SaaS工作流訪問控制模型設計

王豐錦 張群芳

摘要： 在SaaS中，人們正逐漸采用基于服務的業務流程來滿足企業業務流程的靈活性和定制性。從實現工作流訪問控制的角度，應當使工作流訪問控制模型與流程模型分離，以支持在流程改變或組織機構變化時減少對彼此的影響。為此，設計和實現了一個面向服務的、支持訪問控制模型和流程模型分離的SaaS工作流訪問控制模型—RBSWAC（Role-based Service Workflow Accesss Control ）。該模型可提高訪問控制的適應性和靈活性，實現訪問控制模型同流程模型的松耦合和靈活性。

關鍵詞： saas； 訪問控制模型； 服務； 工作流

中圖分類號：TP319文獻標志碼：A文章編號：1006-8228（2012）03-12-03

Designing a SaaS workflow access control model

Wang Fengjing, Zhang Qunfang

（Beijing Tongfang Software， Beijing， 100080 China）

Abstract: Service oriented workflow has been adopted in the SaaS application to meet the flexibility and customization of enterprise information system, which emphasizes the separation of access control model and the workflow model. In this paper the authors design and implement a service oriented SaaS workflow access control model-RBSWAC(or Role-based Service Worklfow Accesss Control), which may enhance the flexibility and adaptability of access control and realize the loose coupling and agileness between the access control model and the workflow model.

Key words: SaaS； access control model； service； workflow

0 引言

SaaS是Software as a Service(軟件即服務)的簡稱，是一種通過互聯網向公眾特別是中小企業提供應用軟件的模式。SaaS軟件廠商將應用軟件統一部署在中心服務器上，租戶可以根據自己的實際需求，通過互聯網向廠商定購所需的應用軟件服務。SaaS本質就是通過在線租賃的方式替代傳統的信息化建設投資，并保證租戶充分享有信息化技術的便利、效率和專業的信息化服務。

在SaaS中為了支持客戶的實際業務需求，需采用基于服務的業務流程進行支撐，一方面以支持多企業的業務流程的靈活性和定制化，另一方面也可支持靈活的訪問權限控制[1]。隨著信息技術和企業業務的發展，企業的組織結構更加動態化，業務流程也經常發生變化，這些變化增加了實現工作流訪問控制的復雜性。從實現工作流訪問控制的角度，應當使工作流訪問控制模型與流程模型分離，這樣在流程改變時，通過工作流訪問控制的調整可以避免影響到企業的組織安全策略[2，3]。同時，當企業的組織結構發生變化時,也可以利用工作流訪問控制的調整避免對流程模型產生影響,有助于支持SaaS業務流程的靈活性和安全性[4]。

本文設計和實現了一個面向服務的、支持訪問控制模型和流程模型分離的SaaS工作流訪問控制模型—RBSWAC（Role-based Service Workflow Accesss Control ）。

1 RBSWAC模型定義

在RBSWAC模型中，流程中的任務是作為抽象服務存在的，在具體運行時任務將被映射到具體的服務實例。服務是實施授權的基本單元。一方面，服務作為執行流程任務的具體執行體；另一方面，作為任務的具體執行體的服務又在訪問控制模型中作為角色、權限之間的關聯者進行訪問控制權限的定義，在流程運行而進行服務調用時，將相應權限與相應角色的用戶進行關聯[5]。因此，在RBSWAC中，訪問控制模型和流程模型通過服務就關聯在了一起，實現了訪問控制模型與流程模型的松藕合關系。

當用戶執行任務時，系統根據定義的訪問控制模型實例化任務到具體服務實例，授權用戶可以調用服務實例的操作，當任務完成時系統將刪除服務實例，用戶的權限自動取消，這樣就可以實現動態授權原則。同時，本模型也支持通過設定流程中任務間的沖突關系，在流程運行時將任務間沖突映射到服務間沖突關系，從而達到職責分離的目的。

RBSWAC模型如圖1所示。

圖1RBSWAC模型示意圖

根據WfMC規范[6]，可以定義流程模型如下。

⑴ 流程模型中的元素包括：Wf表示工作流，T表示工作流中的流程任務，TInstance表示任務實例。

⑵ 工作流Wf是一組任務T的集合。工作流的運行過程看做Wf 的一個流程實例的執行,而一個流程實例是一組任務實例TInstance 的集合。

RBSWAC模型的基本元素及其與流程模型的關系說明如下。

⑴ RBSWAC的基本元素包括：U，用戶集合；R，角色集合；S，服務集合；P，與流程任務執行相關的權限集合；一個在流程運行時才建立的ASS（authority ServiceSession）—授權服務會話。

⑵ 用戶與角色之間的關系為UR，URUXR，它們之間的關系是多對多的關系。

⑶ 角色層次關系。角色用于描述組織模型中的責任單元，角色之間存在偏序關系RH，RHRXR，這種關系可以用＜表示，如ri＜rj，就表示rj是ri的上級角色。

⑷ 權限集合P定義了工作流程任務執行過程中相關的權限集合。在RBSWAC模型中，權限是一個與任務執行相關的抽象概念，也就是流程任務對應的操作體的具體執行，即各種具體的業務權限。

⑸ 任務與角色之間的關系TR，TRTXR，它們之間是多對多的關系；由于存在RH角色層次關系，TR也是可以根據RH進行繼承的。

⑹ 任務與權限之間的關系TP，TPTXP，這種關聯關系規定了執行任務時所需要的權限。

⑺ 工作流中的任務與服務集合中的服務存在多對一的指派關系TS，TSTXS，每個任務只有一個服務作為其具體執行體, 但一個服務可以對應到多個任務上。

⑻ 服務集合S由一組服務s組成。s是一個三元組(PAin,PAout，SP)。其中PAin和PAout分別表示服務的輸入參數和輸出參數集合,用來描述服務與用戶之間的數據交互需求,在任務到服務的映射過程中會進行對應；SP表示服務s上的各種具體操作函數集合。

⑼ 存在一個約束集Constraints，表示作用在用戶、角色、服務和權限之上的授權約束關系，可用以實現更復雜的安全策略控制。

⑽ 工作流實例WInstance是一系列授權服務會話集合ASS[ass1,ass2,…assn]。Assi是一個四元集（T,TS,TP,TR），tT，TSS是任務t執行時的服務s，TPP是完成任務t需要的最小權限集，TRR是可執行任務t的角色集。工作流實例中的任務按照其定義中的流程邏輯順序執行。授權服務會話作為流程任務的執行和實施訪問控制點的基本單元，將任務、服務、角色和權限關聯起來，避免了流程模型和訪問控制模型的直接關聯。如果訪問控制模型或者其中的安全策略發生改變，只需要修改相關的授權服務會話，而流程模型無需作任何更改。同樣，如果流程的業務邏輯發生變化，例如當需改變某些任務的工作內容或添加、刪除部分任務，從而影響執行流程所需的權限或流程參與者時，只需要對任務所對應的授權服務會話作相應的修改而不必修改訪問控制模型和安全策略。

⑾ 任務授權服務會話的指派（TASSA）：TASSATX ASS，是多對一的任務到授權服務會話的指派關系。一個任務只有一個授權服務會話與其對應，而一個授權服務會話可以控制多個任務的執行。

⑿ 服務授權服務會話的指派（SASSA）：SASSASX ASS，是一對一的任務到授權服務會話的指派關系。一個服務只有一個授權服務會話與其對應。

⒀ 權限授權服務會話的指派（PASSA）：PASSAPX ASS，是多對多的任務到授權服務會話的指派關系。

⒁ 角色授權服務會話的指派（RASSA）：RASSARX ASS，是多對多的任務到授權服務會話的指派關系。

ASS是工作流程運行時的授權服務會話，在流程運行時與任務對應的服務實例SIns將與符合訪問控制策略的用戶進行關聯。即只有當流程運行時，工作流系統才會根據各相關元素信息建立ASS，并將任務對應的服務實例及其上的權限賦給相關用戶。服務調用結束后，用戶的權限將隨著服務實例的結束一并收回。這一過程實現了動態責任分離的多用戶訪問控制策略。

2 RBSWAC模型使用

下面通過一個簡單的流程實例來說明RBSWAC模型的設計和使用。該示例業務流程如圖2所示,這是一個企業采購訂單的審核流程。

[T2：校對訂單][T1：制定訂單][T1：核算訂單][T1：訂單復核] [T5：訂單審批][T6：發送訂單][T7：訂單退回，

重新修改][金額小于1萬][金額大于1萬][批準狀態yes][批準狀態no]

圖2采購訂單審核流程

圖3角色層次圖

根據上面的業務流程邏輯，系統涉及到以下角色：R1采購經理；R2采購主管；R3采購人員；R4財務經理和R5財務人員。角色層次圖如圖3所示。

根據上面的業務流程邏輯，系統對應的服務集合如下。

S={S1：制定訂單服務，S2：校對訂單服務，S3：訂單核算服務，S4：訂單審批服務，S5：發送訂單服務}

根據上面的業務流程邏輯，系統對應的權限集合P為：

P={P1：制定訂單，P2：校對訂單，P3：訂單核算，P4：批準訂單，P5：拒絕訂單，P6：發送訂單}

根據RBSWAC模型，可以為流程中各任務定義相關的授權服務會話。

制定訂單ass1={t1,(t1,s1),(t1,p1),(t1,r3)}

校對訂單ass2={t2,(t2,s2),(t2,p2),(t2,r2)}

訂單核算ass3={t3,(t3,s3),(t3,p3),(t3,r5)}

訂單復核ass4={t4,(t4,s3),(t4,p3),(t4,r4)}

訂單審批ass5={t5,(t5,s4),(t5,p4,p5),(t5,r1)}}

發送訂單ass6={t6,(t6,s5),(t6,p6),(t6,r3)}

訂單撤銷ass7={t7,(t7,s1),(t7,p1),(t7,r3)}

該業務流程實例的ASS集合與服務集合、權限集合、角色集合的關系如圖4所示。

圖4集合與集合之間的關系

當任務實例化時，工作流程系統在運行時創建任務對應的授權服務會話并將服務實例和對應權限分派給合法的執行用戶，即將授權服務會話對應的服務、執行角色集合和執行權限集合中的權限賦予執行用戶，任務完成后，授權服務會話將權限收回。

現假設在已定義好的業務流程中需要對訪問控制策略進行更改，在任務t2中校對訂單對應的角色需要由采購主管R2修改為采購經理R3。如果使用的是基于角色的工作流訪問控制模型，則需要將流程模型任務T2的執行角色R2刪除，同時在組織模型中將R2的P2權限撤除，再為R3角色添加P2權限，并將任務T2的執行角色改為R3。而在RBSWAC模型中只需修改流程模型任務T2的TR關系，將(t2,r2)改為(t2,r3)即可。業務流程在執行時會動態調整對應的授權服務會話ASS，并將對應的服務、執行角色集合和執行權限集合中的權限賦予具體執行用戶，任務完成后，授權服務會話將權限收回。同樣道理，當流程模型需要改變時只要修改相應流程模型的元素即可。

由上面的示例可見，RBSWAC模型大大增加了訪問控制的適應性和靈活性，實現了訪問控制模型同流程模型的松耦合和靈活性。

3 結束語

RBSWAC模型通過流程任務與角色、權限、服務的關聯，以及流程模型和基于角色的組織模型的關聯，實現了一個方便、靈活的工作流訪問控制機制。在接下來的工作中，我們將根據實際SaaS平臺的安全需求和約束需求適當引入新的功能特性, 進一步改進和完善RBSWAC的實現機制，同時將對不同類型約束的整合機制加以研究。

參考文獻：

[1] 徐偉,魏峻,李京.面向服務的工作流訪問控制模型研究[J].計算機研究與發展,2005.42(8):1369~1375

[2] 薛偉,懷進鵬.基于角色的訪問控制模型的擴充和實現機制研究[J].計算機研究與發展,2003.40(11):1635~1641

[3] PCK Hung , K1 Karlapalem . Least privilege security in CapBasED2AMS1[J].International Journal of Cooperative Information Systems,1999.8(223):139~168

[4] 吳耀華,李寧. 適用于B /S 結構的RBAC 模型研究及實現[J].計算機應用,2004.24(12):8~87

[5] 陳波.基于SaaS的軟件服務鏈研究[D].碩士學位論文,武漢理工大學,2008:1~48

[6] Workflow Management Coalition. Workflow securityconsiderations. Workflow Management Coalition[R], Technical Report.: WFMC2TC21019,1998