1 概述

    工作流環境的隨機性、時變性、外界干擾的不確定性以及系統運行中的動態職責難以分離與綁定等常導致工作流管理混亂，因此，管理系統的安全可靠性相對而言不太高。盡管基于角色的訪問控制(Role based Access Control，RBAC)模型提供了高效便捷的安全授權方式和授權維護模型，但是從系統層次分析，其實現方法還存在諸多不安全因素，許多文獻對此從不同角度作了探討。基于角色的訪問模式已被廣泛應用于各行業的各類工作流管理系統，為了增強和提高訪問的安全性，創建更加可靠的工作流安全訪問模式，本文提出一種基于動態控制機制的工作流安全訪問模型。

2 傳統RBAC模型存在的安全隱患

    傳統RBAC模型的基本組成元素為角色、用戶、會話、權限和約束，各元素之間的關系如圖1所示。

圖1 RBAC模型

    RBAC的核心思想是通過角色對用戶進行授權控制。角色依據組織中的各種工作職能創建，其中，權限和角色相關聯，用戶根據職位和資格被分配適當的角色，從而獲得相應的權限。在傳統RBAC模型中，系統根據用戶的角色進行訪問授權與控制，通過角色的中介作用實現用戶與訪問權限的邏輯分離，因此，用戶可以非常容易地從一種角色轉換到另一種角色，同時，從某個角色回收權限或者根據新的需求賦予某個角色新的權限也是非常方便的。

    傳統的RBAC模型擁有靈活高效的授權機制，但存在如下3個方面的安全隱患：

    (1)基于角色的訪問控制是靜態的，事實上，訪問控制研究正朝著復雜化、多層次方向發展，即基于角色的訪問控制應該是動態的，因此，在應用方面有其局限性。

    (2)在大型聯合企業群中，組織和功能變化是經常發生的，一旦有變動，必須進行角色的重新分配，大量的組織管理工作調整所需的成本是十分昂貴的。

    (3)隨著IT技術的迅猛發展，信息系統功能越來越強，結構變得更加復雜，傳統的RBAC模型很難適應新形勢的發展變化。如：過去只需要“前臺顯示+后臺信息管理”模式，現在則更多地需要動態控制顯示的欄目、區分瀏覽者的類別、針對不同用戶提供不同的用戶界面等。

3 基于動態控制機制的訪問模型

    3.1 動態安全訪問模型結構

    在訪問過程中，工作流系統是以多個基本的工作活動按照某種固定程序組織起來的，一般可將其分解為目標、角色、規則和過程4個元素的集合，通過合理調配和精確監控各個元素之間的關系來提高企業管理水中和工作效率。針對工作流系統中動態職責分離、互惠職責分離、案例約束、動態職責綁定等階段存在的安全性隱患，本文通過對傳統RBAC模型的相關環節進行改進，建立基于動態控制機制的工作流安全訪問模型。基于RBAC元模型的動態安全訪問模型在傳統RBAC模型中引入目標案例(Target Case，TC)、用戶管理(User Management，UM)與目標(Target，T)元素，其結構如圖2所示。圖2的模型通過各個實體之間的相互關系來進行實例化約束，同時借助會話來實現動態約束。TC是指工作流系統中業務流程的實例；T則是具體業務流程實現的目標實體，如定義一個用戶在特定的工作流業務流程中只執行一個特定的目標，可用三元關系doer(u，c，t)，u∈U，t∈T，c∈TC表達。

圖2 動態安全訪問模型

    3.2 動態安全訪問模型的組成元素

    動態安全訪問模型主要的組成元素如下：

    (1)用戶(User)，指工作流系統中被賦予一定角色集合且具有相應權限從事一項工作的人員或者資源主體，可以是人、進程等，一般指人，工作流環境下的所有用戶構成用戶集U。

    (2)角色(Role)，指工作流系統中的工作或所處職位，它代表了具有一種資格、權利和責任的集合體。由多個角色構成的角色集合記為R。

    (3)權限(Permission)，指對工作流系統數據或與該數據相關的其他數據資源進行操作或訪問的許可。權限表示對工作流系統中的客體進行某種特定的訪問操作，其相應的操作模式與具體應用有關。

    (4)用戶管理，指對組織內部人員結構的定義。

    (5)角色關系管理(Role Relation Management)，指對角色之間的各種層次關系進行定義，如管理角色之間的繼承關系就是通過權限劃分來實現的，角色1和角色2是繼承關系就表示角色1擁有角色2的全部權限。

    (6)會話(Session)，指用戶激活某種角色的過程。角色必須通過會話才能被激活，用戶可通過多次會話激活不同的角色，同時用戶也擁有被激活角色所具有的各種權限。

    (7)權限關系管理(Permission Management)，指對權限之間的暗含、持有和繼承關系的分配和收回操作。

    上述定義表明動態安全訪問模型是一個完整的模型。

    3.3 動態安全訪問模型的運行策略

    動態安全訪問模型的運行是由基本約束關系與動態約束條件予以保證的。

    (1)基本約束關系

    基本約束關系可借助基于謂詞邏輯的形式化語言進行描述。如對于圖2的模型，按照基本約束關系描述，可借助形式化語言表達為：

    (2)動態約束條件

    依據當前目標案例的先前活動順序，工作流環境下的動態約束條件用于動態地描繪約束執行情況，分別動態地授予角色和用戶的訪問權限，其中包括動態權責的分離與動態權責的捆綁、案例間依賴的約束以及互惠職責分離等。

    1)動態權責分離

    系統中某項目標的完成，其主體執行時不能相互矛盾，必須實施互斥規則。就像在一場競技比賽中絕對不容許某個人既是運動員又是裁判員一樣，運動員與裁判員兩者的關系必須是相互排斥的。在管理系統中如果忽視動態職責分離有可能導致不良后果，如在勘察協同設計業務中，不允許在同一協同工作流程中實施項目審查的人員和提交協同設計方案的人員是相同的人，借助謂詞邏輯形式化語言可描述為：

    2)動態職責捆綁

    動態職責捆綁與動態權責分離相反，有時主體為執行某個目標，相容規則的捆綁是必要的，為了簡化繁雜的管理程序以提高辦事效率，常常希望在某一個協同設計流程中，實施審查項目協同任務的審查人和實現協同設計的直接審批人是相同的人，用謂詞邏輯形式化語言可描述為：

    3)案例間依賴的約束

    在執行任務中，各個任務之間如存在依賴關系，為了簡化操作，則對其參考案例進行一定的約束。

    4)互惠職責分離

    鑒于利益關系，用戶間的業務要杜絕跨越多個案例操作，避免相互耦合帶來的不良影響，也就是相互之間的操作要互惠互利，面不是相互影響。

4 框架模型及其應用

    動態安全訪問模型已經成功應用到工程勘察設計企業網絡化協同設計項目中，并從系統授權許可角度提出了基于工作流管理系統框架的協同設計集成模型。在工程勘察設計企業各部門和工作環節之間構建了一個安全訪問集成框架，提供可靠的授權許可服務，使協同設計工作流管理系統局部的改動不致影響系統的安全性，并且能方便地與工作流管理系統實現無縫集成，其體系結構如圖3所示。

圖3 動態安全訪問模型應用集成框架

    該集成框架基于C/S體系結構與SOA理念，采用J2EE的技術路線和多層模式的框架設計，框架集成中，訪問控制系統根據RBAC數據庫中的信息為用戶分配角色。用戶向業務應用發送請求時，RBAC訪問控制模塊根據角色、權限關系、特征類別以及特征實例，對協同用戶請求即時做出響應。

5 結束語

    隨著網絡規模逐步擴大、用戶數量急劇增加、協同層次日益復雜，傳統的安全訪問模型已經不適用于當今的工作流系統。因此，本文提出一種基于動態控制機制的工作流安全訪問模型。該模型可輕松實現對動態權責的分離與捆綁，加強各案例間的約束管理以及互惠職責分離，并已成功應用在工程勘察設計企業網絡化協同設計項目中，與工作流引擎組件實施框架集成后，能很好地解決沒計協同資源庫的訪問控制問題，為工作流管理系統的安全運行提供良好的技術支撐。

核心關注：拓步ERP系統平臺是覆蓋了眾多的業務領域、行業應用，蘊涵了豐富的ERP管理思想，集成了ERP軟件業務管理理念，功能涉及供應鏈、成本、制造、CRM、HR等眾多業務領域的管理，全面涵蓋了企業關注ERP管理系統的核心領域，是眾多中小企業信息化建設首選的ERP管理軟件信賴品牌。

轉載請注明出處：拓步ERP資訊網http://www.guhuozai8.cn/

本文標題：基于動態控制機制的工作流安全訪問模型

本文網址：http://www.guhuozai8.cn/html/consultation/1083959522.html