郭建文 于德介 刘 坚 曾 威

湖南大学汽车车身先进设计制造国家重点实验室,长沙,410082

0 引言

近年来,远程维护、e-维护等先进维护模式的发展使得维护工作的范围由企业内部逐渐扩展到以设备用户企业为主导的,包含制造商、备配件供应商、维护外包商、科研院所等所组成的设备维护联盟[1-2]。维护联盟能够提供广域范围的知识资源共享环境,这无疑有助于提高企业设备维护的水平。维护联盟知识共享存在着既合作又竞争的现象,一方面联盟成员有共享知识的意愿,以便与其他成员协同完成维护工作,另一方面联盟成员会担心核心知识的流失以及由此造成的竞争力下降等问题。为此,维护联盟知识共享除了需要高效的集成机制外,还需要安全管理机制,使得知识能够在权限约束下在联盟中有效地流通。相关学者在维护资源的安全管理方面进行了研究[3-4],然而知识共享不同于一般数据和信息共享,信息共享只是信息的提供,而知识共享能够改变企业在联盟中的地位和获利能力。因此,维护联盟的知识需要更灵活可控的安全管理机制来支持其共享。

基于角色的访问控制(role-based access control,RBAC)模型[5]是目前企业应用最广泛的安全管理模型。RBAC模型能较好地满足传统集中式计算环境中的访问控制需要,却难以满足动态、开放环境下的授权决策需求。为了解决上述问题,基于RBAC的扩展模型相继被提出[6-7],然而,这些模型主要关注于普适资源的访问控制,难以直接应用到维护联盟的知识安全管理中。随着企业应用环境日益复杂,作为表达应用环境要素的上下文(context)技术得到广泛的关注。在安全管理领域,基于上下文的安全管理成为研究的热点[8-9];在知识管理领域,业务上下文被认为是知识管理的核心要素[10-11]。为了支持维护联盟知识安全共享,本文结合上下文的安全管理和知识管理思想,提出了基于维护业务上下文的访问控制(maintenance-business-context based access control,MBCBAC)模型,在此基础上构建了知识安全管理组件。

1 基于维护业务上下文的知识访问控制

1.1 面向维护联盟的知识安全管理特点

维护知识是结构化的经验以及信息,也包含专家的见解,其核心价值在于能够提高维护决策的科学性。知识资源是由知识对象及其所依赖的知识容器所构成的[10]。知识对象是具有完整知识内容的知识项,如某案例知识、诊断规则等;知识容器是知识对象所依赖的载体,包括各种文档、数据库、Web服务等。根据知识资源的构成,维护知识访问控制的粒度可分为知识容器和知识对象两个层次。知识容器粒度是将知识容器作为访问控制的客体,能够决定主体在哪个容器上进行何种操作;知识对象粒度是将知识对象作为访问控制的客体,具体实现上以知识对象的特性(如类别、功能等)来进行访问控制,能够决定主体在容器上对具有何种特性的知识对象进行何种操作。

基于维护联盟的业务驱动、分布式协作等特性,知识安全管理具有以下特点：①多粒度的访问控制。从访问控制的灵活性角度出发,不仅要实现知识容器粒度的访问控制,还需要支持知识对象粒度的访问控制。②面向维护业务。维护联盟宏观上是多企业参与的组织,微观上表现为面向业务的矩阵式组织结构[12],这反映在知识安全管理上需要以业务为核心,将知识安全管理集成到业务流程的各个环节中,以适应联盟的组织结构特征。③良好的适应性。维护对象是相对固定的,而任务的产生是动态的,它既有周期性任务(如设备点检、定期保养等),也有随机任务(如故障抢修、设备事故处理等),这要求知识安全管理需要具备易于扩充和动态发展的能力,能够适应动态多变环境下的访问控制需求。④集中式的安全管理。知识安全管理需要跨越组织边界,需要集中的控制机制来考虑用户的角色、执行的任务、用户所属组织与知识所有组织的关系等因素来制定安全管理策略。

1.2 基于维护业务上下文的访问控制模型

为了满足维护联盟知识安全管理的需求,借鉴上下文安全管理和知识管理的思想,提出了图1所示的基于维护业务上下文的访问控制(MBCBAC)模型。MBCBAC模型是在RBAC模型基础上,将上下文和维护业务规则引入模型中,并将访问客体按照访问控制的粒度大小分为知识容器和知识对象两个层次,通过维护用户所处的维护业务上下文(maintenance business context,MBC)和知识安全管理策略(knowledge security management policy,KSMP)实现用户的权限分配,从而实现维护业务驱动的知识安全管理。MBCBAC模型具有以下主要特点：

图1 基于维护业务上下文的访问控制模型

(1)模型保留了RBAC模型中的主体(知识用户)、角色、客体和权限等元素,引入MBC作为知识访问的授权中介,在主体被授予角色后,不再直接获得知识权限,而是通过MBC与KSMP来授予权限。这种以MBC为授权中介的访问控制方式,一方面能够满足维护联盟业务驱动的资源管理方式的要求;另一方面,由于考虑了业务上下文的因素,使得访问控制能够适应动态多变的应用环境。

(2)模型利用维护知识空间来建立知识对象统一表示,在此基础上将知识安全管理的相关要素集成在维护知识空间中,能够利用知识空间模型的可控性[13]来建立知识对象粒度上的访问控制。

(3)模型引入本体技术来规范模型相关要素的语义描述,具有较好的表达性和互操作性,同时利用本体的相关特性还有利于知识访问控制的灵活性。

2 MBCBAC模型的设计

2.1 维护联盟本体

维护联盟本体的作用是为知识安全管理的实现提供规范的概念说明,其组成如下：

(1)维护活动本体。维护活动是维护工作步骤和组成的主要内容。维护活动本体描述设备诊断、维修等维护业务各环节活动概念及关系。我们在文献[12]中提出的基于Agent的组织建模和分析方法(Agent based organization modelingand analyze methodology,ABOAM)能够识别出各种维护活动Agent,建立包括角色、任务及其关系的维护组织模型。维护活动本体是通过将上述活动Agent映射为本体概念及关系而得到的,图2是其示例。

图2 维护活动本体(部分)

(2)维护组织本体。维护角色是维护工作执行的主体,能表达出维护联盟的组织结构。维护组织本体描述联盟和维护成员中角色的种类和关系,它是通过将ABOAM方法所建立的组织模型中的角色映射为本体概念及关系而得到的。

(3)设备本体。设备及其部件是维护工作实施的对象和目标。设备本体描述设备及其部件的概念及关系,反映设备组成的层次和结构。设备本体是采用功能、行为和结构方法[14]来抽象出设备的类别、层次和结构关系而得到的。

维护联盟本体概念间的关系可分为不同本体类概念之间的关系RO和同一本体类概念之间的关系RI,其主要关系类型如表1。

表1 维护联盟本体的主要关系类型

维护联盟本体支持知识权限实现的相关特性说明如下：

定义1 概念匹配关系(concept matching relation,CMR)反映两个概念C1和C2在本体图中的上下位关系。CMR(C1,C2)∈{Exact,PlugIn,Subsume,Fall}。其中,Exac表示精确匹配,反映在本体关系中是两个概念等同或具有synonymy关系;PlugIn表示O1⊆O2,即O1是O2的子概念;Subsume表示O2⊆O1,即O2是O1的子概念,反映在本体关系中是以part of、is a等关系关联的概念,如在图2中,“维修执行”是“维护执行”的下位概念;Fall表示两个概念没有关联。

定义2 概念匹配传递层数(concept matching pass level,CMPL)反映 PlugIn/Subsume匹配关系的传递性。对于本体图中依次直接连接的n个本体概念集{C1,C2,…,Cn},若 ∀i∈{1,2,…,n-1},有CMR(Ci,Ci+1)=mr,且mr∈ {PlugIn,Subsume},则定义CMPL(C1,Cn)=n-1。

2.2 面向安全管理的维护知识空间

知识空间模型能够有效支持广域范围内知识流动的控制和知识统一表示[15]。维护知识空间(maintenance knowledge space,MKS)可表示为

其中,KSort为知识的类别信息;KBusiness为知识的业务特征信息;KContent为知识内容功能特征信息,对知识内容功能特征进行概要描述[10],由反映知识功能特征的关键词集合来表示;KLocation为知识的位置信息,描述知识的具体位置,采用统一资源定位[15]来表示;KLevel反映知识的不同结构和存储形式,分为概念、规则、方法和实例层;KCategory为由设备维护联盟定义的知识功能分类标准;MRSet描述知识适用的角色,(i=1,2,…,n)是维护组织本体中的概念;MTSet描述知识适用的业务,是维护活动本体中的概念;MESet描述知识适用的设备,是设备本体中的概念。

2.3 MBC的构建

2.3.1 MBC及其约束规则

MBC描述与维护业务环境相关的各种要素的状态信息,可表示为四元组：

式中,MBV为维护业务上下文视图,描述业务方面的上下文特征;MOV为维护组织上下文视图,描述组织方面的上下文特征;MEV为维护对象(设备)的上下文视图,描述维护对象方面的上下文特征;CPRS为特征参数之间的关系集合。

MBC的各个视图由一组相关的特征参数(characteristic parameter,CP)组成。特征参数可表示为三元组：

式中,CPN为MBC中特征参数的名称;CPT为参数的数据类型;CPV为参数的值或值域。

MBC约束规则(MBCCR)由一组条件表达式逻辑组成,这里的条件表达式可表示为三元组：

式中,CP为上下文中的特征参数;CO为比较运算符,CO ∈{=,≠,＞,＜,=,≥,≤,};Value为与CP对应的参数值。

2.3.2 MBC本体

图3 MBC本体

为了在维护联盟中规范维护MBC的描述,本文建立图3所示的MBC本体。在本体中,企业、维护业务和维护角色都属于(belongs to)某个特定的维护联盟;知识用户属于(belongs to)某个特定的企业;维护业务由多个维护任务逻辑组成(part of);维护角色是承担(takes charge of)维护任务的职能角色,由知识用户来扮演(plays);维护任务是维护业务的基本活动单位,服务于(serves for)特定的维护对象,并且在一定的维护节点(performed at)和一定的时间(performed in)内完成。本体中的各要素能够从5W(Who,Where,When,What,Which)维度来决定用户的知识权限：用户属于哪个企业,在联盟中担任何种角色,即Who维度;任务发生在哪个维护节点,即Where维度;用户在何时负责何种维护任务,即When和What维度;用户对哪种对象进行维护,即Which维度。上述任一个或多个维度的改变都可能影响用户所能获得的知识权限。

2.4 维护知识权限

2.4.1 维护知识权限的定义

维护知识权限(maintenance knowledge permission,MKP)可分为维护知识容器权限(MKCP)和维护知识对象权限(MKOP)。前者在知识容器的粒度上进行访问控制,后者利用知识对象的特征来实现知识对象粒度上的访问控制,能决定用户在允许操作的容器上对何种特性的知识对象进行操作。根据知识空间的组成,维护知识对象权限可进一步分为知识类别权限(KSP)、知识业务权限(KBP)和知识项权限(KIP)。

(1)维护知识容器权限可表示为知识容器及其上的操作集合：

式中,Operations为操作权限集合;Containers为知识容器集合。

例如,MKCP={Read,Container1}表示知识容器Container1上的读权限。

(2)知识类别权限利用KSort来控制知识对象的访问控制,可表示为

其中,Operations为可选的操作权限集合,Operations不存在则表示知识类别权限的操作权限与维护知识容器权限的Operations一致;KS为KLevel或KCategory中的类别;Type∈{KL_KSP,KC_KSP},表示知识类别权限的类型,这里的KL_KSP和KC_KSP分别表示控制知识访问的是维护知识空间的KLevel和KCategory维度。例如,KSP={Read,Rule,KL_KSP}表示该权限能够读取的知识对象的维护知识空间满足如下条件：Klevel维度的取值为Rule。

(3)知识业务权限利用知识空间的KBusiness来控制知识的访问。知识业务权限可以分为基本概念权限和扩展概念权限。基本概念权限是通过本体概念分配获得的权限;扩展权限是通过本体概念的扩展(定义1和定义2)获得的权限。知识业务权限可表示为

其中,KC是基本权限,用维护联盟本体的概念表示;EKP∈{True,False}是知识权限扩展的许可,EKP=True时表示允许扩展,反之则不允许扩展;EKL=(LCAP,UCAP)是扩展的权限,LCAP和UCAP分别代表能够访问的下位和上位概念层数;Type∈ {A_KBP,O_KBP,E_KBP}是知识业务权限的类型,这里的A_KBP、O_KBP和E_KBP分别表示控制知识访问的是维护知识空间中的 MTSet、MOSet和MESet维度。例如,将图2中的“维护执行”扩展权限(LCAP=1)分配给知识业务权限,则表示该权限能够操作的知识对象的维护知识空间满足如下条件：MTSet中包含“维护执行”概念或者MTSet中包含图2所示“维护执行”的下一层的任一概念(如“安检执行”、“维修执行”等)。

(4)知识项权限通过直接分配知识对象位置来控制知识的访问,能够实现特定知识对象的访问控制。知识项权限可表示为KIP={Operations,URI},这里的URI是知识对象的KLocation 。例如,KIP={Read,http：//58.20.154.***/***}表示 KLocation为http：//58.20.154.***/***的知识对象的读权限。

2.4.2 维护知识权限的决策原则

在知识访问控制过程中,不同的权限之间不可避免地会引起权限的冲突。为了解决这些冲突,制定模型的权限决策原则如下：

(1)“封闭策略”是指只有访问授权被允许时才允许访问,“开放策略”是指访问授权没有禁止则允许访问。知识容器粒度采用封闭策略,禁止没有经过授权的访问;知识对象粒度采用何种策略则由维护联盟根据不同的维护业务以及任务决定。当知识对象粒度采用开放策略时,访问控制决策原则为：只要知识对象所属的知识容器被允许访问且维护知识对象权限中没有禁止访问该知识对象,就允许访问。当知识对象粒度采用封闭策略时,访问控制决策原则为：只有知识对象所属的知识容器被允许访问且维护知识对象权限允许访问该知识对象时才允许访问。

(2)对于不同粒度的操作权限引起的冲突,采用知识对象权限决定原则来解决,即知识对象权限存在操作则按该操作权限来决定操作权限,否则按知识容器权限来决定操作权限。

(3)对于不同业务粒度层次上的授权冲突,采用禁止优先原则来解决,即只要存在禁止的访问就不允许访问,对于不能确定是否允许的访问就禁止访问。

2.5 知识安全管理策略模型

知识安全管理策略制定是以维护业务为核心的。维护联盟可以根据不同的维护业务定制不同的知识安全管理策略。为了支持知识安全管理策略的制定,构建了图4所示的知识安全管理策略模型。知识安全管理策略由一系列的授权规则组成。授权规则描述了在何种业务上下文中将权限允许/拒绝分配给主体。授权规则的说明见表2。

图4 知识安全管理策略模型

表2 KSMP中的授权规则说明

3 MBCBAC模型的应用

3.1 知识安全管理组件

根据MBCBAC模型,笔者构建了知识安全管理组件。组件的主要功能如图5所示。各个功能模块说明如下：①身份验证授权服务在用户信息数据库的支持下提供维护知识访问Agent或管理人员登录系统时的验证;②上下文服务在维护联盟本体的支持下,提供业务上下文示例的创建、存取等服务;③安全管理策略服务主要提供知识安全管理策略的创建和知识权限的生成服务;④知识权限服务根据用户的权限来支持维护知识获取过程中的访问控制。

图5 知识安全管理功能模型

知识安全管理组件的运行流程如下：①用户登录应用系统时,身份验证服务验证用户ID的合法性,并取得与用户相关的组织和业务信息;②上下文服务在上下文信息库中为该用户建立一个上下文实例;③安全管理策略服务根据用户的上下文信息为用户分配角色;④当用户在执行业务功能的过程中需要访问知识时,知识访问Agent将该访问请求提交给安全管理策略服务;⑤安全管理策略服务从知识安全管理策略库中读取相关的约束规则,根据上下文信息和约束规则生成授权许可集合,并将这些授权许可集合保存在该用户的上下文实例中;⑥知识权限服务根据授权许可集合来控制用户的知识访问。

3.2 面向某维护联盟的知识安全管理框架

某e-维护联盟[2]在业务运作上是将各协作成员(制造商、科研院校等)作为设备企业的下属机构参与到联盟的维护业务流程中。该维护联盟的知识资源由公有知识和私有知识构成。公有知识是由联盟管理的知识,包括设备企业和协作企业共享的公共知识,以及联盟运作过程中产生的公共知识;私有知识是由设备企业或协作企业管理的知识,包括私用知识和保护知识,前者是被内部人员使用的知识,后者是有需要时共享给外部人员的知识。设备企业私有知识都经过e-维护改造纳入维护联盟的知识管理系统中,除了实现内部的安全管理外,还需要避免外部未经授权的访问;协作企业不希望企业外部人员未经授权访问其保护知识;联盟中共享的知识同样需要防止被非法访问和改动。

针对上述需求,结合 MBCBAC模型和RBAC模型,设计了图6所示的知识安全管理架构。e-维护角色是为执行联盟功能及任务而创造的角色;设备企业角色是设备企业内部的职位和岗位的集合。设备企业安全管理员通过RBAC模型定义企业用户、企业角色和RBAC许可,并进行用户指派和许可指派,实现设备企业私有知识安全管理。联盟级别的知识采用MBCBAC模型来实现。联盟运作时,所有企业成员以维护业务为中心,考虑参与业务的组织、人员、角色等业务上下文因素来配置适当的知识使用权限,并共同制定彼此都能接受的知识安全管理策略,作为维护联盟知识存取的依据。当维护联盟有不同的安全需求时,只需调整知识存取控制策略,就能满足新的安全管理需求。目前,上述知识安全管理架构已在该e-维护联盟的知识管理系统得到初步的应用。

3.3 应用实例

某设备抢修业务由故障远程会诊、设备维修规划、设备维修执行等几个任务组成。图7为该业务的功能模型图。故障远程会诊任务是维护联盟多方参与的压缩机故障诊断远程会议。在此任务过程中的三种典型情况下的知识安全访问规则的制定说明如表3所示。

图6 某e-维护联盟的知识安全管理架构

图7 设备抢修业务的功能模型

表3 故障远程会诊任务访问规则制定示例

3.4 模型特点分析

MBCBAC模型和传统RBAC模型的特点对比如表4所示。从表4中可以看出,MBCBAC模型与传统RBAC模型相比,更适用于分布式知识资源的访问控制。需要说明的是,由于MBCBAC模型的实现和配置较为复杂,维护联盟在实施MBCBAC模型时,需要付出比传统RBAC模型更高的管理成本。为此,如何有效地降低MBCBAC模型的管理成本是后续研究要解决的重点问题。

表4 M BCBAC模型与传统RBAC模型对比

[1] Muller A,Marquez A C,Iung B.On the Concept of E-maintenance：Review and Current Research[J].Reliability Engineering&System Safety,2008,93(8)：1165-1187.

[2] 刘坚,于德介,李德刚,等.面向设备 e-维护的联盟框架研究[J].计算机集成制造系统-CIMS,2005,11(1)：145-150.

[3] Hung M,Chen K,Ho R,et al.Development of an e-diagnostics/Maintenance Framework for Semiconductor Factories with Security Considerations[J].Intelligent Maintenance Systems,2003,17(3/4)：165-178.

[4] Hung M,Wang T,Hsu F,et al.Development of an Interface C Framework for Semiconductor e-diagnostics Systems[J].Robotics and Computer-integrated Manufacturing,2008,24(3)：370-383.

[5] Ferraiolo D F,Sandhu R,Gavrila S,et al.Proposed NIST Standard for Role-based Access Control[J].ACM Transactions on Information and System Security,2001,5(3)：224-274.

[6] Moon C J,Park D H,Park S J,et al.Symmetric RBAC Model that Takes the Separation of Duty and Role Hierarchies into Consideration[J].Computers&Security,2004,23(2)：126-136.

[7] Chen T Y,Chen Y M,Chu H C,et al.Development of an Access Control Model,System Architecture and Approaches for Information Sharing in Virtual Enterprises[J].Computers in Industry,2007,58(1)：57-73.

[8] Kapsalisa V,Hadellisb L,Karelisb D,et al.A Dynamic Context-aware Access Control Architecture for e-services[J].Computers&Security,2006,25(7)：507-521.

[9] Yuri D,Olle M,Leon G,et al.Dynamic Security Context Management in Grid-based Applications[J].Future Generation Computer Systems,2008,24(5)：434-441.

[10] 潘旭伟,顾新建,程耀东,等.集成情境的知识管理模型[J].计算机集成制造系统-CIMS,2006,12(2)：225-230.

[11] Raghu T S,Vinze A.A Business Process Context for Knowledge Management[J].Decision Support Systems,2007,43(3)：1062-1079.

[12] 李德刚,于德介,刘坚,等.基于 Agent的组织建模研究[J].中国管理科学,2005,13(6)：136-142.

[13] 王生发,顾新建,潘敏,等.网络知识流的过程控制模型及其在产品协同设计中的应用[J].计算机集成制造系统,2008,14(8)：1466-1471.

[14] 李玉杰,李善平,郭鸣.基于本体的产品知识表达[J].计算机辅助设计与图形学学报,2003,15(12)：1531-1536.

[15] Zhuge H.A Knowledge Grid Model and Platform for Global Knowledge Sharing[J].Expert Systems with Applications,2002,22(4)：313-320.