基于PKI/PMI的工作流安全模型研究

摘要：鉴于经典工作流安全模型中存在的认证简单，权限授予不灵活，无审计安全等缺陷，在对PKI/PMI理论和工作流安全需求深入研究的基础上，对经典工作流安全模型进行安全改进，提出了一种基于PKI/PMI的工作流安全模型。该模型使用基于PKI的强因子方式进行身份验证；使用基于PMI的T&RBAC（基于任务和角色的访问控制）进行权限管理；使用数字签名和时间戳保证不可否认性和存在性，满足审计安全的需求。实践结果表明，该工作流安全模型有效的提高了经典工作流安全模型的安全性和灵活性，解决了工作流中传输信息的机密性、完整性、可用性和不可否认性等安全问题，并减少了非授权操作和越权操作等权限管理漏洞。

关键词：工作流；安全模型；PKI；PMI；审计安全

中图分类号：TP393.08文献标识码：A文章编号：1009-3044(2011)14-3288-04

Research on Workflow Security Mode Based on PKI/PMI

KANG Zhi-qian, XU Zhi-qi

(College of Computer Science and Information, Guizhou University, Guiyang 550025, China)

Abstract: In consideration of simple workflow security model, there are some loopholes as simple authentication, inflexible authorization and absent audit. Based on the intensive research of existing technology of PKI/PMI and the security needs of workflow, an enhanced workflow security model is proposed. This model introduces strong factor authentication by utilizing PKI, T&RBAC access control by utilizing PMI and by utilizing digital signature and DTS to ensure non repudiation and existing. It satisfies the needs of security audit. Comparing to simple workflow security model, practice shows this enhanced model improves the safety and flexibility significantly. It provides a reliable solution for Data Privacy, Data Integrity, data Availability and Non Repudiation. The risks from illegal and unauthorized operation are reduced greatly.

Key words: workflow; security model; PKI; PMI; audit

随着我国信息化建设突飞猛进的发展，特别是电子政务的广泛实施，出现了越来越多的基于工作流的应用系统。例如：办公自动化系统、协同系统等。它们有效地提高了信息共享的水平和人们的工作效率。工作流就是通过将工作活动分解成定义良好的任务（Task）、角色（Role）、规则（Policy）和过程（Process）来完成执行和监控，达到提高生产组织水平和工作效率的目的。随着工作流管理系统的发展，安全问题也已经成为工作流管理系统领域非常重要的研究课题。一般说来，工作流管理系统横跨多个部门，与现有的异构的应用系统互相交错，特别是基于网络的分布式工作流管理系统部署的更快，地域的跨度更大。因此，如何保证工作流管理系统的安全就成为突出问题。当前计算机管理信息系统和办公自动化系统的核心就是工作流，只有工作流的安全得到了保证，基于其的上层应用系统才有安全保障。

根据工作流管理联盟（Workflow Management Coalition，WfMC）制定的Workflow Security Considerations - White Paper（工作流安全白皮书），当前工作流中存在的基本安全问题包括[1]：认证（Authentication）、授权（Authorization）、访问控制（Access Control）、审计（Audit）、数据机密性（Data Privacy）、数据完整性（Data Integrity）、不可否认性（Non Repudiation）、安全管理（Security Management & Administration）等。公钥基础设施(Public Key Infrastructure，PKI)和权限管理基础设施(Privilege Management Infrastructure，PMI)是信息安全领域成熟的网络安全技术平台，通过与工作流的融合，可有效提高工作流的安全性。也只有从底层保障了安全，基于工作流引擎的上层系统的安全才有坚实的基础。该文就是在PKI/PMI的安全平台上，利用两者提供的安全，在分析经典工作流安全模型的基础上，设计一种基于PKI/PMI的安全工作流模型，满足各种基于工作流的应用系统对安全的需求。

1 PKI/PMI概述

公钥基础设施[2]（PKI）是一种遵循既定标准的密钥管理平台，它能够为所有网络应用提供加密、解密和数字签名等密码学服务以及所必需的密钥和证书管理体系。在X.509标准中，PKI被定义为支持公开密钥管理并能支持认证、加密、完整性和可追究的基础设施。PKI主要包括四个部分：数字证书（X.509标准）、CA操作协议、CA管理协议以及政策制定。PKI将用户的身份信息及密钥对保存在数字证书中。当前与PKI定义相关的标准有：ITU-T的X.500标准，X.509标准，PKCS系列标准；IETF的PKCS系列标准等。

权限管理基础设施（PMI）依赖于公钥基础设施的支持，任务旨在提供访问控制和权限管理，提供用户身份到应用授权的映射功能，实现与实际应用处理模式相对应的，与具体应用系统和管理无关的访问控制机制，并能极大地简化应用中访问控制和权限管理系统的开发与维护。PMI授权技术的基本思想是以资源管理为核心，将对资源的访问控制权统一交由授权机构去管理，即由资源的所有者来进行访问控制管理。PMI将用户的属性（权限）信息保存在属性证书（Attribute Certificate，AC）中。

2 经典工作流安全模型

美国的John A，Miller等发表的Security in Web-Based Workflow Management Systems一文中，在工作流管理系统基本安全问题及其解决方案的基础上提出了经典工作流安全模型[3]（如图1所示）。

该安全模型主要由登录，安全，任务管理器，安全数据库和应用数据库等部分有机组成，其中最重要的部分是安全和安全数据库[4]。在安全的帮助下，通过访问安全数据库完成对用户身份的验证和角色的授权。安全模型将工作流管理系统中的信息加密、数字签名和基于角色的访问控制（Role-Based Access Control，RBAC）等基本安全问题及其解决方案有效的融合在一起。安全模型的访问控制策略采用了RBAC。整个登录流程简述如下：首先，工作流用户以一定的角色登录（用户在登录时可以选择一个角色，安全会验证用户是否有权限选择这个角色）。接着，用户可以执行角色所授权的任务，任务管理器会通过安全来验证用户的身份和角色的权限。在所有的验证过程中为了确保信息传输的安全，都将使用安全通信通道（例如采用SSL/TLS协议，VPN等）。

2.1 经典工作流安全模型组件介绍

2.1.1 登录

登录[5]帮助用户完成登录、选择角色等任务，并把用户提交的信息安全传输给安全并负责与用户交互等功能。

2.1.2 安全和安全数据库

安全和安全数据库是工作流管理系统安全模型的重要组成部分。登录和任务管理器都通过安全来验证用户的身份和权限，所有对安全数据库的查询也都要通过安全执行。安全数据库主要有以下两个主要功能：

1) 实现访问控制―RBAC

安全数据库通过实体―关系模型来实现RBAC[6]。其主要实体包括：有效的用户集合，工作流类型，角色，任务，目标数据等。安全数据库主要解决了以下问题：用户是否可以以某角色登录；用户是否可以在登录角色下执行某任务；用户是否可以在执行任务时存取目标数据。

2) 密钥管理

安全数据库的另一个功能就是对用户密钥的管理。没有严格的、完善的密钥管理机制来管理密钥的生存周期和保证密钥的安全性，工作流管理系统的安全性就无从谈起。工作流管理系统的管理者必须制定出适当的安全机制来管理和保存密钥。

2.1.3 任务管理器

在安全模型中，任务管理器用来检查用户是否有权限执行特定的任务。

1) 验证用户：安全数据库中存有合法用户的密钥，安全通过验证密钥可以验证用户的合法性。

2) 实现角色到任务的映射：通过角色，查找到可授权用户执行的任务列表。

3) 验证角色：安全通过验证数字签名可以验证角色的合法性。

2.2 经典工作流安全模型存在的缺陷

1) 身份假冒

在经典工作流安全模型中，系统登录和认证方式使用的都是简单的弱(单)因子认证（用户名+口令）的方式，当受到攻击的时候，口令很容易被窃取，安全性不够。

2) 信息泄漏

虽然在经典工作流安全模型中，建议使用安全协议搭建安全通讯信道。但在实际应用中，尤其是企业内部的应用中，由于各种原因，往往忽视内部信息传输安全，极易产生信息泄露[7]。

3) 完整性破坏和行为抵赖

由于在经典安全工作流模型中缺少审计安全模块，因此无法保证信息在传输途中的完整性。并且由于缺少有力的凭据，当产生行为抵赖时，很难做出双方都信任的仲裁。

4) 安全数据库自身的缺陷

由于安全是用户与安全数据库交互的唯一途径，且安全数据库具有模块化的特点，使得安全数据库的实现是可以替换的。但对于分布式和基于Web的工作流管理系统，由于其网络结构复杂，业务应用较多，用户分布分散，导致了以安全数据库为基础的系统认证和授权管理方法的复杂和混乱。尤其当数据库中存在大量用户时，将加重安全数据库管理员的负担，极易产生疏漏。

5) 传统RBAC存在的问题

RBAC模型的基本思想是将不同的访问权限分配给不同的角色，用户通过饰演不同的角色来获得角色所拥有的访问权限。但在工作流系统中，授权又具有其自身的一些特点：授权应当与当前执行的任务同步，即任务开始时，授予用户完成当前任务的最小权限，任务结束时，权限被收回；授予权限和回收权限均由事件驱动。一个业务流程中的任务往往依赖于该流程中之前业务的执行结果，相应的，该任务的授权也依赖于在它之前执行任务的结果，授权控制管理必须吻合事件发生的先后顺序；授权控制管理是上下文敏感的，且对执行过程的历史记录有依赖关系；授权具有时效性，授予的权限仅在规定的时间段内有效，超出规定时间，权限自动被收回。在工作流中，任务概念越突出，对访问控制的要求就越高。因此，传统的RBAC访问控制模型在工作流系统中使用时，就暴露了两个明显的缺陷：数据冗余且动态适应性差和最小权限约束假象。

3 基于PKI/PMI的工作流安全模型

改进的工作流安全模型将PKI/PMI技术应用于经典的工作流安全模型之上，将安全数据库替换为PKI/PMI模块，并增加审计安全模块。改进的重点放在身份认证及授权的流程、访问控制策略和审计安全的扩展上（如图2所示）。

3.1 基于PKI/PMI的工作流安全模型身份认证和授权流程

该模型不具体描述PKI及PMI的实现，并假设用户已经拥有PKI为其生成的私钥―公钥证书（Public Key Certificate，PKC）对，和PMI为其生成的对应于PKC的属性证书（AC）。工作流系统用户身份验证和授权的流程如下（如图3所示）。

1) 用户输入“用户名”、“密码”并连同公钥证书（PKC）一起通过登录提交给安全；

2) 安全通过PKI平台验证用户身份；

3) 当用户身份验证通过后，用户再次提交属性证书给安全；

4) 安全通过PMI平台验证用户的属性证书；

5) 当用户属性（权限）验证通过后，PMI平台提取属性证书中的角色（权限）信息；

6) 工作流任务管理器根据当前的任务策略，并结合从PMI授权策略中获取与角色对应的任务和权限集，赋予用户相应的权限；

7) 用户身份验证和授权完成。

3.2 改进的PMI授权策略―T&RBAC

传统的RBAC访问控制模型的策略基于角色，可以用映射组织结构的方式来阐述安全策略，一般包括五个基本元素：用户（User）、角色（Role）、目标（Object）、操作（Operation）、权限（Permission）。而T&RBAC则在原有的基础上增加了任务（Task）元素，更加适合于工作流的环境（如图4所示）。

图4T&RABC模型

PMI访问控制策略在工作流中具有重要的作用，传统的基于PMI的RBAC访问策略主要包括以下子策略[8]：

1) 主体策略：主体是具有同一权限（角色）用户的集合。对用户权限的分配、修改，可以通过对主体进行相应的操作来实现。

2) 角色分配策略：角色分配用来表示一个主体可以分配的角色。可以表示为一个二元组（主体，角色列表）。

3) 目标访问策略：目标访问策略用来确定一个角色具有哪些权限。可以表示为一个二元组（角色，权限列表），其中的权限又可以表示为一个二元组（对象，操作列表）。

4) 目标策略：是为防止系统内非授权用户访问而制定的策略。

5) 动作策略：动作是用户可以对对象进行的操作的集合。

6) 角色层次策略：角色层次定义了不同角色之间的相互关系。

7) 信任源策略：SOA（Source of Attribute）策略定义了分配角色的信任源点，即签发属性证书的可信机构。

而使用T&RBAC扩展的PMI访问策略在原有目标访问策略的基础上，又增加了角色任务策略和任务权限策略[9]：

8) 角色任务策略：用来确定一个角色可以具有的任务集。可以表示为一个二元组（角色，任务列表）。

9) 任务权限策略：用来确定一个任务可以具有的权限集。可以表示为一个二元组（任务，权限列表）。

3.3 审计安全流程

相对于经典工作流安全模型，改进的工作流安全模型增加了审计安全模块，其目的在于保证信息的完整性、存在性，提供不可否认，并记录用户的行为、操作等（例如：登录系统，批示文件），以及其他与安全相关的事件。审计安全模块会将这些事件自动写入审计安全数据库，满足系统审计安全的需要。审计安全的流程如下（如图5所示）。

1) 用户进行某项操作，首先向系统提交操作事件的ID（即事件的数字摘要HASH）；

2) PKI身份验证平台和PMI权限验证平台验证用户身份及用户是否有此操作权限；

3) 若验证成功，系统自动将从时间戳服务中心（Time Stamp Agent，TSA）得到的数字时间戳（Digital Time Stamp，DTS）和事件ID返回给用户；

4) 用户通过PKI平台对系统返回的数据进行数字签名；

5) 若数字签名成功且验证准确无误后，系统将数字签名写入审计安全数据库；

6) 用户操作成功完成。

4 改进的工作流安全模型的性能分析

4.1 安全性分析

改进的工作流安全模型，通过融合PKI/PMI技术，增加审计安全模块，在现有工作流安全模型的基础上，有效的提高了工作流的安全性[10]。并实现以下安全功能：

1) 通过基于数字证书的强因子认证方法来验证用户身份；

2) 采用加密技术来保证信息传输过程中的机密性；

3) 通过对消息摘要的验证来提供信息的完整性保护；

4) 采用数字签名来保证操作的不可否认性，满足审计安全的要求；

5) 采用时间戳服务，保证信息的时效性和存在性。

4.2 灵活性分析

采用改进的T&RBAC模式的PMI模型，可以最大限度的弥补DAC（Discretionary Access Control，自主访问控制）模式、ACL（Access Control List，访问控制列表）模式、MAC（Mandatory Access Control，强制访问控制）模式和RBAC等模式的缺陷，并实现以下访问控制目标：

1) 通过基于PKI的PMI应用，有效防止工作流系统中非授权操作；

2) 采用T&RBAC策略，增强了工作流系统授权的灵活性和安全性；

3) 使用PMI的属性证书，有效减轻了管理员分配/修改用户权限的工作量，减少人为出错的几率。

4.3 公正性、权威性分析

通过增加基于PKI平台的审计安全模块，为改进的工作流安全模型提供了不可否认和时间戳服务，弥补了经典工作流安全模型缺少可使双方都信任的具有公正性、权威性凭据的缺陷，满足了审计安全的要求，并实现了以下审计安全功能：

1) 通过双方都信任的权威认证机构CA（Certificate Authority）发放数字证书，保证了信任源头的安全和权威；

2) 采用数字签名的方式来保证用户操作的不可否认性，有利于出现争端时权威机构进行仲裁；

3) 采用数字时间戳服务，保证了操作和信息的时效性和存在性。

5 结束语

该文提出的基于PKI/PMI的工作流安全模型，将现有的PKI/PMI技术同经典工作流安全模型有机的融合和改进，满足了工作流安全模型对授权，鉴权，访问控制策略和责任审计的要求。并提供了鉴别，认证，授权，访问控制，完整性，机密性，不可否认性，可用性，审计安全和责任性等多种安全服务。最大程度上降低了信息泄露，完整性破坏，业务拒绝，非法使用，假冒，旁路控制，授权侵犯等安全威胁。

工作流的安全与否直接关系到整个系统的安全。因此，构建安全的工作流就显得十分重要。也只有在安全工作流基础上建立的各种各样的应用系统，才可以保证资料信息和办公业务动态信息在各部门之间共享及交换的安全，这对于提高电子政务、电子商务的效率，保障信息安全，实现信息共享，提高系统管理水平具有重要意义。

参考文献：

[1] WFMC-TC-0021019.Workflow Management Coalition Work-flow Security Considerations White Paper[EB/OL]./.

[2] 冯登国译.CARLISLE Adams Steve Lloyd.公开密钥基础设施概念、标准和实施[M].北京:人民邮电出版社,2001.

[3] John A,Miller,Mei Fan,Amit P.Sheth,et al.Security in Web-Based Workflow Management Systems[EB/OL].LSDIS.cs.uga.edu/.

[4] 李涛.基于PMI的工作流管理系统安全模型和授权策略研究[D].青岛:中国海洋大学,2007.

[5] Ravi S,Sandhu,Edward J Coyne,Hal L.Feinsten,et al.Role-Based Access Control Models[M].IEEE Computer Volume 29 Num2,2000.

[6] 谢冬青,冷健.PKI原理与技术[M].北京:清华大学出版社,2004.

[7] 关振胜.公钥基础设施PKI及其应用[M].北京:电子工业出版社,2008.

[8] WU Li-jun,SU Kai-le,YANG Zhi-hui.A Role-Based PMI Security Model for E-Government[J].Wuhan University Journal of Natural Sciences,2005(10).

[9] 邓集波,洪帆.基于任务的访问控制模型[J].软件学报,2003,14(1):76-82.

[10] Sharon Boeyen.X.509 4th edition:Overview of PKI&PMI Frameworks(Entrust Inc.)[EB/OL]./resources/pdf/509_overview.pdf.

注：本文中所涉及到的图表、注解、公式等内容请以PDF格式阅读原文