基于集成化企業(yè)模型的訪問(wèn)控制機(jī)制與系統(tǒng)研究

張 皓，范玉順

（清華大學(xué) 自動(dòng)化系，北京 100084）

基于集成化企業(yè)模型的訪問(wèn)控制機(jī)制與系統(tǒng)研究

張 皓，范玉順

（清華大學(xué) 自動(dòng)化系，北京 100084）

0 引言

自90年代以來(lái),企業(yè)間的競(jìng)爭(zhēng)越來(lái)越激烈,其競(jìng)爭(zhēng)形式也發(fā)生了巨大的變化,企業(yè)快速響應(yīng)市場(chǎng)的能力已成為企業(yè)能否贏得市場(chǎng)競(jìng)爭(zhēng)的最重要的核心能力。與此同時(shí),信息技術(shù)飛速發(fā)展并迅速成為支撐企業(yè)運(yùn)行最重要的基礎(chǔ)架構(gòu)[1]。企業(yè)信息化的實(shí)施極大的提高了企業(yè)的運(yùn)行效率與核心競(jìng)爭(zhēng)力,但同時(shí)也帶來(lái)了一些問(wèn)題,其中最重要的一個(gè)就是信息安全問(wèn)題。國(guó)際標(biāo)準(zhǔn)組織(ISO)在ISO7498-2中提出了五種信息保護(hù)的方式,訪問(wèn)控制就是其中之一。

訪問(wèn)控制在人類(lèi)有了需要保護(hù)的財(cái)產(chǎn)時(shí)便存在了,如門(mén)鎖、保險(xiǎn)箱、門(mén)衛(wèi)等都可視為廣義的訪問(wèn)控制。在信息安全領(lǐng)域,訪問(wèn)控制所關(guān)注的問(wèn)題是信息系統(tǒng)的用戶何時(shí)以何種方式對(duì)信息資源進(jìn)行操作的問(wèn)題[2]。幾乎所有的企業(yè)應(yīng)用系統(tǒng)都會(huì)應(yīng)用訪問(wèn)控制機(jī)制,良好的訪問(wèn)控制策略可以優(yōu)化信息的共享與交互,否則將會(huì)增加管理與實(shí)施成本。隨著信息技術(shù)的發(fā)展,傳統(tǒng)的訪問(wèn)控制技術(shù)如自主訪問(wèn)控制(DAC,Discretionary Access Control)和強(qiáng)訪問(wèn)控制(MAC, Mandatory Access Control)已經(jīng)不能滿足企業(yè)環(huán)境下訪問(wèn)控制需求[3]。90年代中期出現(xiàn)了基于角色的訪問(wèn)控制模型(RBAC, Role-Based Access Control),RBAC引入了角色的概念,簡(jiǎn)化了權(quán)限管理的復(fù)雜性并提高了授權(quán)效率[4]。隨著工作流技術(shù)在企業(yè)中的廣泛應(yīng)用,源自最小權(quán)限規(guī)則的動(dòng)態(tài)授權(quán)問(wèn)題成為研究的熱點(diǎn),傳統(tǒng)的RBAC無(wú)法解決動(dòng)態(tài)授權(quán)問(wèn)題,于是產(chǎn)生了包括TBAC在內(nèi)的各種工作流授權(quán)模型[5]。

RBAC和TBAC及其各種擴(kuò)展模型在很大程度上解決了現(xiàn)代企業(yè)中的訪問(wèn)控制問(wèn)題,但是這些模型大多將企業(yè)的組織架構(gòu)用簡(jiǎn)單的角色及其繼承關(guān)系來(lái)描述,這并不能適應(yīng)企業(yè)日益復(fù)雜的組織架構(gòu)的實(shí)際情況。企業(yè)模型作為對(duì)企業(yè)的形式化描述,通過(guò)各個(gè)視圖及其關(guān)聯(lián)對(duì)企業(yè)進(jìn)行描述,其組織視圖可以良好的描述企業(yè)的組織架構(gòu),其過(guò)程視圖是工作流運(yùn)行系統(tǒng)的元模型,而其資源、信息等視圖可以描述企業(yè)內(nèi)需要訪問(wèn)控制的客體[1]。將企業(yè)建模理論融合到訪問(wèn)控制領(lǐng)域是一個(gè)全新的課題,本文將在此背景下提出了一種新的訪問(wèn)控制模型:基于集成化企業(yè)模型的訪問(wèn)控制(IEM-BAC,Integrated Enterprise Model-Based Access Control)。

本文的組織形式如下,第一部分是引言,主要介紹IEM-BAC的產(chǎn)生背景。第二部分詳細(xì)分析了現(xiàn)代企業(yè)環(huán)境下對(duì)訪問(wèn)控制的需求。第三部分簡(jiǎn)要介紹集成化企業(yè)建模理論。第四部分介紹RBAC和TBAC理論。第五部分給出IEM-BAC模型及其形式化描述。第六部分將IEM-BAC運(yùn)用到集成化企業(yè)建模平臺(tái)之中。第七部分對(duì)前面內(nèi)容進(jìn)行總結(jié)。

1 現(xiàn)代企業(yè)環(huán)境下的訪問(wèn)控制需求

現(xiàn)代企業(yè)環(huán)境下,各種異構(gòu)的信息系統(tǒng)由于其自身特性對(duì)訪問(wèn)控制提出了不同的需求。如文檔管理系統(tǒng)需要使用RBAC來(lái)進(jìn)行授權(quán),但同時(shí)也需要根據(jù)用戶和文檔的密級(jí)屬性來(lái)進(jìn)行訪問(wèn)控制;工作流管理系統(tǒng)需要根據(jù)任務(wù)實(shí)例的執(zhí)行狀態(tài)動(dòng)態(tài)的控制用戶權(quán)限[5];CRM系統(tǒng)需要根據(jù)傳統(tǒng)的RBAC控制用戶權(quán)限。雖然這些異構(gòu)的系統(tǒng)訪問(wèn)控制的方式有所不同,但是我們可以將其分為兩大類(lèi):靜態(tài)訪問(wèn)控制和動(dòng)態(tài)訪問(wèn)控制。

靜態(tài)控制:和流程的運(yùn)行無(wú)關(guān)的訪問(wèn)控制都屬于靜態(tài)控制,對(duì)于靜態(tài)權(quán)限的控制我們可以使用RBAC模型[4],有分配權(quán)限的主體將客體的權(quán)限分配給其余主體。在企業(yè)中,文檔一般按照密級(jí)劃分,只有主體密級(jí)高于文檔密級(jí)的才能進(jìn)行訪問(wèn),因此我們需要將RBAC進(jìn)行適當(dāng)?shù)臄U(kuò)展,嵌入基于屬性的訪問(wèn)控制。

動(dòng)態(tài)控制:和流程運(yùn)行歷史及狀態(tài)相關(guān)的訪問(wèn)控制為動(dòng)態(tài)控制。這部分權(quán)限與其關(guān)聯(lián)的任務(wù)的執(zhí)行狀態(tài)以及時(shí)間有關(guān),和任務(wù)關(guān)聯(lián)的角色或人員在任務(wù)的不同狀態(tài)時(shí)具有不同的權(quán)限。這部分權(quán)限我們可以參考TBAC模型[5]。工作流機(jī)根據(jù)任務(wù)的狀態(tài)判斷用戶對(duì)其所關(guān)聯(lián)的任務(wù)權(quán)限是否有效,如果有效則允許用戶進(jìn)行操作,否則阻止用戶進(jìn)行操作。

現(xiàn)代企業(yè)的組織形式日益發(fā)生變化,垂直的企業(yè)架構(gòu)已經(jīng)不能滿足企業(yè)敏捷性的需求,很多企業(yè)的業(yè)務(wù)使用項(xiàng)目組的形式來(lái)進(jìn)行運(yùn)作,由此帶來(lái)了企業(yè)組織模型的變化[1]。這種變化對(duì)訪問(wèn)控制也提出了新的需求,經(jīng)典的RBAC對(duì)組織結(jié)構(gòu)以角色及其繼承關(guān)系進(jìn)行描述,這已經(jīng)不能適應(yīng)現(xiàn)代企業(yè)的實(shí)際情況。我們需要在訪問(wèn)控制模型中包含企業(yè)的組織結(jié)構(gòu)以完成更優(yōu)化的授權(quán)。應(yīng)用企業(yè)建模工具建立組織模型,然后將用戶與角色的關(guān)聯(lián)轉(zhuǎn)變?yōu)橛脩襞c組織的關(guān)聯(lián),這種轉(zhuǎn)化的可以將角色的管理和權(quán)限的分配進(jìn)行解耦并增強(qiáng)訪問(wèn)控制模型對(duì)企業(yè)組織的描述能力和模型的靈活性。

2 集成化企業(yè)建模理論

集成化企業(yè)建模理論是由清華大學(xué)的范玉順教授針對(duì)現(xiàn)存企業(yè)建模存在的問(wèn)題提出的一種先進(jìn)的建模理論[1,6]。集成化企業(yè)建模體系結(jié)構(gòu)由生命周期維、視圖模型維、通用性層次維組成三維立方體。

生命周期維主要研究建模過(guò)程的問(wèn)題,通用層次維將企業(yè)模型按粒度抽象為不同的層次。視圖模型維包括了過(guò)程視圖、組織視圖、資源視圖、文檔視圖在內(nèi)的多種視圖,不同的視圖描述企業(yè)的不同側(cè)面,其中過(guò)程模型作為核心,將其余模型通過(guò)關(guān)聯(lián)與引用聯(lián)系起來(lái)。

集成化企業(yè)建模中的組織模型用來(lái)定義企業(yè)組織形式和人員模型。組織模型由組織單元、虛擬組織單元、工作組、人員、角色、職位等元素組成。組織單元之間的隸屬關(guān)系構(gòu)成企業(yè)的組織樹(shù),組織結(jié)構(gòu)樹(shù)描述了企業(yè)的靜態(tài)模型。為了便于對(duì)企業(yè)進(jìn)行管理,引入了虛擬組織單元,用于表示企業(yè)高層管理人員對(duì)幾個(gè)下級(jí)部門(mén)的管轄權(quán)。工作組描述的則是企業(yè)中動(dòng)態(tài)的組建的跨部門(mén)的人員組合,主要用于對(duì)項(xiàng)目進(jìn)行描述。角色描述完成一種企業(yè)職能所需要的具有特定技能或職位的人員屬性,而職位是面向企業(yè)行政責(zé)任的組織屬性,代表企業(yè)人員在管理上的等級(jí)關(guān)系[1]。

組織模型描述了企業(yè)精確的組織架構(gòu),這種描述彌補(bǔ)了傳統(tǒng)的RBAC中對(duì)企業(yè)組織模型描述能力的不足。在IEM-BAC模型中使用企業(yè)組織模型來(lái)描述訪問(wèn)控制模型中的組織關(guān)系,這樣不僅能夠增強(qiáng)訪問(wèn)控制模型對(duì)組織的描述能力,還能夠?qū)⑹跈?quán)與角色的管理解耦。

集成化企業(yè)模型的資源、產(chǎn)品、信息等視圖描述了企業(yè)的各種需要保護(hù)的要素,這些要素將成為訪問(wèn)控制的對(duì)象。

3 RBAC,TBAC

傳統(tǒng)的DAC和MAC訪問(wèn)控制模型不能滿足企業(yè)環(huán)境下的訪問(wèn)控制。1992年,David Ferraiol和Kuhn第一次提出了基于角色的訪問(wèn)控制模型(role based access control,RBAC)[3]。在RBAC中定義了用戶、角色、權(quán)限三種主要元素,它的基本思想是:將客體權(quán)限授予角色,用戶通過(guò)扮演角色而獲得權(quán)限,用戶和權(quán)限沒(méi)有直接的關(guān)聯(lián)。在企業(yè)環(huán)境下,企業(yè)中的角色以及角色的權(quán)限是比較固定的,相對(duì)而言人員的流動(dòng)要更大一些。所以直接對(duì)人員進(jìn)行授權(quán)是比較耗時(shí)且易于出錯(cuò)的,而在人員和權(quán)限之間加上角色層,這樣有利于人員與權(quán)限的解耦,減少管理成本。完整的RBAC還引入了權(quán)責(zé)分離(SoD, Seperation of Duty)以及角色的繼承,完整的RBAC模型如圖1所示[4]。

圖1 RBAC3模型

現(xiàn)代企業(yè)的運(yùn)行離不開(kāi)業(yè)務(wù)流程,而每個(gè)業(yè)務(wù)流程又分為不同的任務(wù)并由企業(yè)員工協(xié)作完成。為了保護(hù)企業(yè)的信息安全,需要對(duì)任務(wù)關(guān)聯(lián)的資源進(jìn)行訪問(wèn)控制。

RBAC不能滿足工作流環(huán)境下的動(dòng)態(tài)授權(quán)問(wèn)題。1994年,Sandhu和Thomas提出了基于任務(wù)的訪問(wèn)控制模型(taskbased access control,TBAC)[7]。TBAC擴(kuò)展了傳統(tǒng)的基于主體/客體的訪問(wèn)控制模型,它引入了基于任務(wù)的上下文信息對(duì)權(quán)限的影響。文中提出授權(quán)步驟的概念,每一個(gè)授權(quán)步驟和一個(gè)保護(hù)態(tài)(一組權(quán)限)相關(guān)。保護(hù)態(tài)隨著任務(wù)的狀態(tài)變化而改變,并且根據(jù)保護(hù)態(tài)的狀態(tài)對(duì)用戶進(jìn)行授權(quán)。1997年,Thomas和 Sandhu借鑒RBAC96的模式,提出了TBAC的模型框架。在此文章中,Thomas將TBAC分為T(mén)BAC0、TBAC1、TBAC2和TBAC3。TBAC0是框架的基礎(chǔ),他提供了對(duì)任務(wù)、授權(quán)步驟、不同授權(quán)步驟之間的關(guān)聯(lián)建模的基礎(chǔ)。TBAC1和TBAC2包含TBAC0并包含了更多的特性。TBAC1包含了授權(quán)的組合而TBAC2包含了約束。TBAC3包含了TBAC1和TBAC2的所有特性[5]。

4 IEM-BAC模型

本節(jié)中我們將集成化企業(yè)模型融入到訪問(wèn)控制中,然后建立IEM-BAC模型并給出其文字及形式化描述。IEM-BAC模型如圖2所示。

4.1 IEM-BAC主體管理

1)區(qū)分用戶和人員。首先企業(yè)人員不一定是信息系統(tǒng)的使用者,如流水線的操作員可能就不是BI系統(tǒng)的使用者;再者信息系統(tǒng)的用戶也不一定是企業(yè)的人員,如咨詢公司的實(shí)施人員,所以我們需要將用戶和企業(yè)人員區(qū)分開(kāi)來(lái)。

2)用戶通過(guò)用戶管理工具進(jìn)行管理,人員引用集成化企業(yè)模型中的組織模型,當(dāng)存在關(guān)聯(lián)關(guān)系時(shí),用戶與人員是一對(duì)一關(guān)系。訪問(wèn)控制模型中的其余組織信息引用集成化企業(yè)模型的組織視圖,包括人員、職位、角色,以及角色的繼承關(guān)系。

圖2 IEM-BAC訪問(wèn)控制模型

3)對(duì)于非企業(yè)人員的用戶(如實(shí)施團(tuán)隊(duì)),我們通過(guò)用戶組對(duì)其進(jìn)行授權(quán)管理。因?yàn)榉瞧髽I(yè)人員用戶不適合使用企業(yè)的組織模型描述。

4.2 IEM-BAC授權(quán)管理

1)靜態(tài)授權(quán)。用戶的靜態(tài)授權(quán)通過(guò)RBAC實(shí)現(xiàn),在這里我們將傳統(tǒng)的角色細(xì)分為用戶組、代理、角色、職位等,區(qū)分這些角色有利于精確的授權(quán)。授權(quán)客體引用集成化企業(yè)模型中的各個(gè)視圖,其中資源視圖可以描述企業(yè)的各種資源,這使得IEM-BAC具有了很強(qiáng)的企業(yè)資源描述能力,也大大擴(kuò)展了IEM-BAC的控制范圍。

2)動(dòng)態(tài)授權(quán)。用戶的動(dòng)態(tài)授權(quán)通過(guò)TBAC實(shí)現(xiàn),一個(gè)任務(wù)關(guān)聯(lián)一個(gè)權(quán)限的集合和一個(gè)主體集合,系統(tǒng)根據(jù)任務(wù)的執(zhí)行狀態(tài)動(dòng)態(tài)改變主體對(duì)此權(quán)限集合的狀態(tài),圖3是權(quán)限集的狀態(tài)圖[5]。

圖3 權(quán)限集的狀態(tài)圖

3)代理授權(quán)。用戶自授權(quán)可以通過(guò)代理的方式實(shí)現(xiàn)。用戶可以將自己擁有的權(quán)限或自己需要承擔(dān)的任務(wù)代理給其他用戶。為了簡(jiǎn)化管理,不支持二次代理。代理可以通過(guò)一個(gè)五元組來(lái)描述:Del(Delegator,Delegatee,PS,TS,Status,)其中Delegator是代理的主體,Delegatee是代理的受體,PS為代理包含的權(quán)限集或任務(wù)集,TS為代理的時(shí)間跨度,Status為代理的狀態(tài)。

4.3 IEM-BAC約束關(guān)系

1)靜態(tài)權(quán)責(zé)分離約束[2]。SSD通過(guò)組織建模進(jìn)行描述,在建立組織模型后可以指定沖突角色集CRS(Con fl ict Role Set) ,在為用戶授予角色時(shí),不能同時(shí)授予同一用戶超過(guò)指定上限個(gè)角色。

2)動(dòng)態(tài)權(quán)責(zé)分離約束[2]。DSD也是通過(guò)組織建摸描述的,和SSD不同的是可以為用戶任意授予角色,但是用戶在一次會(huì)話中不能同時(shí)激活 的上限個(gè)沖突角色。

4.4 IEM-BAC形式化描述。

定義1:IEM-BAC基本術(shù)語(yǔ):

分別定義用戶、角色、職位、人員、任務(wù)、操作、客體、代理為Users, Groups, Roles, Positions,Employees, Tasks, Delegation, OPS, OBS,其中Roles,Positions, Employees引自組織模型。

用戶代理:

Del (Delegator, Delegatee, PS, TS, Status)

權(quán)限集合[2]:PRMS?2OPS×OBS

用戶人員集合:UE?Users×Employees

人員關(guān)聯(lián)的用戶:

employee_user(r)?{u?Users|(u,e)?UE},是空集或單元素集合。

UD?Users×Delegation: 用戶代理映射

用戶作為代理者的代理集合:

delegator_del(u)?{u?Users|(u,d)?UD},用戶作為受理者的代理集合:

delegator_del(u)?{u?Users|(u,d)?UD},用戶用戶組映射:UG?Users×Groups

Group(u)?{u?Users|(u,g)?UG}用戶所屬的用戶組集合。

用戶和任務(wù)映射:UT?Users×Tasks

角色和任務(wù)映射:RT?Roles×Tasks

職位任務(wù)映射:PT?Positions×Tasks

主體s的任務(wù)集合:

task(s,type)?{s?Users×Roles×Positions|(s,type,task)?UT×RT×PT}

其中type為主體的類(lèi)型

代理任務(wù)映射:DT?Delegation×Tasks

角色職位映射:RP?Roles×Permissions

職位和權(quán)限映射:PP?Positions×Permissions

用戶組和權(quán)限的映射集合

GP?Groups×Permissions

任務(wù)和權(quán)限映射:TP?Tasks×Permissions

主體的權(quán)限集合:

Permission(s,type)?{s?Users×Roles×Positions×Tasks|(s,type,perm)?GP×RP×PP×TP},其中為主體的類(lèi)型:用戶組、角色、職位、任務(wù)。

定義2:組織模型元素定義[1]:

Roles,Positions,Employees,WorkGroups,OU(VOU),CRS分別定義為角色,職位,人員,工作組,組織單元(虛擬組織單元),沖突角色集。

人員角色映射:ER?Employees×Roles

人員職位映射:EP?Employees×Positions

角色繼承:RH?Roles×Roles是Roles集合上一種偏序關(guān)系,用?表示。如果R1?R2,表示R2繼承R1所有的權(quán)限

職位繼承:PH?Positions×Positions是Positions集合上一種偏序關(guān)系,用?表示。但是職位不涉及權(quán)限的繼承,僅代表一種行政的管轄關(guān)系。

定義3:工作流相關(guān)定義

Task(subjectSet,constraint,objectSet,status),一個(gè)任務(wù)實(shí)例是一個(gè)四元組,其中subjectSet表示的是任務(wù)的主體集,可以是人員、角色或者是職位等,constraint表示的是任務(wù)實(shí)例的約束(包括動(dòng)態(tài)授權(quán)約束,業(yè)務(wù)約束等),objectSet表示的是完成此任務(wù)所需的業(yè)務(wù)對(duì)象集合,status表示任務(wù)的狀態(tài)(包括掛起、完成、激活等)。

規(guī)則1:訪問(wèn)授權(quán)規(guī)則:當(dāng)且僅當(dāng)主體s的激活角色的權(quán)限并集包括權(quán)限permission(o,op)時(shí),s才能對(duì)o進(jìn)行op操作[2]。

s:Users,op:OPS,o:OBS

isAuthorized(s,o,op)=true?

?r:Roles‖p:Positions‖g:Groups‖t:Tasks

^perm∈permission(P)∪permission(r)∪permission(g)∪permission(t) |t.status=active

^ (o,op)∈perm

規(guī)則:權(quán)責(zé)分離SoD[2]:沖突角色集CRS(m,n)中具有n個(gè)權(quán)限,其中任何大于等于 個(gè)權(quán)限不能同時(shí)賦予同一用戶或被同一用戶同時(shí)激活。

CRS(m,n)?Roles,

?u∈Users

??role(u)∩CRS(m,n) =RS,RS.count≥m

規(guī)則3:動(dòng)態(tài)授權(quán)規(guī)則[5]:當(dāng)且僅當(dāng)主體關(guān)聯(lián)的任務(wù)處于激活狀態(tài)時(shí),主體才能使用任務(wù)關(guān)聯(lián)的權(quán)限集。

?s～task:s∈Employees∪Roles∪Positions (o,op)～task

isAuthorized(s,o,op) =true?

task.status=active

5 IEM-BAC的應(yīng)用

清華大學(xué)CIMS工程研究中心開(kāi)發(fā)的集成化企業(yè)建模平臺(tái)采用了IEM-BAC模型進(jìn)行訪問(wèn)控制。集成化企業(yè)建模平臺(tái)是一套包含集成化企業(yè)建模工具、文檔管理工具、績(jī)效管理工具、工作流管理工具的企業(yè)管控系統(tǒng)。集成化企業(yè)建模平臺(tái)部件的邏輯結(jié)構(gòu)如圖4所示。

建模工具和用戶管理工具使用C/S架構(gòu),工作流系統(tǒng)、文檔管理系統(tǒng)以及績(jī)效管理系統(tǒng)使用B/S架構(gòu)。用戶分別通過(guò)相應(yīng)的客戶端或者瀏覽器與應(yīng)用進(jìn)行交互,用戶身份驗(yàn)證成功后,各個(gè)應(yīng)用會(huì)根據(jù)用戶合并后的權(quán)限(角色、職位、用戶組、代理)初始化用戶的界面。當(dāng)用戶發(fā)出操作請(qǐng)求后,訪問(wèn)控制模塊會(huì)根據(jù)數(shù)據(jù)庫(kù)信息實(shí)時(shí)判斷用戶是否具有此操作的權(quán)限并將結(jié)果以布爾型變量返回給應(yīng)用,這樣的好處是可以實(shí)時(shí)的控制用戶權(quán)限以防止惡意操作。

圖4 集成化企業(yè)建模平臺(tái)部件邏輯圖

用戶管理工具包括用戶/組管理、用戶-人員關(guān)聯(lián)管理、主體授權(quán)管理等功能。用戶管理工具通過(guò)模型數(shù)據(jù)庫(kù)、工作流數(shù)據(jù)庫(kù)獲取相應(yīng)應(yīng)用的受控客體,主體的授權(quán)信息記錄在用戶權(quán)限數(shù)據(jù)庫(kù)中。集成化企業(yè)建模平臺(tái)是大型的企業(yè)應(yīng)用軟件,一般需要實(shí)施團(tuán)隊(duì)協(xié)助企業(yè)進(jìn)行實(shí)施,對(duì)于實(shí)施團(tuán)隊(duì)使用用戶組的模式進(jìn)行管理。當(dāng)建立了相應(yīng)的組織模型后,就可以在用戶管理工具中獲取組織模型中的主體并對(duì)其權(quán)限進(jìn)行管理,同時(shí)通過(guò)在工具中建立人員的登錄用戶就可以完成對(duì)企業(yè)人員的授權(quán)。

不同的用戶可以協(xié)同進(jìn)行建模,分別建立各個(gè)企業(yè)模型視圖,并采用數(shù)據(jù)鎖定技術(shù)保持模型的一致性,即當(dāng)一個(gè)用戶對(duì)某個(gè)業(yè)務(wù)元素進(jìn)行編輯時(shí),其余有編輯權(quán)限的用戶只能以查看的方式將其打開(kāi),保持了數(shù)據(jù)的一致性,這也是信息安全性的一個(gè)重要準(zhǔn)則。

工作流系統(tǒng)通過(guò)模型適配器獲得企業(yè)模型數(shù)據(jù)庫(kù)中過(guò)程模型及相關(guān)定義,模型適配器將過(guò)程模型轉(zhuǎn)化為中性的XPDL文件。工作流機(jī)通過(guò)和工作流數(shù)據(jù)庫(kù)交互完成其工作并將相應(yīng)的任務(wù)推送到用戶界面。用戶通過(guò)登陸自己主頁(yè)后會(huì)看到自己被指派或代理的任務(wù),訪問(wèn)控制模塊會(huì)根據(jù)過(guò)程實(shí)例執(zhí)行的歷史情況判斷用戶任務(wù)實(shí)例權(quán)限狀態(tài),然后決定用戶有權(quán)限的操作。

企業(yè)文檔是企業(yè)知識(shí)管理重要的組成部分,為了彌補(bǔ)建模工具C/S架構(gòu)靈活性不足,開(kāi)發(fā)了B/S架構(gòu)的文檔管理系統(tǒng)。文檔管理系統(tǒng)對(duì)應(yīng)企業(yè)模型中的文檔視圖,他們通過(guò)公用的企業(yè)模型數(shù)據(jù)庫(kù)進(jìn)行同步。文檔管理系統(tǒng)中的權(quán)限是靜態(tài)的權(quán)限,和建模權(quán)限類(lèi)似通過(guò)用戶管理工具分配給相應(yīng)的主體。但是企業(yè)還需要根據(jù)文檔的密級(jí)限制用戶的訪問(wèn),因此在判斷用戶對(duì)文檔的權(quán)限前,首先判斷用戶密級(jí)是否不低于文檔密級(jí),判斷為真時(shí)再按照權(quán)限庫(kù)中的權(quán)限進(jìn)行判斷。

6 結(jié)束語(yǔ)

本文通過(guò)分析現(xiàn)代企業(yè)環(huán)境下的訪問(wèn)控制需求,發(fā)現(xiàn)集成化企業(yè)模型可以很好的支持訪問(wèn)控制模型中的組織架構(gòu)描述。在分析了集成化企業(yè)模型與訪問(wèn)控制模型的關(guān)聯(lián)之后,將集成化企業(yè)模型融入到訪問(wèn)控制領(lǐng)域并提出了IEM-BAC,最后將IEM-BAC應(yīng)用到集成化企業(yè)建模平臺(tái)中。

集成化企業(yè)建模平臺(tái)中的訪問(wèn)控制模塊實(shí)現(xiàn)了對(duì)企業(yè)建模工具、文檔管理工具、績(jī)效管理工具、工作流管理系統(tǒng)的動(dòng)態(tài)和靜態(tài)的權(quán)限控制,說(shuō)明IEM-BAC模型能夠很好適應(yīng)企業(yè)環(huán)境下的訪問(wèn)控制需求。以后的研究?jī)?nèi)容會(huì)集中在統(tǒng)一權(quán)限管理工具的研究,將IEM-BAC的管理范圍擴(kuò)展到第三方應(yīng)用。

[1]范玉順.信息化管理戰(zhàn)略與方法[M].北京:清華大學(xué)出版社, 2008.

[2]Ferraiolo D, Kuhn D R, Chandramouli R. Role-based access control[M]. ArtechHourse, 2007.

[3]Ferraiolo D, Kuhn D R. Role-Based Access Control:Proceedings of the NIST-NSA National(USA) Computer Security Conference[Z]. 1992554-563.

[4]Sandhu R, Al. E. Role-Based Access Control Models[J].IEEE Computer. 1996, 29(2).

[5]Thomas R K, Sandhu R S. Task-based Authorization Controls(TBAC): A Famiily of Models for Active and Enterprise-oriented Authorization Management:Proceedings of the IFIP WG11.3 Workshop on Database Security[Z]. Lake Tahoe, California: Chapman & Hall,1997.

[6]范玉順,吳澄. 集成化企業(yè)建模系統(tǒng)體系結(jié)構(gòu)與實(shí)施方法研究[J]. 控制與決策. 2000, 15(4): 401-405.

[7]Thomas R K, Sandhu R. Conceptual foundations for a model of task-based authorizations: Computer Security Foundations Workshop VII[Z]. 1994.

Research on integrated enterprise model based access control mechanism and enforcement

ZHANG Hao, FAN Yu-shun

訪問(wèn)控制是一種保護(hù)企業(yè)信息安全的重要機(jī)制，傳統(tǒng)的MAC、DAC模型已不能滿足現(xiàn)代企業(yè)的訪問(wèn)控制需求，RBAC和TBAC由于其良好的適應(yīng)性成為企業(yè)級(jí)應(yīng)用訪問(wèn)控制的主要實(shí)現(xiàn)機(jī)制。但是現(xiàn)在的訪問(wèn)控制模型普遍存在對(duì)組織架構(gòu)描述能力較弱的問(wèn)題，本文將企業(yè)建模理論融合到訪問(wèn)控制中，提出了一種新的訪問(wèn)控制模型IEM-BAC，并將其應(yīng)用到實(shí)際的企業(yè)應(yīng)用中。

訪問(wèn)控制；企業(yè)建模；工作流；RBAC；TBAC

張皓(1984－),男,碩士,研究方向?yàn)槠髽I(yè)建模、工作流管理、訪問(wèn)控制。

TH315

A

1009-0134(2011)1(上)-0001-06

10.3969/j.issn.1009-0134.2011.1(上).01

2010-08-31

863計(jì)劃項(xiàng)目(2009AA010308)；國(guó)家科技支撐計(jì)劃項(xiàng)目(2008BAH32B03-1)。