同用戶之間，互利互惠業(yè)務(wù)操作。

2 模型集成應(yīng)用

盡管工作流管理系統(tǒng)在企業(yè)中已經(jīng)有不少的應(yīng)用，但是安全問題仍是不容忽視的。為了使工作流管理系統(tǒng)的改動(dòng)不影響系統(tǒng)的安全性，必須考慮如何構(gòu)架一個(gè)集成框架，以方便與工作流管理系統(tǒng)無縫集成，針對(duì)該需求的框架，必須提供授權(quán)許可服務(wù)。某公司電氣銷售系統(tǒng)應(yīng)用上述模型，實(shí)現(xiàn)了該模型與工作流引擎組件的框架集成，如圖4所示。

該平臺(tái)采用J2EE的技術(shù)路線，基于SOA理念設(shè)計(jì)，采用多層模式，基于C/S體系結(jié)構(gòu)?？蚣芗芍蠷BAC訪問控制模塊根據(jù)RBAC數(shù)據(jù)庫中的信息為用戶分配角色。用戶向業(yè)務(wù)應(yīng)用發(fā)送請(qǐng)求時(shí)，RBAC模塊根據(jù)角色和權(quán)限關(guān)系以及特征類別和特征實(shí)例，對(duì)用戶請(qǐng)求做出相應(yīng)反應(yīng)。

圖4 框架集成

授權(quán)許可服務(wù)管理有關(guān)組織關(guān)系、角色、特權(quán)等信息。工作流引擎與授權(quán)許可服務(wù)通過兩個(gè)通道交互。一個(gè)通道用于通知授權(quán)許可服務(wù)有關(guān)工作流的過程實(shí)例的歷史信息，另一個(gè)通道用于工作流管理系統(tǒng)向授權(quán)許可服務(wù)提出查詢請(qǐng)求。當(dāng)新的具體任務(wù)實(shí)例創(chuàng)建后，緊跟著進(jìn)入用戶選擇階段。用戶通知工作流引擎進(jìn)行用戶選擇，工作流引擎接到通知后，通過通道2向授權(quán)許可服務(wù)發(fā)送查詢請(qǐng)求，詢問哪些用戶可以執(zhí)行當(dāng)前業(yè)務(wù)過程中的當(dāng)前任務(wù)，并對(duì)用戶按照排序規(guī)則進(jìn)行優(yōu)先排序。授權(quán)許可服務(wù)收到查詢請(qǐng)求后，立刻與知識(shí)庫進(jìn)行信息交換，并按要求計(jì)算出所需的用戶列表，返回給工作流引擎并由其決定那個(gè)用戶執(zhí)行下一步任務(wù)并將有關(guān)信息發(fā)送到用戶的任務(wù)列表中，當(dāng)用戶通知工作流引擎接受該任務(wù)時(shí)，在通道1中引擎自動(dòng)發(fā)送信息給授權(quán)許可服務(wù)，并由授權(quán)許可服務(wù)將授權(quán)信息寫入知識(shí)庫。

基于角色的工作流平臺(tái)訪問控制安全模型的框架集成可實(shí)現(xiàn)系統(tǒng)在獨(dú)立安全域內(nèi)的安全授權(quán)服務(wù)，系統(tǒng)初步試運(yùn)行表明，模型集成應(yīng)用是可行與合理的。

3 結(jié)束語

安全性是工作流管理系統(tǒng)的前提保證，文中提出的基于角色控制的工作流安全訪問改進(jìn)模型，設(shè)計(jì)了動(dòng)態(tài)授權(quán)機(jī)制，初步應(yīng)用實(shí)踐表明，該模型與工作流引擎組件的框架集成，可實(shí)現(xiàn)獨(dú)立安全域內(nèi)的安全授權(quán)服務(wù)，為系統(tǒng)安全運(yùn)行提供技術(shù)支撐。

［1］ 范玉順.工作流管理技術(shù)基礎(chǔ)［M］.北京:清華大學(xué)出版社，2001.

［2］ 楊天怡，董紅林，黃勤，等.應(yīng)用角色和任務(wù)訪問控制的工作流動(dòng)態(tài)授權(quán)模型［J］.計(jì)算機(jī)應(yīng)用研究，2010，27(4):1511－1513.

［3］SEJONG O，SEOG P.Task-role-based access control model［J］.Information Systems，2003，28:533－562.

［4］葉春曉.基于角色訪問控制(RBAC)中屬性約束委托模型研究［D］.重慶大學(xué)，2005.

［5］ 楊彬，李鑫，楊紅韻，等.基于RBAC的用電檢查管理系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)［J］.重慶工學(xué)院學(xué)報(bào):自然科學(xué)版，2008，22(10):186－192.

［6］Mikhail I.Gofman，Ruiqi Luo，Ayla C.Solomon，Yingbin Zhang，PingYang，and Scott D.Stoller.RBAC-PAT:A Policy Analysis Tool for Role Based Access Control［J］.JICS，2009，76(4):1322－1331.

［7］ 張棟，劉飛，宋豫川，等.基于角色的訪問控制機(jī)制在工作流平臺(tái)下擴(kuò)展的研究［J］.制造業(yè)自動(dòng)化，2004，26(5):52－57.