37、抽象职责分离约束的动态执行

抽象职责分离约束的动态执行

1 引言

大多数信息安全机制旨在保护资源免受外部威胁，但威胁往往来自组织内部，授权用户可能有意或无意地滥用信息系统。职责分离（SoD）是访问控制的一种成熟扩展，旨在确保数据完整性，特别是防止欺诈和错误。其核心思想是将关键流程拆分为多个操作，确保没有单个用户能够执行所有操作，从而至少需要两个用户参与流程，欺诈需要他们勾结才能实现。

现有的SoD规范形式和执行机制在处理约束类型方面存在局限性，且通常与特定的工作流模型绑定。而Li和Wang提出的职责分离代数（SoDA）是一个显著的例外，它允许在高度抽象的层面上对SoD约束进行建模，结合了量化和限定要求。例如，对于要求除Bob之外的经理角色用户以及一到两个分别担任会计和职员角色的额外用户的SoD策略，可使用SoDA术语 (Manager ⊓¬{Bob}) ⊗(Accountant ⊙Clerk) 进行建模。

此前，缺乏将SoDA术语映射到工作流或动态执行机制的通用方法，也未解决子术语的满足与工作流中执行的操作之间的联系，以及角色分配变化对工作流执行期间SoD约束执行的影响。本文将使用进程代数CSP构建工作流、访问控制执行和SoD约束的形式化模型，并将原始SoDA语义扩展到用户的多重集，通过定义从SoDA术语到CSP进程的映射，缩小高级SoD约束规范与其在工作流环境中的执行之间的差距。

2 背景

2.1 CSP

CSP（Communicating Sequential Processes）是一种用于描述并发系统的进程代数。设Σ为事件集合，事件可通过通道进行结构化。给定通道c和集合A，可将c定义为类型A，即对于所有a