基于角色的遷移工作流訪問控制模型研究.pdf

1、依照國(guó)際工作流聯(lián)盟(Workflow Management Collation，WfMC)的定義，工作流是業(yè)務(wù)過程的全部或部分自動(dòng)化，在此過程中，文檔、信息或者任務(wù)按照一系列過程規(guī)則在參與者(用戶和計(jì)算機(jī)程序)之間流轉(zhuǎn)，以期通過組織成員間的協(xié)調(diào)實(shí)現(xiàn)業(yè)務(wù)過程的整體目標(biāo)。工作流技術(shù)已被廣泛應(yīng)用于那些需要流程化管理的業(yè)務(wù)領(lǐng)域，例如協(xié)同產(chǎn)品制造、協(xié)同產(chǎn)品商務(wù)、協(xié)同辦公等。
　　 遷移工作流是將移動(dòng)agent計(jì)算模式應(yīng)用于工作流管理的一項(xiàng)

2、新技術(shù)。按照曾廣周教授提出的遷移工作流模型，遷移實(shí)例、工作位置和遷移工作流管理引擎構(gòu)成遷移工作流管理系統(tǒng)的三要素，其中，遷移實(shí)例是任務(wù)執(zhí)行主體，它接受業(yè)務(wù)過程管理者的委托，在工作位置之間移動(dòng)，并按照自身攜帶的工作流說明，就地利用服務(wù)和資源執(zhí)行一項(xiàng)或多項(xiàng)任務(wù)，多個(gè)遷移實(shí)例可以協(xié)作地完成一個(gè)業(yè)務(wù)過程；工作位置是工作流聯(lián)盟成員(組織、機(jī)構(gòu)或個(gè)人)的服務(wù)代理，它為授權(quán)的遷移實(shí)例提供運(yùn)行時(shí)服務(wù)和工作流服務(wù)；與傳統(tǒng)的集中式工作流服務(wù)引擎不同，遷移工

3、作流管理引擎僅用于定義業(yè)務(wù)過程，創(chuàng)建、派遣和監(jiān)控遷移實(shí)例，以支持移動(dòng)計(jì)算中的非中心化特征。
　　 如同其他的工作流管理系統(tǒng)安全研究一樣，因?yàn)檫w移實(shí)例是工作位置的用戶，所以，建立工作位置上的遷移實(shí)例訪問控制模型，是構(gòu)建遷移工作流管理系統(tǒng)所要解決的一個(gè)關(guān)鍵問題。在基于WfMC規(guī)范的工作流管理系統(tǒng)中，因?yàn)闃I(yè)務(wù)流程、計(jì)算資源及其參與者都是已知的，所以，工作流設(shè)計(jì)者可以事先制定全局性的訪問控制策略和訪問控制機(jī)制，然后交由工作流服務(wù)引擎管理

4、和執(zhí)行。而遷移工作流是一種非中心化、松耦合的業(yè)務(wù)過程管理系統(tǒng)，遷移實(shí)例和工作位置都是獨(dú)立的自治實(shí)體，因此，工作位置必須依據(jù)本地服務(wù)規(guī)則和安全策略自行建立訪問控制模型，包括遷移實(shí)例身份認(rèn)證和遷移實(shí)例鑒權(quán)兩個(gè)階段。本課題的先期研究已把Passport/Visa(P/V)模式引入到遷移實(shí)例的訪問控制中，基本思想是創(chuàng)建者為遷移實(shí)例簽發(fā)身份證書(Passport)，工作位置為遷移實(shí)例簽發(fā)入境簽證(Visa)，Visa內(nèi)容包括登陸許可、訪問授權(quán)和有

5、效期等。
　　 本文在國(guó)家自然科學(xué)基金項(xiàng)目的資助下，以曾廣周教授提出的遷移工作流模型為基礎(chǔ)，針對(duì)P/V模式應(yīng)用，重點(diǎn)研究了基于遷移實(shí)例信度、能力、任務(wù)和工作位置聯(lián)盟的RBAC(基于角色的訪問控制)模型擴(kuò)展問題。RBAC模型是目前廣泛采用的一種訪問控制模型，其基本思想是根據(jù)訪問主體扮演的角色，給予訪問主體可控的授權(quán)。本文的主要工作包括：
　　 1.基于遷移實(shí)例信度約束的RBAC模型研究。
　　 現(xiàn)有的RBAC模型研

6、究，大多集中在基于資源類型和訪問時(shí)序的授權(quán)約束上，極少考慮主體行為對(duì)于角色指派的影響。本文把信度概念引入到遷移實(shí)例的訪問控制中，研究了一類基于遷移實(shí)例信度約束的B-RBAC模型，其中，信度用于度量遷移實(shí)例訪問行為的可信性，例如是否存在越權(quán)訪問或其他惡意等。信度值低于閾值的遷移實(shí)例將進(jìn)入黑名單，對(duì)于黑名單中的遷移實(shí)例，B-RBAC模型將引導(dǎo)工作位置拒簽Visa。對(duì)于信度值偏低的遷移實(shí)例，B-RBAC模型將觸發(fā)工作位置上的強(qiáng)監(jiān)控機(jī)制。本文第

7、2章討論基于遷移實(shí)例信度約束的B-RBAC模型，定義遷移實(shí)例信度及基于信度約束的授權(quán)規(guī)則，并給出基于信度約束的遷移實(shí)例訪問控制算法。
　　 2.基于遷移實(shí)例能力約束的RBAC模型研究。
　　 為了提高工作流效率，在大多數(shù)情況下，業(yè)務(wù)過程需要多個(gè)遷移實(shí)例協(xié)同執(zhí)行。因?yàn)槊總€(gè)遷移實(shí)例都依照自己分擔(dān)的任務(wù)和路徑規(guī)劃，處在不斷的移動(dòng)中，所以，多個(gè)遷移實(shí)例登陸同一個(gè)工作位置并引起資源訪問沖突是難免的。本文研究了一類基于遷移實(shí)例能力約

8、束的A-RBAC模型。當(dāng)有多個(gè)遷移實(shí)例申請(qǐng)登陸同一工作位置并可能引發(fā)訪問沖突時(shí)，A-RBAC模型將根據(jù)各遷移實(shí)例的能力，給予不同優(yōu)先級(jí)別的角色指派，并根據(jù)優(yōu)先級(jí)驅(qū)動(dòng)遷移實(shí)例排隊(duì)。本文第3章討論A RBAC模型，定義遷移實(shí)例的能力及基于能力約束的授權(quán)規(guī)則，并給出基于能力約束的遷移實(shí)例訪問控制算法。
　　 3.基于遷移實(shí)例任務(wù)約束的RBAC模型研究。
　　 在遷移工作流模型中，業(yè)務(wù)過程定義者和工作流服務(wù)提供者都是獨(dú)立的社會(huì)實(shí)

9、體。因此，對(duì)于一個(gè)非中心化的遷移工作流管理系統(tǒng)來說，遷移實(shí)例請(qǐng)求的授權(quán)粒度(任務(wù)粒度)和工作位置上提供的授權(quán)粒度(服務(wù)粒度)很難保持一致。本文研究了一類基于遷移實(shí)例任務(wù)約束的T-RBAC模型。對(duì)于遷移實(shí)例的大粒度任務(wù)請(qǐng)求，T-RBAC模型可以驅(qū)動(dòng)工作位置上的任務(wù)分解機(jī)制，并根據(jù)子任務(wù)需求進(jìn)行細(xì)粒度的角色指派和組合授權(quán)。在細(xì)粒度角色指派過程中，如果發(fā)現(xiàn)遷移實(shí)例位于某個(gè)角色的黑名單中，工作位置將拒簽Visa。當(dāng)多個(gè)遷移實(shí)例可能引發(fā)訪問沖突時(shí)

10、，T-RBAC模型將先評(píng)估遷移實(shí)例的綜合能力，再為其分配服務(wù)優(yōu)先級(jí)。本文第4章討論T-RBAC模型，定義角色能力及基于能力約束的授權(quán)規(guī)則，并給出任務(wù)分解和基于組合授權(quán)的遷移實(shí)例訪問控制算法。
　　 4.基于工作位置聯(lián)盟的RBAC模型研究。
　　 在開放的遷移工作流運(yùn)行環(huán)境中，對(duì)于業(yè)務(wù)過程中的同一個(gè)任務(wù)，往往會(huì)存在多個(gè)可以提供服務(wù)的工作位置，例如銀行支付、旅游預(yù)訂、商店購(gòu)物等。如果這些工作位置之間互信，則可以通過冗余服務(wù)機(jī)

11、制提高遷移實(shí)例工作的可靠性。本文研究了一類基于工作位置聯(lián)盟的C-RBAC模型，假定所有盟員互信，因而可以角色指派共享。當(dāng)遷移實(shí)例因原定的目的位置不可達(dá)或本地服務(wù)故障而被迫轉(zhuǎn)移到一個(gè)新盟員位置時(shí)，C-RBAC模型將根據(jù)遷移實(shí)例Visa中的角色指派狀態(tài)判斷它是否在本聯(lián)盟中獲得過相同服務(wù)。若是，則新盟員可以直接為其提供服務(wù)，否則再根據(jù)本地規(guī)則進(jìn)行訪問授權(quán)。本文第5章討論C-RBAC模型，定義工作位置聯(lián)盟及其授權(quán)規(guī)則，并給出基于角色指派共享的遷

12、移實(shí)例訪問控制算法。
　　 本文的創(chuàng)新點(diǎn)主要體現(xiàn)在：
　　 1、針對(duì)遷移實(shí)例的行為監(jiān)控問題，建立了一種基于遷移實(shí)例信度約束的B-RBAC模型。
　　 較之RBAC96模型及其相關(guān)的研究，B-RBAC模型擴(kuò)展了遷移實(shí)例信度在角色指派中的約束功能，該約束有利于防止對(duì)不良遷移實(shí)例的角色指派，提高安全控制水平。
　　 2、針對(duì)多遷移實(shí)例在同一工作位置上可能引發(fā)的訪問沖突問題，建立了一種基于遷移實(shí)例能力約束的A-R

13、BAC模型。
　　 較之RBAC96模型及其相關(guān)的研究，A-RBAC模型擴(kuò)展了遷移實(shí)例能力在角色指派中的約束功能，該約束通過訪問優(yōu)先級(jí)分配，可以消解多遷移實(shí)例之間的訪問沖突。
　　 3、針對(duì)遷移工作流運(yùn)行環(huán)境中客觀存在的服務(wù)冗余問題，建立了一種基于互信位置聯(lián)盟的C-RBAC模型。
　　 較之RBAC96模型及其相關(guān)的研究，C-RBAC模型擴(kuò)展了冗余服務(wù)和授權(quán)共享在角色指派中的約束作用，授權(quán)共享可以簡(jiǎn)化聯(lián)盟內(nèi)部的角

14、色指派過程，冗余服務(wù)利用有利于提高遷移實(shí)例的工作可靠性。
　　 鑒于遷移工作流是一個(gè)發(fā)展中的研究領(lǐng)域，無論訪問控制理論研究還是應(yīng)用研究都還不夠成熟，本文進(jìn)一步的工作主要包括：
　　 1、遷移實(shí)例群簽名及其認(rèn)證方法。訪問控制包括身份認(rèn)證和授權(quán)鑒別兩個(gè)階段，本文除假定創(chuàng)建者為遷移實(shí)例Passport簽名外，沒有詳細(xì)討論P(yáng)assport認(rèn)證問題。對(duì)于一個(gè)相對(duì)穩(wěn)定的業(yè)務(wù)協(xié)作聯(lián)盟來說，盟員群簽名更有利于提高遷移實(shí)例身份認(rèn)證的安全水

15、平。因此，本課題將進(jìn)一步研究遷移實(shí)例群簽名及其認(rèn)證方法。
　　 2、小粒度任務(wù)約束研究。T-RBAC模型的前提是假設(shè)遷移實(shí)例請(qǐng)求的任務(wù)粒度大于工作位置上的最小許可權(quán)服務(wù)粒度，因而以任務(wù)分解和授權(quán)組合為基礎(chǔ)。在實(shí)際應(yīng)用中，也可能出現(xiàn)遷移實(shí)例請(qǐng)求的任務(wù)粒度比工作位置上的任何一個(gè)服務(wù)粒度都要小的情況。因此，擴(kuò)展T-RBAC模型以適應(yīng)小粒度任務(wù)約束，是本課題進(jìn)一步的工作。
　　 3、遷移實(shí)例群授權(quán)及其鑒權(quán)方法。本文建立的C-RB