面向企业基于任务角色访问控制的drm模型-研究

《面向企业基于任务角色访问控制的drm模型-研究》由会员上传分享，免费在线阅读，更多相关内容在教育资源-天天文库。

西北大学硕士学位论文1．1课题研究背景第一章前言随着我国社会信息化发展，计算机网络及信息系统在政府机构、企事业单位及社会团体的运作中发挥着越来越重要的作用。信息化水平的提高带来了巨大的发展机遇，同时也带来了严峻的挑战。由于信息系统本身的脆弱性和呈现出的复杂性，企业网络规模的不断扩大，企业内部网的信息管理也越来越复杂，信息安全问题不断暴露【”】。企业网中存储的关键和敏感的数据越来越多，它们对不同的用户有不同的保密级别。例如，部门经理应具有部门职员的访问权限，同时还应有普通职员不具备的权限，如制定和修改工作计划、考核每个职员的业绩等。当经理的职位人事发生变动，该怎样有效设置新经理的权限及原经理在新岗位所需的权限与管理他原来所有权限的去向等。所以如何对不断变更的用户进行有效的管理，以及如何控制众多用户在预期范围内对这些企业资源进行有效的使用是很有必要的。企业不同于军事部门、大学等环境特点14,5J。在这种环境中，企业组织通常由许多工作相关的人们组成，有角色等级关系；工作任务有属于工作流程的，也有不属于工作流程的任务，相应的访问控制也就要求主动和被动相结合；企业环境是动态的，访问权限和访问主体变化较快。这些都导致了对管理系统及访问控制策略的更高要求。工作流技术也是诸多企业为实现不同部门之间由多个任务构成的业务协作的普遍技术，它的主要特点是当数据在工作流中流动时，执行操作的用户在改变，用户的权限也在改变，这与数据处理的上下文环境相判6】。针对企业环境中数据内容的管理，人们提出一种新的技术——数字版权管理技术(Digital黜曲tsManagement．ORM)【7周。目的就是通过各种技术手段，在整个生命周期内，对数字内容的知识产权进行保护，确保数字内容的合法使用和传播。数字版权保护技术自产生以来，得到了工业界和学术界的普遍关注，被视为是数字内容交易和传播的关键技术。在第一代数据版权管理中主要利用安全和加密方法来解决非法拷贝问题。第二代的DRM模型中不但包括加密和密钥管理，更重要还扩 西北大学硕士学位论文展了对访问控制、追踪记录、终端操作控制的管理。基于对企业信息系统安全保护的简要分析得出，目前制约企业信息系统进一步发展的重要环节就是有效的访问控制策略和安全灵活的分发管理机制，因此采用何种机制来满足信息系统资源的安全需求则成为当前企业网内发展的关键。传统的访问控制只强调服务器端的控制，很少考虑客户端的控制，而DRM要求实现对数字的永久控制，在强调服务器端对资源的访问控制的同时，更重要的是强调客户端对资源的使用控制；另外二者在保护数字内容的侧重点不同，访问控制侧重保护内容的机密性、完整性，而DRM侧重保护内容的知识产权，如何把数据版权管理与访问控制相结合，吸取了二者各自的优点。在现有研究中，存在DP34系统与自主访问控制和角色访问控制这种被动方式的访问控制相结合的研究，但针对企业环境要求，如集中灵活的管理、角色等级划分和约束、基于主动的访问方式与基于被动的访问方式相结合，以及适应企业工作流来管理数据内容等方面的发展现状仍不能让人满意，没有真正傲到权限分配的职责分离和最小特权原则，在实际中也没有一种有效安全的保护方案。1．2目前研究现状及存在的问题针对上文介绍的研究背景，国内外在这方面己经有不少研究，主要有以下三种：●企业环境管理：Ferraiolo和Sandhu等人19-111提出了基于企业团队的工作流系统存取控制模型，但是此模型却没有说明如何将工作流及任务的概念加入到RBAC框架之中，在工作流系统中没有引入动态保护概念。以BFA模型【m14】为代表提出了针对工作流系统的基于角色的授权约束的说明与实现模型，着重强调了工作流系统中存取控制的重要内容，但是却没有很好体现基于角色的权限继承授权约束关系。·数据版权管理：许可授权是数据版权管理中的核心问题。目前，多是针对非工作流环境。其授权方式集中在角色访问控制的数据版权管理【15'16】上，对于工作流方式的动态环境的保护级别较低。对版权许可管理、动态许可授权、基于任务的动态授权在数据版权管理中研究较少。·访问控制(AccessContr01)：5c献【m1卅均提出了基于任务的访问控制模型。从理论上具有动静结合的概念，比较符合企业环境的实际情况。但目前这方面的研2 西北大学硕士学位论文究多是基于理论水平，这种技术的发展现状仍不能让人满意，尚未得到大多数组织和企业的认可和广泛应用。1．3课题研究意义从理论上分析传统访问控制模型的优缺点，对现有模型进行扩展，提出基于任务角色访问控制的数据版权管理模型；使“任务”和“角色”相结合，满足企业中即有角色层次划分，又有适合工作流的动态分配；使访问控制与数据版权管理有效的结合，补充二者的不足，发挥各自的优点。从应用上，使这种模型能切合企业应用实际，有利于保护企业敏感信息，合理分发访问者的权限，便于集中管理。1．4论文章节安排本文主要研究针对企业环境，基于访问控制技术的数据版权管理。本文具体内容安排如下：第二章分析企业环境工作特点，主要从工作流，及非工作流系统，工作流管理系统，对工作流技术进行研究；并讨论了企业文档处理工作流。第三章对数据版权管理的发展现状及其功能迸行简单介绍，研究当前DRM在企业文档保护方面的发展及不足之处；分析比较传统的访问控制技术特点；最后，针对企业复杂环境，引出论文的技术方案。第四章是论文的重点，根据数据版权管理授权机制及存取控制需求，提出了基于任务角色访问控制的DRM模型一TR—EDRM(Task-RoleExpendedDigitalRightsManagement)。首先，介绍模型的基本概念，并形式化定义TR-EDRM模型；给出模型的授权方式，任务依赖关系；最后，对TR-EDRM模型特点进行分析。第五章对模型进行验证，设计和实现面向企业通用电子文档管理系统，给出系统结构和总体设计框架；详细描述主要模块功能，并给出流程图；最后展示系统部分界面。第六章对本文所做的工作进行总结，并指出需要进一步研究的工作。 西北大学硕士学位论文第二章企业环境分析2．1企业环境特点及组成元素同军事部门、大学等相比，企业组织有许多不同的特点[3--51，其访问控制的方式也应有所不同。企业环境的主要特点有：企业组织通常由许多工作相关的人们组成，企业中的业务有属于业务流程的，也有不属于业务流程的。业务流程包括许多业务活动(任务)，产生大量的信息，而这些信息应由人们来共享；企业环境是动态的，变化较快，这将导致访问权限和访问客体的快速变更；企业环境中，权限是根据工作职位和所要完成的任务进行分配的，为了保证安全和完整性，权限的继承不能是全继承，应强调部分继承；企业环境中。业务活动都是相互联系，任务的特点是不同的，制定访问控制策略时，应考虑任务的特点、相关的约束和业务规则；任务或工作职能是用户所要进行的工作或商务活动，任务是根据用户的工作岗位或业务角色进行分配的，用户必须具备一定的权限才能执行分配的任务，任务通常与信息资源和权限相关，在企业的组织结构中，任务被分成两类：能继承权限的任务和不能继承权限的任务；信息资源是访问控制的客体，包括数据文件、数据表格等，用户必须具备一定的权限才能访问相关的资源，从而保证信息资源的安全性；业务规定或原则是企业根据其自身的特点和安全需求制定的相关准则，如职责分离、最小特权等，访问控制模型必须能充分满足企业制定的相关规定。企业环境中与访问控制有关的主要元素有：组织结构(organiZ缸ionstructure)，用户(users)，用户的工作岗位Oobpositions)或业务角色(businessrole曲，用户需完成的任务(tasks)或工作职能Gobfunctions)，业务流程(businessProcesses)，用户需要访问的信息资源(informationresources)以及企业制定的有关规定或原贝lJ(businessrules)等。(1)组织(organization)是一些需完成商务活动的用户构成的一个群体。组织有其组织结构，组织结构反映了企业的权限等级。当代企业的组织结构主要是一种具有上下层次的等级(hierarchy)结构，但正朝着扁平化方向发展。(2)用P(users)是访问控制的主体，他们属于企业的某个组织，根据其工作岗4 西北大学硕士学位论文位或业务角色完成组织分配给他们的任务或履行其工作职能。(3)T作岗位或业务角色是用户在企业中所处的职位或充当的工作角色。工作职位通常对管理人员而言，而业务角色通常对完成业务活动的一般人员而言。在企业的访问控制中，用户需要分配一定的访问权限才能履行其工作岗位或业务角色。工作流(业务流)是企业中重要的概念。企业中的业务有属于工作流和非工作流之分。非工作流中任务多是原子任务，不存在任务的顺序关系。而工作流中任务是相关的一些活动组成。在企业环境中，根据是否属于工作流，可将任务分为两类：属于工作流的任务和不属于工作流的任务，它们有不同的访问控制特点：属于工作流的业务需采取主动访问控制，不属于工作流的业务需采取被动访问控制【5】模式。论文中视工作流和业务流为一个概念。2。2工作流管理工作流技术是八十年代起开始兴起的涉及计算机及管理领域的新兴技术。有关工作流的一些基本思想源于早期的“办公自动化”、。文档管理”、“表单处理”等领域120!，但进入九十年代后，随着计算机与网络技术的迅速发展，现代企业的信息系统的分布性、异构性和自治性的特征越来越明显，工作流管理技术成为处理企业复杂信息环境实现业务流程自动执行的必要工具，从而吸引了来自研究领域与产业界的广泛关注。由于工作流的研究是刚刚发展起来的领域，所以现有的工作流的研究还不够成熟，表现在一方面研究的深度还不够，另一方面研究的广度也不够，尤其是将工作流与企业数据版权管理(DI∽相结合的研究比较少．2．2．1工作流到目前为止，工作流仍没有完全统一的定义，不同的研究者提出了不同的定义，其中以工作流管理联盟的定义最具代表性：业务流程部分或全部用计算机自动执行，在此过程中，文档、信息和任务依据组织规则，在工作过程的参与者之间进行传送和执行，从而实现业务目标或者促使业务目标的实现【6】。工作流技术通过将工作活动分解为定义良好的任务、角色、关系和过程进行5 西北大学硕士学位论文执行和监控，从而提高了组织工作效率。工作流系统将应用逻辑和过程逻辑分离开来，提高了系统的灵活性，有效地解决了网络计算中的任务分布、资源协调、工作调度等问题，能够实现现代化组织机构在适当的时间将适当的信息传递给适当的人的要求。2．2．2工作流管理系统工作流描述了组织机构复杂的业务处理过程，涉及到多个系统与多个用户之间的交互操作以及多个复杂流程，不可能单纯依靠人工干预进行管理，为此必须建立工作流管理系统WFMS(WorkflowManagementSystem)。WFMS是支持工作流运行的系统环境，它将现实世界中的业务流程转化为计算机化的表示形式，并在此形式表示的驱动下执行和管理工作流【4】。换句话说，工作流管理系统是用计算机软件定义、创建、管理工作流执行的系统，是工作流实例的执行平台，目标是实现现实世界中的业务流程的自动化。WFMS主要涉及的内容是工作任务的整体完成流程，参与者之间按照一定规律或目标进行协调，决定任务执行的微观顺序并按此顺序交换与任务相关的有关信息。WFMS已在不同的组织事务处理、过程设计、建立和管理中得到了应用【2”，是近年来信息领域和管理学科领域最有发展潜力的方向之一．2．2．3基本构成下面一些概念将有助于对工作流技术的进一步认识。业务流程(BusinessProcess)：在功能确定的组织机构中，能够实现业务目标和策略的相互连接的过程和任务集。过程定义(ProcessDefinition)：是对现实领域中组织机构业务流程的形式化描述。它定义了过程运行中涉及到的各种参数，如过程的起始和终止条件，构成过程的活动及活动之间的关系，组织成员的角色。过程实例(Proc嘲Instance)：是某个工作流过程的一次执行，每个过程实例代表一个能独立控制执行、具有内郝状态的线程，外界通过标识可访问。过程实例是真正执行的工作流。任务(协k)：对应于业务流程中在逻辑上相对独立的工作步骤，是工作流系6 西北大学硕士学位论文统执行中的最小工作单元，具有原子性，分为用户手工操作和计算机自动处理两类。本文是根据结合实际将二者相结合进行任务处理。Georgakopoulos将工作流定义为“将一组任务组织起来完成某个经营过程”[221。工作漉要明确表示出定义完善的任务、任务之间的执行顺序、任务传递的信息及所需资源、任务的执行实体、跃迁信息。任务的执行实体可以是某个人、某组人、某个软件系统或多个软件系统。一组用户则可用一个角色来表示，在执行时则由具体用户代替角色，这样有利于提高系统的灵活性。跃迁信息定义了任务发生转交时所依赖的信息，如启动条件、终止条件、后继任务等。任务实例(TaskInstance)：实际运行中的一项任务，是任务的一次运行。每一个任务实例都表现为一个工作项(Workitem)，由某个或某组用户负责完成。每个任务实例代表一个角色独立控制执行、具有内部状态的线程，可被外界通过标识进行存取。一个过程实例至少包含一个任务实例。执行一个过程实例时，WFMS将解释相应的过程定义，由其中的任务生成相关的任务实例，并根据过程定义中的规则协调任务实例之间的顺序关系，同时完成任务实例之间的信息传送。过程实例的执行实际上是由用户调用相应的应用程序对他所涉及的任务进行处理，之后WFMS根据处理结果激活后继任务并生成相应的工作项，并通知有关用户进行处理。如此反复迸行直至整个过程完成。一个用户负责的所有工作项构成其工作列表(Worklist)。存取控制策略的实施例如职责分离，需要工作流引擎在过程实例中解释对象存取历史。这就需要工作列表正确反映谁执行了任务。工作流系统中的基本概念之间的关系可用图2．1表示[23,241。业务流程手-rfl嘎肛≥应用T具弭用莳应用具圈2．1工作漉基本概念 西北大学硕士学位论文2．2．4企业文档处理工作流文档按照规定的流程在办公用户中流转，这种流转就构成了文档处理工作流。显然，文档处理以文档为核心，涉及到多个部门、多个用户以及多个环节，是一个典型的工作流。在政府办公自动化系统中，文档处理是比较复杂但又十分重要的模块。文档处理工作流的设计合理与否直接影响到整个企业或政府办公流程的准确性、自动化程度和运行效率。1、流程描述文档处理大致要经过拟稿、核稿、审批、签发、归档和分发等处理过程，流程如图2．2所示。图2．2文档处理流程图在上述工作流图中，流动的是文档，方框外描述的是处理文档的工作人员。具体流程描述如下：(1)拟稿人起草新文档后交给核稿人进行校验；(2)核稿人在进行校验时，若发现问题则退还给拟稿人进行修改，否则递交相关领导进行审批；(3)领导在进行审批时，若发现问题则退还给拟稿入进行修改，否则递交其他领导审批或直接递交主管领导进行签发；(4)主管领导签发文档，并交给秘书处；(5)秘书处整理文档，对之进行归档；(6)秘书处根据实际需要，分发文档。由此可见，文档处理涉及到不同的工作部门和不同的工作人员，主要处理对象是文档稿件。整个过程从拟稿开始，接着进行校验、修改。在进行领导审批时，动态设定审批者，首先是本科室领导审批，再递交上级领导进行审批；也可根据需要，越过本科室领导直接递交给上级领导。最后主管领导签发，此时才形成正 西北大学硕士学位论文式文件。2、基本特点文档处理工作流具有以下特点：(1)协同性；文档处理是一种协同工作。必须要由多个人员共同完成。(2)结构化：要按照实际工作过程中的固定步骤如拟稿、核稿、审批、签发、归档、分发等进行。(3)灵活性：在某些情况下可根据实际需要，由用户灵活组织工作流程，如可将文档越过某些步骤直接递交主管领导进行签发。(4)即席性(Ad-hoc)：参与文档处理的工作人员事先无法预知，必须在运行时才能确定。(5)权限的多样性：每一参与人员由于岗位、职责不同，对文档具有不同的存取权限。在开发适合用户实际工作情况的文档处理系统时，必须对系统反映的对象和工作流进行详细周密的分析和设计。人员和文档是在进行文档处理时必须涉及到的两个基本元素：人员处理文档，所以文档处理系统应该很好反映二者的属性。3、基本属性作为文档处理的两个基本元素，人员和文档均具有静态属性和动态属性，具体见表2．1。．表2．1基本属性人员支挡静态属性岗位、职Ih权限存取粳动杏属性时俺、空简对莉．空伺静态属性是动态属性的前提和基础，动态属性是静态属性的补充和调整。需要注意的是，静态属性和动态属性均是相对而言的，静态属性比动态属性具有相对稳定性，但也可能随动态属性的变化而变化。人员的岗位、职责和权限三个属性是相互联系而又相互区别的概念，不同工作岗位的人员自然具有不同的工作职责，因而在系统中也就具有不同的存取权限。人员的岗位、职责均有可能随时间和空间的变化而变化，相应地在系统中的存取权限也随之变化。 西北丈学颈士学位论文在工作流系统中，“文档”是最基本、最核心的元素，它既可以是静态的，如已经归档的文档，也可以是动态的，如正在不同用户之间流动并接受不同用户审批的文档。文档的存取权属性反映了该文档的基本内容可以被某些人员进行某些操作，文档处于不同的时间和空间中，人员具有的存取权限也不同。例如，当文档起草人员尚在起草新文档时，其他人员就不可查看文档内容；一旦此文档起草完毕并递交给部门领导时，部门领导才可查看内容但不能对之修改。在对文档处理系统进行分析时，首先就要分析人员和文档各自的属性，而二者之间的流程关系亦即工作流，则是紧跟其后需要进行的分析工作。4、流程关系任何复杂的文档处理工作流，均可化解为以下四种工作流的组合：顺序流、分支流、汇聚流和循环流，这四种工作流是构成复杂工作流的基本组件。由于有向图可以直观描述工作流中的时序关系，下面就用这种方式简要说明四种基本工作流。(0表示人员，斗表示文档流向，⋯⋯表示该流程被省略的前后流程)(1)顺序流：⋯—3————<>————o⋯·(2)分支流(Spli0：分支流是一对多的进行广播式传送。根据各个分支处理方式的不同，又可进一步分为“与分支流(And-Split)”，。或分支流(Or-Split)”两种。在与分支流中，各个分支之间要同步执行；在或分支流中，各个分支的执行是独立异步的，可以以任意次序执行。如人员A给人员B和C同时发送会议通知后，B和C可以异步接收、处理此通知。)(3)汇聚流(Join)lO 西北大学硕士学位论文汇聚流是多对一的进行传送。和分支流类似的，根据各个分支在汇聚之前处理方式的不同，又可进一步分为“与汇聚流(A口蜥I)”，“或汇聚流(0l妇1)乙在与汇聚流中，各个分支在汇聚之前要同步执行；在或汇聚流中，各个分支在汇聚之前的执行是独立异步的，可以以任意次序执行。(4)循环流：循环流是指在文档流转过程中，一些人员将此文档返回到曾经处理过此文档的人员处(称为枢纽)。例如人员A起草新文档，并递交给层层领导进行审批，在此过程中，领导随时可能将此文档驳回给拟稿人。2．3本章小节本章首先介绍了企业环境特点及与访问控制有关的元素，集中分析了企业存在工作流和非工作流环境；角色层次和权限继承等复杂关系。然后围绕论文研究的问题，对工作流管理系统进行重点研究，分析工作流系统基本构成及工作流系统的功能。最后，根据企业处理流程，着重分析企业文档处理工作流。 西北大学硕士学位论文第三章数据版权管理与访问控制研究3．1数据版权管理3．1．1数据版权管理简介数据版权管理(DigitalRightsManagement，DRM)，最初是从满足数字信息(如专有程序代码和秘密军事情报)的保护需求发展而来。这些敏感的知识产权所有者们以各种方式控制着对信息的访问，从简单的密码到复杂的视觉设备。在互联网的今天，特别是电子商务的爆发，加速了人们从通过网络刺探秘密发展到盗取小说、音像制品的速度。数字出版物简便迅速的分发方式让作家、音乐家和各类出版商开始考虑如何控制对他们的知识产权的访问，以及收取适当的使用费。据IIPA(国际知识版权协会)估计，美国电影业每年由于盗版而导致的损失达到数十亿美元，在唱片和音乐行业这个数字是17亿美元[251。同时，14P3现象也己经告诉他们如果还不采取措施，尽快让消费者级别的BRM成为现实的话，那么即将造成的损失有多大，所以，数字化媒体加入DRM反盗版技术势在必行，这也必将派生出一个新的市场。DRM及其相关技术能够为互联网上的数字内容提供有效的数字版权保护解决方案，防止数字内容的盗版、非法拷贝和使用，从而为基于内容的各种增值业务的开展提供安全上的保证。第一代的数字版权管理技术主要以安全和加密技术为主，它加密数字内容并以对版权分配进行控制的形式限制对内容的使用，防止非授权拷贝，这也是DRM技术目前最基本和最广泛的应用形式。第二代的数字版权管理系统开始变得更加丰富，它包括对知识产权拥有者的有形和无形资产的全面管理，与访问控制相结合，覆盖了版权描述、身份鉴别、内容交易、内容保护、版权使用的监控和跟踪等各个方面1261。倡导使用DRM技术保护知识产权的领头人是Adobe．公司旧。不久以后Adobe公司和微软公司联手，与网络内容提供商和最早的DRM技术开发者结成了战略伙伴联盟，在相互合作中，他们共同探索出了一条捍卫数字版权之路。加密技术高手Xerox宣布ContentGuardDRM系统，该系统将提供对Adobe和其 西北大学硕士学位论文它工业标准解决方案的支持。微软公司从1999年推出第一版基于Pc的D跚解决方案，到目前删跚已经在国内外的数字媒体保护领域得到了广泛的应用闭。IBM充分利用该公司在D跚方面一直具有的优势，结合Cryptolope技术推出了EMMS系统【291。甚至更年轻的公司，如RealNetworks，Reciprocal和InterTrust，也在这个竞争激烈的市场中走到了前面，纷纷推出自己的DRM解决方案和产品[30，3u在国内公司，最早涉足该领域的企业不多，目前做得较为成功的是北大方正APABI电子图书解决方案【32l。2001年11月，北大方正联合国内的180余家出版社、图书馆、掌上电子设备公司、网站(包括门户网站、电子商务网站以及图书网站)以及IT技术企业，自发组织成立“中国eBook及数字版权保护联盟”，开始了对数字版权保护的探索。另外由于流媒体的发展，国内目前的一些DRM集成商也开始在微软的WindowsMedia技术基础上制作DRM产品，或者直接应用D跚技术，或者在流媒体加密技术中再融入第三方的加密技术．现在国内最大的流媒体电子商务网站“九天音乐网”就是应用微软的WindowsMedia及其DRM技术进行流媒体的管理、制作、发放和版权控制。另外包括彩虹公司在内的其他一些公司也在推出自己的有针对性的D删解决方案。另一方面，数字版权的保护问题也受到社会各界越来越多的关注【3剪。美国国会于1998年10月通过了‘千年数字版权法令》(DigitalMillenniumCopyrightAct，DMCA)；国内新的《著作权法》已经将网络信息版权的保护列入其中。据悉相应部门近来颁布的多项法规条文也对数字版权的保护提出了明确的要求，这表明我国已经对数字版权开始重视起来，另外新闻出版总署也颁布了‘互联网出版管理暂行规定》对网络环境理想的版权保护制定了规则。可见，不管是国家相关部门还是相关的企业都在努力的围堤筑坝，营造一个数字版权管理的成熟体系，共同促进数字出版业的健康发展。同时美国调查公司Int豇'nationalDataCorporation(IDC)于2001年6月28日(美国时间)发表的预测报告指出：。全球D删市场将在2000年的9600万美元基础以年平均增长106％，至2005年市场规模将飞速增长到55亿美元”。2001年一月美国麻省理工学院于TechnologyRcwiew杂志将数字版权管理技术(DRM)选为改变未来世界的10大创新技术之一。DRM是用来保护数字内容版权的一整套的技术或方法。为了保证通过互联网进行的围绕各种涉及版权或使用权限的数字内容所进行的一系列商务活动的 西北大学硕士学位论文安全，就必须建立一个可信赖的安全基础结构，运用DRM技术可以实现这样的基础结构。从而使这些商务活动成为可能。DRM系统需要达到的安全性目标是：1．防止攻击者绕过数字版权管理而非法拷贝和使用数字内容。2．对于攻击者，要使得破坏DRM系统交得更加困难，需要高昂的成本。3．将攻击者的突破口的范围减到最小，从而限制其商业目的实现。3．I．2DRM的功能DRM是用来保护数字内容版权的一整套的技术或方法。为了保证通过互联网进行的围绕各种涉及版权或使用权限的数字内容所进行的一系列商务活动的安全，就必须建立一个可信赖的安全基础结构，运用DRM技术可以实现这样的基础结构，从而使这些商务活动成为可能。为了满足实现数字商业的需要，DRM系统提供了一系列关键的技术和功能，这相当于在内容提供商和最终消费者之间建立起一个安全的环境，进行基于内容的各种商业活动。DRM可以实现下列安全功能[34J：1．数字内容的保护和安全传输(1)DRM能够保证作者和出版商在不安全的网络上进行安全的数字内容传输。(2)DRM使用带有密钥的加密算法加密数字内容，只用拥有密钥的人才能进行解密。2．数字内容的安全发布一旦数字内容经过DRaM的加密，就必须需要使用解密密钥进行解密，才能获得真实的内容。任何人都可以访问密文，但如果没有解密密钥，这将是没用的。这能保证发布的安全性，同时控制内容的使用对象和使用方式。3．内容真实性的鉴别DRM用单向散列函数(哈希算法)和脆弱数字水印技术来保证内容的真实性。在出版数字内容的时候产生原始内容的摘要并保存起来；或者可将原始内容分成多个独立块，再将每个块加入不同的水印。当用户想要对内容的真实性和完整性进行鉴别时，可以把原来内容的摘要和现在的进行比较。或是通过检测每个数据14 西北大学硕士学位论文块中的水印信号，来检测内容的真实性和完整性。4．盗版和侵入的检测无论保护工作做得多么周密，盗版和侵权的行为还是会时有发生。在DRM中可以使用数字水印技术，在原始内容中嵌入版权信息或发布序列号，当该作品被盗版或者出现版权纠纷时，版权所有者可以从盗版作品或水印版作品中获取水印信号作为依据，然后用法律的手段对其进行制裁，从而保护所有者的权益。5．保证交易不可抵赖无论是在真实的世界里还是在虚拟的电子市场内，交易发生的证明对交易的各参与方都是至关重要的。DRM使用交易参与方的数字签名来保证交易的不可抵赖性。6．参与者的身份认证·DRM使用数字证书技术，来保证参与者的身份的真实性。3．1．3基于DRM的电子文档版权保护技术的提出内部网是一种对安全性要求极高的信息网络，其安全威胁主要是来自于内部人员有意或无意的违规行为所造成的敏感信息泄密，并且泄密事件屡有发生，因此单靠管理制度或技术手段都很难有效地防范来自内部的安全风险，管理制度必须与技术手段紧密地结合，技术手段必须为安全管理提供强有力的技术支持，但是现有的信息安全产品难以满足这一安全需求。由于电子文档是敏感信息的主要载体。因此防范电子文档的非法访问、复制和传播已经成为内部网必须重点解决的信息内容安全问题。DRM技术为解决数字作品的非法复制和传播问题提供了一种可行的、有效的技术手段，受到国内外业界的高度重视，并将DRM技术引入到信息安全领域，以解决电子文档内容保护问题。例如，微软公司投入了巨资研发面向电子文档的DRM技术，其产品在MicrosofIOffice2003中发行，主要用于保护MSOffice文档，但价格昂贵。国内同类产品有方正公司的Apabi安全文档系统等。基于DRM的电子文档版权保护系统的体系结构：一个DRM系统主要由DRaM服务器和DRM客户端组成，其中DRM服务器提供流媒体文件的许可证的注册、签名、分发和管理等服务，DRM的版权保护 西北大学硕士学位论文过程如图3．1所示。客户端所指的是数字内容使用的可信环境。在DRM系统中，受保护的数字内容只能在客户机中使用。客户端的可信任程度需要由服务器周期地在数字内容使用过程中对其进行询问和验证。当客户机向服务器提出许可申请之后，服务器根据用户的信用凭证(例如用户的交费记录、用户的使用记录等)向用户颁发许可。田3．1系统安全梗堡及版权保护过程首先一个DRM客户端创建需要保护的文档，并规定该文档的版权管理策略，然后向DRM服务器发送一个未签名的许可证。DRaM服务器接收到该许可证后，对其进行数字签名，并返回给客户端。该客户端在收到己签名的许可证后，便可发布该文档．当一个用户需要访问该文档时，该客户端上的DRM程序自动将当前用户信息传送给DRM服务器进行核对，在确认了用户身份及其合法性后，再生成许可证，并返回给用户，该用户便可按许可证规定的权限使用该文档。3．1．4DRM中访问控制的发展虽然DRM系统在某些方面的实现技术仍有待进一步深入的研究，但目前制约DRM研究与应用的却主要是DRM系统复杂、低效的管理机制和在DIT．M系统中缺乏有效的访河控制机制【”】。由于DRM系统访问控制的实施需要依靠分散在网络环境中的各个客户机来具体执行，在DRM系统中所采用的访问控制实际上是一种集中管理和分散控制相结合的访问控制机制。而且根据用户的不同属性(例如用户所支付的不同使用费用数量)，在不同的客户机上需要对受保护的数字内容实施16 西北大学硕士学位论文的保护控制策略内容各异，这就为集中管理带来了很大的难度。除此之外，由于当前DRM系统中管理和保护控制中没有实现用户和具体操作权限的逻辑隔离缺乏有效的访问控制模型和访问控制机制，系统中的访问控制管理开销昂贵，实施和更换系统访问控制策略十分不便。3．2访问控制技术所谓访问控制，就是通过某种途径显式地准许或限制用户访问的能力及范围，从而限制对敏感资源的访问，防止非法用户的侵入，避免合法用户因操作不慎而造成破坏。目前，许多敏感的信息、都是通过计算机来控制和管理的。如何确保这些信息不被人窃取和破坏，即如何使它们安全，是当今计算机技术的研究热点。ISO(国际标准化组织)在网络安全标准(IS07498-2)中定义了5种安全服务(身份认证服务、访问控制服务、数据保密服务、数据完整性服务、不可否认服务)。访问控制服务是其中的一个重要组成部分，它以身份认证服务为基础，是实现数据保密性服务和数据完整性服务的主要手段。访问控制根据系统中己有的授权规则，对合法用户的访问请求进行判断，以决定是否允许用户享有相应的访问权限。访问控制作为提供信息安全保障的主要手段被广泛地应用于防火墙、文件访问、VPN及物理安全等多个方面。近20年来研究人员提出了许多访问控制模型，早期提出的模型包括访问控制矩阵(ACM)、Take—Grant模型、自主访问控制模型(OAC)和强制访问控制模型(MAC)等E361。近年来的研究热门则主要集中在Ferraiolo和Kuhnl992年提出的基于角色的访问控制(RBAC)J：[91，Ferraiolo和Sandhu等人对此作了大量研究，并于2001年发表了美国国家标准化和技术委员会(N璐T)的RBAC推荐标准【M。此外，访问控制模型还包括Thomas和Sandhu提出的基于任务的授权控制(TBAc)137]。下面主要对自主访问控制模型(DAC)、强制访问控制模型(MAC)、基于角色的访问控制(RBAC)和基于任务的授权控制(TBAC)作详细介绍及分析。3．2．1自主访问控制自主访问控制①i鼢嘶0naryAccessControLDAC)就是对主体(用户)访问客体(数据库对象)的操作权限实施控制，目的就是要保证用户只能存取他有权存取17 西北大学硕士学位论文的数据，当用户拥有数据库对象上的某些操作权限及相应的转授权时，可以自由地把这些操作权限部分或全部转授给其他用户，从而使得其他用户也获得在这些数据库对象上的使用权限。自主访闯控制实现的基础是访阿控制矩阵(AccessControlMatrix)，在矩阵中水平方向为所有的主体，垂直方向为所有客体，中间每个元素为主体对应客体所拥有的访问权限，如表3．1。表3．1访问控钼矩阵、＼譬Jmt·0bjectl0bject2嘶j托t3＼$ubjectlhiregncuteNoneSubject2bedNoneIrireS曲j∞t3Nonebed／WritelI叩●DAC具有简单、易用的优点，而且在一定程度上实现了多用户环境下的资源保护；而且，自主访问控制策略的弹性使它们适合于多种系统及应用，如WindowsNTServer，UNIX系统。但是，DAC也有难以克服的缺陷：I．由于客体拥有者可以随意更改客体的访问授权，所以客体拥有者可以随意将客体访问权限授予非法主体，从而产生安全隐患；2．由于系统中的客体拥有者往往比较分散且难以统一管理，导致DAC资源管理过于分散，从而使得只应用DAC机制的系统的安全难以得到有力保证：3．不能真正提供对系统中信息流的保护。当信息在移动过程中，其访问权限关系容易被改变。例如用户Liu可将其对目标0的访问权限传递给用户Wang，从而使不具备对0访问权限的Wang可以访问0，这样就无法对目标0的安全进行有效控制。DAC的一种改进方法是让安全管理员来限制访问权限随意扩散，这样就形成了一种半自主式的资源管理方案。这种方案在一定程度上缓解了DAC资源管理过于分散带来的安全问题，但是它的本质还是一种DAC机制，客体拥有者还是有可能将客体访问权限授予非法主体。 西北大学硕士学位论文3．2．2强制访问控制在强制访问控制(MandatoryAccessControl，MAC)中，系统对主体与客体都分配一个特殊的一般不能更改的安全属性，系统通过比较主体与客体的安全属性来决定一个主体是否能够访问某个客体。用户为某个目的而运行的程序，不能改变它自己及任何其它客体的安全属性，包括该用户自己拥有的客体。强制访问控制还可以阻止某个进程生成共享文件并通过这个共享文件向其它进程传递信息。’系统中的每位主体和客体都属于某一个安全级别，这个级别一般包括：绝密(TS)、机密(c)、秘密(S)和非保密(U)，每个保密级别都控制本级及其以下的级别。主体对客体的访问只有在其所处的安全级别符合某种关系时才被允许，特别是要满足以下两个原则：向下取读一主体的安全级别必须高于所读客体的安全级别向上写入一主体的安全级别必须低于所写客体的安全级别满足了这两个原则，才能防止高级客体中的信息流入低层客体。在这样的系统中，信息只能向上或在同等安全级中流动。这也就是DAC的两个重要的安全特性：1．SimpleSecurity：一个主体要读一个客体，当且仅当主体的安全等级大于或等于该客体的安全等级。2．Property(StarProperty)：一个主体要写一个客体，当且仅当主体的安全等级小于或等于该客体安全等级。上述两个特性保证了信息的单向流动(下读上写)，即信息只能向高安全属性的方向流动。MAC就是通过信息的单向流动来防止信息的扩散。MAC具有安全性强的优点，但是，正是由于它的这种强安全特性，使得它不够灵活，应用面窄，一般只用于军事等具有明显等级观念的领域。MAC的一种改进为“中国墙”模型(ChineseWallModel，CWM)【38J将客体分为若干冲突域(conflictingdomains)，每个冲突域内部的各个客体都是相互冲突的(也即客体数据是相互保密的)。对每一个冲突域而言，任意主体至多只能访问其中的一个客体。强制访问控制和自主访问控制有时会结合使用。例如，系统可能首先执行强 西北大学硕士学位论文制访问控制来检查用户是否有权访问一个文件组(这种保护是强制的，也就是说，这些策略不能被用户更改)，然后再针对该组中的各个文件制定相关的访问控制列表(自主访问控制策略)。3．2．3基于角色的访问控制在访问控制方面，DAC显得太弱，MAC显得太强，而且它们的配置及计算量都过于复杂。针对这些缺点，有人提出了一种新的访问控制模型，这就是基于角色的访问控制模型(RoleBasedAccessControl。RBAC)。基于角色的访问控制这个概念早在20世纪70年代人们在做多用户、多应用在线系统(multi—gse#andmulti—applicationon-linesystems)时就提出来了，但是一直没有得到更多的关注。角色是访问控制策略形式化之后的一种语义结构，它是人员集合和权限集合的连接点，该连接点使得与某角色关联的人员集合中的任意一个人员都享有与该角色关联的权限集合中的任意一个权限。在访问控制中引入角色这个概念能大大简化管理员的访问控制管理工作。因为，对于一个企业来说，活动或业务相对固定(也即权限相对固定)，所以，先将企业内某一组相关人员的权限集中起来放在一个集合中，这个集合就称之为角色，然后再将角色指派给相应人员即达到授权的目的。角色在人员和权限之间的授权关系上担当桥梁的作用，只有具有角色的人员才拥有与角色相应的权限。由于角色相对固定，所以，一旦企业内的RBAC模型建立起来之后，管理员所做的大部分工作都仅仅是维护人员与角色的指派关系。角色与以往访问控制系统中的用户组的区别在于，用户组只是用户的集合，而角色则是用户集合与权限集合之间的连接点，如图3．2所示。圈3．2KBAC中的角色关系示意田20世纪90年代，RaviSSandhu[111提出了一个基于角色的访问控制模型。下面对该模型进行详细介绍。 西北大学硕士学位论文Sandhu将P,BAC模型分为四个子模型，分别叫RBAC0,RBACl,RBAC2，RBAC3。这四个模型统称为RBAc96模型。其中，RBACO是基本模型，RBACl在此基础上引入了角色层次的概念，RBAC2在RBAC0的基础上引入了一些约束，而RBAC3则是前三种模型的有机结合。它们之间的关系如图3．3所示RBAC3入RBACIRBAC2＼／RBACO圈3．3RBAC96梗型关系示意田1RBACO模型RBAC0模型处于RBAC96模型的最底层。它定义了基于角色访问控制机制所需的最基本的概念。这些基本元素包含三个集合Users(用户集U)、Roles(角色集R)、Permissions(权限集P)。另外RBAC0还定义了Sessions(会话集S)。广义的用户可以代表人员(通常是企业内的某个成员)、程序模块、自动智能体(intelligentautonomousagents)、外部服务等，但通常只是代表企业人员。角色代表企业内某个职位或某个特定用户组及其相关的权限。权限代表系统内某个客体(object)的特定访问方式(比如读、写、修改)的许可。这里的权限等价于传统安全文献里的授权(authorization)、访问权限(accessright)、特权(privilege)等术语。客体指的是系统内的数据对象(dataobject)或资源对象(resourceobject)。RBACO定义了UA(UserAssignment。用户赋予)关系和PA(PermissionAssignment权限赋予)关系【明。它们分别是Users到Roles以及Permissions到Roles上的多对多的映射关系。一个用户可以具有多个角色，而每个角色也可包含多个用户。同样的，每个角色都可以具有若干权限，而每个权限也可以被若干角色拥有。这两个关系是RBAC模型的基础，体现了设计者在访问控制系统中引入角色的核心思想。角色作为用户和权限联系的枢纽而存在，它大大简化了访问控制的配置和审计工作。用户登录到系统之后就自动具有一个会话，这个会话记录了用户的当前属 西北大学硕士学位论文性，比如用户身份、用户所具有的当前活跃角色、权限等。从形式化模型上来看，会话也是Users到Roles的映射关系，但是这种映射关系与UA关系不同的是，Sessions是因用户登录而动态出现的，而uA关系却是静态地存在于系统之中的。一个session只能对应一个用户，面一个角色却可以对应多个用户。RBAC0模型的形式化定义如下。●u、R、P、S分别代表用户集、角色集、权限集和会话集；●UAcUxR是用户集与角色集之间的多对多映射关系；·PA‘PxR是权限集与角色集之间的多对多映射关系：●User：S—U，某个会话St与某个用户user(St)的函数映射，该函数值在会话S，的有效期间是固定的；●roles：S一2。，某个会话S，到Roles的一对多函数映射，roles(SI)￡{rI(user(S-)，r)EUA}，会话st所具有的权限为Ue椭(“)仞I(p，厂)∈剐)。现实中，每个用户至少要具有一个角色，每个角色至少要具有一个权限，否则该用户或角色就失去了存在的意义。所以，尽管模型中没有上述约束，但是在实现时应该考虑它．2RBACl模型RBACl模型是在RBAC0模型的基础上引入了角色层次(RoleHierarchies，RH)的概念而形成的模型。角色层次通常用于反映企业内各部门之间或职位之问的上下级关系，是角色集Roles上的一个偏序关系，记为≤。对于角色层次有如下关系：■rI≤ri；_如果ris1"j且rjsrk，则rlsrk；●如果r。≤rJ，则rJ≤r。不成立。如果有关系：r。蔓rj，则称r，为r；的上级角色，1-。为rJ的下级角色。引入角色层次这个概念之后，用户不仅具有通过uA'PA关系所指定的权限，而且还拥有UA指定角色的所有下级角色的权限，用户也可以用这些下级角色来登录系统、创建会话。用户使用这些下级角色与使用直接的UA关系所指定的角色没有 西北大学硕士学位论文任何不同之处。RBACl模型的形式化定义如下：◆U、R、P，S、UA、队和user的定义与RBAc0模型中的定义一致；◆RI-I∈RxR为角色集上的偏序关系；◆Roles：s·28对任一会话盛eS，mb@)∈妒l《y≥r)【(凇酬[珐力∈￡调}会话研所具有的权限为Ue嘲(“)仞l(|r’≤，．)[(p，r’)∈jM】}。3RBAC2模型RBAC2模型是在RBACO模型的基础上引入了约束(Constraint)的概念两形成的模型。它与RBACI模型没有直接的联系。RBAc机制中的约束是一种判断模型中已有组件(uA，PA)的指派是否有效的机制。如果两个访问权限被赋予同一个人会产生安全问题，那么这两个访问权限就叫互斥权限。如果一个角色中的某个权限与另一个角色中的某个权限为互斥权限，那么这两个角色就叫互斥角色。静态职责分离(StadcSeparationofDutiesSSD)原则指的是任意两个互斥角色都不能同时指派给同一个用户。动态职责分离(DynamicSeparationofDuties,DSD1原则指的是任意用户不能同时激活自己的任意两个互斥角色。静态职责分离原则实际上是对RBACO模型中的UA关系和PA关系的约束，而动态职责分离原则就是对RBACO模型中的roles函数的约束。静态职责分离原则和动态职责分离原则统称为职责分离原贝1](SeparationofDuties，SOD)。RBAC2模型中作用于UA关系的另一个约束就是基数约束．基数约束是对角色所能容纳的用户个数的约束。这在现实中也是很有意义的，比如，企业的董事长这个角色通常就只有一个人。还有一种约束为首备角色(prerequisiteroles)约束。如果要将某角色指派给某用户，则必须先指派其他一些角色给该用户。比如，用户要当出纳，首先他就必须是财务部门的成员。4RBAC3模型RBAC3模型是RBACI和RBAC2的有机结合．因此，在RBAC3模型中，不仅有角色层次，而且还有约束。RBAC3模型示意图如图3．4所示。该图中既包 西北大学硕士学位论文含了RBACO模型的基本组件，又包含了RBACl模型的角色层次和RBAC2模型的约束。如果增加约束：任何下级角色的权限都自动被其上级角色所享有，那么，就可以把角色层次看作一种约束来处理。在RBAC96模型中还提出将系统的管理工作与日常业务工作分离开来，管理权限只能分配给管理角色(administrativeroles)，而普通操作权限只能分配给普通角色(regularmles)。这样，一方面，管理员只具有管理权限(比如指派某普通角色具有哪些业务操作权限)而不具有业务操作权限：而另一方面，普通的业务人员只具有管理员分配给他的普通角色，从而也就只具有相应的普通业务操作权限。圈3．4船At3模型示意图可以看出RBAC是在应用环境中，通过对合法的访问者进行角色认证来确定访问者在系统中对哪类信息有什么样的访问权限。其具有以下优点：便于授权管理、便于根据工作需要分级、责任独立、便于大规模实现、节约管理开销，已被许多系统所采用。但它的缺陷是基于主体一客体(Subject-Object)观点的被动安全模型，即在执行任务之前，主体就拥有对客体的访问权限，没有考虑到操作的上下文，不适合企业动态变化的环境需求；并且，主体一旦拥有某种权限，在任务执行过程中或任务执行完后，会继续拥有这种权限，这显然使系统面临极大的安全威胁。另外，RBAC中的角色关系是一种上下层次的等级关系，角色权限的继承是一种向上的全继承关系，即高等级的角色可继承低等级角色的全部权限，这不符合企业环境中的最小特权原则，有些权限只需部分继承即可。在论文的第四章引入角色的部分继承关系，并使基于角色的访问控制(静态访问控制)与基于任务的访问控制(动态访问控制)相结合，更适合企业既有动态又有静态的环境需要。 西北大学硕士学位论文3．2．4基于任务的访问控制基于任务的访问控制(TaskBasedAccessControl,TSAC)是一种新的安全模型，从应用和企业层角度来解决安全问题(而非已往从系统的角度)。它采用。面向任务”的观点，从任务(活动)的角度来建立安全模型和实现安全机制，在任务处理的过程中提供动态实时的安全管理‘5’”'Ⅷ。在TBAc中，对象的访问权限控制并不是静止不变的，而是随着执行任务的上下文环境发生交化，这是我们称其为主动安全模型的原因。具体说来，TBAC有两点含义。首先，它是在工作流的环境考虑对信息的保护问题。在工作流环境中，每一步对数据的处理都与以前的处理相关，相应的访问控制也是这样，因而TBAC是一种上下文相关的访问控制模型。其次，它不仅能对不同工作流施行不同的访问控制策略，而且还能对同一工作流的不同任务实倒实行不同的访问控制策略。这是“基于任务”的含义，所以TBAc又是一种基于实例(instance，-bascd)的访问控制模型。最后，因为任务都有时效性，所以在基于任务的访问控制中，用户对于授予他的权限的使用也是有时效性的。下面详细介绍113AC。l、TBAC的基本概念(1)授权步(authorizationst印)。表示一个原始授权处理步，是指在一个工作流程中对处理对象(如办公流程中的原文档)的一次处理过程。它是访问控制所能控制的最小单元。授权步由受托人集(trustee-set)和多个许可集(permissionsset)组成，如图3．5所示。其中，受托人集是可被授予执行授权步的用户的集合，许可集则是受托集的成员被授予授权步时拥有的访问许可．当授权步初始化以后，一个来自受托人集中的成员将被授予授权步，我们称这个受托人为授权步的执行委托者，该受托人执行授权步过程中所需许可的集合称为执行者许可集．在TBAC中，一个授权步的处理可以决定后续授权步对处理对象的操作许可，我们将这些许可称为激活许可集。执行者许可集和激活许可集一起称为授权步的保护态。 西北大学硕士学位论文Fig．3．5Authorlzation—Stepill3．5授权步(2)授权结构体(authorizationunit)。授权结构体是由一个或多个授权步组成的结构体，它们在逻辑上是联系在一起的。授权结构体分为一般授权结构体和原子授权结构体。一般授权结构体内的授权步依次执行。原子授权结构体内部的每个授权步紧密联系，其中任何一个授权步失败都会导致整个结构体的失败．(3)任务(task)。任务是工作流程中的一个逻辑单元。它是一个可区分的动作，可能与多个用户相关，也可能包括几个子任务。例如：一个支票处理的流程包括3个任务一准备支票、批准支票和提交支票。在实际工作中，一个任务包含如下特征：(a)长期存在；(b)可能包括多个子任务；(c)完成一个子任务可能需要不同的人。这里，我们确定任务与授权结构体的联系。授权结构体是任务在计算机中进行控制的一个实例。任务中的子任务，对应于授权结构体中的授权步。(4)依赖(dependency)。依赖是指授权步之间或授权结构体之间的相互关系，包括顺序依赖、失败依赖、分权依赖和代理依赖。．依赖反映了基于任务的访问控制的原则。各种依赖关系的定义见表3．2．总之，一个工作流的业务流程由多个任务构成。而一个任务对应于一个授权结构体，每个授权结构体由特定的授权步组成。。授权结构体之间以及授权步之r旬间通过依赖关系’’联系在一起。表3．2定义了TBAC建模中所需的一些符号。 西北大学硕士学位论文Table3．2Si0∞1defineinTBAC袭3．2TBAC中的符号定史Theffti叫Tmitin-幽】l辐lIlt—●imof㈣《_oq自ld●坤∞’O蚶—lASIItconsistsof㈣％㈣●14I㈣iol∞I^≈mbewtirated∞I，after“Ih●☆md"m，HII№bmfinid∞^“～t^"■I_“自≥∈-№^女mhMt|vated∞I，mBlhbe帅defe日t●dThed-e柚stlultKSI’●D啊l●●t呻摹啪be把m一尊t“如ASlis抽m‘ther—b∞d·M幅1≥∈●^盛that^S2刊it’-permlssi哪小n∞∞●"revokedd●∞坫1isaborts．DividedDn-量¨I““1-d№Ⅲh“Ⅻt“hdiff㈣tdependency卷rkd^啦__tbeeget．tedb，dIf舳tn埘-hh解越fferHt砧嘣矸l讯TheH⋯htthemde“^s1．⋯t$m●M●mbi“rthan‰grmJeorBr·一～L№n●thatthe口讪ofASI’●Ⅲ_盯I●l憎rdqmrtbantbBmofA52’¨跗考虑一个电子文档处理应用，这里依支票为例：职员必须准备支票，指定一个账户，然后3个(分开的)监督者必须批准该支票和账户，最后支票由另一个不同的职员发出(通过凭证区分职员)。下面我们利用表3．1中的符号对支票处理的工作流进行模型化，如图3．6所示。在图3．6中，FU卜FU3分别表示工作流单元卜工作流单元3，Au卜Au3分别表示授权结构体卜授权结构体3。其中，工作流单元l由准备支票任务组成，工作流单元2由3个不同的人分别执行批准支票的任务，工作流单元3由提交支票组成，授权结构体1由一个准备支票授权步组成，授权结构体2由3个批准支票授权步组成，授权结构体3由提交支票授权步组成。 西北大学硕士学位论文^"m·““·^tm-ctI∞‘RMl-mit)^时VI“一一tntl创lL0ml啪t$1ck，《I’：l“f|tltml●上—’厂——————]．1I一*hickⅡ●l“rh-一mlFig．3—6linexampleofusingthes刀OJoltomodelBvorkflot圈3．6使用符号模型化工作藏示倒2、TBAC授权作为一种主动访问控制模型，TBAC的授权与传统访问控制模型的授权有很大的不同。传统访问控制模型的授权一般用三元组(S，oJP)表示，其中S表示主体，0表示客体，P表示许可。如果存在元组(S，0，P)，则表明S可在0上执行P许可。否则，s对0无任何操作许可。这些三元组都是预先定义好并静态地存放在系统中，且无论何时都是有效的。对于用户的权限限制，访问控制是被动的、消极的。在TBAC中，授权需用五元组(S，0，P’L，AS)来表示。其中S，0，P的意义同前，L表示生命期(1ifecycle)，AS表示授权步。P是授权步AS所激活的权限，而L则是授权步AS的存活期限。L和As是TBAC不同于其它访问控制模型的显著特点。在授权步AS被触发之前，它的保护态是无效的，其中包含的许可不可使用。当授权步AS被触发时，它的委托执行者开始拥有执行者许可集中的权限，同时它的生命期开始倒计时。在生命期期间，五元组(S，0，P，L，AS)有效。当生命期终止，即授权步AS被定为无效时，五元组(S，0，P，L，AS)无效，委托执行者所拥有的权限被回收。根据需要，授权步的保护态中的权限集中也可以加入使用次数限制。比如，保护态中的写权限只能使用3次，当授权步使用写权限3次以后，写权限自动从保护态中的执行者许可集中去除。 西北大学硕士学位论文另外，授权步不是静态的，而是随着处理的进行动态地改变内部状态，对一个授权步的内部状态，可以用一个状态变迁图来表示，如图3．7所示。授权步的状态变化一般自我管理，依据执行的条件而自动变迁状态。但有时也可以由管理员进行调配。授权步的生命期、许可的次数限制和授权步的自我动态管理，三者形成了TBAC的动态授权。各状态的意义如下：(1)睡眠状态，表示授权步还未生成；(2)激活状态，表示授权步被请求激活，此时授权步已经生成；(3)有效状态，表示授权步开始执行，随着权限的使用，它的保护态发生变化；(4)挂起状态，表示授权步被管理员或因执行条件不足而强制处于挂起状态，它可以被恢复成有效状态，也可能因生命周期用完或被管理员强制为无效状态；(5)无效状态，表示授权步已经没有存在的必要，可以在任务流程中删除。Fig．3．7Theinnerstatesinaauthorization圈3．7授权步内部状杏3、TBAC的形式化定义TBAC模型如图3．8所示。下面，我们给出其形式化定义。定义LTBAC模型由如下单元组成：(1)由工作流Wf．授权结构体Au、受托人集T、许可集P四部分组成；(2)wf是由一系列Au组成，^u之间的关系为AuxAu∈2D，D：{顺序依赖，失败依赖，分权依赖，代理依赖)；(3)Au与T是1：rl关系，爿“寸R，是一个从T=(R1，R2，．．⋯．风}选择一个执行委托者的函数；(4)Au与P是1：n关系，F(Au，R)专P，R∈T，P：{Pl，P2⋯⋯Pn}为许可集，F 西北大学硕士学位论文为初始化执行者许可集函数；G(Au，1'1)专n，Pl￡P，n=P—Pl，G为权限回收函数。Fig．3．8ThemodelofI"BAC图3．8TBAC模型4、TBAC特点分析TBAC的访问政策包含在Au-Au，Au-T，Au-P关系中。Au-Au的关系决定一个工作流的执行流程，Au-T和Au-P组合决定一个授权结构体的运行．这些组件关系一般由系统管理员直接配置。通过授权步的动态权限管理，TBAC支持两个著名的安全控制原则：·最小特权原则。在执行任务时只给用户分配所需的权限，未执行任务或任务终止后用户不再拥有所分配的权限；而且在执行任务过程中，当某一权限不再使用时，授权步自动将该权限回收。·职责分离原则。有时，一些敏感的任务需要不同的用户执行，如支票处理流程中准备支票和提交支票的职员必须不同。这可通过授权步之间的分权依赖实现。另外，TBAC也支持数据抽象原则。例如，权限不局限于操作系统提供典型的读／写执行权限，它以可抽象为实际工作流的操作权限，如一个银行账户对象的存款／贷款操作。。但缺点是基于任务的访问控制并不支持企业中的角色层次等级。另外，在企业环境中，访问控制并非都是主动的，也有属于被动形式的，但TBAC并不支持被 西北大学硕士学位论文动访问控制，因此需要与RBAC结合使用。可以将授权步中受托人集说明为角色集，这样可以将TBAC与砌≥AC(基于角色的访问控制)结合起来，从而为TBAC带来更大的灵活性。面向企业的数据内容管理，该论文是把基于任务角色的访问控制与DRM相结合，提出了TR-EDRM(Task-RoleExpendedDigitalRightsManagement)模型。该模型不但吸取了基于任务和角色访问控制的优点，还吸取了访问控制和DRM管理相结合的优点。3．3TR-EDRM技术方案基于DRM技术对企业数据内容的保护是目前信息安全研究的热点，其特点是权力分散与集中管理相结合，从服务端及客户端两方面进行安全控制。但在DRM系统缺乏有效的访问控制机制，不适合企业环境特点的需求。企业环境不仅存在基于工作流特点的控制需求，还存在基于非工作流特点的控制需求；企业数据内容不仅要基于服务端控制，还要基于客户端的控制；在管理上，不仅要提高安全性，还要利于集中管理。因此针对以下问题我们给出了TR．EDRM的技术方案。1．如何实现企业内基于工作流的业务协作的访问控制。业务协作中的数据信息具有很强的流动性与时效性，这些信息在不同的时间内对不同的环境、不同的状态有不同的访问控制需求。要实现对这些数据信息的访问控制，就要满足其动态性要求，使对它的访问在恰当的时候被受到限制。2．如何实现企业内基于非工作流的访问控制。由于企业内信息系统包含众多的客体对象，不仅有系统本身的功能模块、应用菜单，而且系统中存在静、动态数据及文件：还包含对这些对象产生交互又频繁变换的用户等。要实现企业内静态数据的访问控制，就要考虑到其有效性、方便性及高效性等。TR-EDRM对企业数据内容的保护中，采用基于任务、角色的访问控制与DRM技术相结合的模式。将工作流系统的最小工作单元——任务加入到RBAC模型之中；将主动和被动相结合的访问控制引入DRM系统中；基于任务划分，满足企业中即有工作流又有非工作流的工作方式，即存在角色权限可继承的又存在不可继承的特点。具体来讲：①针对非工作流的静态特性：如已经存档的文档，已经核 西北大学硕士学位论文实过的公文等相对固定不变的数据，用户通过执行相应的存取权限才能访问，即采用传统的RBAC与DRM模型相结合的授权方式。②针对工作流的动态特性：正在流动、不断变化的数据如接受审批的文档等，存在任务的分割、时顺关系等，采用基于任务、角色动、静结合访闯控制技术与DRM相结合的授权方式，保证最小特权原则。在论文的第四章基于任务角色访问控制的DRM模型(TR．EDRM)部分我们给出了资源、任务和角色三者之间，以及服务端与客户端之间的授权关系。3．4本章小节本章首先介绍了数据版权管理的发展、功能及在企业电子文档管理中的应用。指出当前DRM在发展中还存在管理低效和访问控制技术发展滞后的问题。针对该问题，研究了当前几种主流的访问控制模型，对各个模型进行分析比较，指出各自的特点和不足。结合企业特点得出对企业数据内容有效安全管理的模型一基于任务角色访问控制与数据版权管理相结合，吸取二者的优点，即提高系统安全性又便于集中管理，较适合企业复杂多变的工作环境。论文在第四章给出了模型的详细介绍。 西北大学硕士学位论文第四章基于任务角色访问控制的DRM模型一TR-EDRM数字版权管理(digitalrightmanagement，DRM)技术正越来越受到人们的广泛关注。当前，DRM技术的应用领域包括数字资源管理(DigitalAssetManagement，DAM)，Web内容管理(WebContentManagement，WCM)，以及企业内容管理(enterprisecontentmanagement，ECM)i3sl等。目前，在企业的内容管理方面，这种技术的发展现状仍不能让人满意，尚未得到大多数组织和企业的认可和广泛应用I帅1。DRM系统对企业内容的保护控制需要实施集中管理和分散控制相结合的保护控制机制。保护控制机制的实施需要可信服务器和可信客户机的协调完成(服务器和客户机双方是互相信任的)。它具有以下一些基本的保护控制的需求：(1)对数字内容的持久保护。对数字内容在系统中生命周期的全过程的使用状况实施保护和控制；(2)数字权利的管理。包括权利的颁发、交易、代理和回收；(3)适合企业环境特点。存在工作流与非工作流环境，需要主动访问控制与被动访问控制相结合。ShouhuaiXu和RivaSandhu对象模型一体系机制(ObjectModel-ArchitectureMechanism，OM-AM)的分析方法对DRM系统作了进一步的分析【41】：企业D刚系统中的一个显著特点是需要施加保护控制的数字信息的分散性及不同任务阶段数据内容的机密性，DRM系统访问控制的实施需要依靠分散在网络环境中的各个客户机来具体执行；根据用户的不同属性(例如用户不同任务)，在不同的客户机上需要对受保护的数字内容实施的保护控制策略内容各异，这就为集中管理带来了很大的难度，实施和更换系统访问控制策略十分不便的问题；用户对这些数字信息实际使用时的操作环境位于系统中服务器端的防火墙之外，不在其保护控制范围内，依靠传统的访问控制机制来对数字信息的使用施加保护和控制是不能满足企业日益复杂的环境的。此论文主要针对企业内容管理特点，提出了基于任务角色访问控制(Task-Role-basedAccessControlModel，T．RBAc)的DRM模型——-TR．EDRM 西北大学硕士学位论文(Task-RoleExpendedDigital硒ghtsManagement)模型。重点讨论了DRM中涉及访问控制技术的部分，对加密和密钥管理、追踪记录、终端操作控制、交易及各种权利描述未作深入分析。模型的优点是：第一，基于任务和角色的控制方式，把主动访问(针对工作流类业务)与被动访问(针对非工作流类业务)相结合，符合企业网内复杂环境及不同层次用户需求，实现权限的按需和动态分配；第二，TR-EDBA模型吸取了T-RBAC和DRB二者的优点，在保护数字内容的机密性、完整性的同时，又保护内容的知识产权、个人隐私。通过应用TR-EDRM模型，不但易于实现和更换这些角色的管理策略，还可以大大降低系统管理的开销，节约系统成本。下面对模型作详细介绍和分析。4．1TR-EDRM模型基本概念(1)对象(Objects)：DRM系统中的对象是受保护的数字内容(或者是一些服务)。对象必须具备唯一的标识符以相互区别。标识必须是持久的，在对象的整个生命周期中都是有效的。对象的复制品与原始的对象是相同的，它们应使用相同的标识。(2)操作(Operations)：操作代表可以执行的一种或一类行为。(3)权限(Permissions)：权限代表可对某些资源执行的动作，即对于相关资源可以执行的一种或一类行为。服务器根据系统设置的访问控制策略，对基于被动访问的非业务流部分，将权限指派给不同的角色；对基于主动访问的业务流部分预先将权限分配给不同的子任务。客户机根据用户会话所使用的许可内容，施加相应的约束，再将具体的权限授予用户。本文用P表示权限集合，用p表示一个权限。·权限的划分是一项复杂的工作，它直接决定着存取控制服务的粒度和深度。例如对一个文档的审批权限需要审阅文档内容以及批示意见，可以直接设置一个权限“文档审批”，也可以分别设置两个权限“查阅”及“批示”。究竟是将其作为一个权限还是细分为两个权限或者更多则要根据系统具体的安全需求决定。(4)角色限oles)：角色指的是用户在组织内部的工作能力。用户可以对应多个角色，但在用户会话建立时他的角色身份应是明确的、唯一指定的。在DRM系统中，用户的角色由服务器指定。客户机不能改变用户一角色分配信息。角色 西北大学硕士学位论文之问关系(例如继承关系、职责分隔等)与RBAC模型中的角色相互关系相同。本文用R表示角色集合，用r表示～个角色。(5)用户(Users)．-在DRM系统中，根据不同的应用需求和应用环境，用户可以是人，也可以是可信的软件或硬件。用户必须提供经过服务器端验证的数字内容执行的可信环境。数字内容执行环境的可信程度往往还需要由服务端在用户使用权限的过程中持续地或周期地询问和验证。用户既可以是自然人，也可以是具有自主行为的机器人、计算机、计算机网络等。为了简便起见，TR—EDRM模型指定用户是自然人。本文用u表示用户集合，用U表示一个用户。(6)会话(Sessions)．．会话是在用户和与许可之间的映射关系，当用户激活了部分或全部他被授予的角色时，他就建立了一个会话。用户实际上可以执行的权限是在这次会话期间被激活的角色的权限。用户是静态概念，会话则是一个动态概念，一个会话是用户的一个活跃进程，它代表用户与系统交互。用户与会话是一对多的关系：～个会话只能为一个用户服务，并且在会话生命期中，用户是固定不变的；一个用户可以同时打开多个会话运行。本文用Sessions表示会话集合，用s表示一个会话。TR-EDRM模型的时间特性主要表现为会话的时间特性，运行时的存取控制主要通过控制用户会话实现。∽许可(Licenses)：许可是模型中的一个关键的组件。许可代表了系统对特定的用户对特定的对象颁发的权限集以及由系统所设定的约束条件(例如使用权限所需履行的职责等)。许可是一种可消耗的资源。随着用户对数字内容的使用过程不断消耗，直至其失效。(8)约束(Constrains)：在模型中的分为包括服务端和客户端的约束。服务端的约束限定了客户端所能激活角色子集的范围，客户端约束则在此基础之上进一步限定了用户能实际使用的权限范围。服务器端的约束对用户使用的限制是通过许可实现的。(9)会话的用户(SU)：Sessions-}Uscrs，SU(s)是创建会话s的用户。(10)会话的活跃角色集(sA)：Sessio璐一2№，SA(s)是会话s的当前活跃角色集。会话作为用户的一次活跃进程，激活了此用户角色集的某个子集，这个子 西北大学硕士学位论文集就称作会话的活跃角色集，它决定了在此次会话中用户实际拥有的存取权限。(11)任务集(Task)：任务是不可分解的最小执行单元，所有的任务可以分为如图4．1所示的四类，任务之间是没有交集的。A类；A类任务特征是任务的权限可以被继承并且遵循主动访问控制。工作流中的活动批准类大多属于A类。W类：w类任务的特点是任务不可以被继承并且遵循主动访问控制。工作流中不能继承的任务属于此类。s类：S类任务的特点是任务可以被继承并且遵循被动访问控制。他们不属于工作流中的任务，检查、监控等任务属予该类。P类：P类任务的特点是权限不可以被继承，不属于工作流中的任务，遵循被动访问控制。对个人文件，归档文件访问等属于该类型的任务。田4．1企业任务分英A类和S类属于可继承的。A类和w类属于工作流类，S类和P类属于非工作流类。业务流程是由多个工作流类任务组成，由多个有串行、并行、与连接、循环等逻辑顺序的WF类任务组成工作流；而非工作流类任务是独立的，没有逻辑顺序，如表4．1。囊4．1任务的分类＼可继承的不可缝承的■于工作渲^类■英下属于工作流S类P类(12)任务实例。任务实例是实际运行中的一项任务，是任务的一次运行。在工作流运行过程中实际执行的是任务实例而非任务本身。一个任务可以运 西北大学硕士学位论文行多次，所以一个任务可以对应多个任务实例，而一个任务实例只能是一个任务的运行，所以任务与任务实例之间是一对多的映射关系。尽管在工作流运行过程中实际执行的是任务实例而非任务本身，但是由于任务实例均是在工作流运行时从相应的任务中创建的，所以在系统管理阶段仍只需考虑任务。图4．2中为TR-EDRM模型。对象的加密传输没有在系统中明确表示出。它可以与许可一道分发，也可以单独分发给用户。从图4．2中可以看出，TR-EDRM的实施，需要服务器和客户机的协同。服务器和客户机是一种一对多的关系。n埘用户童话t立厂弋U|：；整甩许日‘、、妨萨＼延圹丽一＼k—／蛋4．2豫一舶铀褛量结构4．2TR-EDRM模型的形式化定义定义1基本概念：用户(U)，角色∞，对象(o)，权限(P)，会话(s)的定义与传统RBAC模型中的定义相同。具体的形式化定义参见第三章内容。．定义2用户委派关系：UA_cUxR，用户委派表示用户和角色之间多对多的分配关系。并假设每个用户至少被授予一个角色。角色是具有某种功能、能够达成某种目标的对象，由于任务的原子性以及可 西北大学硕士学位论文执行性，故可将任务授予相应角色进行执行。同时，一个角色可执行某个任务，则意味着可执行此任务的所有实例。显然，一个任务可以配置多个角色，而一个角色也可以参与多个任务。任务的性质决定了所配置的角色，反之角色的性质也决定着所参与的任务。由于任务与角色之间的相互作用，当业务流程发生变动时，就需相应调整任务和角色。定义3权限配置关系：PAc_PxR，权限配置表示权限和角色之间多对多的分配关系。并假设每个权限至少被分配给一个角色(非工作流部分)。定义4任务分配关系：TA￡TxR，任务分配表示任务和角色之间多对多的分配关系。任务通过角色而可执行权限(工作流部分)。定义5权限配置关系：PAc：PxT，权限配置表示权限和任务之间多对多的分配关系。并假设每个权限至少被分配给一个任务。定义6映射函数：角色一权限、用户一角色、任务一角色、任务—权限之间的映射函数分别如下：●RP+：R斗2r，RP+(f)={PCPI(P，r)∈PA}·uR·：u哼2R，uR‘(u)={reRI(1Lr)∈UA)●锵：T_2K，T舻(t)={r∈RI如母∈TA}·TP+：T—'2P，TP*(t产{3r∈TR‘(DIQ，f)ePA)为了确保严格最小特权原则(在执行任务时只给用户分配所需的权限，未执行任务或任务终止后用户不再拥有所分配的权限：而且在执行任务过程中，当某一权限不再使用时，授权管理自动将该权限回收)，不能授予与用户正在从事的任务无关的执行权限。例如，当用户正对文档A执行审批权限时，他就不能同时执行起草文档B的权限。定义7用户会话建立：sessionusers(s：SESSIONS)一USERS，是会话s和对应用户user之间的映射。定义8约束条件：CONDITIONS￡(20Ps×N×TIME)是(opssct，11,(timel，time2))的集合。其中opsset是OPS的子集，n是一个自然数，它代表在会话中用户可以执行opsset的次数，(timel,time2)表示在 西北大学硕士学位论文timel和time2期间可以执行操作opsset。定义9许可：LICENSES=20JS8RS。7ERM8。00NDⅡ10’刖，是许可的集合。许可license；(user,pcn'ns,conditions)·定义10许可颁发：WF：ficenses—roles—task(6)c{^ELICENSESll(user，role)∈UA，(task，role)∈TA，(pa口ns，role)En～)；NWF：licenses__roles(10￡{^∈uCENSES』(user，role)∈IdA,(perms，role)∈PA}定义11会话使用许可：ficense_sessions(f：Licenses)一SESSIONS，是许可f和相应会话s之间的映射。定义12许可权限授予：PG￡LICENSESxPERMS，是许可和权限之间的多对多映射关系。定义13任务—工作流指派(TVCA),只有A类和w类的任务才能被指派给工作流，VTi∈WF类≥Ti∈WorTjeA，业务流程(BP)：可以看作是一些任务的执行集合。BP={Tl，T2⋯．，TnfTicAorTicW'。定义14安全策略(SP)：安全策略包括被动访问控制(PAC)和主动访问控制(AAC)，记作SP=ri表示ri->ri且ri≠弓角色继承是关于R的偏序关系：1．自反性：rr∈SA(s)4．3TR-EDRM授权方式与其它RBAC或TBAC模型的授权不同之处在于，TR-EDRM模型的授权分为两个阶段：服务器的使用授权和客户机的使用判定。角色策略主要在第一阶段中实施。服务器的授权需要用五元组(颁发者，用户，对象，操作，条件)表示。客户机的使用判定依据服务器的授权内容和客户机所设定的一些使用限制，对用户的使用进行授权。客户机对用户的授权用四元组(用户，对象，操作，条件)表示。其中条件(conditions)包括特定角色、特定任务、给定的时间等满足要求的情况下。整个授权过程中一个重要的组件是许可。许可代表了服务器对用户的使用授权。它也是客户机对用户使用进行判定的依据。许可在用户的整个会话期间都是有效的。许可信息的存储方式根据会话建立的方式不同有2种方式：(1)用户每次使用建立一次会话。许可信息保存在服务器端，每当客户机需要执行使用判定时，由客户机向服务器申请许可。(2)用户多次使用共用一次会话。许可信息中包含了服务器对用户的多次授权。这2种存储方式应用在不同的DRM应用系统中。许可信息保存在服务器端便于许可的管理，但要求客户机与服务器建立持续连接；许可信息存储在客户端，可以使用在一些无需持续连接服务器的DRM应用中。此模型采用的是第一种存储方式，对于第二种存储方式，可应用于离线控制。 西北大学硕士学位论文4．4任务依赖关系任务是工作流系统执行中的最小工作单元，任何一项复杂的业务都可以分解成一系列相互关联而又相互独立的任务。所以本文认为事件顺序归根结底表现为任务的执行顺序。一项任务的执行结果动态决定了下一项任务，一项任务的异常终止就会影响到其他任务的正常执行，一项任务必须在其所有的前序任务执行完毕之后才可启动，诸如此类的任务之间的关系称为任务依赖(TaskDependencies)。工作流系统中协同用户的交互性和分布性使得任务序列具有时闯上的依赖关系。在TBAC中提供对任务依赖关系的支持将有助于协同工作的顺利进行，因此任务依赖是工作流系统安全管理必须考虑的因素。但是，任务依赖还涉及到并发控制和冲突消解策略，属于工作流系统时问管理的范畴。工作流系统时间管理研究工作流执行的时间维计划，估计不同的任务执行延迟、避免任务违反时间约束以及进行时间违反的异常处理，从而确保工作流执行满足业务流程的时间约束。工作流时间管理涉及到系统建模、人工智能等多个领域。研究工作流时间管理，对于增强工作流管理功能丰富工作流建模理论以及推动工作流管理软件的实际应用具有重要意义。虽然时序数据库、实时软件工程学科等均对时间管理进行了长期深入的研究，但工作流建模与实例化的复杂性使得工作流系统时间管理仍是一个最具挑战性的研究课题【431。鉴于此，本文认为虽然工作流系统相对于其他系统而言具有“事件顺序”这一特殊存取要求，但可由工作流系统时间管理解决，因此本文对于这一特殊存取要求将仅作一般性论述，具体请查阅有关文献。4．4．1一般性描述任务的执行顺序实质上是对任务施加的时间约束。约束是TR-EDRM模型中非常重要的部分。目前对约束的研究较多集中在其静态特性方面，而较少研究时问特性。本节将着重讨论约束的时间特性，并用形式化表示方法进行描述。任务之间的顺序关系可归纳为以下七种[431：①相等(equats)：两个互不相同的任务同时开始执行并且同时结束执行。 西北大学硕士学位论文②同时开始(stam：两个任务同时开始执行但先后结束执行。③同时完成(finishes)：两个任务先后开始执行但同时结束执行。④之前(before)：一任务执行完毕并且过一段时间之后，另一任务才开始执行。⑤汇合(meets)：一任务执行完毕，另一任务马上开始执行。⑥重叠(overlaps)：在任务tl执行过程中，另一任务t2才开始执行；并且当tl执行完毕时，t2尚未结束执行。任务t1和t2在执行时间上仅有部分重叠。⑦覆盖(covm)：一任务的执行完全发生在另一任务的执行过程之中。下面给出这七种关系的简单图示。4．4．2形式化描述田4．3任务之问的展序关系为了形式化表示任务之间的顺序关系，接下来定义时间以及时序关系。定义19时间：时间是由离散的时刻组成的集合，本文用TIME表示时间集合。time∈TIME既可表示现实世界的绝对时间点，也可表示相对时间点，这可根据系统的具体实现而定。当表示相对时间点时，为了方便讨论，可再定义一个将time映射到现实世界绝对时间的函数：RealTime(time)．定义20时序关系：n净{12)。角色继承关系自然的反映了一个组织内部权利和责任的关系，为方便权限管理提供了帮助。角色继承关系提供了对已有角色的扩充和分类的手 西北大学硕士学位论文段，使定义新的角色可以在已有角色的基础上进行，扩充就是通过增加父角色的权限去定义子角色，分类通过不同子角色继承同一父角色来体现。另外还允许多继承，即一个角色继承多个父角色，多继承体现对角色的综合能力。为了满足企业的需求还应支持部分继承功能，如果角色fl的级别比角色r2的级别离，则r1可以只继承12中部分权限，也就是说高级角色并不全部继承低等角色的权限。2、角色的管理主要包含，创建角色、修改角色、删除角色等，若要删除的角色是基本角色，除非特别情况，往往不直接删除，见图5．6。圈5．6角色警理过程对角色的管理要先定义一个角色序列(roleSequence)：存储已有角色，包含基本角色与高级角色，其内容为角色编号。将基本角色与高级角色分开有利于管理，设roleSequenee前n位留以保存基本角色记为roleSequence1，roleSequence_l并不被当前基本角色充满，而是保留一定的空问以待新增加的基本角色，基本角色的变动与增加很少发生，所以不会留出太大的范围。mleSequcnce余下的空间记为roleSequence_2，roleSequence用以保存高级角色信息，这些高级角色继承自基本角色，它们之_2间也可存在继承关系。角色间继承关系的建立要通过角色冲突判定，利用roleConflict值进行，依据roleConfilict也可生成冲突角色表。角色的删除，分两种情况：基本角色的删除，有两种方法：一是直接从角色序列中删掉要删的角色，该位置留空。所有角色mleCode及roleCodeDir相应位置置0。这样就保证被删角色信息完全从相关角色中删除；另一是把该角色的权限置空，不必改动其他角色信息。前一种方法涉及角色数量庞大，工作量明显 西北大学硕士学位论文大于后者，并且考虑到基本角色是极少变更的所以选择后一种方法。高级角色删除，直接从角色序列中删掉要删的角色，该位置留空。所有角色roleCode及roleCodcDir相应位置置0。角色的增加，分两种情况：基本角色的增加，新增角色编号为角色序列中基本角色区已存在角色的最后一个编号加1，前方即使有空位也不应插入。高级角色的增加，新增角色编号为角色序列中高级角色区第1个空位编号，由于按高级角色的删除方法，该空位原先的角色信息已不存在角色定义中了，所以可以在空位插入。5．2．4任务定义模块任务定义模块包含任务的分解、授权步的定义、权限分配、激活许可等组件。任务是业务流程中的一个逻辑单元，是一个可区分的动作，可能与多个角色相关，也可能包括几个子任务。任务的划分可按照工作部门、互斥关系、机密等级等原则进行。不同部门的工作性质基本上独立，一个任务的完成经常需要在各个部门之问合作完成，因此最初步的划分是按部门进行划分的；互斥的权限产生互斥的任务，把任务中与互斥权限相关的任务分开有利于安全控制：对于包含高密级对象的任务，要把它分到不可再分的原子任务中，以方便实现最小特权原则，见图5．7任务分割流程。圈5．7任务分铜藏程 西北大学硕士学位论文5．2．5用户管理模块系统的最终使用者是用户，因此必须建立用户的鉴别标识，登记用户的身份信息。1：3令是最常用的一种标识，通常由若干字母、数字组合而成。系统只允许用户连续两次或三次登记口令，如果都不对则要等待一段较长的时问才成重新登记，这种延长时间的方法能够有效的防止冒名者猜测口令的可能。在系统中定义可登录的用户来操作系统是系统安全管理所必须的，也是人与系统的接口。对用户的管理，主要包含，创建用户、修改用户信息、删除用户等，对于涉及过比较敏感的信息的用户，为了安全考虑，这些用户在删除之前必需存入历史库一段时间以后再审查。5．2．6权限指派模块对企业中的非工作流模式授权，权限直接分配给角色。角色是一组访问权限的集合，一个用户可以是很多角色的成员，一个角色也可以有很多个权限，而一个权限也可以重复配置于多个角色。权限配置工作是组织角色的权限的工作步骤之一，只有角色具有相应的权限后用户委派才能具有实际意义。角色之间的冲突本质是由冲突的权限产生的，在这一步要加以避免和限制。对企业中工作流模型授权，权限是分配给原子任务，企业根据实际工作需求定义工作流程，划分子任务，并分配权限给子任务。分配给角色的权限，包含具体权限、软件模块权限、其他抽象权限等，软件模块权限也是抽象权限的一种，其他抽象权限在此处专指经过类聚后的抽象权限，权限指派流程见图5．8(1)、5．8(2)。 西北大学硕士学位论文图5．8(1)基于角色权限指派巍程蛋5．8(2’基于尿予任务权限指援藏程5．2．7任务指派模块任务、予任务的实例可划分出多个授权步分别完成对处理对象的一次处理过程。每个原子任务都是一个授权步。授权步中预定义了执行授权步中相关对象的角色信息及相应的保护态。保护态定义了权限集与激活许可集，权限集依据每个授权步中的对象定义的，是角色被授予授权步时所拥有的访问许可；激活许可主要根据任务、子任务、授权步之间的依赖关系定义的，是角色所拥有的访闯许可被激活的条件约束。为了方便，对授权步中的每个保护态用一个5元组符号来表示ASP(t，ts，d，P，c，as)，其中t表示授权步所属的任务；ts表示当前任务的状态；d表示依赖关系；P表示授权步所包含的权限；c表示激活的约束条件：as表示授权步。表示当任务t处于ts状态时，在满足c的条件下对于授权步as可进行P操作。只有划分了各种任务、定义出授权步及保护态，才能给角色配置任务产生实际权限，应用任务概念的访问控制才能成为可能。授权步包含执行该授权步的角色集与保护态，保护态的定义过程也集成在其中。因为工作流中的流程并不是固定不变的，不同的流程有可能定义了不同的角色，这些角色并不一定存在于现成角色集中，所以在授权步定义过程中有可能产生新的角色。授权过程见图5．9。 西北大学硕士学位论文5．2．8用户角色管理模块田5．9授权步定义藏程用户根据自己的身份获得相应的角色，角色被指派到用户中让用户获得与角色相应的权限。一个用户可以是很多角色的成员，可以看作一组角色的集合。一个角色也可以重复配置于多个用户。职责分离的实现关键在于角色的指派，角色之间的冲突必须要严格审查，见图5．10。5．3系统主要工作流程田5．10角色拯摄蠢程包括工作流及非工作流：1．初始化访问控制系统。对系统中已登记的安全数据信息，包括用户信息、角57 西北大学硕士学位论文色信息、对象信息、权限信息等进行初始化，生成静态授权关系表。2．客户端要求进入系统之前，首先向身份认证机构申请许可，如果通过，则可获取到担任的角色，并进入系统。否则，系统返回拒绝提示。3．客户端用户进入系统后，向服务器发出操作对象的访问请求。4．服务器收到请求后，如果不是来自工作流的，首先查询该用户及操作对象是否在静态授权关系表中，若存在则按照表中的要求处理数据；若用户不存在则拒绝；若用户存在但访问对象不存在，说明还欠缺对该请求的判断规则，则按用户所含的角色信息推出权限，动态生成授权关系表，再按表中规则判断是否有权处理数据，此规则依据情况可重用。5．如果服务器收到的是工作流中的请求，首先查询任务信息库及授权步信息库，根据其中保存的信息，如当前状态、约束、具备的角色等，分析判断该用户能否执行请求。如能执行，依最小权限原则授予他需要的最小权限，并把他拥有的其他权力置为无效；如不能则拒绝其请求。然后，服务器将决策结果回送给工作流，工作流将处理结果返回给用户．6．工作流中的任务是按一定的逻辑顺序执行的，主要取决于各个任务之间的依赖关系，依赖关系推动任务信息的变化，如状态、完成情况等，任务信息的变化送向服务器，服务器改变授权步中保护态信息表内容。系统主要工作流程图如图5．11．晨务嚣墙处理蠢程客户墙处理流程圈5．11系统工作漉程 西北大学硕士学位论文5．4企业电子文档管理系统部分界面根据TR-EDP瑚模型实现的企业数据内容管理系统，主要由服务器端和客户端两部分组成，图5．12一图5．15展示系统部分界面。l、系统服务器端主要负责身份验证、许可证管理、许可证的签发、用户注册、日志管理、分配角色和任务等功能。服务器可根据不同的用户设置不同的权限。田5．12臆务器螬主界面目5．13文件较限臂理2．系统客户端管理主要包括终端用户操作控制。在终端用户对密文操作时，基于许可证中权限分配的不同，同一文档，不同用户操作控制不同。如只读，不可编辑，不可复制，有效期，打印次数，只读次数等，可按不同目的进行组合控 西北大学硕士学位论文制。从事件底层着手，对对象进行控制。如在Office中，Office中的每个内容和功能单元，如工作簿(Workbook)，工作表(worksheet)，文档(Document)，文本范围，幻灯等等它们都是对象，基于对对象的控制策略有效实现不同的操作控制目的。客户端用户可对自己的文件权限进行查看，见图5．14。对不同的用户所完成的操作或任务进行日志记录，见图5．15。5．5本章小节田5．¨文件权限查寻圈5．15文件操作管理本章首先介绍了针对企业电子文档管理的系统结构，总体设计框架。再就系统中主要的模块分别介绍，包括模块的功能，模块流程及系统主流程。并展示了系统的部分界面。 西北大学硕士学位论文第六章总结与展望本文从企业数据内容管理的实际出发，详细阐述了企业环境特点及当前数据内容管理现状，分析比较主要访问控制模型的优缺点。在现有研究的基础上提出基于任务角色访问控制的DRM模型——TR．EI)RM模型。并根据该模型实现企业电子文档管理系统。论文的主要研究工作可以概括为以下几个部分：1．本文在对企业环境特点，数据版权管理技术及传统访问控制的深入研究的基础上，总结企业内保护敏感信息的安全需求和当前数据版权管理发展状况。对传统访问控制模型的优缺点进行分析比较。2．提出基于任务角色访问控制的DRM模型，并给出形式化定义。分析模型中关于任务划分，任务依赖，角色划分，约束管理，权限继承等问题。3．基于该模型对企业内通用电子文档进行保护，对模型进行验证，详细介绍系统结构及主要模块流程。TR-EDRM模型是针对企业环境特点及对电子文档的保护要求而提出的，它支持基于任务和角色的主动和被动的访问控制，又支持权限的全继承和部分继承。并使T砌AC和DRM有效结合，保护了数字内容的机密性又保护了内容的知识产权。目前，该模型已经被实现并实际应用。实践表明，模型可有效满足企业中对电子文档的保护和管理需求，具有较高的安全性及易用性。但模型中有关任务分类、支付管理等，仍值得进一步研究。此外，基于DRM技术对企业数据内容的保护是目前信息安全研究的热点，此论文主要围绕DRM中相关使用控制方面展开研究和分析，但对数据版权管理中其它技术，如：安全协议，数字内容的安全性，权利描述及权利转移，可信执行，电子商务中的电子支付等影响DRM发展的其它技术因素没有考虑和研究，是今后进一步研究的方向。6l 西北大学硕士学位论文参考文献f1】．蔡皖东．网络信息安全【M1．西安：西北工业大学出版社，2004．4．【21．林东岱，曹天杰等．企业信息系统安全一威胁与对鲥M】，2003．6p】．粱志龙．张志浩．企业信息安全访问体系的实现【J1．计算机工程与应用．2002，vol，38(4)，P139-140．188f4】．沈海波，洪帆．基于企业环境的访问控制模型⋯．计算机工程．2005，v01．31(14)：144-146【5J．ThomasRK。SandhuRS．Task-basedAuthorizationControls(TBAC)：AFamilyofModelsforActiveandEnterpdse,-odentedAuthorizationManagement[J1．InProceedingsofthe11IFIPWGll3ConferenceonDatabaseSecurity．LakeTahoe．Caiifomia，1997-08【6J．WFMC．TheWorkflowReferenceModel，Doc．No．Tcoo-1003．http：／／www．wfmc．orq／【7】．俞银燕，汤帜．数字版权保护技术研究综述【J1．计算机学报．2005．v01．28(12)：1957-1968IS]．RosenblattW．．TdppeW．。MooneyS．DigitalRightsManagement：BusinessandTechnology[M】．NewYork：M&TBooks。200219】．黄建，卿斯汉，温红子．带时间特性的角色访问控制fJ】．软件学报．2003，V0114，No．11：1944-1954．【10]．FerraioloD，KuhnR．1992．Role-basedaccesscontrol【C】．InProceedingsoftheNIST-NSANational(USA)ComputerSecu—dtyConference，554-563．【111．FerraioloDF．SandhuRetal．ProposedNISTstandardforrole-basedaccesscontrol[J]．ACMTransactions∞InformationandSystemSecarmj，2001。4(3)：224-274．【12]．董光宇，卿斯汉，刘克龙．带时间特性的角色授权约束【J】．北京：软件学报．2003，13(8)．【13]．杜栓柱，谭建荣，陆国栋．工作流模型中多粒度时间约束描述及其分析fJ】．北京：软件学报．2003．14(11)：1834．-1840．【14]．洪帆等．多级安全工作流授权模型【J】．武汉：华中科技大学学报．2002．30(1)：20-22，【15]．吕元大，刘文清，周雁舟．数字版权管理系统中的角色访问控制模型【J1．计算机工程．2006．v01．32(11)．P180-182，185【161．LaMacchiaB⋯AKeychallengesinDRM：Anindustryperspective．In：FengenbaumJ．od．．DigitalRightsManagement(JI，LectureNotesinComputerScience2696，Bedin；Spdnger-Verlag。2003．51-60【17]．R．K．Thomas，R．S．Sandhu，Towardsatask·basedparadigmforflexibleandadaptableaccesscontrolindistributedapplications[J]．Proceedingsonthe1992—1993workshopollNewsecurityparadigms，USP138·142IlS]．邓集波，洪帆．基于任务的访问控制模型IJ】．软件学报，2001．v01．14(1)，P76-82 西北大学硕士学位论文【19]．SejongOh。ParkS．Task-role-basedAccessControlModel．InformationSystamp]，2003，28：533-562f20】．陈传波．袁憬．Web工作流系统中属性证书访问控制研究【J1．华中科技大学学报．2002．1v01．30(Il【21】-王海洋，林宗楷．林守勋．基于扩展模型的工作流描述方法和最大时间控制问算【J】．计算机辅助设计与图形学学报1999．3．P253．255【22】．http：l／www．almaden．ibm．com／cs／exoticalwfmsys．ps【231．刘大听，李宁宁，曹瀚等．工作流管理技术及其在MIS建模中的应用研究【J】．计算机应用研究，2000．4P14-16F溯．范玉顺主编．工作流管理技术基础一实现企业业务过程重组、过程管理和业务过程自动化的核心技术【M】．北京：清华大学出版社．柏林：施普林格出版社。2001．125】．JoshuaD，SusanK．UnderstandingDRMSystems：AnIDCWhitePaperhttp"J／www．intertrust．com／main／technology／whitepapers．html，2002【26J．KoichiT．NewTrendsofDigitalRightsManagement．INTAPContentDistributionNetworkTechnologyCommmee．2002【27】．[Adobe]ht【p：№nM帆adobe．co．uk／epaperffeatures，dmVdnntools．h咖I【28】．【微软】http：／／www．micmsoft．com／windows／windowsmedia／drm．aspx【29】．[IBMlhttp：llwww-306．ibm．comlsoftwareldatalemmsllibrerylindex．html【301．八SoneraPlazaLtdMediaLab．DigitalRightsManagementWhitePaper．2002．2￡311．[RealNetworks]htto：／／www．rea—lne—tworks．com／oroducts／d—rm／ind—ex．htm【321．【方正Apabilhttp：／／www．apabi．com／solution／solution．htm【33】．RenatoL．DigitalRightsManagement[C]．SOCCIMiNiConference，Adelaide。2002．2【34】．AustinRuss。DigitalRightsManagementOverview，SysAdmin．Audit,NetworkingandSecum'y(SANS)InformationSecurityReadingRoom，2001．7．26．【351．EnglandP。PeinadoM．AuthenticatedOperationofOpenCompuUngDevices[C]．Proc．of7thAustralianConf．onInfo．Sec．andPdvacy．20102：：346-361．∞．SnyderL．FormalmodelsoftcapabilityJoasedpretactionsystems【J】．IEEETransactionsonComputers，1981．30(3)：172-181【37】．ThomasRK。SandhuRS．Conceptualfoundationsforamodeloftask-besedauthorizations[C]．ComputerSecuntyFounda-tionsWorkshopVII．1994．CSFW7．Proceedings，14-16Jun1994，66-79．f381．Dr．DavidF．C．Brewer,Dr．MichaelJ．Nash．theChineseWallsecurityPolicy．IEEESymposiumonresearchinSecudtyandPrivacy．1989：206-214．【391．SandhuR。CoyneE，FeinsteinHetal．Role-basedAcogssControlModel[JI．IEEE 西北大学硕士学位论文Computer,1996，v01．29(2)：3847．H0]．张杰．可信网络架构一一信息安全新概念简介团．逝丝§望丝蝤丛!班鲤：鲤鱼蜒些窖鲢璺Q坐!垡丛鱼盥丝!§』l墨窆5璺!曼：§鱼垒坦【411．AndersonR．CryptographyandCompetitionPolicy：IssueswithTrustedComputing【c1．Proc．ofWorkshoponEconomicsandInfo．Sec．。2003-05：1-11【42】．SejongOh．ParkS．Task-role—basedAccessControlModel[J]．InformationSystem。2003，28：533-562【43】．李慧芳，范玉顺．工作流系统时间管理【J】．软件学报，2002．8：1552-1558【441．SylviaOsbam，enforcemandatoryRaviSandhu，QamarMunawer．Configudngrole-basedaccesscontroltoanddiscretInformationandSystemSecurity,ionatyaccesscontrolpolicies[J]．ACMTransactionson2000．3【451．RaviSandhu．Roleactivationhierarchies[C]．In：Proceedingsof3rdACMWorkshopollRBAC，ACM．Fairfax，1998-1025【46】．陈娟娟．基于角色珀；务的工作流系统存取控制模型【D1．华中师范大学．2003．5【471．冯德民，王夸明，赵宗涛．一种扩展角色存取控制模型IJl．计算机工程与应用r2003．387-89【48】．沙瀛，权利描述语言的分析与比较【c】，中国网络与信息安全技术研讨会，2005．P22-27【49】．DavidParrottRequirementsforarightsdatadictionaryandrightsexpressionlanguage．TechnicalReportversionl．0．ReutersLtd．85FleetST．LondonEC4P4AJ，June2001．InresponsetoISO／IECJTCl，sC29，WGIIN4044：ReisseofthecallforRequirementsforaRightsDateDictionaryandaRightsExpmssionLanguages．MPEG．21．郾】．D．Beech，M．Maloney，N．Mendelsohn，H．Thompson．XMLSchemaPartI：Structures．W3CRecnmmPndation。May2001 西北大学硕士学位论文致谢衷心感谢我的导师房鼎益教授。在整个研究生学习和科研过程中，无论从科研学习还是工作方法乃至生活做人，房老师都给予我极大的帮助和启迪。在此期间，房老师不仅为我营造了宽松的学习环境，传授给我专业知识，指引我进入科研前沿，而且教导我务实上进，同时导师渊博的学识、严谨的治学、对学科前沿敏锐的洞察力给我的研究以莫大的启发。他正直无私的品格，豁达的胸襟展现了学者的思想境界和人格魅力，为我树立了做人的楷模。房老师虚怀若谷的思想风范，和蔼可亲、平易近人的风度也将使我终生难忘。我在此向房老师执著追求事业和默默无闻的奉献精神致以崇高的敬意，对房老师无私的帮助和教诲表示衷心的感谢!深深感谢师母安娜老师在学习和生活上对我的关心和照顾。安老师直爽的性格以及对工作的认真负责都给我很深的印象，她对我的鼓励和教导使我终身难忘!同时感谢陈晓江老师!他热情、幽默，在为我们解决问题的同时给我们带来了欢笑，他对我们的关心帮助和负责认真使我体会到了老师平凡中的伟大。感谢实验室何路老师，以及冯健、王婷、于海燕、齐文华、朱江涛、符凯、王义立、陈峰同学给予我各方面的热情帮助与鼓励，在此向他们表示深深的感谢!最后尤其感谢我的父母，感谢我的爱人陈宽，他们对我的爱一直支持和激励着我，成为我求学路上的强大精神力量。感谢我的哥哥和姐姐，感谢他们在生活上和学业上给予我的关心与支持。本文的顺利完成，是与他们的无私给予和浓浓亲情分不开的。再次感谢所有关心和帮助过我的老师、同学以及亲人和朋友!感谢您耐心的看完此文，并给予宝贵的意见。 西北大学硕士学位论文附录攻读研究生期间所发表论文及参加项目·发表论文[1】《基于任务角色访问控制的数据版权管理模型》计算机应用与软件，已录用，第一作者【2]2《网络攻击技术研究综述》西北大学学报，已发表，第二作者●参加项目【1】数字产品安全保护系统(陕西省国际科技合作重点项目，2006KW-21)[2】分布式软件体系结构及其构造环境研究(陕西省自然科学研究基金，2003F20)。[3】Xx军区国防动员潜力信息管理系统(横向联合项目)[4]XX电子文档安全管理系统(横向联台项目)【515基于Internet的计算机考试系统(横向联合项目)