应用角色访问控制的工作流动态授权模型

形式化地描述了角色、用户、权限、任务单元、授权策略、授权约束等实体及其相互间的关系,提出将授权约束分为需求角色约束、需求用户约束、拒绝角色约束及拒绝用户约束,并在此基础上建立了授权约束的冲突检测规则．实现了授权流与工作流的同步,并通过授权约束的冲突检测确保了工作流的有效执行．文中模型具有全面性与实用性较强的特点．     

工程图纸设计系统中的工作流授权模型研究

工程图纸设计是一个典型的工作流,它是严格的、由一系列相关设计任务组成的自动化过程.实际的工程图纸设计包含许多环节,如设计、提交、修改和审核等.不同的设计和管理人员在整个流程的不同阶段协同工作,并在每一阶段实现特定的目标.工程图纸设计工作流的这一特点使得授权成为其中的一个关键问题.针对此问题在分析经典基于角色的访问控制授权模型的基础上提出一种新的工作流授权模型SODAM.该模型引入了服务和动态授权的概念,增强了对用户权限和角色的控制,并使得授权对工作流的动态变化有了更强的适应性.最后给出了该模型在实时工程图纸设计系统中的应用.     

面向工作流系统的统一访问控制模型

本文在分析比较了工作流系统中常用的访问控制模型的基础上,针对工作流授权复杂控制不灵活的状况,给出了一种面向工作流系统的统一化的访问控制模型。该模型综合运用了多种授权方法,通过对多种访问控制方法进行统一化设计,使其可以在实际应用过程中做成可视化、可配置的独立模块,方便的适用于不同工作流系统的权限设计。最后,本文给出了此模型中权限的实现过程。     

一种基于表达式的工作流授权模型

提出了一种动态的工作流授权模型,通过表达式描述任务的触发机制和约束。与基于角色的其它模型不同,在此模型中角色仅是用户的属性之一,通过给用户定义更多的属性和基于这些属性的函数可以很容易地扩展模型。通过表达式可以描述用户和角色的权限、任务状态转换约束、任务实例数量约束、任务间的依赖关系、职责分离、时间约束、组织机构约束。约束表达式的灵活性给模型带来强大的功能和适应性。这个模型支持含有多起点、多终点、单选、多选、与聚合、或聚合、多聚合和循环的复杂工作流。     

面向动态工作流的Web服务组合模型研究

把Web服务与工作流相结合,将Web服务作为工作流中的各项任务,通过Web服务的动态组合技术,建立面向动态工作流的服务组合模型。对Web服务描述进行了扩展,提出了一个基于层次结构的服务发现模型,支持Web服务开发与部署的分离,并通过Web服务的动态查找,对符合要求的可用服务器,引入服务评价函数,根据服务器服务份额、价格策略以及信任度等因素对服务器进行综合评定,实现复合服务在运行时的动态部署与绑定。并通过工作流引擎对各项子任务的交互与完成进行相应控制,最终实现Web服务的动态绑定模型的执行框架。     

工作流管理系统中的授权与访问控制

介绍了两种应用于工作流管理系统中的访问控制模型：基于角色的访问控制和基于任务的授权控制（TBAC）。并对这两种模型进行了比较。     

基于角色的工作流模型及其应用

将角色的概念引入工作流模型中，并对其在安全性方面的控制进行了分析，结果表明在工作流模型中引入角色的概念，可以提高系统的安全性和方便的实现系统的安全访问控制，同时方便了程序员对系统的设计与开发．之中还给出了基于角色的工作流模型的应用实例。     

面向服务的工作流访问控制模型研究

随着企业全球化、企业业务联合与分化的发展,企业组织结构更加动态化,企业业务流程经常发生变更,这都增加了工作流访问控制的复杂性.针对此问题,从工作流访问控制模型与流程模型分离的角度,提出一种面向服务的工作流访问控制模型——SOWAC模型.服务是流程任务的抽象执行和实施访问控制的基本单元,用服务的访问控制替代流程任务的访问控制.说明了SOWAC模型的组成元素及实施实例,提出一种基于服务授权历史的动态责任分离约束方法,并给出SOWAC模型在工作流系统中的实际应用.     

基于任务状态能力的工作流授权模型

提出了一个基于任务状态能力的工作流授权模型,它能很好地满足现实中工作流授权所需的特征。     

工作流系统中基于场所的分布式授权模型研究

对现有工作流授权模型进行简要分析,提出工作流系统中基于场所的分布式授权模型,新模型适应于多种现有授权模型不能支持的应用场景。将对工作流的授权分为两个步骤：第一步,为工作流中的活动选择执行场所,可以直接指定或者通过数据驱动的方式为活动选择执行场所;第二步,场所管理员根据场所的安全策略,为本场所负责执行的活动指定具体的执行者,可以通过授权规则或直接指定的方式,为活动选定执行者,实现对工作流系统的分布式授权。     

一种网格工作流委托授权框架模型

在动态构建服务网格虚拟组织以协同问题求解的新趋势下,提出了一种服务网格工作流委托授权模型。提出委托凭证以细粒度地表示授权决策结果,定义了委托步和委托结构体以及它们之间的依赖关系以形式化地描述流程任务之间的内在约束关系。工作流的每个原子任务被授予一个由委托凭证和激活凭证集组成的委托步,每个任务被授予一个由委托步集和激活凭证集组成的委托结构体。各自的激活凭证集分别规定了委托步之间和委托结构体之间的依赖关系。通过监控委托步和委托结构体能够细粒度地控制网格工作流授权执行过程。实例表明了该模型能满足工作流应用对安全的需求。     

S-Shark安全工作流管理系统设计与实现*

以工作流信息模型安全机制不足为研究对象,通过模型扩展的方法,建立一种安全工作流访问控制模型ETRBAC。该模型在典型T-RBAC模型基础上,提出了职责分离约束和基数约束等问题的解决方案。结合优秀开源工作流管理系统Shark,设计并实现了ETRBAC模型中的相关安全机制,形成S-Shark(secure-Shark)工作流管理系统。S-Shark具有安全性、易用性和可扩展性等优势。     

基于角色的工作流多层访问控制安全模型

随着工作流技术的发展,工作流管理系统对访问控制权限管理也提出了更高的要求.针对实际应用的需求和工作流管理系统的特点,结合已有的基于角色访问控制模型,提出了基于角色的工作流多层访问控制安全模型,并将该模型成功应用到汽车零配件业质量监管流程中.该模型在该质量监管系统中较好地运用了基于角色的访问控制策略,并且考虑到系统整体和实时授权的因素,通过将工作流模型层次分为工作流层、控制层、数据层3层分层授权,从而使模型的安全性得到进一步提高.     

基于业务流程的访问控制模型研究开发

在分析研究RBAC基本模型的基础上,根据网上申报、审批系统的实际需求,提出了一种基于业务流程的访问控制模型,将业务流程和基于角色的权限控制相结合,在业务流程和角色之间建立有效的联系,使有关业务流程的信息能够直接指导角色的设置。该模型克服了RBAC基本模型需要修改角色权限来适应不同业务流程的缺点,真正实现了权限的按需、按流程分配,角色只有在执行特定子任务时才具有权限,权限的分配和回收由系统动态实现。该模型已在网上申报、审批系统项目中应用。     

基于彩色Petri网的工作流权限管理的建模与分析

在一个组织中,权限管理是个非常复杂而又重要的任务。为确保组织的业务过程中各项任务只能被合法的用户所执行,建立授权模型并验证权限分配的正确性是十分必要的。彩色Petri网具有比Petri网更强的表达能力,可以用来建立一个完整的权限管理模型,不仅包含权限管理,还包含安全约束如SoD（职责分离）以及角色层次关系结构（role hierarchy）等概念。使用Petri网建模的一个优势是它建立在坚实的数学基础之上,并且得到了许多分析验证技术和工具的支持,如使用线性代数技术分析授权状态的可达性。     

一种网格工作流的认证服务模型

在网格环境中,任务执行时需要有特定权限才能完成。用户需要拥有足够的权限才能完成任务,如果赋予权限不足,任务就无法被完成;权限过大,又容易产生安全威胁。有限委任就是针对特定任务,特定用户指定一个适当的权限,这样才能确保网格中的安全认证体系。在分析了现有认证服务体系的缺陷和不足后,提出了一种认证服务模型,该模型在一个任务的执行过程中,在不同阶段为不同的经办人分配具体权限,从而确保任务能被安全地完成。     

企业间工作流系统中访问控制机制的研究设计

针对企业全球化合作的信息共享和协同工作,对企业间工作流管理系统中的访问控制需求和机制进行了分析和研究,设计了一个包含基于角色的访问控制、细粒度的任务相关的访问控制、工作流级和企业级安全配置的分离、动态职责分离的支持等技术的实施企业间工作流管理系统访问控制的安全机制。     

.应用角色和任务访问控制的工作流动态授权模型

为实现职责分离和最小权限约束,在传统基于角色和任务访问控制模型的基础上,提出一种应用角色和任务访问控制的工作流动态授权模型。该模型主要包含：①引入了工作流上下文信息来加强职责分离约束;②把权限最小化到任务状态层次;③根据工作流的变化和执行任务所处的状态进行动态地授权。最后以驾驶员培训系统为例,说明了该模型怎样动态实现最小权限约束、职责分离和动态授权,以此说明该模型能够满足工作流动态变化频繁的复杂系统访问控制的需要。     

SaaS工作流访问控制模型设计

在SaaS中,人们正逐渐采用基于服务的业务流程来满足企业业务流程的灵活性和定制性。从实现工作流访问控制的角度,应当使工作流访问控制模型与流程模型分离,以支持在流程改变或组织机构变化时减少对彼此的影响。为此,设计和实现了一个面向服务的、支持访问控制模型和流程模型分离的SaaS工作流访问控制模型—RBSWAC(Role-based Service Workflow Accesss Control)。该模型可提高访问控制的适应性和灵活性,实现访问控制模型同流程模型的松耦合和灵活性。