依照国际工作流联盟(Workflow Management Collation, WfMC)的定义,工作流是业务过程的全部或部分自动化,在此过程中,文档、信息或者任务按照-系列过程规则在参与者(用户和计算机程序)之间流转,以期通过组织成员间的协调实现业务过程的整体目标。工作流技术已被广泛应用于那些需要流程化管理的业务领域,例如协同产品制造、协同产品商务、协同办公等。迁移工作流是将移动agent计算模式应用于工作流管理的一项新技术。按照曾广周教授提出的迁移工作流模型,迁移实例、工作位置和迁移工作流管理引擎构成迁移工作流管理系统的三要素,其中,迁移实例是任务执行主体,它接受业务过程管理者的委托,在工作位置之间移动,并按照自身携带的工作流说明,就地利用服务和资源执行一项或多项任务,多个迁移实例可以协作地完成一个业务过程；工作位置是工作流联盟成员(组织、机构或个人)的服务代理,它为授权的迁移实例提供运行时服务和工作流服务；与传统的集中式工作流服务引擎不同,迁移工作流管理引擎仅用于定义业务过程,创建、派遣和监控迁移实例,以支持移动计算中的非中心化特征。如同其他的工作流管理系统安全研究一样,因为迁移实例是工作位置的用户,所以,建立工作位置上的迁移实例访问控制模型,是构建迁移工作流管理系统所要解决的一个关键问题。在基于WfMC规范的工作流管理系统中,因为业务流程、计算资源及其参与者都是已知的,所以,工作流设计者可以事先制定全局性的访问控制策略和访问控制机制,然后交由工作流服务引擎管理和执行。而迁移工作流是一种非中心化、松耦合的业务过程管理系统,迁移实例和工作位置都是独立的自治实体,因此,工作位置必须依据本地服务规则和安全策略自行建立访问控制模型,包括迁移实例身份认证和迁移实例鉴权两个阶段。本课题的先期研究已把Passport/Visa (P/V)模式引入到迁移实例的访问控制中,基本思想是创建者为迁移实例签发身份证书(Passport),工作位置为迁移实例签发入境签证(Visa), Visa内容包括登陆许可、访问授权和有效期等。本文在国家自然科学基金项目的资助下,以曾广周教授提出的迁移工作流模型为基础,针对P/V模式应用,重点研究了基于迁移实例信度、能力、任务和工作位置联盟的RBAC(基于角色的访问控制)模型扩展问题。RBAC模型是目前广泛采用的一种访问控制模型,其基本思想是根据访问主体扮演的角色,给予访问主体可控的授权。本文的主要工作包括：1.基于迁移实例信度约束的RBAC模型研究。现有的RBAC模型研究,大多集中在基于资源类型和访问时序的授权约束上,极少考虑主体行为对于角色指派的影响。本文把信度概念引入到迁移实例的访问控制中,研究了一类基于迁移实例信度约束的B-RBAC模型,其中,信度用于度量迁移实例访问行为的可信性,例如是否存在越权访问或其他恶意等。信度值低于阈值的迁移实例将进入黑名单,对于黑名单中的迁移实例,B-RBAC模型将引导工作位置拒签Visa。对于信度值偏低的迁移实例,B-RBAC模型将触发工作位置上的强监控机制。本文第2章讨论基于迁移实例信度约束的B-RBAC模型,定义迁移实例信度及基于信度约束的授权规则,并给出基于信度约束的迁移实例访问控制算法。2.基于迁移实例能力约束的RBAC模型研究。为了提高工作流效率,在大多数情况下,业务过程需要多个迁移实例协同执行。因为每个迁移实例都依照自己分担的任务和路径规划,处在不断的移动中,所以,多个迁移实例登陆同一个工作位置并引起资源访问冲突是难免的。本文研究了一类基于迁移实例能力约束的A-RBAC模型。当有多个迁移实例申请登陆同一工作位置并可能引发访问冲突时,A-RBAC模型将根据各迁移实例的能力,给予不同优先级别的角色指派,并根据优先级驱动迁移实例排队。本文第3章讨论A_RBAC模型,定义迁移实例的能力及基于能力约束的授权规则,并给出基于能力约束的迁移实例访问控制算法。3.基于迁移实例任务约束的RBAC模型研究。在迁移工作流模型中,业务过程定义者和工作流服务提供者都是独立的社会实体。因此,对于一个非中心化的迁移工作流管理系统来说,迁移实例请求的授权粒度(任务粒度)和工作位置上提供的授权粒度(服务粒度)很难保持一致。本文研究了一类基于迁移实例任务约束的T-RBAC模型。对于迁移实例的大粒度任务请求,T-RBAC模型可以驱动工作位置上的任务分解机制,并根据子任务需求进行细粒度的角色指派和组合授权。在细粒度角色指派过程中,如果发现迁移实例位于某个角色的黑名单中,工作位置将拒签Visa。当多个迁移实例可能引发访问冲突时,T-RBAC模型将先评估迁移实例的综合能力,再为其分配服务优先级。本文第4章讨论T-RBAC模型,定义角色能力及基于能力约束的授权规则,并给出任务分解和基于组合授权的迁移实例访问控制算法。4.基于工作位置联盟的RBAC模型研究。在开放的迁移工作流运行环境中,对于业务过程中的同一个任务,往往会存在多个可以提供服务的工作位置,例如银行支付、旅游预订、商店购物等。如果这些工作位置之间互信,则可以通过冗余服务机制提高迁移实例工作的可靠性。本文研究了一类基于工作位置联盟的C-RBAC模型,假定所有盟员互信,因而可以角色指派共享。当迁移实例因原定的目的位置不可达或本地服务故障而被迫转移到一个新盟员位置时,C-RBAC模型将根据迁移实例Visa中的角色指派状态判断它是否在本联盟中获得过相同服务。若是,则新盟员可以直接为其提供服务,否则再根据本地规则进行访问授权。本文第5章讨论C-RBAC模型,定义工作位置联盟及其授权规则,并给出基于角色指派共享的迁移实例访问控制算法。本文的创新点主要体现在：1、针对迁移实例的行为监控问题,建立了一种基于迁移实例信度约束的B-RBAC模型。较之RBAC96模型及其相关的研究,B-RBAC模型扩展了迁移实例信度在角色指派中的约束功能,该约束有利于防止对不良迁移实例的角色指派,提高安全控制水平。2、针对多迁移实例在同一工作位置上可能引发的访问冲突问题,建立了一种基于迁移实例能力约束的A-RBAC模型。较之RBAC96模型及其相关的研究,A-RBAC模型扩展了迁移实例能力在角色指派中的约束功能,该约束通过访问优先级分配,可以消解多迁移实例之间的访问冲突。3、针对迁移工作流运行环境中客观存在的服务冗余问题,建立了一种基于互信位置联盟的C-RBAC模型。较之RBAC96模型及其相关的研究,C-RBAC模型扩展了冗余服务和授权共享在角色指派中的约束作用,授权共享可以简化联盟内部的角色指派过程,冗余服务利用有利于提高迁移实例的工作可靠性。鉴于迁移工作流是一个发展中的研究领域,无论访问控制理论研究还是应用研究都还不够成熟,本文进一步的工作主要包括：1、迁移实例群签名及其认证方法。访问控制包括身份认证和授权鉴别两个阶段,本文除假定创建者为迁移实例Passport签名外,没有详细讨论Passport认证问题。对于一个相对稳定的业务协作联盟来说,盟员群签名更有利于提高迁移实例身份认证的安全水平。因此,本课题将进一步研究迁移实例群签名及其认证方法。2、小粒度任务约束研究。T-RBAC模型的前提是假设迁移实例请求的任务粒度大于工作位置上的最小许可权服务粒度,因而以任务分解和授权组合为基础。在实际应用中,也可能出现迁移实例请求的任务粒度比工作位置上的任何一个服务粒度都要小的情况。因此,扩展T-RBAC模型以适应小粒度任务约束,是本课题进一步的工作。3、迁移实例群授权及其鉴权方法。本文建立的C-RBAC模型,假定提供冗余服务的工作位置之间互信,服务联盟中的任何一个工作位置授权,都会通过Visa标识被其他盟员位置继承,但没有考虑互信强度差别及其对授权继承的影响。因为位置互信强度会影响访问控制的安全水平,所以,本课题将进一步研究迁移实例群授权及其鉴权方法。