基于角色的遷移工作流訪問控制模型研究.pdf

1、依照國際工作流聯(lián)盟(Workflow Management Collation，WfMC)的定義，工作流是業(yè)務過程的全部或部分自動化，在此過程中，文檔、信息或者任務按照一系列過程規(guī)則在參與者(用戶和計算機程序)之間流轉(zhuǎn)，以期通過組織成員間的協(xié)調(diào)實現(xiàn)業(yè)務過程的整體目標。工作流技術(shù)已被廣泛應用于那些需要流程化管理的業(yè)務領域，例如協(xié)同產(chǎn)品制造、協(xié)同產(chǎn)品商務、協(xié)同辦公等。
　　 遷移工作流是將移動agent計算模式應用于工作流管理的一項

2、新技術(shù)。按照曾廣周教授提出的遷移工作流模型，遷移實例、工作位置和遷移工作流管理引擎構(gòu)成遷移工作流管理系統(tǒng)的三要素，其中，遷移實例是任務執(zhí)行主體，它接受業(yè)務過程管理者的委托，在工作位置之間移動，并按照自身攜帶的工作流說明，就地利用服務和資源執(zhí)行一項或多項任務，多個遷移實例可以協(xié)作地完成一個業(yè)務過程；工作位置是工作流聯(lián)盟成員(組織、機構(gòu)或個人)的服務代理，它為授權(quán)的遷移實例提供運行時服務和工作流服務；與傳統(tǒng)的集中式工作流服務引擎不同，遷移工

3、作流管理引擎僅用于定義業(yè)務過程，創(chuàng)建、派遣和監(jiān)控遷移實例，以支持移動計算中的非中心化特征。
　　 如同其他的工作流管理系統(tǒng)安全研究一樣，因為遷移實例是工作位置的用戶，所以，建立工作位置上的遷移實例訪問控制模型，是構(gòu)建遷移工作流管理系統(tǒng)所要解決的一個關(guān)鍵問題。在基于WfMC規(guī)范的工作流管理系統(tǒng)中，因為業(yè)務流程、計算資源及其參與者都是已知的，所以，工作流設計者可以事先制定全局性的訪問控制策略和訪問控制機制，然后交由工作流服務引擎管理

4、和執(zhí)行。而遷移工作流是一種非中心化、松耦合的業(yè)務過程管理系統(tǒng)，遷移實例和工作位置都是獨立的自治實體，因此，工作位置必須依據(jù)本地服務規(guī)則和安全策略自行建立訪問控制模型，包括遷移實例身份認證和遷移實例鑒權(quán)兩個階段。本課題的先期研究已把Passport/Visa(P/V)模式引入到遷移實例的訪問控制中，基本思想是創(chuàng)建者為遷移實例簽發(fā)身份證書(Passport)，工作位置為遷移實例簽發(fā)入境簽證(Visa)，Visa內(nèi)容包括登陸許可、訪問授權(quán)和有

5、效期等。
　　 本文在國家自然科學基金項目的資助下，以曾廣周教授提出的遷移工作流模型為基礎，針對P/V模式應用，重點研究了基于遷移實例信度、能力、任務和工作位置聯(lián)盟的RBAC(基于角色的訪問控制)模型擴展問題。RBAC模型是目前廣泛采用的一種訪問控制模型，其基本思想是根據(jù)訪問主體扮演的角色，給予訪問主體可控的授權(quán)。本文的主要工作包括：
　　 1.基于遷移實例信度約束的RBAC模型研究。
　　 現(xiàn)有的RBAC模型研

6、究，大多集中在基于資源類型和訪問時序的授權(quán)約束上，極少考慮主體行為對于角色指派的影響。本文把信度概念引入到遷移實例的訪問控制中，研究了一類基于遷移實例信度約束的B-RBAC模型，其中，信度用于度量遷移實例訪問行為的可信性，例如是否存在越權(quán)訪問或其他惡意等。信度值低于閾值的遷移實例將進入黑名單，對于黑名單中的遷移實例，B-RBAC模型將引導工作位置拒簽Visa。對于信度值偏低的遷移實例，B-RBAC模型將觸發(fā)工作位置上的強監(jiān)控機制。本文第

7、2章討論基于遷移實例信度約束的B-RBAC模型，定義遷移實例信度及基于信度約束的授權(quán)規(guī)則，并給出基于信度約束的遷移實例訪問控制算法。
　　 2.基于遷移實例能力約束的RBAC模型研究。
　　 為了提高工作流效率，在大多數(shù)情況下，業(yè)務過程需要多個遷移實例協(xié)同執(zhí)行。因為每個遷移實例都依照自己分擔的任務和路徑規(guī)劃，處在不斷的移動中，所以，多個遷移實例登陸同一個工作位置并引起資源訪問沖突是難免的。本文研究了一類基于遷移實例能力約

8、束的A-RBAC模型。當有多個遷移實例申請登陸同一工作位置并可能引發(fā)訪問沖突時，A-RBAC模型將根據(jù)各遷移實例的能力，給予不同優(yōu)先級別的角色指派，并根據(jù)優(yōu)先級驅(qū)動遷移實例排隊。本文第3章討論A RBAC模型，定義遷移實例的能力及基于能力約束的授權(quán)規(guī)則，并給出基于能力約束的遷移實例訪問控制算法。
　　 3.基于遷移實例任務約束的RBAC模型研究。
　　 在遷移工作流模型中，業(yè)務過程定義者和工作流服務提供者都是獨立的社會實

9、體。因此，對于一個非中心化的遷移工作流管理系統(tǒng)來說，遷移實例請求的授權(quán)粒度(任務粒度)和工作位置上提供的授權(quán)粒度(服務粒度)很難保持一致。本文研究了一類基于遷移實例任務約束的T-RBAC模型。對于遷移實例的大粒度任務請求，T-RBAC模型可以驅(qū)動工作位置上的任務分解機制，并根據(jù)子任務需求進行細粒度的角色指派和組合授權(quán)。在細粒度角色指派過程中，如果發(fā)現(xiàn)遷移實例位于某個角色的黑名單中，工作位置將拒簽Visa。當多個遷移實例可能引發(fā)訪問沖突時

10、，T-RBAC模型將先評估遷移實例的綜合能力，再為其分配服務優(yōu)先級。本文第4章討論T-RBAC模型，定義角色能力及基于能力約束的授權(quán)規(guī)則，并給出任務分解和基于組合授權(quán)的遷移實例訪問控制算法。
　　 4.基于工作位置聯(lián)盟的RBAC模型研究。
　　 在開放的遷移工作流運行環(huán)境中，對于業(yè)務過程中的同一個任務，往往會存在多個可以提供服務的工作位置，例如銀行支付、旅游預訂、商店購物等。如果這些工作位置之間互信，則可以通過冗余服務機

11、制提高遷移實例工作的可靠性。本文研究了一類基于工作位置聯(lián)盟的C-RBAC模型，假定所有盟員互信，因而可以角色指派共享。當遷移實例因原定的目的位置不可達或本地服務故障而被迫轉(zhuǎn)移到一個新盟員位置時，C-RBAC模型將根據(jù)遷移實例Visa中的角色指派狀態(tài)判斷它是否在本聯(lián)盟中獲得過相同服務。若是，則新盟員可以直接為其提供服務，否則再根據(jù)本地規(guī)則進行訪問授權(quán)。本文第5章討論C-RBAC模型，定義工作位置聯(lián)盟及其授權(quán)規(guī)則，并給出基于角色指派共享的遷

12、移實例訪問控制算法。
　　 本文的創(chuàng)新點主要體現(xiàn)在：
　　 1、針對遷移實例的行為監(jiān)控問題，建立了一種基于遷移實例信度約束的B-RBAC模型。
　　 較之RBAC96模型及其相關(guān)的研究，B-RBAC模型擴展了遷移實例信度在角色指派中的約束功能，該約束有利于防止對不良遷移實例的角色指派，提高安全控制水平。
　　 2、針對多遷移實例在同一工作位置上可能引發(fā)的訪問沖突問題，建立了一種基于遷移實例能力約束的A-R

13、BAC模型。
　　 較之RBAC96模型及其相關(guān)的研究，A-RBAC模型擴展了遷移實例能力在角色指派中的約束功能，該約束通過訪問優(yōu)先級分配，可以消解多遷移實例之間的訪問沖突。
　　 3、針對遷移工作流運行環(huán)境中客觀存在的服務冗余問題，建立了一種基于互信位置聯(lián)盟的C-RBAC模型。
　　 較之RBAC96模型及其相關(guān)的研究，C-RBAC模型擴展了冗余服務和授權(quán)共享在角色指派中的約束作用，授權(quán)共享可以簡化聯(lián)盟內(nèi)部的角

14、色指派過程，冗余服務利用有利于提高遷移實例的工作可靠性。
　　 鑒于遷移工作流是一個發(fā)展中的研究領域，無論訪問控制理論研究還是應用研究都還不夠成熟，本文進一步的工作主要包括：
　　 1、遷移實例群簽名及其認證方法。訪問控制包括身份認證和授權(quán)鑒別兩個階段，本文除假定創(chuàng)建者為遷移實例Passport簽名外，沒有詳細討論Passport認證問題。對于一個相對穩(wěn)定的業(yè)務協(xié)作聯(lián)盟來說，盟員群簽名更有利于提高遷移實例身份認證的安全水

15、平。因此，本課題將進一步研究遷移實例群簽名及其認證方法。
　　 2、小粒度任務約束研究。T-RBAC模型的前提是假設遷移實例請求的任務粒度大于工作位置上的最小許可權(quán)服務粒度，因而以任務分解和授權(quán)組合為基礎。在實際應用中，也可能出現(xiàn)遷移實例請求的任務粒度比工作位置上的任何一個服務粒度都要小的情況。因此，擴展T-RBAC模型以適應小粒度任務約束，是本課題進一步的工作。
　　 3、遷移實例群授權(quán)及其鑒權(quán)方法。本文建立的C-RB