基于RBAC的工作流存取控制管理
摘要
商业竞争日益激烈的今天,企业纷纷采用了工作流技术来提高自己的生产和服务效率,然而工作流系统中不同的业务流程之间资源的共享必然会引起一系列安全问题,安全策略在工作流系统中集中表现为存取控制策略。但传统的访问控制模型很难满足复杂的企业工作系统的环境需要。
基于工作流系统中的特殊安全需求,本文简要的介绍了工作流系统访问控制要求及传统访问控制模型现状,并指出工作流系统中存取控制管理的不足之处,继而给出了一种改进后的基于角色的工作流系统存取控制模型,即XPDLRBAC。XPDLRBAC在RBAC模型的基础上,将授权方式分为静态授权和动态授权,使其能够满足工作流系统中的静态控制和基于任务进行分配的动态存取控制要求,确保系统满足权限控制的最小特权原则。
XPDLRBAC模型是支持大规模网络协作式内容创作中子模块,因此如何有效的管理大量人员和角色是XPDLRBAC模型面对的一个问题。系统实现过程中,组织结构构建模块采用树型结构的实现方式,同时还创建了用户组的概念,将为了完成某一个项目或者工作流流程实例而创建的临时的组织结构里的成员称为用户组,并给用户组分配相应角色,进一步简化角色分配操作。
在权限分配模块中,XPDLRBAC模型充分考虑到静态和动态授权方式,即在对静态数据信息、资源等进行静态授权的同时,引入任务来扩充RBAC模型的动态性。工作流可以视为若干个任务的集合,任务是工作流系统中一个节点。用户获得了该任务的执行权,就获得了完成该任务所需要资源的权限,一旦任务完成,则取消授权。此外,模型中引入权限约束来描述职责分离。
该XPDLRBAC模型已经在大规模网络协作式内容创作过程项目中成功实施,很好的保证了工作流系统中的访问控制和数据完整性。
Today, the commercial competition becomes more and more fierce, and enterprises come to improve their product and service efficiency by using workflow technology. But the share of resource which is between the different business workflow in the workflow system always arouse a series of safe problems, which is described as the access and control strategy. But the traditional access control model is difficult to satisfy the environment need in complicated enterprise system.
Due to the special security requirement for working flow system, this dissertation briefly introduces the access control model against the current prevailing ones. In order to improve the inefficient performance on access control of the current working flow system, an enhanced access control model XPDLRBAC based on roles of working flow system is put forward. Standing upon RBAC, XPDLRBAC divides the privilege authorization into two categories, static authorization and dynamic authorization so as to make sure meeting the requirement of combining the features of dynamic task allocation and static access control together for working flow system as well as meeting the requirement of the lowest access privilege principle which is indispensable for this system.
XPDLRBAC module is the sub-module of project which is named of content creation which is supported massive network cooperation, so the important problem which is in front of XPDLRBAC module is how to manage massive people and role efficiently. In the realizations of project, the module of organization management module uses the tree-shape realization method, and also creates the conception of user-group, which is the muster of people who will finish a project or workflow instance together. The XPDLRBAC module also assign role to user-group, and modify the operation of role assignment.
In privilege distribution module, XPDLRBAC takes advantage of task to strengthen the dynamics feature of RBAC model by taking the features of static and dynamic privilege control into account while granting privileges to static data and resources. Here task is the element of workflow, and workflow could be considered as a set of several tasks, each of which is a node of this system. From task's point of view, if a client gets the privilege of executing a task, he gets the privilege of accessing all the resources to complete the task as well. In other word, once the task is completed, the privilege on the client is revoked. Since it is necessary to clear the duties, privilege restraints are introduced into system as the aid.
This XPDLRBAC module has been implemented successfully in the project of content creation which is supported massive network cooperation, and can assure the access control and data Integrity.
基于工作流系统中的特殊安全需求,本文简要的介绍了工作流系统访问控制要求及传统访问控制模型现状,并指出工作流系统中存取控制管理的不足之处,继而给出了一种改进后的基于角色的工作流系统存取控制模型,即XPDLRBAC。XPDLRBAC在RBAC模型的基础上,将授权方式分为静态授权和动态授权,使其能够满足工作流系统中的静态控制和基于任务进行分配的动态存取控制要求,确保系统满足权限控制的最小特权原则。
XPDLRBAC模型是支持大规模网络协作式内容创作中子模块,因此如何有效的管理大量人员和角色是XPDLRBAC模型面对的一个问题。系统实现过程中,组织结构构建模块采用树型结构的实现方式,同时还创建了用户组的概念,将为了完成某一个项目或者工作流流程实例而创建的临时的组织结构里的成员称为用户组,并给用户组分配相应角色,进一步简化角色分配操作。
在权限分配模块中,XPDLRBAC模型充分考虑到静态和动态授权方式,即在对静态数据信息、资源等进行静态授权的同时,引入任务来扩充RBAC模型的动态性。工作流可以视为若干个任务的集合,任务是工作流系统中一个节点。用户获得了该任务的执行权,就获得了完成该任务所需要资源的权限,一旦任务完成,则取消授权。此外,模型中引入权限约束来描述职责分离。
该XPDLRBAC模型已经在大规模网络协作式内容创作过程项目中成功实施,很好的保证了工作流系统中的访问控制和数据完整性。
Today, the commercial competition becomes more and more fierce, and enterprises come to improve their product and service efficiency by using workflow technology. But the share of resource which is between the different business workflow in the workflow system always arouse a series of safe problems, which is described as the access and control strategy. But the traditional access control model is difficult to satisfy the environment need in complicated enterprise system.
Due to the special security requirement for working flow system, this dissertation briefly introduces the access control model against the current prevailing ones. In order to improve the inefficient performance on access control of the current working flow system, an enhanced access control model XPDLRBAC based on roles of working flow system is put forward. Standing upon RBAC, XPDLRBAC divides the privilege authorization into two categories, static authorization and dynamic authorization so as to make sure meeting the requirement of combining the features of dynamic task allocation and static access control together for working flow system as well as meeting the requirement of the lowest access privilege principle which is indispensable for this system.
XPDLRBAC module is the sub-module of project which is named of content creation which is supported massive network cooperation, so the important problem which is in front of XPDLRBAC module is how to manage massive people and role efficiently. In the realizations of project, the module of organization management module uses the tree-shape realization method, and also creates the conception of user-group, which is the muster of people who will finish a project or workflow instance together. The XPDLRBAC module also assign role to user-group, and modify the operation of role assignment.
In privilege distribution module, XPDLRBAC takes advantage of task to strengthen the dynamics feature of RBAC model by taking the features of static and dynamic privilege control into account while granting privileges to static data and resources. Here task is the element of workflow, and workflow could be considered as a set of several tasks, each of which is a node of this system. From task's point of view, if a client gets the privilege of executing a task, he gets the privilege of accessing all the resources to complete the task as well. In other word, once the task is completed, the privilege on the client is revoked. Since it is necessary to clear the duties, privilege restraints are introduced into system as the aid.
This XPDLRBAC module has been implemented successfully in the project of content creation which is supported massive network cooperation, and can assure the access control and data Integrity.
引文
[1] Workflow Management Coalition. The workflow reference model.[WfMC1003][R]. WFMCTC00-1003,1994,http://www.wfmc.org/standards/
[2]范玉顺主编工作流管理技术基础[M]。清华大学出版社,2001
[3]史美林等,WFMS:工作流管理系统,计算机学报,1999.22.
[4]张秀娟基于角色的工作流系统存取控制模型研究华中科技大学硕士学位论文2004
[5]宋维平、曾一、涂争光、高旻、李颖B/S模式下OA系统的权限控制设计与实现计算机工程与应用2004.35
[6]刘孝保,杜平安J2EE模式下基于角色访问控制的应用计算机应用第26卷第6期
[7]付志峰、张焕国RBAC系统中职责分离的实现计算机工程第29卷第6期
[8]刘仁桂、颜文俊RBAC在ERP权限管理中的研究及应用工业控制计算机2005年18卷第10期
[9]张翼飞、刘伟杰基于RBAC的Web服务安全模型科技信息报
[10]范玉顺。工作流管理技术基础—实现企业经营过程重组与经营过程自动化的核心技术[M].北京:清华大学出版社,2001。
[11]李红臣,史美林.工作流模型及其形式化描述[J].计算机学报,2003年11月第26卷第11期.1456~1463
[12] W3C, Web Services Architecture. http://www.w3.org/TR/ws-arch/
[13] Benjamin G.Sullins, Mark B. Whipple. JMX in Action[M]. Manning Publications,2003.
[14]付松龄,谭庆平。基于任务和角色的分布式工作流安全模型。国防科技大学学报,2004,26(3),57-62
[15] Sandhu R S , Coyne E J , Feinstein H L , Youman C E. Role Based Access Control Models[J ] . In IEEE Computer , 1996 ,29 (2) :38 - 471
[16]孙丹丹.基于MVC工作流系统的监控和组织角色管理.吉林大学硕士学位论文.2004。
[17]陈新疆、薛琳基于RBAC的访问控制在信息系统中的应用临昕师范学院学报2006年12
[18]王电化,尹绍宏基于RBAC的分布式协同环境下的访问控制策略
[19]夏榆滨,宣明付基于RBAC的统一权限管理系统研究微计算机信息(管控一体化) 2006年第22卷第9-3期
[20]赵志诚,刘惊雷,孙志毅基于RBAC的用户授权管理模型的设计与实现计算机工程与设计2002年12月
[21]杨国威基于工作流-角色的RBAC模型的设计与实现哈尔滨工业大学研究生毕业论文2005年
[22]王芳基于角色的访问控制扩展模型研究与实现北京化工大学硕士研究生学位论文2006年
[23]王亮亮RBAC技术在管理系统中的研究与应用武汉理工大学硕士学位论文2008年5月
[24]周晓俊,曹健,张申生基于服务的Ageni与工作流集成技术研究计算机集成制造系统-CIMS 2004年3月第10卷第3期.281-28
[25]祝永志基于Web分布式工作流系统可扩展性的研究与实现计算机科学20O6VOI.33No,1.108~110
[26]任志宏,李京,金蓓弘基于Iniemet工作流的复合Web服务框架计算机研究与发展2003年7月第40卷第7期.1081-1087
[27]胡春华,吴敏,刘国平,徐德智一种基于业务生成图的web服务工作流构造方法软件学报.vol.l8,No.8.1870-1887
[28]王海凤,王俊义,李平如何将基于关系结构的工作流模型转换为标准XPDL模型内蒙古工业大学学报:自然科学版,2005,24(l):41-45
[29]李巍丽,王坚,戴毅茹基于IPO的工作流模型定义与XPDL解析冶金自动化2004,28(21):275-280
[30]穆福森,吴观茂基于Struts+spring+Hibemate从web应用开发框架技术电脑知识与技术:学术交流,2006,l:81-82
[31]凌敏,唐发根,林广艳基于XPDL的工作流管理系统的研究计算机与数字工程2006,34(6):94-98
[32]张柳江轻量级工作流引擎的研究与实现田中山大学2005:2-13
[33]龚晓君,林兰芬基于J2EE的工作流管理系统建模研究计算机工程与设计2006年3月第27卷第5期
[34]任文娟,王华,鞠宏伟,宋柱芹基于Struts和Hibemate框架的Web应用的设计与实现微计算机信息2006.22(9-3):184-187
[35]张晓群,董丽丽角色访问控制模型的研究及应用计算机技术与发展2007,2(17):42-45
[36]夏听ibemate开发指南电子工业出版社,2004.22-120
[37] Christoph Bussler Enterprise-wide workflow management IEEE concurrence, July-September 1999:32-43
[38]周建涛,史美林,叶新铭工作流过程建模中的形式化验证技术计算机研究与发展2005,42(1):1-9.
[39]董光宇,卿斯汉,刘克龙带时间特性的角色授权约束软件学报2002年08期
[40]叶春晓,符云清,吴中福基于角色限制条件的用户-角色指派研究计算机科学Vol.31,2004, 73-76.
[41]欧阳星明,张华哲大型网络MIS系统中基于角色的权限管理计算机工程与应用2000,4:138-140
[42]林磊,骆建彬,邓宪,宋志刚管理信息系统中基于角色的权限控制计算机应用研究,2002,6:82-84
[43]钟华,冯玉琳,姜洪安扩充角色层次关系模型极其应用软件学报,200,11(6):779-784
[44]甘早斌,陈正勇.基于J2EE开发平台的统一用户接口系统模型.计算机应用研究,2003,20(1):144-146
[45] Michael Girdley等著,刑国庆等译.J2EE应用与BEA Weblogic Server.电子工业出版社,2002.332-382
[2]范玉顺主编工作流管理技术基础[M]。清华大学出版社,2001
[3]史美林等,WFMS:工作流管理系统,计算机学报,1999.22.
[4]张秀娟基于角色的工作流系统存取控制模型研究华中科技大学硕士学位论文2004
[5]宋维平、曾一、涂争光、高旻、李颖B/S模式下OA系统的权限控制设计与实现计算机工程与应用2004.35
[6]刘孝保,杜平安J2EE模式下基于角色访问控制的应用计算机应用第26卷第6期
[7]付志峰、张焕国RBAC系统中职责分离的实现计算机工程第29卷第6期
[8]刘仁桂、颜文俊RBAC在ERP权限管理中的研究及应用工业控制计算机2005年18卷第10期
[9]张翼飞、刘伟杰基于RBAC的Web服务安全模型科技信息报
[10]范玉顺。工作流管理技术基础—实现企业经营过程重组与经营过程自动化的核心技术[M].北京:清华大学出版社,2001。
[11]李红臣,史美林.工作流模型及其形式化描述[J].计算机学报,2003年11月第26卷第11期.1456~1463
[12] W3C, Web Services Architecture. http://www.w3.org/TR/ws-arch/
[13] Benjamin G.Sullins, Mark B. Whipple. JMX in Action[M]. Manning Publications,2003.
[14]付松龄,谭庆平。基于任务和角色的分布式工作流安全模型。国防科技大学学报,2004,26(3),57-62
[15] Sandhu R S , Coyne E J , Feinstein H L , Youman C E. Role Based Access Control Models[J ] . In IEEE Computer , 1996 ,29 (2) :38 - 471
[16]孙丹丹.基于MVC工作流系统的监控和组织角色管理.吉林大学硕士学位论文.2004。
[17]陈新疆、薛琳基于RBAC的访问控制在信息系统中的应用临昕师范学院学报2006年12
[18]王电化,尹绍宏基于RBAC的分布式协同环境下的访问控制策略
[19]夏榆滨,宣明付基于RBAC的统一权限管理系统研究微计算机信息(管控一体化) 2006年第22卷第9-3期
[20]赵志诚,刘惊雷,孙志毅基于RBAC的用户授权管理模型的设计与实现计算机工程与设计2002年12月
[21]杨国威基于工作流-角色的RBAC模型的设计与实现哈尔滨工业大学研究生毕业论文2005年
[22]王芳基于角色的访问控制扩展模型研究与实现北京化工大学硕士研究生学位论文2006年
[23]王亮亮RBAC技术在管理系统中的研究与应用武汉理工大学硕士学位论文2008年5月
[24]周晓俊,曹健,张申生基于服务的Ageni与工作流集成技术研究计算机集成制造系统-CIMS 2004年3月第10卷第3期.281-28
[25]祝永志基于Web分布式工作流系统可扩展性的研究与实现计算机科学20O6VOI.33No,1.108~110
[26]任志宏,李京,金蓓弘基于Iniemet工作流的复合Web服务框架计算机研究与发展2003年7月第40卷第7期.1081-1087
[27]胡春华,吴敏,刘国平,徐德智一种基于业务生成图的web服务工作流构造方法软件学报.vol.l8,No.8.1870-1887
[28]王海凤,王俊义,李平如何将基于关系结构的工作流模型转换为标准XPDL模型内蒙古工业大学学报:自然科学版,2005,24(l):41-45
[29]李巍丽,王坚,戴毅茹基于IPO的工作流模型定义与XPDL解析冶金自动化2004,28(21):275-280
[30]穆福森,吴观茂基于Struts+spring+Hibemate从web应用开发框架技术电脑知识与技术:学术交流,2006,l:81-82
[31]凌敏,唐发根,林广艳基于XPDL的工作流管理系统的研究计算机与数字工程2006,34(6):94-98
[32]张柳江轻量级工作流引擎的研究与实现田中山大学2005:2-13
[33]龚晓君,林兰芬基于J2EE的工作流管理系统建模研究计算机工程与设计2006年3月第27卷第5期
[34]任文娟,王华,鞠宏伟,宋柱芹基于Struts和Hibemate框架的Web应用的设计与实现微计算机信息2006.22(9-3):184-187
[35]张晓群,董丽丽角色访问控制模型的研究及应用计算机技术与发展2007,2(17):42-45
[36]夏听ibemate开发指南电子工业出版社,2004.22-120
[37] Christoph Bussler Enterprise-wide workflow management IEEE concurrence, July-September 1999:32-43
[38]周建涛,史美林,叶新铭工作流过程建模中的形式化验证技术计算机研究与发展2005,42(1):1-9.
[39]董光宇,卿斯汉,刘克龙带时间特性的角色授权约束软件学报2002年08期
[40]叶春晓,符云清,吴中福基于角色限制条件的用户-角色指派研究计算机科学Vol.31,2004, 73-76.
[41]欧阳星明,张华哲大型网络MIS系统中基于角色的权限管理计算机工程与应用2000,4:138-140
[42]林磊,骆建彬,邓宪,宋志刚管理信息系统中基于角色的权限控制计算机应用研究,2002,6:82-84
[43]钟华,冯玉琳,姜洪安扩充角色层次关系模型极其应用软件学报,200,11(6):779-784
[44]甘早斌,陈正勇.基于J2EE开发平台的统一用户接口系统模型.计算机应用研究,2003,20(1):144-146
[45] Michael Girdley等著,刑国庆等译.J2EE应用与BEA Weblogic Server.电子工业出版社,2002.332-382