工作流系统中的PRBAC访问控制模型研究

摘要

工作流管理系统(workflow management systems,WFMS)已被企业和政府广泛用于组织的业务流程管理,系统的任务分派一般采用基于角色的访问控制(role-based access control,RBAC)模型来解决授权控制问题,这为员工的角色或部门变更提供了良好的适应性.然而,随着竞争的加剧和改革的常态化,组织的结构和角色变化日益频繁.另外,一套流程系统实施到不同的组织,也要面对不同的组织结构和角色.RBAC模型导致业务流程定义中的任务授权严重依赖于组织,后者的频繁变化不但会引起授权体系的频繁变化,甚至因影响流程定义而引起执行期的异常.为此,提出了一种基于职位-角色的访问控制(position-role based access control,PRBAC)模型,将角色的粒度细化为组织职位,同时引入业务角色的概念,授权仅针对后者,并通过一个映射层来建立两者的对应关系.证明了PRBAC与RBAC在表达能力上的等价性,并对授权粒度和复杂度进行了分析.通过案例分析,演示了PRBAC模型可以有效提高WFMS应对组织变化的适应性和柔性,实现了组织模型与业务模型的解耦.