跟着计较机手艺的迅猛成长，基于预定流程的工作流治理系统应运而生。操纵该系统来治理遵循预定流程实现的营业过程，可大年夜大年夜简化和优化运行流程，进步运转效力，但同时也引进了一个急需解决的标题问题——安然标题问题。同时，作为治理系统，其可治理性也很首要。是以，若何构建一个安然的、便于治理的系统是工作流治理系统扶植的方针和寻求。

　　按照工作流治理系统的特点，本文重点阐发了其首要的安然标题问题，并在此根本上提出了一个新的安然模型，即操纵数字签名手艺和基于角色的拜候节制(RBAC)来机关系统安然，使系统既具稀有字签名的安然性也具有RBAC的可治理性。在实现上，操纵该模型成功开辟了一个基于J2EE，Oracle9i，Bes6.5的B/S模式工作流治理系统。

　　1 工作流治理系统首要安然标题问题阐发

　　工作流安然***指出，工作流的根基安然标题问题包含认证、授权、拜候节制、审计、数据保密性、数据完全性、防否定、安然治理等。工作流治理系统作为交互系统，其安然隐患多呈现于系统与人的交互环节。连络工作流治理系统的特别性，其安然标题问题要表此刻拜候节制、保持数据的完全性和避免狡赖等方面。

　　1.1 拜候节制

　　系统交互是软件系统最首要的安然隐患，首要表示在用户对系统资本的不法拜候和越权拜候。拜候节制的机能将决定系统的安然机能。对工作流治理系统，拜候节制既要包管不让用户履行未授权的任务，又要包管授权用户顺利履行已授权的任务。同时，便利合理的安然治理也是系统安然机能的一个首要方面。是以，采取合适的拜候节制策对系统来讲相当首要，合适的拜候节制编制不但可使系统加倍安然，也使系统的治理与保护都加倍便利。

　　1.2 传送信息的准确性

　　在包管授权用户顺利拜候授权资本的同时，确保交互数据的准确性也很首要。因为拜候节制不触及交互信息的准确性验证标题问题，交互数据有被窜改或传送不完全的可能。是以，只有对交互信息进行准确性验证才能充分包管系统的安然。信息的准确性验证凡是是经由过程发送方和接管方的信息进行比较来鉴定的，假定二者不异，则传送的信息准确，不然不准确。

　　1.3 避免狡赖

　　工作流治理系统首要包含工作流的流转及其治理，需要相干责任人进行确认和责任的承担。是以，避免狡赖也是工作流治理系统安然的一个首要方面。避免狡赖包含两个方面，一个是从手艺上来包管这个把持确切是或人所为，没有被冒名顶替把持的可能;二是需要对系统首要把持信息进行记实，使其更具有说服力。经由过程在手艺上的包管来讲明只有本身才有把持的可能。同时，因为任何系统的安然呵护办法都不是最完美不缺的，老是有人千方百计地打破节制。是以，对首要把持信息的记实(即审计)也相当首要。

　　2 安然模型

　　2.1 基于角色的拜候节制

　　拜候节制是当今信息安然策略的主流，其目标是为了限制主体对客体的拜候权限，使系统在合法范围内利用。拜候节制包含自立拜候节制(DAC)、强迫拜候节制(MAC)、基于任务的拜候节制(TBAC)和基于角色的拜候节制(RBAC)。此中，RBAC最为矫捷、有效，它正在慢慢成为拜候节制编制的主流。

　　RBAC模型首要包含由美国国度尺度与手艺局(NIST)提出的RBAC模型和George Mason大年夜学的提出的RBAC96模型，它是基于角色拜候节制模型的权势巨子参考文档，NIST已将其作为建造规范的根本。图1为RBAC96根基思惟示意图，其核心思惟是在资本权限和用户之间增加一个中介“角色”，把对资本拜候的权限付与必然的角色，再把角色付与响应的用户，当用户登录系统时，系统经由过程用户角色来鉴定其是不是可以拜候系统资本的编制来实现拜候节制。RBAC最大年夜的长处是兼顾安然性和可治理性。

　　图1 RBAC96模型核心思惟示意

　　2.2 数宇签名

　　数字签名手艺是指附加在数据单位上的一些数据或对数据单位所作的暗码变换手艺，它具有3个首要功能：一是信息领受方可以或许证实信息发送方的身份;二是信息发送方过后不克不及否定发送的信息;三是领受方或不法者不克不及捏造窜改信息。数字签名常经由过程RSA加密算法连络动静摘要(MD)的暗码手艺来进行，今朝遍及利用的是MD5动静摘要算法MD。

　　数字签名首要包含签名和签名验证两部门，签名主如果MD5和私匙Kua对发送信息M进行加密，而签名验证主如果操纵公钥Kpa对发送方的数字签名信息解密并验证传送信息的完全性。数字签名的安然性已获得国度相干法令的承认，可以很好地避免狡赖。数字签名数据流如图2所示。

　　图2 数字签名数据勾当示意图

　　2.3 基于数字签名和RBAC的安然模型

　　基于工作流治理系统的安然性与可治理性需求，可操纵数字签名手艺和RBAC来机关一个安然的便于治理的工作流治理系统。需要将系统的任务遵循需要抽象成不合的角色，并付与角色响应权限，然后再把角色授权给不合用户。利用户具有响应的治理权限。如许，系统便可操纵角色进行治理，同时连络数字签名手艺可进步系统安然性，保障传送数据的完全性。是以，系统兼顾安然性与便于治理性和杰出的不成狡赖性。为此，本文提出了一个新的安然模型，如图3所示。

　　图3 安然节制模型

　　安然节制模型经由过程身份验证。签名验证、和角色权限验证来实现系统的安然拜候节制，包管系统的安然，同时也兼顾RBAC的矫捷性和易治理性。模型由利用系统、数字验证办事器、RBAC办事器、工作流治理办事器等构成。它操纵系统前台与节制流治理系统之间增加数字签名和基于角色的拜候节制，然后由工作流治理系统节制利用系统后台法度。用户经由过程把持利用系统客户端将其把持意图通知系统，系统将把持意图信息进行数字签名后构成密文发送到数字验证办事器进行验证，对经由过程信息验证的用户获得角色，然后按照用户角色权限验证用户把持的合法性，合法者把持成功并对成功把持的敏感部门信息进行审计，以备将来究查其责任。如许用户便可以安然便利地把持利用系统了，系统安然拜候节制流程图如图4所示。

　　图4 安然拜候节制流程图

　　3 J2EE中的利用实现

　　J2EE采取基于容器的安然机制，将系统组件开辟与系统安然设计相分手，安然标题问题由组件组装人员和摆设者和系统治理员来完成。连络RBAC和容器的声名性安然性策略。用它来治理J2EE容器中的系统组件资本，从系统组件拜候节制的角度来实现系统安然。J2EE模式下安然模型的拜候节制流程如图5所示。因为J2EE容器采取了一次登岸(SSO)机制，避免了用户拜候资本时反复输进用户名，暗码。

　　图5 基于J2EE模式的模型拜候节制流程

　　在实现利用上，操纵该模型成功开辟了一套基于J2EE，Oracle9i，Bes6.5的B/S模式的工作流治理系统。今朝，该系统在一家石油企业利用杰出。系统在操纵图5所示流程的同时，为了更好地实现系统的安然性与可治理性，还采取了以下的安然办法：

　　(1)操纵数字签名和“用户名/暗码”来共同完成用户身份的验证，避免因“用户名/暗码”被盗而带来的安然标题问题。

　　(2)在Oracle数据库中成立用于保留RBAC信息的数据表，并经由过程数据库触发器保持数据库表数据与DBMS数据的同步性，如许便可以操纵DBMS的RBAC策略来呵护Oracle数据库资本。

　　(3)连络数据表的设计，构成基于用户的动态菜单，给用户一个定制化的把持菜单，便于用户对系统的安然把持。

　　4 结束语

　　本文在阐发工作流治理系统安然标题问题标根本上，按照工作流治理系统的特点和系统安然机能的要求，提出了新的基于角色的拜候节制与数字签名的有机连络来实现系统的安然治理模型。同时连络数字签名手艺来安然便利地实现工作治理系统的安然治理，使系统具有较高的安然性和可治理性。在实践上，操纵这类安然模型成功开辟一套基于J2EE的工作流治理系统。今朝该系统利用杰出。