曾世強，葉春曉，余一豐

重慶大學 計算機學院，重慶 400044

基于屬性約束的工作流訪問控制模型

曾世強，葉春曉，余一豐

重慶大學 計算機學院，重慶 400044

1 引言

工作流管理系統(tǒng)是現(xiàn)今很多領域用來有效地管理事務處理過程的一個關鍵技術基礎設施，其主要功能是通過計算機技術的支持去定義、執(zhí)行和管理工作流程，協(xié)調工作流執(zhí)行過程中工作之間以及群體成員之間的信息交互[1-2]。一個工作流中各種各樣的活動通常被劃分為一些預先定義好的任務。這些任務之間彼此依賴，以一種相互協(xié)調的方式執(zhí)行，但這些任務并不是任何一個人都能執(zhí)行，只有那些被授權的用戶才能執(zhí)行。

1996年，Atluri和Huang提出了一種工作流授權模型（Workflow Authorization Model，WAM），提出了授權模板的概念[3-4]。該模型中，工作流和某些適當?shù)氖跈嗄０逑嚓P聯(lián)，每個任務只能在開始時從授權模板中被導出，從而保證授權流與工作流的同步。但是由于每個任務有可能與多個授權模板相關聯(lián)，管理起來非常繁瑣，并且WAM中的授權只是一個最基本的概念：在某個時間段內，一個主體擁有訪問某個客體的某種權限，而且，在一個授權模板中，一類角色是和某一類可被某個任務處理的對象所固定的，這種方式缺乏靈活性。

針對以上問題，邢光林和洪帆在2005年提出了一種基于角色和任務的工作流模型[5]，在該模型中，角色和權限不直接掛鉤而是通過任務把角色和權限聯(lián)系在一起，然后給用戶指派合適的角色，用戶通過其指派的角色獲得可以執(zhí)行的任務，然后在執(zhí)行某個任務的某個具體實例時獲得該任務所允許訪問的客體的權限，方便權限的細粒度管理。但是該模型在把任務分配給角色之前，對任務執(zhí)行者的約束不夠，容易導致不具備相應資質和能力的用戶獲取任務，從而獲得訪問權限。換句話說，一旦用戶成為某一角色的成員，即使該用戶不具備某些任務要求的資質和能力，也能夠通過該角色獲得可以分配到的所有任務，這就容易產生訪問控制的安全隱患。特別是對一些安全敏感的部門來說，這種安全隱患不容忽視。例如電子軍務的發(fā)文工作流環(huán)境中，某些參謀人員可能不具備任務所要求的秘密級別、工作表現(xiàn)等資質和能力，仍然可以通過其參謀角色獲取該任務，進而獲得訪問權限，這就造成了安全隱患。

為了加強工作流環(huán)境中任務對用戶的約束[6]，充分體現(xiàn)任務對其執(zhí)行者的各種要求，本文提出在任務分配之前進行屬性約束，即用戶和任務都具備一定的屬性和相應的屬性表達式，用戶的屬性反映用戶具備的資質和能力，例如用戶的秘密等級、文件處理能力等，任務的屬性表明任務對用戶資質和能力的要求，通過屬性表達式比較，滿足策略規(guī)則才進行任務授權，從而避免安全隱患，達到更加細粒度的訪問控制。

2 基于角色和任務的工作流訪問控制模型

在基于角色和任務的工作流訪問控制模型中[7-8]，訪問控制策略要求權限只有在任務開始執(zhí)行時才授予，且任務一旦結束，授權就要被收回；合法的用戶在執(zhí)行某個任務實例時只能擁有該任務實例所允許訪問的那些客體的權限；執(zhí)行完某個任務的用戶不能再執(zhí)行其他某個任務，或是保證執(zhí)行某個任務的用戶必須是執(zhí)行前面某個任務的同一個用戶。

基于角色和任務的工作流模型[9-10]，其主要組成部件如圖1所示。

圖1 基于角色和任務的工作流訪問控制模型簡圖

其基本思想是：角色和權限不直接掛鉤而是通過任務把角色和權限聯(lián)系在一起，然后給用戶指派合適的角色，用戶通過其指派的角色獲得可以執(zhí)行的任務，然后在執(zhí)行某個任務的某個具體實例時獲得該任務所允許訪問的客體的權限，方便權限粒度的控制和管理。

形式化描述如下：

定義1(Users)是用戶的集合，用戶是對系統(tǒng)資源進行訪問的獨立主體。

定義2(Objects)是客體的集合，客體通常為系統(tǒng)中的資源。

定義3(Roles)是角色的集合，角色是組織中的工作職能的語義表達，表示被授予角色的用戶的職權和責任。

定義4(Tasks)是任務的集合，任務是工作流程中的邏輯單元，其可以是工作流系統(tǒng)中的一個程序或者一個進程等。任務是一個可區(qū)分的動作，一個任務可以包含多個子任務，一個任務可以由一個用戶完成，也可能與多個用戶相關。每個任務賦予一個時間段屬性ta= [ts，te]，ts≤ te，表示該任務只能在該時間段內被執(zhí)行。

定義5(Perms)是權限的集合，權限是用戶對系統(tǒng)資源進行訪問的許可。每個權限是一個二元組，perm= (obj，opset)，其中 obj是客體集 Objects的成員，opset是訪問方法集Ops的子集，可能包含不止一種訪問方法。

定義6(Ops)是所有操作的集合，表示對系統(tǒng)中的客體資源的操作方式。

模型中各組件之間的關系如下表示：

定義7（UA（用戶分配）） UA?Users×Roles，是用戶和角色之間的多對多關系，user(r)={u∈Users，r∈Roles|(u，r)∈UA}。

定義8（PA（權限分配）） PA?Pemrs×Tasks，是權限和任務之間的多對多關系，permation(t)={p∈Perms，t∈Tasks|(P，t)∈PA}。

定義9（TA（任務分配）） TA?Roles×Tasks，是角色和任務之間的多對多關系。每個角色根據(jù)其職責和權限，需要執(zhí)行一個或多個任務。另一方面，任務用于指定于特定的任務，其可以分配給一個或多個角色。

定義10(RH)RH?Roles×Roles，是角色集上的一個偏序關系，稱為角色等級或角色層次。

定義11（授權）授權AU定義為一個五元組AU= {u，r，t，P，[ts，te]}，其中 u∈ Users，表示工作流系統(tǒng)中的一個用戶；r∈Roles，表示工作流系統(tǒng)中的一個角色；t∈Tasks，表示工作流系統(tǒng)中的一個任務；p∈Perms，表示工作流系統(tǒng)中一個任務權限；[ts，te]是一個時間段，表示執(zhí)行任務的有效時間段。

授權五元組表示用戶u分配了角色r，該角色在時間點ts被授權可以執(zhí)行任務t的權限P操作，在時間點te該授權被收回。

定義12（授權依賴（Authorization Dependence））在工作流執(zhí)行的過程中，授權單元之問存在著授權相互制約的關系，稱之為授權依賴關系。包括同步、順序、互斥、失敗和分權等。

定義13（肯定約束） Must_do(u，t)，u∈Users，t∈Tasks，表示任務t必須由用戶u來執(zhí)行。Obliged_users(u)= { } u∈users|must_do(u，t)，t∈Tasks，表示強制執(zhí)行任務 t的用戶的集合。

定義 14（排他約束） cannot_do(u，t)，u∈Users，t∈Tasks，表示任務t不能夠由用戶u來執(zhí)行。users(t)= {u∈Useres|cannot_do(u，t)}，t∈Tasks，表示不允許執(zhí)行任務t的用戶的集合。

3 基于屬性約束的工作流訪問控制

屬性約束[11-13]的基本思想是：用戶和任務都具備一定的屬性，用戶的屬性反映用戶具備的資質和能力，任務的屬性表明任務對用戶資質和能力的要求，這些屬性與操作符、邏輯運算符進行組合形成屬性表達式和相應的授權屬性表達式，用戶和任務的授權屬性表達式進行匹配，滿足策略規(guī)則系統(tǒng)才進行任務授權，從而實現(xiàn)任務授權時的屬性約束。其主要組成部件如圖2所示。

圖2 基于屬性約束的工作流訪問控制模型簡圖

以下是幾個重要的基礎概念[14-15]：

其中，ua，uav，?，uae，AAE 分別為屬性、屬性值、操作符、屬性表達式，&為邏輯與運算。

例如，level=3，type=“C”和 total≥10都是 uae，而level=3&type=“C”&total≥10和level=2&type=“T”& total≥15都是AAE。本文用“?”表示兩個屬性表達式AAE之間的優(yōu)先級高低關系。

定義16如果uaei和uaej，有相同的屬性名和操作符，則稱uaei，uaej之間可比。只有可比的屬性表達式之間才可以判斷相互之間的優(yōu)先級高低。

（1）如果 uaei，uaej，形為 ua≥uav或者 ua＞uav：

①若uav為數(shù)值型數(shù)據(jù)，可按照數(shù)值型數(shù)據(jù)的自然順序判斷優(yōu)先級高低關系。

②若uav不為數(shù)值型數(shù)據(jù)，則由系統(tǒng)設定屬性表達式之間的優(yōu)先級高低關系。

（2）如果 uaei和 uaej，形為 ua≤uav或者 ua＜uav：

①若uav為數(shù)值型數(shù)據(jù)，優(yōu)先級高低關系與實際數(shù)值的自然順序相反。

②若uav不為數(shù)值型數(shù)據(jù)，則由系統(tǒng)設定屬性表達式之間的優(yōu)先級高低關系。

除此之外，若uav中?為“=”，“≠”，則由系統(tǒng)設定屬性表達式之間的優(yōu)先級高低關系，例如：type=“C”和type=“T”之間的優(yōu)先級高低可由系統(tǒng)設定為type=“C”?type=“T”。

定義17兩個授權屬性表達式，若?uaej∈AAEj.UAE，?uaei∈AAEi.UAE，使得uaei?uaej成立，則 AAEi?AAEj。其中UAE為AAE中各個uae構成的集合。

根據(jù)不同應用環(huán)境的需要可以增加更為復雜的關系運算，本文不做相關的討論。

在基于角色和任務的工作流模型中增加屬性約束，除相應的屬性、屬性值、屬性表達式定義之外，在任務集合中增加了任務的授權屬性表達式，授權也由五元組增加到六元組 AU={u，r，t，P，[ts，te]，AAE}，通過用戶屬性生成的屬性表達式和任務的授權屬性表示式匹配，滿足要求的用戶才進行授權。

4 應用實例

在電子軍務系統(tǒng)中，有一個發(fā)文的工作流，假設由5個任務組成：擬稿、審稿、核稿、稿件簽發(fā)和校稿。其中用戶有7人：劉大、錢二、張三、李四、王五、趙六、陳七，他們的角色分配為：參謀，科長，處長，角色的層次關系為處長支配科長，科長支配參謀。7個用戶的角色分別為：陳七為處長，王五、趙六為科長，其余都是參謀。

屬性設置：秘密級別m（電子軍務系統(tǒng)中用戶和任務都具有相應的秘密級別，從高到低為4＞3＞2＞1），文件處理能力 a（從高到低為 4＞3＞2＞1），工作態(tài)度 d（根據(jù)用戶過往工作態(tài)度確定，從好到壞為3＞2＞1），任務完成質量q（根據(jù)用戶過往完成任務質量確定，從高到低為4＞3＞2＞1），任務完成數(shù)量s（根據(jù)用戶過往完成任務數(shù)量確定，反映用戶的工作經驗，從多到少為3＞2＞1），7人的授權屬性表達式AAE分別為：

假設系統(tǒng)的策略是：（1）參謀只能進行擬稿和校稿的工作；（2）審稿和核稿的工作由科長來處理；（3）稿件簽發(fā)必須由處長來完成；（4）執(zhí)行核稿任務的用戶不能是執(zhí)行審稿任務的用戶；（5）執(zhí)行任務前用戶屬性生成的屬性表達式必須滿足任務相應的授權屬性表達式。上述發(fā)文工作流任務圖如圖3。

圖3 發(fā)文工作流任務圖

某一批任務及其授權屬性表達式AAE描述如下：

T={（擬稿，[10，40]，AAE1），（審稿，[20，50]，AAE2），（核稿，[30，60]，AAE3），（稿件簽發(fā)，[40，70]，AAE4），（校稿，[50，80]，AAE5）}

其中：

由此可見，這批任務對擬稿和審稿用戶的密級和文件處理能力都有高要求；隨著工作流程的進行，任務對用戶密級的要求逐漸提高，而對用戶的文件處理能力的要求不高；任務對用戶的工作態(tài)度、任務完成數(shù)量和質量也有相應的要求。

R={參謀，科長，處長}；U={劉大，錢二，張三，李四，王五，趙六，陳七}

P={（稿件，起草），（稿件，審查），（稿件，核對），（稿件，簽發(fā)），（稿件，校對）}

用戶的指派關系為 UA={(u1，r1)，(u2，r1)，(u3，r1)，(u4，r1)，(u5，r2)，(u6，r2)，(u7，r3)} 。

系統(tǒng)的安全策略（1）、（2）、（3）屬于靜態(tài)約束，由此定義角色任務指派關系為：

定義權限任務指派關系為：

策略（4）屬于排他約束，描述為：策略（5）是各任務授權時通過授權屬性表達式匹配來實現(xiàn)對用戶的屬性約束。

根據(jù)以上規(guī)則，假設不考慮策略（5），即沒有屬性約束，那么在進行擬稿任務 t1時，用戶 u1、u2、u3、u4角色均為r1參謀，都可能分配到任務t1；增加策略（5）進行屬性約束后，雖然用戶 u1、u2、u3、u4角色均為 r1參謀，但進行授權屬性表示式匹配時，只有u3.AAE?AAE1，即只有張三滿足擬稿任務對用戶屬性約束的要求，換句話說，只有用戶張三的能力和素質滿足任務t1的要求。假設張三在時間 20 開始擬稿任務，產生授權 AU={u3，r1，t1，P1，[20，40]，AAE1}，在時間35張三完成擬稿任務，系統(tǒng)收回權限，授權變更為 {u3，r1，t1，P1，[20，35]，AAE1} 。這樣，通過屬性約束，就可以有效地防止不具備相應能力和素質的用戶通過擔任的角色獲取權限，從而避免安全隱患。

同理，進行t2審稿任務時，用戶u5、u6為角色r2，只有u6.AAE?AAE2，即只有u6趙六滿足審稿任務對用戶屬性約束的要求，同理產生授權：{u6，r2，t2，P2，[35，46]，AAE2}。

進行 t3核稿任務時，用戶 u5、u6為角色 r2，且u5.AAE?AAE3，u6.AAE?AAE3，但是根據(jù)策略（4），觸發(fā)排他約束：

即u6趙六不能擔任核稿任務，只有u5王五滿足核稿任務的要求，同理產生授權：

進行 t4稿件簽發(fā)任務時，只有 u7為角色 r3，且u6.AAE?AAE4，即u7陳七滿足稿件簽發(fā)任務對用戶屬性約束的要求，同理產生授權：

進行 t5校稿任務時，用戶 u1、u2、u3、u4角色為 r1，但只有u1.AAE?AAE5，即只有u1劉大滿足校稿任務對用戶屬性約束的要求，同理產生授權 {u1，r5，t5，P5，[68，75]，AAE5}。

5 結束語

為了加強工作流環(huán)境中任務對用戶的約束，強化任務對其執(zhí)行者的各種要求，本文提出在任務分配之前進行屬性約束，即用戶和任務都具備一定的屬性和相應的屬性表達式，用戶的屬性反映用戶具備的資質和能力，任務的屬性表明任務對用戶資質和能力的要求，通過屬性表達式比較，滿足策略規(guī)則才進行任務授權。這樣，可以防止不具備相應資質和能力的用戶通過其擔任的角色獲取任務，從而防止安全隱患，達到更加細粒度的訪問控制。在今后的工作中，可以把角色也作為屬性的一種來討論基于屬性約束的工作流訪問控制模型，相應的委托模型都有待于進一步的研究。

[1]Hollingsworth D.The workflow reference model[S].1994.

[2]陳麗俠，陳剛，董金祥.基于任務的工作流訪問控制模型和實現(xiàn)框架[J].計算機應用研究，2003，20（9）：42-44.

[3]Atlufi V，Huang W K.An authorization model for workflows[C]//Proc of the 5th European Symposium on Research in Computer Security，1996.

[4]Oh S，Park S.Task-role-based access control model[J]. Information Systems，2003，28（6）：533-562.

[5]邢光林，洪帆.基于角色和任務的工作流訪問控制模型[J].計算機工程與應用，2005，41（2）：210-213.

[6]張強，鄭洪源，丁秋林.基于任務和角色的工作流多約束訪問控制模型[J].計算機與現(xiàn)代化，2011（12）：9-12.

[7]張晶，楊國林，薩智海.基于角色和任務的工作流訪問控制管理模型[J].內蒙古師范大學學報：自然科學漢文版，2011，40（2）：187-190.

[8]查宗旬，王命延.基于任務和角色的工作流訪問控制模型[J].計算機與現(xiàn)代化，2010（11）：139-141.

[9]魏永合，王成恩，舒啟林，等.面向任務的工作流訪問控制模型[J].東北大學學報：自然科學版，2008，29（3）：387-390.

[10]孫軍紅，李娟.一種基于任務和角色的工作流訪問控制模型[J].計算機工程與應用，2008，44（30）：21-30.

[11]Zhang X，Li Y，Nalla D.An attribute-based access matrixmodel[C]//Proceedingsofthe2005 ACM Symposium on Applied Computing，2005：359-363.

[12]楊天怡，董紅林，黃勤，等.應用角色和任務訪問控制的工作流動態(tài)授權模型[J].計算機應用研究，2010，27（4）：1511-1513.

[13]單徐梅，虞慧群.基于RBAC的工作流管理系統(tǒng)授權約束方法[J].計算機工程，2010，36（4）：152-154.

[14]Ye Chunxiao，Wu Zhongfu，F(xiàn)u Yunqing，et al.An attributebased extended delegation model[J].Journal of Computer Research and Development，2006，43（6）：1050-1057.

[15]葉春曉，李忠袆，胡海波，等.基于角色訪問控制授權約束條件的生成方法[J].計算機工程，2011，37（1）：154-155.

ZENG Shiqiang,YE Chunxiao,YU Yifeng

College of Computer Science,Chongqing University,Chongqing 400044,China

In order to resolve the problem that users who lack of corresponding qualifications and ability in workflow environment might get access rights through its role,this paper presents attribute constraints before the tasks assignment. Users and tasks have certain attributes and corresponding attribute expressions,user attributes reflect their equipped aptitude and ability and task attributes indicate its requirements to users in qualifications and ability.The system authorizes to users only when the corresponding rules are satisfied by attribute expressions.Case analysis shows this approach can prevent the users who lack of corresponding qualifications and ability to get the tasks so as to eliminate the safety hazards and achieve a more fine-grained access control.

workflow;task;access control;attribute constraint;attribute expression

針對在工作流環(huán)境中不具備相應資質和能力的用戶可能通過其擔任的角色獲取任務，進而獲得訪問權限的問題，提出在任務分配之前進行屬性約束。用戶和任務都具有屬性和相應的屬性表達式，用戶屬性反映用戶具備的資質和能力，任務屬性反映任務對用戶資質和能力的要求，只有對應的屬性表達式滿足策略規(guī)則時系統(tǒng)才向用戶進行任務授權。實例分析表明，該方法能夠防止不具備相應資質和能力的用戶獲取任務權限，消除安全隱患，實現(xiàn)更加細粒度的訪問控制。

工作流；任務；訪問控制；屬性約束；屬性表達式

A

TP301

10.3778/j.issn.1002-8331.1301-0025

ZENG Shiqiang,YE Chunxiao,YU Yifeng.Attribute constraint based workflow access control model.Computer Engineering and Applications,2014,50（23）：100-103.

國家科技支撐計劃（No.2012BAH19F003）。

曾世強（1982—），男，碩士研究生，主要研究方向為信息安全、訪問控制；葉春曉（1973—），男，博士，教授，主要研究領域為訪問控制、數(shù)據(jù)庫技術、軟件工程；余一豐（1987—），男，碩士研究生，主要研究領域為信息安全、訪問控制。E-mail：yemao1438@163.com

2013-01-06

2013-03-20

1002-8331（2014）23-0100-04

CNKI網絡優(yōu)先出版：2013-04-08,http://www.cnki.net/kcms/detail/11.2127.TP.20130408.1648.019.html