论文投稿_医学论文投稿_核心期刊,职称论文投稿发表_论文部落

　　摘要：为了满足产品研发工作流中权限配置与使用的要求，将属性概念贯穿到任务权限的定义、配置和使用整个过程中，为权限控制提供更加丰富的约束。给出属性的定义，分析了属性应满足的性质。提出基于属性和任务的访问控制模型，模型中将代表用户工作的进程作为执行访问的直接主体，引入包含任务和任务状态信息的任务步概念，使进程和权限相关的任务步的匹配关系成为权限使用的先决条件，将权限的使用限制在与任务相关的工作中。在模型的实施机制中引入义务概念，以支持动态的权限管理策略。工程应用表明，该模型可增强任务权限的使用控制，支持产品研发工作流的动态访问控制策略。

　　关键词：产品研发工作流；访问控制；任务步；属性

　　０、引言

　　工作流是为完成某一目标而由多个相关任务构成的业务流程，可在对人员和资源协调管理的基础上实现处理过程的自动化。在产品研发过程中引入安全有效的工作流机制能够更加便捷准确地传递数据，提高产品协同开发工作的效率。产品研发工作流往往涉及大量敏感信息，保证信息的安全性是产品研发工作流应用的基础。

　　访问控制是实现安全工作流的重要组成部分。

　　所谓访问控制，即通过某种途径显式地准许或限制用户进行访问的能力和范围，从而限制对关键资源的访问，防止合法用户的非法操作。访问控制的研究需要充分考虑应用系统的特性，不存在能够适应任何应用系统的访问控制模型。在工作流系统中，随着数据的流动，执行操作的用户在改变，用户的权限也在改变，访问决策与系统的上下文环境相关。为了贯彻安全机制的最小权限原则，工作流访问控制的重要目标是保持权限流与任务流同步。

　　目前，访问控制的研究中最受关注的模型是ＴＨＯＭＡＳ和ＳＡＮＤＨＵ提出的基于任务的访问控制（Ｔａｓｋ－ＢａｓｅｄＡｃｃｅｓｓＣｏｎｔｒｏｌ，ＴＢＡＣ）模型。

　　邓集波和洪帆给出了ＴＢＡＣ模型的形式化定义，该模型的核心思想是将权限的有效性与任务及其状态关联，具体做法是引入授权步的概念，通过授权步控制任务权限。工作过程可简单描述为：当任务开始运行时，在授权步中完成任务权限的授予或激活；当任务结束运行时，撤销或休眠执行者的任务权限，从而保持权限流与任务流同步。

　　ＴＢＡＣ模型作为工作流访问控制的基本模型得到了广泛的讨论和研究。廖旭等针对产品生命周期管理系统对工作流的访问控制需求，提出将角色和任务结合起来进行授权的访问控制模型；尹建伟等针对ＴＢＡＣ权限管理和实现机制不足的问题，在任务规则的基础上提出一种增强权限约束支持的基于任务的访问控制模型，总结了与权限相关的各种约束规则，魏永合等提出基于图的工作流访问控制模型，该模型能够直观和准确地描述工作流访问控制，设定与任务相关的图变换规则；翟治年等针对ＴＢＡＣ控制粒度较粗的问题，提出任务状态敏感的访问控制模型，充分考虑了任务在不同状态时的权限差异，在其后续的研究中将任务和角色的关联视为一种对象，作为授权的桥梁，可大幅度降低重复授权、提高授权的效率。

　　ＴＢＡＣ模型虽然能够根据任务状态及时地授予或者撤销执行任务所需的权限，但是并不能控制用户如何使用这些权限。在产品研发工作中，工作流中某些任务的执行时间较长，且工作人员往往同时担任多项任务。在这种环境中，对任务相关权限的使用有更高的要求，例如：①在零件的设计过程中，执行者应被授予修改零件ＣＡＤ文件的权限，并要求该权限只能被用于零件设计任务，而不能用于其他目的；②在初次执行零件的设计任务时，执行者拥有创建ＣＡＤ文件的权限，但是经过仿真分析发现设计问题时，零件设计任务需要重复执行，此时用户只能对原有ＣＡＤ文件进行修改，而不能再次创建文件，否则会造成数据凌乱。采用ＴＢＡＣ模型的授权步进行权限控制，只能保证用户在特定的时间段内使用权限，无法控制用户如何使用这些权限。

　　将属性概念贯穿到任务权限的定义、配置和使用的整个过程中，可以对权限控制提供更加丰富的约束，有助于解决上述问题。基于属性的访问控制（ＡｔｔｒｉｂｕｔｅＢａｓｅｄＡｃｃｅｓｓＣｏｎｔｒｏｌ，ＡＢＡＣ）将与访问控制相关的时间、空间、实体行为等信息作为主体、客体、权限和系统环境的属性来统一建模，通过定义属性之间的关系描述复杂的授权和访问控制约束，能够灵活地表达细粒度、复杂的访问授权和访问控制策略，增强访问控制系统的灵活性和可扩展性。

　　属性可以从不同的视角描述实体，从而使ＡＢＡＣ具备强大的表达能力。然而，ＡＢＡＣ尚不成熟，没有形成统一的标准，甚至没有被广泛认同的属性定义。文献在针对协同开发环境中的访问控制研究中，分别对用户和客体的属性进行了讨论，但是对访问控制中属性的分析还不够系统和全面。

　　本文针对产品研发工作流提出基于属性和任务的访问控制模型（Ａ＿ＴＢＡＣ）。对访问控制中的属性进行定义，总结属性应满足的性质，作为建立Ａ＿ＴＢＡＣ模型的基础。在访问控制模型中将进程作为执行访问的直接主体，进程代表用户完成操作，提出包含任务及其状态信息的任务步概念，使进程和权限相关任务步的匹配关系成为权限使用的先决条件，在满足权限流与数据流一致性要求的同时，将权限的使用范围限制在完成任务所需的访问中。

　　１、属性定义

　　目前，ＡＢＡＣ尚未形成明确统一的概念，因此，本文首先给出属性的定义，并分析属性应满足的性质。

　　定义１访控属性。访问控制用于为一定范围内的对象提供访问控制服务的、可标定对象某种性质的、具有指定定义域的变量，其定义域应是离散的、有限的。

　　任何对象的属性都可认为是无穷的，ＡＢＡＣ中使用的属性是能够为访问控制服务提供支持的属性，将用于访问控制的属性称为访控属性。访控属性是变量，其实际取值需要在系统运行时确定，并作为判断访问是否合法的基础。属性的定义域应是离散的，访问控制策略的制定者应该能够清楚地分辨属性取值的含义。属性定义域中包含的元素数量必须是有限的，如果定义域中包含的元素过多，则将使访问控制策略的制订工作负担过重，甚至难以完成。

　　对于某一访控属性ｃａ，其所服务的对象集为Ｏ，ｃａ的定义域为Ｄｃａ（ｖ１，ｖ２，…，ｖｎ），任一对象ｏ与访控属性ｃａ的所属关系用符号“．”表示，依据上述定义，访控属性需要满足下面两个性质：

　　（１）非空性?ｏ∈Ｏ，ｏ．ｃａ≠ＮＵＬＬ。

　　（２）唯一性?ｏ∈Ｏ，?ｖｉ，ｖｊ∈Ｄｃａ，且ｖｉ≠ｖｊ，则（ｏ．ｃａ＝ｖｉ∧ｏ．ｃａ＝ｖｊ）＝Ｆａｌｓｅ。

　　其中：ＮＵＬＬ表示空值，“∧”表示逻辑与，Ｆａｌｓｅ表示逻辑假。非空性要求系统中的对象必须处于访控属性规定的某种状态；唯一性要求系统中的对象不能同时处于某一访控属性规定的两种状态。在根据某一访控属性进行访问决策时，非空性和唯一性保证访问决策总能给出明确的判断结果，即拒绝或接受。

　　例１为了对权限的使用次数进行控制，需要为权限增加“可使用次数（ｕｎ）”这一访控属性，其定义域为Ｄｕｎ＝｛０，１，＊｝。

　　该定义域包括三个值，对于某一权限ｐ，ｐ．ｕｎ＝０表示权限ｐ不能再使用，ｐ．ｕｎ＝１表示权限ｐ只能使用一次，ｐ．ｕｎ＝＊表示权限ｐ可以使用多次。

　　式中Ｄｕｎ并不包含全体正整数。虽然任一正整数都能明确表明权限可以使用的次数，但是过大的数值对安全管理员来说是难以处理的，例如，很难确定一个权限应该使用１００次还是１０１次。定义域Ｄｕｎ＝｛０，１，＊｝的确定依据是不同操作（即创建、读数、删除）对数据存在性的影响：①数据最初并不存在，用户只需创建一次，数据即已存在；②对于该数据的读取操作无论执行多少次，都不会改变数据的状态，而且无论用户读取１次或多次，其获得的信息量均相同；③用户对数据只需执行一次删除操作，数据即不再存在。

　　２、Ａ＿ＴＢＡＣ模型