嚴(yán)張凌，代 茂，彭 強(qiáng)

(1.四川大學(xué)錦城學(xué)院，四川 成都 611731;2.四川大學(xué)網(wǎng)絡(luò)教育學(xué)院，四川 成都 610065)

1 概 述

流程感知信息系統(tǒng)用于控制和監(jiān)視業(yè)務(wù)活動(dòng)，典型的系統(tǒng)包括工作流管理系統(tǒng)、企業(yè)戰(zhàn)略資源調(diào)配系統(tǒng)和客戶關(guān)系管理系統(tǒng)等[1]。在構(gòu)建一個(gè)安全的流程信息系統(tǒng)時(shí)要考慮很多的安全問(wèn)題，包括身份認(rèn)證、授權(quán)、訪問(wèn)控制、數(shù)據(jù)完整性、審計(jì)、不可抵賴(lài)和可管理性等[2]。文中重點(diǎn)討論訪問(wèn)控制問(wèn)題。

工作流扭轉(zhuǎn)的一個(gè)經(jīng)典模型是Petri網(wǎng)，將權(quán)限與Petri網(wǎng)結(jié)合是流程感知信息系統(tǒng)研究的一個(gè)方向[3-4]。在傳統(tǒng)的信息系統(tǒng)的訪問(wèn)控制領(lǐng)域，RBAC模型應(yīng)用最為廣泛，它是20世紀(jì)90年代迅速發(fā)展起來(lái)的用于大規(guī)模系統(tǒng)中管理和實(shí)施安全的一種技術(shù)。其中Ravi Sandhu提出的RBAC96模型[5]最為經(jīng)典，后經(jīng)美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院(the national institute of standards and technology,NIST)進(jìn)行了標(biāo)準(zhǔn)化[6]，分為4個(gè)部件模型：基本模型RBAC0、角色分級(jí)模型RBAC1、角色限制模型RBAC2和組合模型RBAC3。RBAC的基本概念就是把權(quán)限與角色關(guān)聯(lián)，通過(guò)為用戶分配合適的角色而獲得相應(yīng)的權(quán)限，如圖1所示。

圖1 RBAC模型結(jié)構(gòu)

RBAC模型的優(yōu)點(diǎn)是通過(guò)角色能夠表達(dá)企業(yè)內(nèi)部組織和人員之間的復(fù)雜關(guān)系，用戶能夠靈活地在不同角色(職位)之間切換，從而便于授權(quán)管理[7]。但RBAC中的權(quán)限是資源和操作組合，它與工作流中以任務(wù)為中心的模型不太吻合，所以Thomas等提出了基于任務(wù)的訪問(wèn)控制(task-based access control,TBAC)模型[8]，其主要思想是通過(guò)授權(quán)步機(jī)制解決工作流運(yùn)行過(guò)程中活動(dòng)實(shí)例與用戶權(quán)限的同步問(wèn)題，每個(gè)活動(dòng)對(duì)應(yīng)一個(gè)授權(quán)步。TBAC采用面向任務(wù)的觀點(diǎn)，從任務(wù)的角度來(lái)建立安全模型和實(shí)現(xiàn)安全機(jī)制。在這個(gè)模型中，權(quán)限分配給任務(wù)，任務(wù)再分配給角色，在任務(wù)處理過(guò)程中提供動(dòng)態(tài)的、實(shí)時(shí)的安全管理[9]。

TBAC模型雖然較好地提供了工作流中的安全模型，卻與企業(yè)信息系統(tǒng)中普遍采用的RBAC模型不兼容，造成取舍困難。對(duì)此，邢光林等提出了基于任務(wù)和角色工作流改進(jìn)模型(task role-based controllability,TRBC)[10-11]；孫軍紅等[12]也對(duì)該模型進(jìn)行了擴(kuò)展與研究，其主要組成部件如圖2所示。

圖2 基于角色和任務(wù)的工作流訪問(wèn)控制模型

其基本思想是：角色和權(quán)限不直接掛鉤而是通過(guò)任務(wù)把角色和權(quán)限聯(lián)系在一起，然后給用戶指派合適的角色，用戶通過(guò)所指派的角色獲得可以執(zhí)行的任務(wù)，然后在執(zhí)行某個(gè)任務(wù)的某個(gè)具體實(shí)例時(shí)獲得該任務(wù)所允許訪問(wèn)的客戶的權(quán)限，這樣更方便權(quán)限粒度的控制和管理[12]。

TRBC模型結(jié)合了RBAC中的角色與TBAC中的任務(wù)兩個(gè)核心概念，將RBAC中的權(quán)限與角色的綁定移到了與任務(wù)綁定，然后將任務(wù)分配給角色。對(duì)于任務(wù)成為了授權(quán)中必不可少的一環(huán)，這樣雖然對(duì)于工作流是可行的方法，但卻忽略了工作流之外的信息系統(tǒng)的權(quán)限控制需求，限制了該模型的使用范圍。

文中從信息系統(tǒng)中的資源分配入手，通過(guò)定義工作流與信息系統(tǒng)邊界，保證信息系統(tǒng)的權(quán)限控制模型在工作流引擎中發(fā)揮相同的控制作用，而避免了TBAC那樣在工作流引擎中單獨(dú)定義權(quán)限控制模型，使得RBAC模型在工作流引擎內(nèi)外達(dá)到統(tǒng)一。

2 基于角色的安全約束工作流模型

在企業(yè)組織機(jī)構(gòu)中的角色概念特別適合于進(jìn)行細(xì)粒度的授權(quán)控制，所以基于角色的訪問(wèn)控制受到了特別重視[13]?，F(xiàn)在，一般普遍接受的安全工作流系統(tǒng)要滿足如下策略[14]：

訪問(wèn)控制：能夠控制特定角色訪問(wèn)指定資源或?qū)υ撡Y源進(jìn)行特定操作。

職責(zé)分離原則：遵循不相容職責(zé)相分離，實(shí)現(xiàn)合理的組織分工，工作流程必須由一個(gè)以上的角色完成。

最小特權(quán)原則：工作流中用戶在執(zhí)行具體的任務(wù)實(shí)例時(shí)，只能訪問(wèn)該任務(wù)所允許操作的資源。

下面將討論這些策略是如何被建模以及如何在工作流驅(qū)動(dòng)的信息系統(tǒng)中被遵循的。

2.1 安全約束的形式化描述

為了給出安全約束的形式化描述，首先定義用戶角色關(guān)聯(lián)和任務(wù)角色關(guān)聯(lián)的形式化描述。任務(wù)角色關(guān)聯(lián)需要解決的是對(duì)一個(gè)特定角色，如何選擇特定的某一個(gè)或某些角色來(lái)執(zhí)行，然后通過(guò)用戶角色分配機(jī)制將該任務(wù)定位到某個(gè)特定的用戶。

將任務(wù)關(guān)聯(lián)到一個(gè)角色集合是該安全約束工作流模型中最基礎(chǔ)的一步，其形式化描述如下：

T={ti|i=1,2,…,l}是一個(gè)任務(wù)實(shí)例集，一個(gè)任務(wù)實(shí)例是某個(gè)任務(wù)的動(dòng)態(tài)表示。

R={ri|i=1,2,…,m}是一個(gè)角色集。

(R,<)表示對(duì)R中的元素進(jìn)行比較，該比較實(shí)際上表示的是角色的分級(jí)層次。設(shè)r1,r2∈R,r1

U={ui|i=1,2,…,n}是一個(gè)用戶集，表示系統(tǒng)中各個(gè)特定的用戶集合。

TR?(T×R)表示任務(wù)與角色之間多對(duì)多的關(guān)聯(lián)關(guān)系。

UR?(U×R)表示用戶與角色之間多對(duì)多的關(guān)聯(lián)關(guān)系。

R(t)={rm∈R:?(tl,rm)∈TR(t)}表示被授權(quán)能夠執(zhí)行任務(wù)tl的特定角色集。

U(t)={un∈U:?(un,rm)∈UR,rm∈R(t)}表示被授權(quán)能夠執(zhí)行任務(wù)tl用戶集。

通過(guò)以上定義得出結(jié)論，通過(guò)任務(wù)、角色和用戶之間的兩個(gè)多對(duì)多關(guān)聯(lián)，已可以將任務(wù)tl具體指定給一個(gè)潛在用戶集U(t)。當(dāng)該任務(wù)tl被實(shí)例化時(shí)，潛在用戶集U(t)的所有用戶均可見(jiàn)任務(wù)tl，直到某一個(gè)用戶un對(duì)tl聲明已占有該任務(wù)(即準(zhǔn)備執(zhí)行該任務(wù))。一旦用戶聲明后，任務(wù)實(shí)例tl與un就表現(xiàn)為一對(duì)一的關(guān)系。

OP={opi|i=1,2,…,o}表示操作集，表示對(duì)信息系統(tǒng)資源的動(dòng)作。

RES={resi|i=1,2,…,p}表示資源集，表示系統(tǒng)中的資源，也是安全約束模型中需要保護(hù)的目標(biāo)對(duì)象。

P={pi|i=1,2,…,q}表示權(quán)限集，其中pi=(opi,obji)。

RP={rpi|i=1,2,…,r}表示角色的權(quán)限集。

UAP(n)={pn∈P:,?(un,rm)∈UR,(rm,pq)∈RP}表示用戶un的權(quán)限集，首先通過(guò)用戶與角色的關(guān)聯(lián)獲取所有角色，再通過(guò)角色與權(quán)限的關(guān)聯(lián)獲取這些角色的所有權(quán)限，然后作并運(yùn)算得到該用戶的所有權(quán)限。

需要注意的是，為了滿足最小特權(quán)原則，UAP(n)不能直接作為工作流運(yùn)轉(zhuǎn)過(guò)程中的權(quán)限判斷依據(jù)，因?yàn)樗鼘?duì)于完成任務(wù)而言太大了，其中可能包含了完成該任務(wù)所不需要的權(quán)限。例如，某出版社的發(fā)文工作流，總經(jīng)理在審稿人員缺席的情況下可以代為審稿，UAP(總經(jīng)理)>UAP(審稿員甲)，此時(shí)就破壞了最小特權(quán)原則。因此，還需要定義下面這個(gè)與任務(wù)關(guān)聯(lián)的權(quán)限集：

UTP(t)={pq∈P:,?(rm,pq)∈RP,(tl,rm)∈TR(t)}表示用戶un在執(zhí)行任務(wù)tl時(shí)的角色對(duì)應(yīng)的權(quán)限集。由以上定義可以推出：UTP(t)?UAP(t)。

2.2 安全約束的元模型

工作流建模已被許多語(yǔ)言進(jìn)行了定義，其中BPMN是被大家廣為接受的一種容易理解且語(yǔ)言豐富的建模符號(hào)，由于易于擴(kuò)展，許多學(xué)者從安全角度對(duì)其進(jìn)行擴(kuò)展，以便表達(dá)特定的安全需求。其中較為知名的有文獻(xiàn)[14]中安全需求模型的BPMN擴(kuò)展和文獻(xiàn)[15]中的安全BPMN模型。

根據(jù)前文的形式化定義，要想在工作流模型中對(duì)安全約束進(jìn)行建模，就屬于在展現(xiàn)人工任務(wù)的同時(shí)展現(xiàn)附于其上的角色集。另外，為了實(shí)際操作方便，在元模型中還對(duì)人工任務(wù)進(jìn)行了分組，以便簡(jiǎn)易快速地表示一群擁有相同權(quán)限的任務(wù)。在BPMN元模型[16]的基礎(chǔ)上，為其增加安全約束來(lái)表達(dá)前文的形式化描述。擴(kuò)展的BPMN元模型如圖3所示。

圖3 擴(kuò)展的BPMN元模型

一個(gè)活動(dòng)從通常意義上來(lái)說(shuō)就是一次特定的任務(wù)，只是在這些任務(wù)中有一個(gè)特殊的屬于用于標(biāo)識(shí)該任務(wù)是否為人工任務(wù)，通常人工任務(wù)都是阻塞型的，即流程一旦執(zhí)行到該步驟將會(huì)被掛起直到明確地被推進(jìn)。

任務(wù)的分組在本質(zhì)上并不影響流程的正常運(yùn)行，組僅僅是用來(lái)簡(jiǎn)化為一系列任務(wù)定義和描述安全約束的目的。組可被用于部件、泳道和各種任務(wù)。把多個(gè)任務(wù)實(shí)例或循環(huán)的任務(wù)作為一個(gè)組后，即可把它當(dāng)作一個(gè)任務(wù)來(lái)對(duì)待，以此來(lái)簡(jiǎn)化設(shè)計(jì)和展現(xiàn)形式。

3 實(shí)例及安全性分析

在企業(yè)信息系統(tǒng)中，合同的簽訂是一個(gè)重要且典型的工作流應(yīng)用場(chǎng)景，該實(shí)例來(lái)自某電力企業(yè)內(nèi)部信息系統(tǒng)中的合同簽訂流程(見(jiàn)圖4)，涉及3個(gè)角色：合同談判人、項(xiàng)目管理辦公室和分管領(lǐng)導(dǎo)。

系統(tǒng)的安全策略為：

(1)合同談判人只能對(duì)合同進(jìn)行擬稿和提交工作，且只能看到自己提交的合同；

(2)項(xiàng)目管理辦公室可對(duì)提交的合同初稿進(jìn)行審核，主要是對(duì)單價(jià)、數(shù)量和總金額的審核；

圖4 合同簽訂流程

(3)分管領(lǐng)導(dǎo)只能看到自己分管的部門(mén)下屬員工提交的合同，并且這些合同必須經(jīng)過(guò)項(xiàng)目管理辦公室的審核，分管領(lǐng)導(dǎo)可以進(jìn)行審批以使合同生效。

上述流程用文中的安全約束模型描述如下：

R={合同談判人,項(xiàng)目管理辦公室,分管領(lǐng)導(dǎo)，出納}

RES={合同，合同附件，票據(jù)}

OP={新增，讀取，刪除，修改，審核，簽訂}

P={(新增,合同)，(讀取，合同)，(刪除，合同)，(修改，合同)，(審核，合同)(簽訂，合同)，(新增，附件)，(讀取，附件)，(修改，附件)，(簽訂，附件)，(新增，票據(jù))，(讀取，票據(jù))，(刪除，票據(jù))，(修改，票據(jù))，(審核，票據(jù))}

假設(shè)u1=張三，UR(u1)={項(xiàng)目管理辦公室，出納}，則：

UAP(審核)={(讀取，合同)，(審核，合同)，(讀取，票據(jù))，(刪除，票據(jù))，(修改，票據(jù))，(審核，票據(jù))}

UTP(審核)={(讀取，合同)，(審核，合同)}

通過(guò)UAP可以發(fā)現(xiàn)，RBAC模型能很好地為用戶關(guān)聯(lián)到具體權(quán)限，但由于RBAC模型未對(duì)用戶同時(shí)扮演的角色數(shù)量作限制，所以若直接在工作流中使用RBAC則會(huì)造成權(quán)限超過(guò)流程所要求的權(quán)限，違反了最小特權(quán)原則。但是，通過(guò)前文所述的任務(wù)與角色的關(guān)聯(lián)，并加上UTP限制，可以減小用戶在流程運(yùn)行中所需要的權(quán)限，從而有效地進(jìn)行安全約束。

4 結(jié)束語(yǔ)

工作流的安全約束模型是當(dāng)前WFMS研究的一個(gè)重要課題，如何在安全性和可操作性間取得平衡是一個(gè)難點(diǎn)。在分析了面向信息系統(tǒng)的傳統(tǒng)RBAC模型，面向工作流的TBAC模型和二者的改進(jìn)TRAC模型的基礎(chǔ)上，提出了一種更為簡(jiǎn)便的RBAC應(yīng)用模型，使得信息系統(tǒng)中的RBAC與工作流的安全約束達(dá)到了統(tǒng)一。然而，在元模型的擴(kuò)展上，目前使用的是注釋的子類(lèi)形式，缺乏有效的驗(yàn)證機(jī)制，期望在BPMN 2.0中加以改進(jìn)。

[1] RUSSELL N,VAN DER AALST W M P,TER HOFSTEDE A H M,et al.Workflow resource patterns:identification,representation and tool support[C]//Proceedings of the 17th international conference on advanced information systems engineering.Berlin:Springer-Verlag,2005:216-232.

[2] LI S,KITTEL A,JIA D,et al.Security considerations for workflow systems[C]//Network operations and management symposium.[s.l.]:IEEE,2000:655-668.

[3] 張 亮，姚淑珍.一種新的基于Petri網(wǎng)的分層工作流過(guò)程模型[J].計(jì)算機(jī)集成制造系統(tǒng)，2006,12(9)：1367-1373.

[4] 沈 滿，趙嵩正，劉 婧.依據(jù)角色權(quán)限的審批工作流模型構(gòu)建[J].計(jì)算機(jī)工程與應(yīng)用，2015,51(4):235-239.

[5] SANDHU R S,COYNE E J,FEINSTEIN H L,et al.Role-based access control models[J].Computer,1998,29(2):38-47.

[6] FERRAIOLO D F, SANDHU R, GAVRILA S, et al. Proposed NIST standard for role-based access control[J].ACM Transactions on Information and System Security,2001,4(3):224-274.

[7] 徐 宏,邰偉鵬.面向工作流的RBAC模型研究[J].計(jì)算機(jī)工程與設(shè)計(jì),2012,33(4):1295-1299.

[8] THOMAS R K, SANDHU R S. Proceedings of the IFIP TC11 WG11.3[C]//Eleventh international conference on database security XI:status and prospects.[s.l.]:[s.n.],1998:166-181.

[9] 楊勇虎,劉振宇.工作流中TBAC權(quán)限控制模型的擴(kuò)展與UML描述[J].計(jì)算機(jī)系統(tǒng)應(yīng)用,2008,17(8):34-37.

[10] 邢光林,洪 帆.基于角色和任務(wù)的工作流訪問(wèn)控制模型[J].計(jì)算機(jī)工程與應(yīng)用,2005,41(2):210-213.

[11] 周 煒.具有時(shí)空約束的TRBAC模型在OA中的應(yīng)用[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2014(8):116-117.

[12] 孫軍紅,李 娟.一種基于任務(wù)和角色的工作流訪問(wèn)控制模型[J].計(jì)算機(jī)工程與應(yīng)用,2008,44(30):21-23.

[13] AHN G,SANDHU R.Role-based authorization constraints specification[J].ACM Transactions on Information and System Security,2000,3(4):207-226.

[15] ACHIM D B,GERO L,ISABELLE H,et al.SecureBPMN:modeling and enforcing access control requirements in business processes[C]//Proceedings of the 17th ACM on access control models and technologies.New York,NY,USA:ACM,2012:123-126.

[16] KALNINS A，VITOLINS V.Use of UML and model transformations for workflow process definitions[C]//Baltic DB & IS.[s.l.]:[s.n.],2006:3-15.