第1章 工作流与访问控制概述 1
1.1 工作流技术发展与现状 1
1.2 基于角色的工作流授权 3
1.2.1 冲突实体管理范例 4
1.2.2 基于任务的访问控制 5
1.2.3 时序基于角色访问控制(TRBAC) 6
1.2.4 通用时序基于角色访问控制(GTRBAC) 6
1.3 工作流授权约束的表示 7
1.3.1 基于角色的约束语言 7
1.3.2 操作上的职责分割授权约束 7
1.3.3 基于主动数据库的授权约束表示 8
1.3.4 基于关系代数的授权约束表示 8
1.3.5 基于谓词逻辑表示的授权约束 9
1.3.6 TRBAC中授权约束的表示 9
1.3.7 GTRBAC中授权约束的表示 10
1.4 工作流授权模型的合理性 11
1.4.1 加权角色与周期时间访问控制模型 11
1.4.2 工作流授权模型 12
1.4.3 工作流动态授权模型 12
1.4.4 基于谓词逻辑的授权模型 13
1.5 执行时工作流的任务指派 14
1.6 工作流的任务指派异常处理 14
1.7 研究背景及内容 15
1.7.1 研究背景及意义 15
1.7.2 研究内容 16
1.8 本书的组织 17
1.9 小结 18
第2章 基于角色的访问控制模型(NIST标准) 19
2.1 介绍 19
2.1.1 背景 20
2.1.2 RBAC标准化 20
2.2 组件概述 21
2.2.1 核心RBAC 21
2.2.2 等级RBAC 22
2.2.3 静态责任分割关系 23
2.2.4 动态责任分割关系 23
2.3 基于角色的访问控制参考模型 24
2.3.1 核心RBAC 24
2.3.2 等级RBAC 26
2.3.3 约束RBAC 29
2.4 操作规范概述 32
2.4.1 核心RBAC的操作规范 32
2.4.2 等级RBAC的操作规范 33
2.4.3 SSD关系上的操作规范 35
2.4.4 DSD关系上的操作规范 36
2.5 操作规范包 37
2.6 小结 38
第3章 工作流授权模型的表示与化简 39
3.1 工作流的基本概念 39
3.2 基于Petri网的工作流模型 39
3.3 基于业务实例的工作流模型分解 41
3.4 工作流授权模型及授权约束 41
3.5 基于步语义Petri网的工作流授权模型表示与化简 42
3.5.1 Petri网中的步语义 42
3.5.2 工作流授权模型的步语义Petri网表示及其合理性 43
3.5.3 工作流授权模型的化简 44
3.6 小结 44
第4章 工作流授权合理性验证 45
4.1 基于实例分解的WAR验证 45
4.1.1 WAR验证问题的与/或树 45
4.1.2 合理指派路径及与/或树节点的可解性 46
4.1.3 基于实例分解的验证算法 47
4.1.4 业务实例授权合理性验证 47
4.1.5 WAR验证算法 48
4.1.6 复杂度分析 49
4.1.7 实现模型 50
4.1.8 验证流程 50
4.2 基于回溯搜索的工作流任务执行序列的角色规划 52
4.2.1 工作流执行序列角色规划的解空间 52
4.2.2 回溯算法 53
4.2.3 算法复杂度分析 54
4.2.4 仿真实验结果及分析 54
4.3 基于约束传播的工作流任务执行序列角色规划 57
4.3.1 工作流任务执行序列角色规划问题的CSP描述 57
4.3.2 工作流任务指派角色的约束分类 57
4.3.3 解空间修正算法与角色规划程序 58
4.3.4 修正算法复杂度分析 60
4.4 小结 60
第5章 基于授权约束的多规则工作流任务指派 61
5.1 工作流任务指派相关概念 61
5.2 基于授权约束的工作流任务指派算法 62
5.2.1 算法描述 62
5.2.2 复杂度分析 63
5.3 基于授权约束的多规则工作流任务指派方法 63
5.3.1 多规则任务指派方法 63
5.3.2 任务指派中的安全风险评价 65
5.3.3 基于授权约束的多规则评价过程 66
5.3.4 实例分析 66
5.4 小结 69
第6章 基于授权约束的工作流任务指派异常处理 70
6.1 工作流任务指派异常 70
6.2 工作流的任务指派异常分析 70
6.2.1 工作流任务指派异常的概念及产生原因 70
6.2.2 基于访问控制系统的处理方法 71
6.3 工作流任务指派异常处理 72
6.3.1 基本概念 72
6.3.2 异常事件及操作原语 72
6.3.3 ECA规则示例 73
6.4 小结 74
第7章 工作流系统访问控制的实现模型 75
7.1 工作流管理系统概述 75
7.2 GTRBAC基于角色的访问控制模型 76
7.3 GTRBAC的授权约束表示 76
7.4 基于约束的工作流授权原型系统结构 78
7.5 工作流管理系统的功能扩展 78
7.5.1 工作流定义模块的扩展 78
7.5.2 工作流引擎模块的扩展 79
7.5.3 工作流客户端模块的扩展 79
7.6 GTRBAC系统的功能扩展 80
7.7 工作流授权约束的实现过程 80
7.8 小结 81
结论 82
参考文献 84
术语 88