礦山安全知識管理系統中的訪問控制模型研究*

熊海濤 蔣承睿 任宇峰 賈 攀

(北京工商大學計算機與信息工程學院)

訪問控制技術起源于20世紀70年代，當時是為了滿足管理大型主機系統上共享數據授權訪問的需要。但隨著計算機技術和應用的發展，特別是網絡應用的發展，這一技術的思想和方法迅速應用于信息系統的各個領域。目前流行的訪問控制技術的基本目標都是防止非法用戶進入系統和合法用戶對系統資源的非法操作。訪問控制技術作為實現保護信息系統安全的核心技術，是系統安全的一個解決方案，是保證信息機密性和完整性的關鍵，對訪問控制的研究已成為相關領域的研究熱點之一［1-2］。

Lampson最早提出了訪問控制的形式化和機制描述，引入了訪問控制中的基本概念:主體、客體和訪問矩陣［3］。對訪問控制模型的研究，從早期的20世紀70年代至今，大致經歷了以下3個階段:

(1)傳統的訪問控制模型，有自主訪問控制(DAC)和強制訪問控制(MAC)2種。

(2)基于角色的訪問控制(RBAC)將角色作為重要因素進行考慮，在用戶和訪問權限之間引入了角色的概念，為訪問控制模型提供了參考。

(3)基于任務的授權控制模型(TBAC)［4］、基于任務和角色的訪問控制模型(T－RBAC)［5］是近來研究的主要內容。

礦山安全知識管理是一個復雜協作處理的系統，其中會涉及到多部門數據的應用與多專業的參與［6］。其對知識共享的需求尤為強烈，因此需要對安全知識進行有效的訪問控制。然而上述訪問控制模型都不能靈活地改變，應用于礦山知識管理時無法在運行過程中自動調整用戶權限，只能夠通過修改訪問控制規則來達到更改用戶權限的目的。用戶一旦被賦予了相關權限，則只能通過改變規則取消權限，因此用戶的行為也就很難得到規范，影響安全知識共享。本研究將信譽引入訪問控制模型當中，使得訪問控制能夠根據用戶在系統中的歷史操作計算信譽值，動態分配用戶的權限，提出了基于信譽的訪問控制模型(ReBAC)。

1 知識管理系統的模型基礎

礦山企業所擁有的安全知識的總和可以被看作是其企業安全記憶(Organizational Security Memory)。企業安全記憶是企業將過去的安全知識運用于當前生產、提高安全性的一種方式。企業安全記憶是描述企業安全記憶庫的核心概念，是知識管理的基礎和先決條件。同時，知識管理反過來又可以推動企業安全記憶的發展。礦山企業由于其技術具有高附加值和高風險的特點，屬于典型的知識密集型企業。礦山企業中需要實施知識管理，對企業的知識管理能力進行準確的評價，知識管理系統能夠很好地對礦山企業中的知識進行有效的管理。

礦山安全知識管理系統包括了礦山生產安全知識的采集、分析、處理以及基于信任網絡的安全知識推薦。用戶在系統中的各種操作經過處理形成系統的信任庫，知識推薦向用戶推薦符合用戶個性化需求的安全知識。在安全知識的采集、分析和處理過程中使用了基于信譽的訪問控制模型對用戶進行權限驗證。2002年Shengli Wu等提出了工作流管理中的訪問控制模型［7］，但這個模型應用于礦山安全知識管理系統存在著不足。

信任網絡是系統中所有用戶的信任關系構成的網絡［8］。2個用戶之間信譽可以分為2種:直接信譽和間接信譽。直接信譽是用戶在與其他用戶交互之后所形成的對該用戶直接信譽的度量。間接信譽是利用信任傳遞計算不存在交互的2個用戶之間的信任的度量。本研究構建這樣的信任網絡，在知識采集、分析和處理的流轉過程中，每一步都需要相關用戶去判斷知識是否能夠通過當前工作，進入到下一工作。在理性用戶假設下，只有當用戶具有和當前待處理知識相關知識背景的條件下，用戶才會選擇執行當前工作，如果不具備相關知識背景，則即使具備執行當前工作權限，也會選擇不執行當前工作。這樣執行當前工作的用戶就與發起知識流程的用戶之間建立了信任網絡。如果通過當前工作，則2個用戶之間產生正反饋;如果不通過當前工作，則2個用戶之間產生負反饋。

在本研究中所有的組件都表現為知識的形式，并通過XML文件實現。組件的XML文件結構如下:

∥知識組件結構說明:

∥kbsm:Memory，將所有知識組件通過記憶的形式表現:

∥rdf:about，表示組件模型的id號，用來唯一標明組件模型;

∥kbsm:purpose，表示組件模型的類型;

〈kbsm:Memory rdf:about=“…”kbsm:purpose=“…”〉

∥kbs:property:描述組件模型的屬性值:

〈kbs:property〉屬性值〈/kbs:property〉

〈kbsm:Memory〉

知識在系統中是通過一個成為記憶片段的XML來組織的，每一個知識(或者在系統中稱作記憶)的形成是由各種動作來產生的，系統中產生的各種信息都以知識的形式存儲，包括了用戶信息，工作流信息等。操作影響記憶，反過來記憶又可以驅動操作，這樣形成了一套封閉的知識系統。各種系統子功能在記憶體系外環繞，通過還原核心的記憶知識來實現記憶到子功能需要信息的轉化，這個過程我們定義為記憶還原過程。

語義還原是指將給定語義片斷分解還原成可索引的字段。依據還原結果的粒度，可以分為主題還原單元、記憶還原單元、陳述還原單元。陳述還原是還原的最小結構，是將含有“rdf:about”的陳述(〈主語，謂語，賓語〉三元關系)按照給定的映射規則分解還原成鍵值(〈字段名，字段值〉二元關系)。記憶還原是將一個記憶片段分解還原成若干個鍵值(〈字段名，字段值〉二元關系)。主題還原是將所有記憶片段按照主題還原成相關主題的若干個鍵值(〈字段名，字段值〉二元關系)。

2 訪問控制模型組件

2.1 實體

礦山安全知識管理平臺中通過工作流對知識的流程進行管理。工作流模型的基本概念是實體，在這里包括了以下實體:工作，用戶，角色，身份，條件，權力。

(1)工作。工作是業務流程中的流程節點，包含相關屬性以及其他實體，用T來表示用戶集。處理是工作的核心部分，位于工作流實例的外部。處理可能更新有關的工作流的外部實體或系統信息，也可能通知外部系統工作流的狀態變化。工作實體中包括了2種處理:前序和后序工作處理。前序處理是在進行工作核心部分之前進行的預處理。后序處理與前序處理基本相同，但后序處理是在業務流程狀態發生變化后進行。一個工作可能有許多動作與之相關。用戶、外部環境或觸發器決定將要執行的動作。動作可被約束為僅被特定的角色或身份在工作流處于一定的狀態下執行，每個動作都有默認的結果和零或多個條件結果。綜上所述，一個工作有當前狀態(例如待審查，待審核或發布狀態)。同處理一樣，工作有條件屬性，并且只有在滿足條件的情況下，工作才能夠執行。工作的結果可以改變工作的狀態以及改變當前工作，即工作流進入下個工作。在工作流的工作集中存在兩個特殊的工作，代表工作流開始的起始工作和代表工作流結束的終止工作。

(2)用戶。用戶是使用系統的外部實體，用U來表示用戶集。用戶屬于一定的角色和身份，正是具有了這些屬性用戶才能使用系統。對于特定的工作，需要通過工作中定義的相關角色、身份等信息來確認用戶是否有權限完成這項工作。

(3)角色。系統中的角色是按層次結構組織的，用R來表示角色集。讓角色ri，rj∈R，在角色樹中，如果角色ri位于角色rj的父節點，我們就說角色ri包含角色rj。用戶與角色之間存在多對多關系來表示用戶具有哪些角色。礦山安全知識管理系統中存在二種角色:系統角色和組織角色。系統角色為用戶在系統中扮演的角色，組織角色為用戶在企業組織中扮演的實際業務角色，二者在系統中起著不同的作用。為了能夠更好地與其他子系統整合，角色僅指系統角色，將組織角色納入到身份實體當中。

(4)身份。身份表示了用戶在礦山企業中的位置和職務，例如礦山企業中的生產部主任、生產班組組長等。同角色一樣，身份也是按層次結構組織的，用I來表示身份集。在組織中，身份分為了多個類別，位置包括總部、科室、班組和小組等，職務包括主任、領導、職員等。不同的身份完成工作的種類和順序是不相同的。為了提高工作流系統的靈活性，不同的身份會啟動不同的工作流，不同的工作流中工作可能不同，工作的執行順序也可能不同。

(5)條件。條件是一個布爾表達式，它的結果是多個條件的運算結果。在本研究中使用C來表示條件集。“AND”和“OR”是用來進行條件運算的運算符。

(6)權力。最后一個實體是權力，權力表示用戶能夠對知識進行操作的類型，用P來表示權力集。本研究中包括了8種權力:對于安全知識的新增，更新，刪除，查看;對于獨占知識的新增，更新，刪除，查看。

2.2 信譽

信譽是對用戶在系統中以往行為的評價，在本研究中使用Re來表示信譽。所有用戶在初始階段的信譽都為零，在使用系統的過程中，系統根據信譽模型動態調整用戶的信譽值。用戶的信譽值小于零時，系統對用戶進行孤立，將用戶排除在系統外。對于信譽大于零的那些用戶，信譽起到激勵作用，在工作當中，只有信譽值高的那些用戶才能夠執行該工作。

2.3 知識

知識是知識管理系統的核心，系統中所有的組件都是以知識的形式存在的。這里討論實際的知識，而不是知識管理系統中泛指的知識。知識管理系統中的知識分為兩類:共享知識和獨占知識。其中共享知識允許在對知識進行修改時其他用戶仍能夠查看知識，獨占知識在被更新時則不允許其他用戶瀏覽知識。

2.4 關系

關系是2個實體間聯系的抽象。實體與關系都包含了相關屬性來實現業務流程的控制。在模型的定義中，當使用“is－a”來表示X和Y之間的關系時，意味著X繼承了Y，X是Y的一個子類。當使用“has－a”來表示X和Y之間的關系時，意味著X包含了Y，Y是X中的一個部分。這兩種關系用來表示實體之間的關系類別。

2.5 權限

權限是一個集合，它包含了 r，i，t，k，p，re。系統中的權限通過六元組表示，六元組(r，i，t，k，p，re)表示了擁有角色r，身份i，權力p的用戶在信譽re滿足的條件下，能夠在工作t中處理知識k。

3 基于信譽的訪問控制模型

圖1為基于信譽的訪問控制模型(ReBAC)，可以看出信譽如何影響訪問控制過程:首先需要根據用戶的信譽值排除信譽為負的用戶，將這些用戶孤立在本次工作的外部，然后驗證用戶的角色，用戶能否進行當前的工作以及用戶能否處理此知識，在進行完這些驗證后從與工作發起的用戶在歷史上有過交互行為的用戶中選擇信譽值較高的幾個用戶作為當前工作的待執行人，若不存在這些用戶，則從根據所有用戶信譽值推薦當前工作的執行人。

圖1 基于信譽的訪問控制模型

信譽值通過文獻［9］中的信任模型獲得，包括了4個步驟:

第1步，利用用戶間的操作關系得到正反饋和負反饋，生成反饋矩陣。

第2步，計算直接信譽。令r和s分別表示用戶A對目標用戶T交互的正反饋和負反饋的次數。則從用戶A的角度來看用戶T的信譽為取值在［－1，1］。

第3步，計算間接信譽。根據推薦算子進行信任傳遞的運算，得到不相鄰的用戶之間的間接信譽。

第4步，將用戶與所有用戶的直接信譽以及間接信譽根據合意算子進行信任聚合得到用戶在系統中的總的信譽值，根據此值判斷用戶是否可以對安全知識進行相關操作。

4 結論

本研究提出了礦山安全知識管理平臺中一種基于信譽的訪問控制模型(ReBAC)，這個模型能夠適應不斷變化的企業業務流程和對安全知識的權限及訪問控制要求，模型有效地加強了系統的安全性和訪問控制的靈活性，克服了傳統的基于角色的訪問控制(RBAC)和基于任務和角色的訪問控制模型(T－RBAC)的缺點，提高了礦山企業安全生產的能力。用戶的行為作為訪問控制的一個重要部分包括在了模型當中，能夠影響訪問控制的結果，這樣用戶的行為就受到一定的約束，有效地減少系統中的惡意行為，為安全知識在礦山安全知識管理系統中的傳遞和推薦提供了良好的基礎。

［1］ 熊海濤，劉 魯，張繼春，等.裝備保障中基于信任和預測的訪問控制模型［J］.系統工程與電子技術，2011，33(2):315-319.

［2］ 李鳳華，蘇 铓，史國振，等.訪問控制模型研究進展及發展趨勢［J］.電子學報，2012，40(4):805-813.

［3］ Lampson B W.Protection［J］.Operating Systems Review，1974，8(1):18-24.

［4］ 鄧集波，洪 帆.基于任務的訪問控制模型［J］.軟件學報，2003，14(1):76-82.

［5］ Oh S，Park S.Task-Role-Based access control model［J］.Information System，2003，28(6):533-562.

［6］ 余 牧，汪文生.礦山安全知識管理信息平臺構建［J］.山西師范大學學報:自然科學版，2012，25(S2):127-129.

［7］ Wu Shengli，Amit Sheth，John Miller，et al.Authorization and access control of application data in workflow systems［J］.Journal of Intelligent Information Systems，2002，18(1):71-94.

［8］ 甘早斌，曾 燦，李 開，等.電子商務下的信任網絡構造與優化［J］.計算機學報，2012，35(1):27-37.

［9］ Jsang A，Ismail R.The beta reputation system［C］∥Proceedings of the 15th bled electronic commerce conference.Slovenia:［s.n.］，2002:41-55.