基于任務(wù)-角色的委托模型研究

基于任務(wù)-角色的委托模型研究

0分布式工作流系統(tǒng)的任務(wù)授權(quán)模型隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的發(fā)展，分布式工作流系統(tǒng)在各公司、部門和組織中得到了廣泛應(yīng)用。如何確保任務(wù)執(zhí)行過程中數(shù)據(jù)的安全并允許任務(wù)執(zhí)行的有效性是建立工作流模型的重要方面。例如，在狀態(tài)分布的工作流系統(tǒng)中，由于用戶出差或工作量過大，任務(wù)無法完成。當(dāng)系統(tǒng)訪問系統(tǒng)采用傳統(tǒng)的rbac模式時(shí)，需要一位管理員重新分配用戶來執(zhí)行這項(xiàng)任務(wù)。因此，為了減輕管理員的工作量，有必要使用委托（分散）技術(shù)來減少管理員的工作量，并通過委托分散集中管理的任務(wù)來提高分布式工作流系統(tǒng)的擴(kuò)張性?，F(xiàn)有委托授權(quán)模型RBDM0,RDM2000和PBDM的研究主要集中在基于角色或部分角色的委托,用戶將自己所擁有的全部或部分權(quán)限委托給其他用戶,讓接受委托的用戶代表該用戶執(zhí)行某些任務(wù).由于接受委托的用戶可以將委托給他的任務(wù)再次委托給其他人,這樣,經(jīng)過多步委托后可能出現(xiàn)以下情形:造成任務(wù)的循環(huán)委托,導(dǎo)致無法落實(shí)任務(wù)的真正執(zhí)行者;一個(gè)高等級(jí)的任務(wù)由相對(duì)低等級(jí)的用戶執(zhí)行,引發(fā)權(quán)限擴(kuò)散;由原本不滿足職責(zé)分離的用戶執(zhí)行了委托任務(wù).因此,傳統(tǒng)委托模型很難適用于復(fù)雜的工作流環(huán)境,同時(shí)缺乏完善的任務(wù)委托機(jī)制,無法適應(yīng)工作流系統(tǒng)中任務(wù)委托的需要.論文針對(duì)目前工作流環(huán)境中委托所面臨的循環(huán)委托,權(quán)限擴(kuò)散,沒有真正實(shí)現(xiàn)職責(zé)分離等問題,結(jié)合工作流系統(tǒng)中任務(wù)應(yīng)作為委托的主體這個(gè)特點(diǎn),提出基于任務(wù)-角色的委托模型DE-TRBAC,并對(duì)該模型的委托關(guān)系中的元素、委托條件、委托約束、任務(wù)委托樹的構(gòu)建和委托撤銷等進(jìn)行了形式化的定義和描述.通過該模型,工作流系統(tǒng)中任務(wù)的初始授權(quán)用戶可以向受托用戶委托執(zhí)行任務(wù)的權(quán)限,受托用戶在滿足委托條件和約束的前提下,可以向其他受托用戶繼續(xù)委托任務(wù)的的執(zhí)行權(quán)限;委托用戶將執(zhí)行任務(wù)的權(quán)限委托給受托用戶后只有通過委托撤銷機(jī)制,才可收回執(zhí)行任務(wù)的權(quán)限.同時(shí),委托條件、委托約束和任務(wù)委托樹的構(gòu)建可以避免出現(xiàn)基于同一任務(wù)的循環(huán)委托及權(quán)限擴(kuò)散等問題.1根據(jù)委托用戶的要求,分為2個(gè)外科委托(Delegation)是系統(tǒng)的主動(dòng)實(shí)體將其擁有的權(quán)限轉(zhuǎn)授給另一個(gè)可代替他完成某些活動(dòng)的主動(dòng)實(shí)體的行為.用戶—用戶、用戶—機(jī)器及機(jī)器—機(jī)器是委托的主要形式,本論文主要針對(duì)用戶—用戶委托,其中,將實(shí)施委托的用戶稱作委托用戶,獲得本次委托權(quán)限的用戶稱作受托用戶.結(jié)合文獻(xiàn),工作流系統(tǒng)中的委托應(yīng)具有如下特征:①時(shí)限性(Permanence).根據(jù)委托的時(shí)間把委托分為永久委托和臨時(shí)委托.在工作流環(huán)境中,委托通常發(fā)生在用戶由于出差或工作負(fù)荷過重而不能執(zhí)行任務(wù)的情況,所以只考慮臨時(shí)委托.②全部/部分委托(TotalityDelegation).工作流系統(tǒng)中,委托用戶將訪問任務(wù)的權(quán)限委托給受托用戶,如果該任務(wù)可劃分為多個(gè)子任務(wù),委托用戶必須明確是否將所具有的全部或者部分權(quán)限委托給受托用戶.③單調(diào)性(Monotonicity).委托用戶將任務(wù)委托給受托用戶后,如果還擁有其原有的執(zhí)行該任務(wù)的權(quán)限,稱為單調(diào)委托;否則稱為非單調(diào)委托.通常情況下,工作流系統(tǒng)中只考慮非單調(diào)委托.④委托管理(Administration).在委托操作中,委托可以由委托用戶本身完成,即自主執(zhí)行,也可以由委托用戶任命第三方(某個(gè)代理),讓其完成委托活動(dòng),即委托執(zhí)行.在工作流環(huán)境中,委托用戶一般根據(jù)執(zhí)行任務(wù)的實(shí)際情況選擇受托用戶,所以為自主執(zhí)行委托.⑤多步委托(LevelsofDelegation).根據(jù)受托用戶能否將訪問任務(wù)的權(quán)限繼續(xù)委托給其他用戶分為多步委托與單步委托.出于工作流系統(tǒng)的安全性考慮,為了避免高等級(jí)的任務(wù)由一個(gè)相對(duì)低等級(jí)的用戶執(zhí)行,在工作流系統(tǒng)中應(yīng)限制多步委托的步數(shù)及增加委托的約束.⑥委托協(xié)議(Agreements).根據(jù)受托用戶是否參與委托決策分為雙邊協(xié)議和單邊協(xié)議.在工作流環(huán)境中,當(dāng)委托用戶選擇受托用戶時(shí),如果受托用戶此時(shí)工作負(fù)荷過重或者出差等原因是可以拒絕接受本次委托的,所以支持雙邊委托協(xié)議.⑦委托撤銷(Revocation).當(dāng)委托用戶達(dá)到可以執(zhí)行委托任務(wù)的條件時(shí),其有權(quán)撤銷原有的委托.委托撤銷的形式有級(jí)聯(lián)撤銷、依賴撤銷和非依賴撤銷等.工作流環(huán)境中,根據(jù)不同的委托模型定義可以選擇不同的委托撤銷形式.2de-trbac模型基于任務(wù)-角色的訪問控制模型(TRBAC),論文提出工作流系統(tǒng)中基于任務(wù)-角色的委托模型DE-TRBAC.DE-TRBAC模型先將訪問權(quán)限分配給任務(wù),再將任務(wù)分配給角色,角色通過任務(wù)與權(quán)限關(guān)聯(lián),任務(wù)是角色和權(quán)限交換信息的橋梁.在該模型中,根據(jù)具體的執(zhí)行任務(wù)要求和權(quán)限約束,任務(wù)具有相應(yīng)的權(quán)限,不同的任務(wù)擁有不同的權(quán)限,權(quán)限隨著任務(wù)的執(zhí)行而變動(dòng),這樣能更好地滿足復(fù)雜工作流程中對(duì)權(quán)限的管理要求.同時(shí),通過為該模型定義委托關(guān)系,構(gòu)建任務(wù)委托樹,定義委托條件,委托商議等以滿足工作流系統(tǒng)中委托的時(shí)限性、單調(diào)性、多步委托和委托協(xié)議等特征.因此,利用模型DE-TRBAC可以完成工作流系統(tǒng)中基于同一任務(wù)進(jìn)行多步委托,避免循環(huán)委托、權(quán)限擴(kuò)散、職責(zé)不分離等問題的發(fā)生.DE-TRBAC模型的整體結(jié)構(gòu)如圖1所示,實(shí)施委托的用戶稱為委托用戶,用Uor表示,獲得本次委托權(quán)限的用戶稱為受托用戶,用Uee表示.2.1任務(wù)映射關(guān)系定義1DE-TRBAC模型可定義如下:DE-TRBAC=(USER,ROLE,TASK,PERM,SESSION,CONSTRAINTS),其中,USER為所有用戶集合,ROLE為所有角色集合,TASK為所有任務(wù)集合,PERM為所有權(quán)限集合,SESSION為會(huì)話集,CONSTRAINTS為授權(quán)約束集.其相關(guān)關(guān)系如下:(1)用戶角色映射關(guān)系(URA):URA?USER×ROLE,(ui,rj)∈URA,表示用戶ui被賦予角色rj;(2)角色任務(wù)映射關(guān)系(RTA):RTA?ROLE×TASK,(ri,tj)∈RTA,表示授權(quán)角色ri可以執(zhí)行任務(wù)tj;(3)任務(wù)權(quán)限映射關(guān)系(TPA):TPA?TASK×PERM,(ti,pj)∈TPA,表示執(zhí)行任務(wù)ti所需的權(quán)限pj;(4)用戶任務(wù)映射關(guān)系(UTA):UTA?USER×TASK,(ui,tj)∈UTA,表示用戶ui可以執(zhí)行任務(wù)tj;(5)角色層次關(guān)系(RH):RH?ROLE×ROLE,(ri,rj)∈RH,記作ri≥rj,表示角色ri是rj的父角色,反映一個(gè)組織內(nèi)部角色之間的等級(jí)關(guān)系;(6)任務(wù)層次關(guān)系(TH):TH?TASK×TASK,(ti,tj)∈TH,記作ti≥tj,表示tj是ti的子任務(wù)之一;(7)函數(shù)Us:ROLE→2USER表示由URA推導(dǎo)出的每個(gè)角色—用戶的映射關(guān)系,其中Us(r)={u|(u,r)∈URA};(8)函數(shù)Ts:USER→2TASK表示由UTA推導(dǎo)出的每個(gè)用戶—任務(wù)的映射關(guān)系,其中Ts(u)={t|(u,t)∈UTA};2.2委托關(guān)系定義2.1節(jié)主要從工作流訪問控制模型角度形式化地定義了DE-TRBAC,假設(shè)對(duì)于工作流程中某個(gè)具體的任務(wù)t2已分配由用戶u1來執(zhí)行,即(u1,t2)∈UTA,如果用戶u1由于公事出差需要離開崗位一個(gè)月,為了不影響工作流程的正常運(yùn)轉(zhuǎn),需要引入委托機(jī)制由其他用戶代替u1暫時(shí)擁有執(zhí)行任務(wù)t2的權(quán)限,因此模型DE-TRBAC的委托關(guān)系的定義是能否順利實(shí)施委托的關(guān)鍵.定義2(委托關(guān)系)定義九元組描述委托關(guān)系,DE=Delegate(Task,Uor,Ror,Uee,Ree,tb,te,Taskee,Dn),其中各元素含義如下:(1)Task∈TASK,表示工作流程中一個(gè)任務(wù),它是委托的基本單位;(2)Uor∈USER,表示委托用戶;(3)Ror∈ROLE,表示委托用戶執(zhí)行委托任務(wù)所擁有的角色;(4)Uee∈USER,表示受托用戶;(5)Ree∈ROLE,表示受托用戶原來所擁有的角色,當(dāng)委托完成后,Uee擁有角色集合為Ree∪Ror;(6)tb表示委托的開始時(shí)間;(7)te表示委托的結(jié)束時(shí)間,并且tb≤te,委托的開始時(shí)間和結(jié)束時(shí)間都是絕對(duì)時(shí)間,格式為{yyyy-mm-ddhh:mm:ss};(8)Taskee表示Task的子任務(wù)之一或者是Task本身,即委托用戶Uor向受托用戶Uee委托任務(wù)Task或Task子任務(wù)的執(zhí)行權(quán)限;(9)Dn表示在委托過程中,允許Uee繼續(xù)委托給其他用戶的步數(shù).如果不允許Uee向下委托,則委托步數(shù)Dn=0;否則委托步數(shù)Dn≥1.2.3任務(wù)委托樹環(huán)路當(dāng)允許多步任務(wù)委托時(shí),針對(duì)同一任務(wù)按照用戶任務(wù)委托的順序可以構(gòu)建一棵任務(wù)委托樹DT(DelegationTree).任務(wù)委托樹的每個(gè)節(jié)點(diǎn)表示一個(gè)用戶任務(wù)指派關(guān)系,每條邊表示由父節(jié)點(diǎn)到子節(jié)點(diǎn)的任務(wù)委托關(guān)系,邊上的數(shù)對(duì)(tb,te)表示該委托的有效時(shí)限.以圖2的任務(wù)委托樹為例,假設(shè)用戶u1被分配執(zhí)行的任務(wù)t可分解為不同的子任務(wù)任務(wù)t1和t2,通過構(gòu)造任務(wù)委托樹,可以將任務(wù)分別委托給不同的用戶,同時(shí)還可以更好地利用圖論知識(shí)對(duì)委托進(jìn)行各種分析和檢驗(yàn).任務(wù)委托樹的構(gòu)建要滿足不會(huì)出現(xiàn)循環(huán)委托的約束,例如某任務(wù)的執(zhí)行權(quán)限由委托用戶A委托給受托用戶B,經(jīng)過多步委托后,不允許將該任務(wù)的執(zhí)行權(quán)限再次委托給委托用戶A.所以,在進(jìn)行委托之前,既要檢查其是否違反職責(zé)分離原則,也要判定該委托是否會(huì)在任務(wù)委托樹中形成一個(gè)環(huán)路.以圖2為例,判定基于本次任務(wù)的委托是否會(huì)形成環(huán)路的方法是:假設(shè)委托用戶為u2,將被委托的受托用戶為u4,委托的任務(wù)為t1;用任務(wù)委托樹遍歷函數(shù)DT_Traverse()在任務(wù)委托樹中從u2所在的節(jié)點(diǎn)出發(fā)回溯,一直回溯到根節(jié)點(diǎn)為止,這條路徑上所經(jīng)過節(jié)點(diǎn)的用戶集合為DT_Traverse()={u2,u1}.如果u4∈DT_Traverse(),并且是關(guān)于同一個(gè)任務(wù)的委托,則會(huì)出現(xiàn)環(huán)路,因此禁止本次委托;反之,u4?DT_Traverse(),滿足本次委托約束.2.4任務(wù)約束和委托協(xié)商基于工作流系統(tǒng)的安全性,用戶在進(jìn)行任務(wù)委托時(shí)必須考慮到工作流程定義時(shí)各種授權(quán)條件,只有滿足這些條件的委托才能被允許.比如,常見的發(fā)文流程中擬稿和核稿任務(wù)不能是由同一用戶來完成,核稿和簽發(fā)任務(wù)也不能由同一用戶來完成,所以需要定義先決條件Pre_C.定義3:委托先決條件Pre_C是用操作符“&”(and,與)和“|”(or,或)將約束Cr連接起來的布爾表達(dá)式.其中,約束Cr是t、(-t)、r或者(-r)的形式,分別表示執(zhí)行某個(gè)任務(wù)約束的集合,不執(zhí)行某個(gè)任務(wù)約束的集合,擁有某個(gè)角色的約束集合或者不擁用某個(gè)角色的約束集合,例如Cr=(-Cr1)&Cr2|Cr3.定義4:函數(shù)Upre:Pre_C→2U表示將委托先決條件映射到滿足該條件的用戶集合.根據(jù)工作流系統(tǒng)中“委托協(xié)議”這個(gè)特征,當(dāng)委托用戶根據(jù)組織策略從系統(tǒng)提供的侯選用戶中選擇受托用戶后,受托用戶要結(jié)合工作負(fù)荷等其它實(shí)際情況,考慮是否有能力或時(shí)間完成委托任務(wù),所以委托用戶與受托用戶就是否進(jìn)行委托或撤捎委托要進(jìn)行商議.定義5定義委托協(xié)商Con=Consulation(Uor,Task,Uee)為用戶Uor和Uee就任務(wù)Task能否被委托進(jìn)行協(xié)商的結(jié)果,其中Con取值有兩種情況,refuse和success,分別表示拒絕委托與接受委托.3執(zhí)行委托3.1委托判定規(guī)則委托的執(zhí)行是一個(gè)復(fù)雜的過程,正確的委托可以使委托用戶將要執(zhí)行的任務(wù)委托給受托用戶執(zhí)行,不會(huì)因?yàn)槲杏脩襞R時(shí)不在崗位等原因影響工作流程的正常流轉(zhuǎn).基于DE-TRBAC委托模型的委托實(shí)施過程分為四個(gè)階段:①請(qǐng)求階段,委托用戶依照角色層次從系統(tǒng)提供的侯選用戶集合中選擇受托用戶并提交委托請(qǐng)求.②委托判定階段,系統(tǒng)根據(jù)委托約束、委托先決條件等決定是否允許本次委托.③委托商議階段,受托用戶根據(jù)自己的實(shí)際情況,決定是否接受或拒絕此次委托.④執(zhí)行階段,當(dāng)受托用戶同意接受委托時(shí),完成本次委托.在委托的實(shí)施過程中,委托的判定規(guī)則是決定能否順利完成委托的必要條件.定義6委托判定規(guī)則Can_delete?DE×Pre_C×DT_Traverse()×Con,其中DE=Delegate(Task,Uor,Ror,Uee,Ree,tb,te,Taskee,Dn)表示任務(wù)的委托關(guān)系,Pre_C表示委托的先決條件,DT_Traverse()表示任務(wù)委托樹的遍歷,Con表示委托協(xié)商的結(jié)果.3.2委托見u2以圖2的任務(wù)委托樹為例,具體的委托步驟如下:(1)假設(shè)用戶u1向系統(tǒng)提出委托請(qǐng)求,de=Delegate(t,u1,r1,u2,r2,2010-8-1000:00:00,2010-8-1520:00:00,t1,1),表示任務(wù)t的執(zhí)行者u1將t的子任務(wù)之一t1委托給用戶u2,該委托的時(shí)限是2010-8-1000:00:00至2010-8-1520:00:00,并且允許用戶u2將執(zhí)行該任務(wù)的權(quán)限繼續(xù)委托的最大步數(shù)為1.(2)系統(tǒng)根據(jù)已經(jīng)定義的委托先決條件pre_c=(-r3),即不能將該任務(wù)委托給擁有角色r3的用戶,根據(jù)委托請(qǐng)求判斷受托用戶u2原來擁有的角色為r2,而不是r3,所以本次委托滿足委托先決條件,否則轉(zhuǎn)(5).(3)從用戶u1所在任務(wù)節(jié)點(diǎn)出發(fā)向上回溯,DT_Traverse()={u1}且u2?DT_Traverse(),則滿足本次委托不會(huì)出現(xiàn)循不委托的約束,否則轉(zhuǎn)(5).(4)系統(tǒng)就用戶u2能否接受委托任務(wù)與u2進(jìn)行商議,即將委托請(qǐng)求轉(zhuǎn)發(fā)給用戶u2.u2收到委托請(qǐng)求后,綜合考慮實(shí)際的工作量,同意暫時(shí)代替用戶u1執(zhí)行任務(wù)t的子任務(wù)t1,然后向系統(tǒng)發(fā)出同意接受委托的回復(fù).因此,委托商議的結(jié)果為sucess,基于任務(wù)t的本次委托成功,否則轉(zhuǎn)(5).(5)委托過程結(jié)束.4任務(wù)委托樹產(chǎn)生的撤銷過程當(dāng)委托時(shí)限結(jié)束,受托用戶返回到了原崗位,或者委托用戶執(zhí)行任務(wù)出現(xiàn)錯(cuò)誤等原因發(fā)生時(shí),應(yīng)該將委托執(zhí)行任務(wù)的權(quán)限收