Perti Net-Based Workflow Access Control Model

Access control is an important protection mechanism for information systems. This paper shows how to make access control in workflow system. We give a workflow access control model (WACM) based on several current access control models. The model supports roles assignment and dynamic authorization. The paper defines the workflow using Petri net. It firstly gives the definition and description of the workflow, and then analyzes the architecture of the workflow access control model (WACM). Finally, an example of an e-commerce workflow access control model is discussed in detail.

暂不开发利用污染地块风险管控对策研究——以天津市为例

为加强建设用地土壤风险防控,需针对暂不开发利用污染地块进行管理。对全国暂不开发利用污染地块风险管控文件进行梳理的基础上,分析了各地文件的特点和不足,指出暂不发利用污染地块风险管控管理制度尚不健全,管理技术要求不明确,管理要点不清晰等现状。针对天津市管理情况,总结了暂不开发利用污染地块风险管控管理工作流程和技术对策,提出了目前仍然存在地块管理范围不足、管理区域粗犷、界外污染扩散风险尚存等问题,指出要加强时限管理、核实污染范围、完善界外污染土壤环境管理政策,为完善暂不开发利用污染地块土壤环境管理提供参考。

常规遥爆系统如何适应节点时代高效激发

常规遥爆系统受人员口音,电台通信距离、通信信号强度、仪器管理能力等多方面限制,导致生产效率低下,已经无法满足节点时代高效的生产需求.为此东方地球公司自主研发了井炮独立激发系统以及SSC系统,可完美适配当前的节点采集模式,提高了常规遥爆系统的利用率。文中主要介绍了两种系统的组成、工作流程以及在项目上的应用。

基于语义约束的资源工作流并发正确性保证

控制流结构中并发变迁的正确性是工作流模型正确性的基础 为保证模型的正确性 ,提出了资源语义约束工作流网的基本概念 ,丰富了控制流的数据语义 ,给出了两方面的控制流并发正确性 :并发控制流与其数据语义的一致性检测算法及改正原则 ,保证了模型中的并发控制流结构的正确性 ;实例中基于数据语义约束的并发变迁正确性保证机制 ,提出了申请锁和释放锁的算法 。

支持复杂应用的工作流并发控制机制

针对复杂应用领域工作流的特点 ,提出了一种确保工作流并发执行正确性的方法·首先定义任务冲突 ,冲突类别 ,同名共享锁和同名互斥锁的概念 ,而后给出了一种基于这些概念扩展的工作流并发控制机制·在这种并发调度机制中 ,由于充分考虑了不同工作流执行的并发控制 ,同一工作流不同实例之间执行的并发控制等工作流并发特点 ,使该并发机制能够确保复杂应用环境中多工作流多实例并发执行的正确性·

基于角色和任务的工作流访问控制模型及其应用

提出了一种基于角色和任务的工作流访问控制模型RTBWAC,描述了模型中用户、角色、许可、活动等要素间的指派关系和该模型的静态、动态约束规则,最后给出了该模型在实际工作流系统中的应用。

基于任务的工作流访问控制模型和实现框架

工作流中角色只有在执行任务时才需要权限,任务与权限密不可分,而现有的基于角色的访问控制不能满足工作流这一特性。提出了基于任务的访问控制模型,该模型根据工作流的具体要求,对任务分配相应的权限,角色执行任务,权限则传递给角色,实现了权限的按需分配,提高了数据访问的安全性,简化了角色系统的管理,最后给出了模型的一个实现框架以及运行过程。

工作流扩展模型及其性能等价分析

针对现有工作流模型表达能力的不足,基于工作流控制模式的最新研究成果,通过扩充和调整得到8种工作流基本控制模式。基于8种工作流基本控制模式,对WFMC定义的4种工作流基本模型进行扩展,得到了合理的、满足封闭性要求的6种扩展工作流基本模型,丰富了工作流模型的表达能力。从统计学角度推导了基于随机Petri网的选择、容错和嵌套模型的性能等价计算公式,给出了一种定量分析工作流模型性能参数的通用方法。

访问控制模型研究综述

访问控制是一种重要的信息安全技术。为了提高效益和增强竞争力,许多现代企业采用了此技术来保障其信息管理系统的安全。对传统的访问控制模型、基于角色的访问控制模型、基于任务和工作流的访问控制模型、基于任务和角色的访问控制模型等几种主流模型进行了比较详尽地论述和比较,并简介了有望成为下一代访问控制模型的UCON模型。

协同环境下CAD模型的多层次动态安全访问控制

提出一个专门针对协同环境下CAD模型的多层次动态的安全访问控制(multi-level and dynamic security access control,简称MLDAC)模型.该模型利用一种多层次的权限模型,以简化权限定义及其分配过程,丰富了权限表达能力,实现了产品模型的多粒度访问控制.通过参照工作流的基本理念,引入权限的依赖关系及权限状态迁移概念,实现了权限的动态授权管理.通过实践证明,MLDAC模型可以对协同设计操作进行更加有效的控制,符合设计任务间的分工性、依赖性和交互性的特点.

工作流可满足性(≠)计数的固定参数线性算法

工作流可满足性(Workflow Satisfiability,WS)(≠)判定给定授权和互斥约束下的资源分配是否存在,是工作流访问控制中的基本问题.目前可以通过寻找一个具体的解来完成该判定,相应问题称为WS(≠)决策,现有的最低时间复杂度为O~*(2^(|S|)(|C|+|U|~2))(S,C,U分别为步骤集、约束集、用户集).然而,仅WS(≠)有解时,工作流授权规划未必合理,对资源异常可能缺乏鲁棒性.若能统计所有解的个数,不仅可判定WS(≠)有解与否,还能为授权规划提供重要的参考,相应的问题称为WS(≠)计数.该文提出WS(≠)计数问题,并根据Bjorclund关于集合划分权重和的结果证明其时间复杂度为O~*(2^(|S|)|U|),即其以|S|为固定参数,关于|U|线性时间可解,由此降低了当前的WS(≠)判定时间复杂度.进而,该文提出了一种快速的动态规划递推式,并全面优化Bjorclund方法的空间利用方式,使该文算法的实际性能随之提高,而O~*时间复杂度不变.随机合成数据集上的实验表明,该文最终的计数算法相对前述决策算法,执行时间平均降低了93%,峰值空间平均降低了87%,而求解规模提高了44%.

面向知识应用和交互的工作流系统建模与控制

针对基于知识应用和交互的复杂工作流系统 ,对知识应用特性进行了分析 ,并构造了对应知识聚合与信息再生的过程单元 利用过程单元之间的关联分析 ,对面向知识应用和交互的工作流系统建模进行了深入的研究 在对一个基于知识应用的具体实例进行分析的基础上 ,探讨了基于知识应用和交互的工作流系统中的控制问题 ,提出了一种基于区域控制和交互的控制策略 ,并给出了控制分解所遵循的基本原则 最后 。

基于混合粒度冲突检测的事务工作流调度算法

事务工作流由若干个平面事务组成,其执行满足松弛原子性.由于组成事务工作流的平面事务具有不同的完成特性,为了防止不可串行化的执行,现有的调度算法通常只允许一个活动工作流执行不可补偿事务,这大大限制了并发度.定义了基于事务类型和事务实例两种粒度的冲突关系,并提出了一种基于这两种粒度冲突检测的调度算法,保证了并发事务工作流的可串行化和可恢复执行.该算法从两个方面提高了并发度:一方面通过事务实例之间(细粒度)的冲突检测减少了工作流冲突的概率;另一方面通过事务类型之间(粗粒度)的冲突预测,允许多个将来不冲突的工作流执行不可补偿事务.

基于角色和任务的工作流访问控制模型

提出了一个基于角色和任务的工作流访问控制模型,其基本思想是:角色和权限不直接挂钩而是通过任务把角色和权限联系在一起,然后给用户指派合适的角色,用户通过其指派的角色获得可以执行的任务,然后在执行某个任务的某个具体实例时获得该任务所允许访问的客体的权限,更便于权限粒度的控制和管理。在模型的工作流任务规范中加入了时态约束,表示只能在某个时间段内执行该任务,这样可以保证授权有效时间与任务执行时间尽可能同步。在工作流的执行过程中,系统会保存一个授权基,即任务的历史执行信息,根据这些历史执行信息求出有资格执行任务的用户集,从而实现动态职责分离。

工作流系统中一个基于多权角色和规则的条件化RBAC安全访问控制模型

针对传统的RBAC模型不能表达复杂的工作流安全访问控制约束的缺点,提出了一个适合工作流系统的基于多权角色和规则的条件化安全访问控制模型CMWRRBSAC(conditioned multi-weighted role and rule based secure access control model)。该模型基于传统的RBAC模型,提出了基于动态角色分配的条件化RBAC方法,定义了基于多权角色的工作流系统访问授权新概念,并针对多个角色和多个用户协同激活任务的序约束问题,给出了基于令牌的序约束算法和基于加权角色综合的序约束算法,讨论了一个基于规则的职责分离约束建模方法,并给出了改进的规则一致性检验算法。

基于状态控制的动态柔性工作流

为了解决工作流的动态性及柔性问题,提出了一种基于状态控制的解决方案。在该方案中,采用面向对象的设计方法,将工作流中的活动节点和流转公文描述成对象,并采用访问控制矩阵的方法来描述对象状态的迁移过程。重点分析了如何通过角色流和控制流的相互配合来实现基于状态的动态访问控制,提出了工作流模型进行动态演化的算法。另外,提出了一系列相应的演进规则,使动态变化的工作流程能与原流程实现无缝衔接,在适应动态变化的同时具备了一定的柔性,给出的程序代码风格的演化算法和演进规则,保证了实际应用的可行性。

工作流可满足性(≠,=)计数及其#P完全性

工作流可满足性(WS)是资源分配对访问控制(AC)策略提出的基本要求.相关工作主要围绕WS决策问题展开,通过找到一个具体的解来说明AC策略的正确性.然而为了进一步验证AC策略在资源异常情况下的合理性,统计所有解的数量将更有帮助.本文对互斥和绑定约束下的WS计数问题进行研究,通过构造从典范性#P完全问题#3SAT到该问题的多项式计数归约,证明其属于#P完全问题,为其恰当地求解奠定了理论基础.

基于扩展模型的工作流描述方法和最大时间控制问题

根据客观世界人们协作完成任务的工作流控制方式，提出了一种扩展的工作流管理模型的描述方法，它将传统的工作流建模表示方法按灵活性、功能完备性和自治进行改造，使之能较好地适应复杂的管理模式．

面向服务的工作流访问控制模型研究

随着企业全球化、企业业务联合与分化的发展,企业组织结构更加动态化,企业业务流程经常发生变更,这都增加了工作流访问控制的复杂性.针对此问题,从工作流访问控制模型与流程模型分离的角度,提出一种面向服务的工作流访问控制模型——SOWAC模型.服务是流程任务的抽象执行和实施访问控制的基本单元,用服务的访问控制替代流程任务的访问控制.说明了SOWAC模型的组成元素及实施实例,提出一种基于服务授权历史的动态责任分离约束方法,并给出SOWAC模型在工作流系统中的实际应用.

面向产品研发工作流的基于属性和任务访问控制模型

为了满足产品研发工作流中权限配置与使用的要求,将属性概念贯穿到任务权限的定义、配置和使用整个过程中,为权限控制提供更加丰富的约束。给出属性的定义,分析了属性应满足的性质。提出基于属性和任务的访问控制模型,模型中将代表用户工作的进程作为执行访问的直接主体,引入包含任务和任务状态信息的任务步概念,使进程和权限相关的任务步的匹配关系成为权限使用的先决条件,将权限的使用限制在与任务相关的工作中。在模型的实施机制中引入义务概念,以支持动态的权限管理策略。工程应用表明,该模型可增强任务权限的使用控制,支持产品研发工作流的动态访问控制策略。