摘 要： 針對(duì)多角色協(xié)同交互式工作流系統(tǒng)中多重語(yǔ)境約束交互操作導(dǎo)致冗余操作和錯(cuò)誤操作的問(wèn)題，提出語(yǔ)境判定樹(shù)CDT模型。采用元模型建模方法給出CDT建模規(guī)范，利用令牌建立動(dòng)態(tài)計(jì)算規(guī)則，并討論比較CDT和其他模型的特點(diǎn)，分析語(yǔ)境判定樹(shù)模型的優(yōu)勢(shì)。實(shí)例分析表明，該模型能夠滿足安全性驗(yàn)證需求，具有良好的規(guī)范性、適用性和可擴(kuò)展性。

關(guān)鍵字： 語(yǔ)境判定樹(shù)； 安全性驗(yàn)證； 工作流系統(tǒng)； 多角色協(xié)同； 元模型

中圖分類號(hào)： TN02?34； TP311 文獻(xiàn)標(biāo)識(shí)碼： A 文章編號(hào)： 1004?373X（2015）13?0081?04

Abstract： In multi?role collaboration interactive workflow system， the problems of redundant operation and error operation are caused by multiple context constraint interoperate， so the context decision tree （CDT） model is proposed. The modeling specification of CDT is provided by the modeling method of meta?model. The dynamic calculation rules are built by token. The features between CDT and other models are compared and discussed. The advantages of context decision tree model are analyzed. The example analysis shows that the proposed model satisfies the requirements of security verification， and also has good normalization， applicability and extensibility.

Keywords： context decision tree； security verification； workflow system； multi?role collaboration； meta?model

0 引 言

設(shè)計(jì)多角色協(xié)同交互式工作流系統(tǒng)時(shí)，不同的角色共享界面和操作的數(shù)量遠(yuǎn)多于單用戶系統(tǒng)[1]，用戶操作受到多重動(dòng)態(tài)語(yǔ)境約束，工作流設(shè)計(jì)的安全性驗(yàn)證必不可少。安全性驗(yàn)證的目的是保證在特定的環(huán)境中（系統(tǒng)特定部署約束）使正確的主體（特定角色和用戶約束）在正確的時(shí)間、地點(diǎn)（特定對(duì)象類型和狀態(tài)約束）執(zhí)行正確的操作（特定后置條件約束）。傳統(tǒng)的訪問(wèn)控制機(jī)制，如基于角色訪問(wèn)控制RBAC[2]、訪問(wèn)控制表ACL[3]等無(wú)法滿足動(dòng)態(tài)語(yǔ)境分析的需求。本文采用元模型建模方法，旨在探索一種分析復(fù)雜語(yǔ)境的語(yǔ)境判定樹(shù)CDT模型，用來(lái)實(shí)現(xiàn)工作流設(shè)計(jì)方案的安全性驗(yàn)證。

1 語(yǔ)境判定樹(shù)概述

決策樹(shù)（Decision Tree）又稱判定樹(shù)，常用于構(gòu)建預(yù)測(cè)模型[4]。樹(shù)中每個(gè)節(jié)點(diǎn)表示某個(gè)對(duì)象，而每個(gè)分叉路徑則代表某個(gè)可能的屬性值，從根節(jié)點(diǎn)到葉節(jié)點(diǎn)所經(jīng)歷的路徑為一組條件序列，表示決策的過(guò)程。

語(yǔ)境（context）是某事物所存在的環(huán)境，它為該事物的存在提供特定條件，同時(shí)也約束了該事物的性質(zhì)和行為。在工作流系統(tǒng)中，操作處于特定的語(yǔ)境條件中，包括當(dāng)前用戶名，用戶角色，操作對(duì)象，對(duì)象類別，對(duì)象狀態(tài)等一組屬性，這些語(yǔ)境屬性對(duì)當(dāng)前操作起約束和引導(dǎo)的作用。

將語(yǔ)境條件的計(jì)算、判定、交互和推理納入到判定樹(shù)的節(jié)點(diǎn)和路徑中，提出語(yǔ)境判定樹(shù)（Context Decision Tree，CDT）模型。針對(duì)多角色協(xié)同交互式工作流系統(tǒng)的安全性問(wèn)題，語(yǔ)境判定樹(shù)應(yīng)滿足三點(diǎn)需求：

（1） 安全性驗(yàn)證。驗(yàn)證需求規(guī)格與設(shè)計(jì)方案之間對(duì)關(guān)鍵操作的安全控制要求的一致性和完整性。

（2） 交互選擇。需支持用戶交互選擇的判定路徑，保證安全的同時(shí)能提高交互效率。

（3） 逐步遞進(jìn)與動(dòng)態(tài)判定。需支持分步驟實(shí)現(xiàn)語(yǔ)境條件的計(jì)算、判定與推理。一個(gè)步驟中能根據(jù)前面已知條件動(dòng)態(tài)計(jì)算下一步所需語(yǔ)境屬性，下一步判定能依賴前步計(jì)算的結(jié)果，最終控制關(guān)鍵操作的安全調(diào)用。

2 語(yǔ)境判定樹(shù)建模規(guī)范

2.1 元模型

元模型中僅包含一個(gè)元類CDTNode，表示語(yǔ)境判定樹(shù)CDT的節(jié)點(diǎn)及有向邊，如圖1所示。

一個(gè)CDTNode對(duì)象表示一個(gè)CDT模型中的一個(gè)語(yǔ)境條件判定和計(jì)算單元。

屬性與關(guān)聯(lián)：

（1） 命名N（name）：一個(gè)文本說(shuō)明，以區(qū)別其他相鄰節(jié)點(diǎn)。命名可為空。

（2） 條件C（cond）：一個(gè)邏輯表達(dá)式，表示進(jìn)入該節(jié)點(diǎn)的判定路徑所需滿足的必要條件。該條件與其上游節(jié)點(diǎn)條件之間是邏輯與關(guān)系，以形成合取式。條件可為空，若為空，表示恒為真。條件中的操作數(shù)是語(yǔ)境條件屬性（如角色、用戶名、對(duì)象類型名、對(duì)象屬性名、臨時(shí)命名等）。操作符為普通邏輯操作符（與∧，或∨，非?）。

（3） 動(dòng)作A（actions）：一個(gè)或一系列動(dòng)作，表示當(dāng)滿足條件C時(shí)所執(zhí)行的一組計(jì)算動(dòng)作的序列。計(jì)算結(jié)果可被其下游節(jié)點(diǎn)使用。葉節(jié)點(diǎn)上的動(dòng)作主要是調(diào)用受保護(hù)的關(guān)鍵性操作。動(dòng)作可對(duì)業(yè)務(wù)邏輯產(chǎn)生副作用，即創(chuàng)建新對(duì)象，改變對(duì)象屬性或關(guān)聯(lián)等。動(dòng)作序列可包含分支和循環(huán)。動(dòng)作A得到一次執(zhí)行的充要條件是其條件C為真且得到一個(gè)執(zhí)行令牌。

（4） 下游節(jié)點(diǎn)類型（downKind）：當(dāng)前節(jié)點(diǎn)到其多個(gè)下游節(jié)點(diǎn)有兩種關(guān)系：并行或選擇。前者是計(jì)算下游條件后自動(dòng)選擇，后者是人工交互選擇。

（5） 下游節(jié)點(diǎn)（down）：自關(guān)聯(lián)UpperToDown指向0個(gè)或多個(gè)下游節(jié)點(diǎn)down。為便于實(shí)現(xiàn)，設(shè)計(jì)為單向關(guān)聯(lián)。

2.2 令牌規(guī)則

采用令牌token來(lái)實(shí)現(xiàn)節(jié)點(diǎn)之間的動(dòng)態(tài)計(jì)算關(guān)系，主要是順序節(jié)點(diǎn)、并行下游節(jié)點(diǎn)、選擇下游節(jié)點(diǎn)、多個(gè)上游節(jié)點(diǎn)的令牌傳遞規(guī)則。

2.2.1 順序節(jié)點(diǎn)

順序結(jié)構(gòu)的多個(gè)節(jié)點(diǎn)表示一系列語(yǔ)境條件之間的合取關(guān)系和從屬關(guān)系。如圖2所示，以下面3個(gè)節(jié)點(diǎn)的一個(gè)模型為例說(shuō)明順序節(jié)點(diǎn)的令牌傳遞規(guī)則。

計(jì)算過(guò)程：節(jié)點(diǎn)1得到一個(gè)令牌t后，計(jì)算其條件c1。若為真，則執(zhí)行as1，其結(jié)果可被下游獲取，執(zhí)行動(dòng)作如正常完成，則將該令牌沿有向邊傳給下游節(jié)點(diǎn)；若條件c1為假，則不執(zhí)行動(dòng)作，并撤銷令牌t。如此執(zhí)行，下游節(jié)點(diǎn)動(dòng)作as3執(zhí)行完成后上交令牌t，表示一次計(jì)算判定執(zhí)行完成，形成了一條判定路徑。該路徑的語(yǔ)境條件為：c1∧c2∧c3，作為動(dòng)作as3執(zhí)行的必要條件。該合取式不適用交換律，因?yàn)檫@些條件有序。

2.2.2 并行下游節(jié)點(diǎn)

并行下游節(jié)點(diǎn)表示有多個(gè)下游節(jié)點(diǎn)時(shí)，自動(dòng)下傳令牌的情形。若僅有一個(gè)下游節(jié)點(diǎn)前置條件為真，則作為下游路徑；若有多個(gè)節(jié)點(diǎn)條件為真，則任選一個(gè)作為下游路徑；若所有下游節(jié)點(diǎn)的前置條件都為假，則模型錯(cuò)誤，下傳令牌失敗，令牌被阻塞。表示方法如圖3所示。

并行下游結(jié)構(gòu)并非意味著下游動(dòng)作并行執(zhí)行，而是下游之間動(dòng)作執(zhí)行的互斥關(guān)系。

2.2.3 選擇下游節(jié)點(diǎn)

選擇下游節(jié)點(diǎn)表示有多個(gè)下游節(jié)點(diǎn)時(shí)，用戶交互選擇一個(gè)下游節(jié)點(diǎn)或放棄的情形。表示方法如圖4所示。

選擇下游節(jié)點(diǎn)用虛線表示。上游節(jié)點(diǎn)得到令牌，計(jì)算條件c為真，執(zhí)行其動(dòng)作as，然后計(jì)算下游節(jié)點(diǎn)1的條件，若為真則將其納入可選節(jié)點(diǎn)集合[A；]若為假則不可選。如此計(jì)算所有下游節(jié)點(diǎn)，得到一個(gè)可選節(jié)點(diǎn)集合[A。]若[A]不為空，用戶交互選擇其中一個(gè)作為下游節(jié)點(diǎn)，將令牌傳給它，再執(zhí)行該節(jié)點(diǎn)動(dòng)作。若[A]為空，則撤銷令牌。

2.2.4 多個(gè)上游節(jié)點(diǎn)

多個(gè)上游節(jié)點(diǎn)結(jié)構(gòu)，表示任一上游節(jié)點(diǎn)傳來(lái)令牌，該節(jié)點(diǎn)條件成立就執(zhí)行動(dòng)作的情形。表示方法如圖5所示。

圖5中對(duì)下游節(jié)點(diǎn)3，任何一條入邊上得到一個(gè)令牌，就開(kāi)始計(jì)算。動(dòng)作as3執(zhí)行的充要條件是（c1∨c2）∧c3成立且得到一個(gè)令牌。

這種結(jié)構(gòu)實(shí)際上是兩個(gè)節(jié)點(diǎn)或兩條路徑合并的結(jié)果：（c1∧c3）∨（c2∧c3）=（c1∨c2）∧c3。

這是合取對(duì)于析取的分配律。這種結(jié)構(gòu)“破壞”了有向樹(shù)規(guī)則，有向樹(shù)要求節(jié)點(diǎn)入度不大于1。CDT模型中允許這種結(jié)構(gòu)的原因是合并可有效減少冗余節(jié)點(diǎn)。

2.3 優(yōu)化方法

決策樹(shù)剪枝，就是刪除決策樹(shù)的某些分支，以此減小決策樹(shù)的尺寸[5]。對(duì)于CDT的優(yōu)化方法屬于決策樹(shù)的后剪枝方法。

對(duì)CDT的優(yōu)化可減少節(jié)點(diǎn)數(shù)量，減少節(jié)點(diǎn)操作的重復(fù)計(jì)算，可在滿足特定工作流的前提下，消除冗余節(jié)點(diǎn)及其邊。優(yōu)化可通過(guò)以下操作來(lái)實(shí)現(xiàn)：

（1） 條件向前拉。如果兄弟節(jié)點(diǎn)之間都具有一個(gè)相同條件c，那么可將該條件拉到其父節(jié)點(diǎn)，父節(jié)點(diǎn)的一次性判定可避免在多個(gè)下游節(jié)點(diǎn)上重復(fù)。

（2） 條件向后推。如果父節(jié)點(diǎn)的一個(gè)條件c，包含了與其子節(jié)點(diǎn)相關(guān)的語(yǔ)境條件，并且此子節(jié)點(diǎn)的語(yǔ)境條件是獨(dú)享的，則應(yīng)將條件c推到其子節(jié)點(diǎn)上。

（3） 合并節(jié)點(diǎn)。如果兩個(gè)節(jié)點(diǎn)的條件和動(dòng)作都相同，則合并為一個(gè)節(jié)點(diǎn)。合并后的有向邊需保持，但不能增加路徑。合并節(jié)點(diǎn)可消除冗余節(jié)點(diǎn)，但可能“破壞”樹(shù)形結(jié)構(gòu)。

（4） 分離節(jié)點(diǎn)。如果節(jié)點(diǎn)A包含了過(guò)多的語(yǔ)境條件或者操作動(dòng)作，可將節(jié)點(diǎn)A分離為多個(gè)順序連通的節(jié)點(diǎn)。

對(duì)CDT進(jìn)行剪枝優(yōu)化，可縮小CDT規(guī)模，消除冗余節(jié)點(diǎn)，減少節(jié)點(diǎn)的語(yǔ)境計(jì)算。

3 討論與比較

圖論中的有向樹(shù)是任意兩個(gè)節(jié)點(diǎn)間有且僅有一條路徑[6]。而CDT模型中允許存在入度大于1的節(jié)點(diǎn)，即合并節(jié)點(diǎn)。CDT借鑒了決策樹(shù)的結(jié)構(gòu)特點(diǎn)，但出于消除冗余節(jié)點(diǎn)的目的，合并冗余節(jié)點(diǎn)能更好地滿足實(shí)際軟件需求，而不必拘泥于嚴(yán)格的有向樹(shù)。

CDT元模型是一個(gè)規(guī)范的面向?qū)ο竽Ｐ?，采用面向?qū)ο缶幊陶Z(yǔ)言易于實(shí)現(xiàn)，可直接支持具體項(xiàng)目設(shè)計(jì)，也可支持模擬運(yùn)行和安全性驗(yàn)證。故此CDT具有良好的適用性。

CDT作為一種較通用的語(yǔ)境判定和驗(yàn)證方法，可針對(duì)不同平臺(tái)或框架進(jìn)行擴(kuò)展。例如對(duì)于多角色協(xié)同Web系統(tǒng)，可擴(kuò)展屬性來(lái)適應(yīng)Web計(jì)算結(jié)構(gòu)。常見(jiàn)擴(kuò)展是一個(gè)屬性objectScope對(duì)象作用域，使每個(gè)節(jié)點(diǎn)對(duì)應(yīng)Web系統(tǒng)4層對(duì)象作用域（如應(yīng)用、會(huì)話、請(qǐng)求、頁(yè)面）中的某一層，使節(jié)點(diǎn)能直接訪問(wèn)該層語(yǔ)境屬性。擴(kuò)展CDT可用于多種領(lǐng)域，如醫(yī)療領(lǐng)域中的交互式病情預(yù)診和用藥安全指導(dǎo)等。CDT具有良好的可擴(kuò)展性。

CDT是對(duì)傳統(tǒng)的基于角色控制訪問(wèn)RBAC的擴(kuò)展和完善。傳統(tǒng)RBAC多用于靜態(tài)的粗粒度（如頁(yè)面級(jí)）的角色授權(quán)[2]，CDT可將角色作為一種語(yǔ)境屬性，能支持動(dòng)態(tài)的細(xì)粒度（操作級(jí)）的角色授權(quán)和角色履職。

表1給出本方法與其他相關(guān)方法的比較。

4 實(shí)例分析

為了說(shuō)明語(yǔ)境判定樹(shù)CDT對(duì)于復(fù)雜語(yǔ)境的分析判定作用，在此設(shè)置一個(gè)簡(jiǎn)單的操作序列，病人通過(guò)兩條判定路徑提交自己的病人服務(wù)申請(qǐng)。從三個(gè)方面驗(yàn)證該流程設(shè)計(jì)的合理性。如圖6所示。

4.1 安全性驗(yàn)證

病人提交服務(wù)申請(qǐng)的需求可能是抽象的、隱晦的，也可能不一致、不完整。安全性驗(yàn)證就是將CDT模型與需求規(guī)范之間比較，以發(fā)現(xiàn)兩者間的差異。例如第一條路徑的操作序列p1.cond=“role=‘病人’∧所屬社區(qū)=‘新河’∧用戶有私人醫(yī)生∧申請(qǐng)格式校驗(yàn)通過(guò)”，若p1.cond和安全性需求SR雙向蘊(yùn)含，則該條路徑是語(yǔ)境安全的。

定義1：設(shè)CDT有一個(gè)葉節(jié)點(diǎn)a，若所有到達(dá)的路徑P={p1，p2，…}都是語(yǔ)境安全的，則稱葉節(jié)點(diǎn)a是語(yǔ)境安全的。

定義2：對(duì)于一個(gè)CDT，若任何一個(gè)葉節(jié)點(diǎn)都是語(yǔ)境安全的，則稱該CDT是語(yǔ)境安全的。

以上定義用于驗(yàn)證一個(gè)CDT中的路徑和節(jié)點(diǎn)的語(yǔ)境安全性。由CDT的定義和結(jié)構(gòu)特點(diǎn)可推理，CDT是一個(gè)連通且無(wú)回路的有向圖，可借助已有算法，如深度優(yōu)先遍歷DFS[10]，計(jì)算從根到所有葉節(jié)點(diǎn)的所有路徑，然后驗(yàn)證每條路徑的安全性。

4.2 一致性驗(yàn)證

圖6中的每一條途徑，均不存在如A∧…∧?A前后邏輯不一致的現(xiàn)象，可判定該設(shè)計(jì)滿足一致性驗(yàn)證。注意可能存在某個(gè)動(dòng)作改變了對(duì)象的狀態(tài)，使得條件A變?yōu)?A，若存在這樣的動(dòng)作且合理則一致；若不存在，則不一致。

4.3 冗余驗(yàn)證

圖6中的p.cond將用戶角色的判定放在節(jié)點(diǎn)1上，避免了在節(jié)點(diǎn)2和節(jié)點(diǎn)3上的重復(fù)判定，可以有效提高操作計(jì)算效率。同時(shí)計(jì)算p1.cond和p2.cond，并不存在A∧…∧A這樣前后條件重復(fù)判定的情況，可判定無(wú)冗余操作計(jì)算。注意當(dāng)對(duì)象狀態(tài)發(fā)生改變的時(shí)候，處于安全性考慮可能會(huì)出現(xiàn)條件重復(fù)計(jì)算，屬于合理冗余。

5 結(jié) 語(yǔ)

針對(duì)多角色協(xié)同交互式工作流系統(tǒng)安全性設(shè)計(jì)和驗(yàn)證的復(fù)雜性，結(jié)合語(yǔ)境和決策樹(shù)概念，用元模型方式提出語(yǔ)境判定樹(shù)CDT模型。詳細(xì)介紹了CDT模型的令牌傳遞規(guī)則，并討論比較了CDT相比于其他建模方法的特性和優(yōu)勢(shì)，最后通過(guò)實(shí)例分析證明CDT支持安全性驗(yàn)證，一致性驗(yàn)證和冗余驗(yàn)證。該建模方法具有良好的規(guī)范性、適用性和可擴(kuò)展性，對(duì)于復(fù)雜的交互式工作流系統(tǒng)的設(shè)計(jì)開(kāi)發(fā)具有重要意義。

參考文獻(xiàn)

[1] QUNOO H， RYAN M. Modelling dynamic access control policies for web?based collaborative systems [M]// FORESTI S， JAJODIA S. Data and applications security and privacy XXIV. Berlin： Springer， 2010： 295?302.

[2] 行燕，高榮芳.基于角色訪問(wèn)控制機(jī)制在Web 信息系統(tǒng)中的應(yīng)用[J].現(xiàn)代電子技術(shù)，2007，30（16）：157?159.

[3] CANKAYA H C. Access control lists [M]// HENK C A， TIBORG V. Encyclopedia of cryptography and security. New York： Springer， 2011： 9?12.

[4] SWANEY D L， MCALISTER G C， COON J J. Decision tree?driven tandem mass spectrometry for shotgun proteomics [J]. Nature Methods， 2008， 5（11）： 959?964.

[5] TRABELSI S， ELOUEDI Z， MELLOULI K. Pruning belief decision tree methods in averaging and conjunctive approaches [J]. International Journal of Approximate Reasoning， 2007， 46（3）： 568?595.

[6] 盧開(kāi)澄，盧華明.圖論及其應(yīng)用[M].北京：清華大學(xué)出版社，1995.

[7] 歐陽(yáng)俊，楊貫中，陶勇，等.基于對(duì)象 Petri網(wǎng)工作流建模的研究與實(shí)現(xiàn)[J].計(jì)算機(jī)工程與設(shè)計(jì)，2005，26（10）：2688?2691.

[8] 胡春萍，王一平，梁欣霆.UML在系統(tǒng)開(kāi)發(fā)中的應(yīng)用研究[J].現(xiàn)代電子技術(shù)，2002，25（8）：77?80.

[9] MORENO N， FRATERNALI P， Vallecillo A. WebML modelling in UML [J]. IET Software， 2007， 1（3）： 67?80.

[10] TARJAN R. Depth?first search and linear graph algorithms [J]. SIAM Journal on Computing， 1972， 1（2）： 146?160.