基于任务-角色的委托模型研究

基于任务-角色的委托模型研究

0分布式工作流系统的任务授权模型随着计算机网络技术的发展，分布式工作流系统在各公司、部门和组织中得到了广泛应用。如何确保任务执行过程中数据的安全并允许任务执行的有效性是建立工作流模型的重要方面。例如，在状态分布的工作流系统中，由于用户出差或工作量过大，任务无法完成。当系统访问系统采用传统的rbac模式时，需要一位管理员重新分配用户来执行这项任务。因此，为了减轻管理员的工作量，有必要使用委托（分散）技术来减少管理员的工作量，并通过委托分散集中管理的任务来提高分布式工作流系统的扩张性。现有委托授权模型RBDM0,RDM2000和PBDM的研究主要集中在基于角色或部分角色的委托,用户将自己所拥有的全部或部分权限委托给其他用户,让接受委托的用户代表该用户执行某些任务.由于接受委托的用户可以将委托给他的任务再次委托给其他人,这样,经过多步委托后可能出现以下情形:造成任务的循环委托,导致无法落实任务的真正执行者;一个高等级的任务由相对低等级的用户执行,引发权限扩散;由原本不满足职责分离的用户执行了委托任务.因此,传统委托模型很难适用于复杂的工作流环境,同时缺乏完善的任务委托机制,无法适应工作流系统中任务委托的需要.论文针对目前工作流环境中委托所面临的循环委托,权限扩散,没有真正实现职责分离等问题,结合工作流系统中任务应作为委托的主体这个特点,提出基于任务-角色的委托模型DE-TRBAC,并对该模型的委托关系中的元素、委托条件、委托约束、任务委托树的构建和委托撤销等进行了形式化的定义和描述.通过该模型,工作流系统中任务的初始授权用户可以向受托用户委托执行任务的权限,受托用户在满足委托条件和约束的前提下,可以向其他受托用户继续委托任务的的执行权限;委托用户将执行任务的权限委托给受托用户后只有通过委托撤销机制,才可收回执行任务的权限.同时,委托条件、委托约束和任务委托树的构建可以避免出现基于同一任务的循环委托及权限扩散等问题.1根据委托用户的要求,分为2个外科委托(Delegation)是系统的主动实体将其拥有的权限转授给另一个可代替他完成某些活动的主动实体的行为.用户—用户、用户—机器及机器—机器是委托的主要形式,本论文主要针对用户—用户委托,其中,将实施委托的用户称作委托用户,获得本次委托权限的用户称作受托用户.结合文献,工作流系统中的委托应具有如下特征:①时限性(Permanence).根据委托的时间把委托分为永久委托和临时委托.在工作流环境中,委托通常发生在用户由于出差或工作负荷过重而不能执行任务的情况,所以只考虑临时委托.②全部/部分委托(TotalityDelegation).工作流系统中,委托用户将访问任务的权限委托给受托用户,如果该任务可划分为多个子任务,委托用户必须明确是否将所具有的全部或者部分权限委托给受托用户.③单调性(Monotonicity).委托用户将任务委托给受托用户后,如果还拥有其原有的执行该任务的权限,称为单调委托;否则称为非单调委托.通常情况下,工作流系统中只考虑非单调委托.④委托管理(Administration).在委托操作中,委托可以由委托用户本身完成,即自主执行,也可以由委托用户任命第三方(某个代理),让其完成委托活动,即委托执行.在工作流环境中,委托用户一般根据执行任务的实际情况选择受托用户,所以为自主执行委托.⑤多步委托(LevelsofDelegation).根据受托用户能否将访问任务的权限继续委托给其他用户分为多步委托与单步委托.出于工作流系统的安全性考虑,为了避免高等级的任务由一个相对低等级的用户执行,在工作流系统中应限制多步委托的步数及增加委托的约束.⑥委托协议(Agreements).根据受托用户是否参与委托决策分为双边协议和单边协议.在工作流环境中,当委托用户选择受托用户时,如果受托用户此时工作负荷过重或者出差等原因是可以拒绝接受本次委托的,所以支持双边委托协议.⑦委托撤销(Revocation).当委托用户达到可以执行委托任务的条件时,其有权撤销原有的委托.委托撤销的形式有级联撤销、依赖撤销和非依赖撤销等.工作流环境中,根据不同的委托模型定义可以选择不同的委托撤销形式.2de-trbac模型基于任务-角色的访问控制模型(TRBAC),论文提出工作流系统中基于任务-角色的委托模型DE-TRBAC.DE-TRBAC模型先将访问权限分配给任务,再将任务分配给角色,角色通过任务与权限关联,任务是角色和权限交换信息的桥梁.在该模型中,根据具体的执行任务要求和权限约束,任务具有相应的权限,不同的任务拥有不同的权限,权限随着任务的执行而变动,这样能更好地满足复杂工作流程中对权限的管理要求.同时,通过为该模型定义委托关系,构建任务委托树,定义委托条件,委托商议等以满足工作流系统中委托的时限性、单调性、多步委托和委托协议等特征.因此,利用模型DE-TRBAC可以完成工作流系统中基于同一任务进行多步委托,避免循环委托、权限扩散、职责不分离等问题的发生.DE-TRBAC模型的整体结构如图1所示,实施委托的用户称为委托用户,用Uor表示,获得本次委托权限的用户称为受托用户,用Uee表示.2.1任务映射关系定义1DE-TRBAC模型可定义如下:DE-TRBAC=(USER,ROLE,TASK,PERM,SESSION,CONSTRAINTS),其中,USER为所有用户集合,ROLE为所有角色集合,TASK为所有任务集合,PERM为所有权限集合,SESSION为会话集,CONSTRAINTS为授权约束集.其相关关系如下:(1)用户角色映射关系(URA):URA⊆USER×ROLE,(ui,rj)∈URA,表示用户ui被赋予角色rj;(2)角色任务映射关系(RTA):RTA⊆ROLE×TASK,(ri,tj)∈RTA,表示授权角色ri可以执行任务tj;(3)任务权限映射关系(TPA):TPA⊆TASK×PERM,(ti,pj)∈TPA,表示执行任务ti所需的权限pj;(4)用户任务映射关系(UTA):UTA⊆USER×TASK,(ui,tj)∈UTA,表示用户ui可以执行任务tj;(5)角色层次关系(RH):RH⊆ROLE×ROLE,(ri,rj)∈RH,记作ri≥rj,表示角色ri是rj的父角色,反映一个组织内部角色之间的等级关系;(6)任务层次关系(TH):TH⊆TASK×TASK,(ti,tj)∈TH,记作ti≥tj,表示tj是ti的子任务之一;(7)函数Us:ROLE→2USER表示由URA推导出的每个角色—用户的映射关系,其中Us(r)={u|(u,r)∈URA};(8)函数Ts:USER→2TASK表示由UTA推导出的每个用户—任务的映射关系,其中Ts(u)={t|(u,t)∈UTA};2.2委托关系定义2.1节主要从工作流访问控制模型角度形式化地定义了DE-TRBAC,假设对于工作流程中某个具体的任务t2已分配由用户u1来执行,即(u1,t2)∈UTA,如果用户u1由于公事出差需要离开岗位一个月,为了不影响工作流程的正常运转,需要引入委托机制由其他用户代替u1暂时拥有执行任务t2的权限,因此模型DE-TRBAC的委托关系的定义是能否顺利实施委托的关键.定义2(委托关系)定义九元组描述委托关系,DE=Delegate(Task,Uor,Ror,Uee,Ree,tb,te,Taskee,Dn),其中各元素含义如下:(1)Task∈TASK,表示工作流程中一个任务,它是委托的基本单位;(2)Uor∈USER,表示委托用户;(3)Ror∈ROLE,表示委托用户执行委托任务所拥有的角色;(4)Uee∈USER,表示受托用户;(5)Ree∈ROLE,表示受托用户原来所拥有的角色,当委托完成后,Uee拥有角色集合为Ree∪Ror;(6)tb表示委托的开始时间;(7)te表示委托的结束时间,并且tb≤te,委托的开始时间和结束时间都是绝对时间,格式为{yyyy-mm-ddhh:mm:ss};(8)Taskee表示Task的子任务之一或者是Task本身,即委托用户Uor向受托用户Uee委托任务Task或Task子任务的执行权限;(9)Dn表示在委托过程中,允许Uee继续委托给其他用户的步数.如果不允许Uee向下委托,则委托步数Dn=0;否则委托步数Dn≥1.2.3任务委托树环路当允许多步任务委托时,针对同一任务按照用户任务委托的顺序可以构建一棵任务委托树DT(DelegationTree).任务委托树的每个节点表示一个用户任务指派关系,每条边表示由父节点到子节点的任务委托关系,边上的数对(tb,te)表示该委托的有效时限.以图2的任务委托树为例,假设用户u1被分配执行的任务t可分解为不同的子任务任务t1和t2,通过构造任务委托树,可以将任务分别委托给不同的用户,同时还可以更好地利用图论知识对委托进行各种分析和检验.任务委托树的构建要满足不会出现循环委托的约束,例如某任务的执行权限由委托用户A委托给受托用户B,经过多步委托后,不允许将该任务的执行权限再次委托给委托用户A.所以,在进行委托之前,既要检查其是否违反职责分离原则,也要判定该委托是否会在任务委托树中形成一个环路.以图2为例,判定基于本次任务的委托是否会形成环路的方法是:假设委托用户为u2,将被委托的受托用户为u4,委托的任务为t1;用任务委托树遍历函数DT_Traverse()在任务委托树中从u2所在的节点出发回溯,一直回溯到根节点为止,这条路径上所经过节点的用户集合为DT_Traverse()={u2,u1}.如果u4∈DT_Traverse(),并且是关于同一个任务的委托,则会出现环路,因此禁止本次委托;反之,u4∉DT_Traverse(),满足本次委托约束.2.4任务约束和委托协商基于工作流系统的安全性,用户在进行任务委托时必须考虑到工作流程定义时各种授权条件,只有满足这些条件的委托才能被允许.比如,常见的发文流程中拟稿和核稿任务不能是由同一用户来完成,核稿和签发任务也不能由同一用户来完成,所以需要定义先决条件Pre_C.定义3:委托先决条件Pre_C是用操作符“&”(and,与)和“|”(or,或)将约束Cr连接起来的布尔表达式.其中,约束Cr是t、(-t)、r或者(-r)的形式,分别表示执行某个任务约束的集合,不执行某个任务约束的集合,拥有某个角色的约束集合或者不拥用某个角色的约束集合,例如Cr=(-Cr1)&Cr2|Cr3.定义4:函数Upre:Pre_C→2U表示将委托先决条件映射到满足该条件的用户集合.根据工作流系统中“委托协议”这个特征,当委托用户根据组织策略从系统提供的侯选用户中选择受托用户后,受托用户要结合工作负荷等其它实际情况,考虑是否有能力或时间完成委托任务,所以委托用户与受托用户就是否进行委托或撤捎委托要进行商议.定义5定义委托协商Con=Consulation(Uor,Task,Uee)为用户Uor和Uee就任务Task能否被委托进行协商的结果,其中Con取值有两种情况,refuse和success,分别表示拒绝委托与接受委托.3执行委托3.1委托判定规则委托的执行是一个复杂的过程,正确的委托可以使委托用户将要执行的任务委托给受托用户执行,不会因为委托用户临时不在岗位等原因影响工作流程的正常流转.基于DE-TRBAC委托模型的委托实施过程分为四个阶段:①请求阶段,委托用户依照角色层次从系统提供的侯选用户集合中选择受托用户并提交委托请求.②委托判定阶段,系统根据委托约束、委托先决条件等决定是否允许本次委托.③委托商议阶段,受托用户根据自己的实际情况,决定是否接受或拒绝此次委托.④执行阶段,当受托用户同意接受委托时,完成本次委托.在委托的实施过程中,委托的判定规则是决定能否顺利完成委托的必要条件.定义6委托判定规则Can_delete⊆DE×Pre_C×DT_Traverse()×Con,其中DE=Delegate(Task,Uor,Ror,Uee,Ree,tb,te,Taskee,Dn)表示任务的委托关系,Pre_C表示委托的先决条件,DT_Traverse()表示任务委托树的遍历,Con表示委托协商的结果.3.2委托见u2以图2的任务委托树为例,具体的委托步骤如下:(1)假设用户u1向系统提出委托请求,de=Delegate(t,u1,r1,u2,r2,2010-8-1000:00:00,2010-8-1520:00:00,t1,1),表示任务t的执行者u1将t的子任务之一t1委托给用户u2,该委托的时限是2010-8-1000:00:00至2010-8-1520:00:00,并且允许用户u2将执行该任务的权限继续委托的最大步数为1.(2)系统根据已经定义的委托先决条件pre_c=(-r3),即不能将该任务委托给拥有角色r3的用户,根据委托请求判断受托用户u2原来拥有的角色为r2,而不是r3,所以本次委托满足委托先决条件,否则转(5).(3)从用户u1所在任务节点出发向上回溯,DT_Traverse()={u1}且u2∉DT_Traverse(),则满足本次委托不会出现循不委托的约束,否则转(5).(4)系统就用户u2能否接受委托任务与u2进行商议,即将委托请求转发给用户u2.u2收到委托请求后,综合考虑实际的工作量,同意暂时代替用户u1执行任务t的子任务t1,然后向系统发出同意接受委托的回复.因此,委托商议的结果为sucess,基于任务t的本次委托成功,否则转(5).(5)委托过程结束.4任务委托树产生的撤销过程当委托时限结束,受托用户返回到了原岗位,或者委托用户执行任务出现错误等原因发生时,应该将委托执行任务的权限收