工作流系统中基于任务状态的转授权模型

为了解决工作流系统中多个用户协作完成某个任务时的权限分配问题,提出了工作流系统中用户-用户间基于任务状态的转授权模型,用任务处于某个状态的时间段作为转授权有效期的限制,将任务的部分权限作为转授权对象,在任务的各个状态下为不同的用户分配不同的权限.给出了模型的形式化定义,并提出了模型中转授权约束规则、冲突消解办法和转授权的撤销,最后举例说明该模型在实际工作流系统中的应用.模型能在不增加系统管理员负担的前提下,较好地解决工作流系统中多个用户协作完成某个任务时的授权问题.     

基于角色和任务的工作流授权模型及约束描述

首先描述了一个基于角色和任务的工作流授权模型,其基本思想是角色和权限不直接挂钩而是通过任务把它们联系在一起,更方便权限粒度的控制和管理,然后以此模型为上下文背景提出了一个描述基于角色和任务的工作流授权约束的直观的形式化语言,称为RTCL·它以系统函数、集合以及变量符作为基本元素,证明了在语义上RTCL与严格形式的一阶谓词逻辑RFOPL是等价的·最后通过用RTCL表示各种各样的约束来说明RTCL的表现能力·     

基于工作流任务状态的访问权限分配模型

权限的分配是工作流系统访问控制中的核心问题.本文以任务状态为基础,用二维矩阵描述角色与任务、任务与状态、状态与权限之间的关系,并利用关系运算计算给定时刻角色、任务和权限之间的关系,实现了对角色权限的动态分配,提高了数据访问的安全性.     

基于授权约束的工作流任务指派算法

在电子政务、电子商务等工作流应用环境中,任务执行者主要是组织机构中的人,访问控制系统的授权约束需求是工作流任务指派要考虑的重要问题,已提出的许多工作流授权模型主要讨论授权的实现过程,而较少涉及授权的约束或依赖关系。工作流任务指派必须与访问控制系统结合,为此提出工作流任务指派中授权约束的相关概念,讨论了满足授权约束的工作流任务指派实现算法及算法的复杂度,同时,给出在实际应用中各系统部署的示意图及授权约束验证系统主要接口的功能;最后,指出了该实现方法的优点及未来研究方向。     

工作流系统中基于角色层次的任务转授权模型

针对工作流系统中用户由于某些原因不能按时完成所分配任务的情况,提出了基于角色层次的任务转授权模型。在该模型中,将系统指派给角色的任务分为可转授权私有任务、不可转授权私有任务和公有任务。委托用户在转授权申请中不指定具体的受托用户,只在下级角色中指定选择受托用户的角色范围,由转授权服务器依据角色层次关系动态选择合法的用户作为受托用户执行被转授权的任务,克服了以往转授权模型中由委托用户指定受托用户时受托用户选择不当或者多步转授权的缺点。     

基于任务的授权模型

商业信息系统与军事信息系统的不同，使得传统的基于主体、客体观点的访问控制技术不再适合于多点访问控制的信息处理。针对一种新的授权策略-基于任务的授权策略，给出了一种形式化描述，用集合和关系的概念定义了该模型的基本性质、规则、操作。最后对其安全性进行了分析。在该模型中，授权并不是简单地体现在静态的（s,o,a）三元组中，而是有生命周期的，并伴随着任务实例的执行而改变状态。它能使授权、跟踪资源的使用、收回许可等自动执行，以协调各种不同任务的进展。     

工作流系统中基于场所的分布式授权模型研究

对现有工作流授权模型进行简要分析,提出工作流系统中基于场所的分布式授权模型,新模型适应于多种现有授权模型不能支持的应用场景。将对工作流的授权分为两个步骤：第一步,为工作流中的活动选择执行场所,可以直接指定或者通过数据驱动的方式为活动选择执行场所;第二步,场所管理员根据场所的安全策略,为本场所负责执行的活动指定具体的执行者,可以通过授权规则或直接指定的方式,为活动选定执行者,实现对工作流系统的分布式授权。     

基于任务和角色的分布式工作流授权控制模型

针对传统工作流访问控制模型的缺陷和分布式工作流管理系统的特性，在基于角色的访问控制模型的3层访问控制结构的基础上明确引入任务的概念，构造了4层访问控制结构（用户-角色-任务-权限），对系统中的任务进行了较好的访问控制，有效解决了传统工作流安全模型的缺陷。同时使管理员的安全控管工作更加灵活、简便。     

一个基于RBAC的工作流授权模型

提出了一个基于RBAC的工作流授权模型RWAM，与传统的基于主体一客体的授权模型不同，该模型提出了时态权限的概念，表示只能在某个时问段内，对某个任务执行某种操作．这样不仅可以保证组成工作流的任务只能被属于某个特定角色的用户执行，而且可以保证授权流与工作流是同步的．     

一种基于表达式的工作流授权模型

提出了一种动态的工作流授权模型,通过表达式描述任务的触发机制和约束。与基于角色的其它模型不同,在此模型中角色仅是用户的属性之一,通过给用户定义更多的属性和基于这些属性的函数可以很容易地扩展模型。通过表达式可以描述用户和角色的权限、任务状态转换约束、任务实例数量约束、任务间的依赖关系、职责分离、时间约束、组织机构约束。约束表达式的灵活性给模型带来强大的功能和适应性。这个模型支持含有多起点、多终点、单选、多选、与聚合、或聚合、多聚合和循环的复杂工作流。     

一种基于任务依赖信息的工作流事务模型

H·Garcia-Molina等人提出了用于解决长事务问题的Sagas模型,但Sagas模型的事务补偿过程会撤销整个长事务,另外模型要求长事务的每个子事务都必须具有补偿子事务,这两个缺陷大大影响了Sagas模型的执行效率和适用性。本文通过利用任务间的依赖关系以及对事务进行分类的方法,在Sagas的基础上实现了一个部分补偿的工作流事务模型,对于不同类型的事务执行不同的补偿策略,同时即使撤销子事务也仅撤销该子事务所对应的依赖事务,而不是撤销整个事务流程。     

一种基于企业网格的工作流安全认证模型

基于企业网格具有多层次,多任务,多用户以及需要对不同访问采取不同的权限限制等特点,该文提出了一种采用工作流安全认证模型。在网格环境中,任务执行时需要有特定权限,如果赋予权限不够,则不足以完成任务;如果赋予权限过大,对企业安全又起到了威胁。因此该模型在执行一个任务的过程中,针对不同种类的企业客户及不同的授权任务指定一个适当的具体权限,从而确保任务安全,高效的完成。     

基于角色和任务的工作流访问控制模型

提出了一个基于角色和任务的工作流访问控制模型,其基本思想是:角色和权限不直接挂钩而是通过任务把角色和权限联系在一起,然后给用户指派合适的角色,用户通过其指派的角色获得可以执行的任务,然后在执行某个任务的某个具体实例时获得该任务所允许访问的客体的权限,更便于权限粒度的控制和管理。在模型的工作流任务规范中加入了时态约束,表示只能在某个时间段内执行该任务,这样可以保证授权有效时间与任务执行时间尽可能同步。在工作流的执行过程中,系统会保存一个授权基,即任务的历史执行信息,根据这些历史执行信息求出有资格执行任务的用户集,从而实现动态职责分离。     

基于任务和角色的工作流访问控制模型

提出一种基于角色和任务的工作流访问控制模型,并描述模型中用户、角色、许可、活动等要素间的指派关系和该模型的静态、动态约束规则,然后以此模型为上下文背景提出一个描述基于角色和任务的工作流授权约束的直观的形式化语言,称为ERCL。它以系统函数、集合一级变量符作为基本元素。最后给出一个该模型在实际工作流系统中的应用。