熊海涛 蒋承睿 任宇峰 贾 攀

(北京工商大学计算机与信息工程学院)

访问控制技术起源于20世纪70年代，当时是为了满足管理大型主机系统上共享数据授权访问的需要。但随着计算机技术和应用的发展，特别是网络应用的发展，这一技术的思想和方法迅速应用于信息系统的各个领域。目前流行的访问控制技术的基本目标都是防止非法用户进入系统和合法用户对系统资源的非法操作。访问控制技术作为实现保护信息系统安全的核心技术，是系统安全的一个解决方案，是保证信息机密性和完整性的关键，对访问控制的研究已成为相关领域的研究热点之一［1-2］。

Lampson最早提出了访问控制的形式化和机制描述，引入了访问控制中的基本概念:主体、客体和访问矩阵［3］。对访问控制模型的研究，从早期的20世纪70年代至今，大致经历了以下3个阶段:

(1)传统的访问控制模型，有自主访问控制(DAC)和强制访问控制(MAC)2种。

(2)基于角色的访问控制(RBAC)将角色作为重要因素进行考虑，在用户和访问权限之间引入了角色的概念，为访问控制模型提供了参考。

(3)基于任务的授权控制模型(TBAC)［4］、基于任务和角色的访问控制模型(T－RBAC)［5］是近来研究的主要内容。

矿山安全知识管理是一个复杂协作处理的系统，其中会涉及到多部门数据的应用与多专业的参与［6］。其对知识共享的需求尤为强烈，因此需要对安全知识进行有效的访问控制。然而上述访问控制模型都不能灵活地改变，应用于矿山知识管理时无法在运行过程中自动调整用户权限，只能够通过修改访问控制规则来达到更改用户权限的目的。用户一旦被赋予了相关权限，则只能通过改变规则取消权限，因此用户的行为也就很难得到规范，影响安全知识共享。本研究将信誉引入访问控制模型当中，使得访问控制能够根据用户在系统中的历史操作计算信誉值，动态分配用户的权限，提出了基于信誉的访问控制模型(ReBAC)。

1 知识管理系统的模型基础

矿山企业所拥有的安全知识的总和可以被看作是其企业安全记忆(Organizational Security Memory)。企业安全记忆是企业将过去的安全知识运用于当前生产、提高安全性的一种方式。企业安全记忆是描述企业安全记忆库的核心概念，是知识管理的基础和先决条件。同时，知识管理反过来又可以推动企业安全记忆的发展。矿山企业由于其技术具有高附加值和高风险的特点，属于典型的知识密集型企业。矿山企业中需要实施知识管理，对企业的知识管理能力进行准确的评价，知识管理系统能够很好地对矿山企业中的知识进行有效的管理。

矿山安全知识管理系统包括了矿山生产安全知识的采集、分析、处理以及基于信任网络的安全知识推荐。用户在系统中的各种操作经过处理形成系统的信任库，知识推荐向用户推荐符合用户个性化需求的安全知识。在安全知识的采集、分析和处理过程中使用了基于信誉的访问控制模型对用户进行权限验证。2002年Shengli Wu等提出了工作流管理中的访问控制模型［7］，但这个模型应用于矿山安全知识管理系统存在着不足。

信任网络是系统中所有用户的信任关系构成的网络［8］。2个用户之间信誉可以分为2种:直接信誉和间接信誉。直接信誉是用户在与其他用户交互之后所形成的对该用户直接信誉的度量。间接信誉是利用信任传递计算不存在交互的2个用户之间的信任的度量。本研究构建这样的信任网络，在知识采集、分析和处理的流转过程中，每一步都需要相关用户去判断知识是否能够通过当前工作，进入到下一工作。在理性用户假设下，只有当用户具有和当前待处理知识相关知识背景的条件下，用户才会选择执行当前工作，如果不具备相关知识背景，则即使具备执行当前工作权限，也会选择不执行当前工作。这样执行当前工作的用户就与发起知识流程的用户之间建立了信任网络。如果通过当前工作，则2个用户之间产生正反馈;如果不通过当前工作，则2个用户之间产生负反馈。

在本研究中所有的组件都表现为知识的形式，并通过XML文件实现。组件的XML文件结构如下:

∥知识组件结构说明:

∥kbsm:Memory，将所有知识组件通过记忆的形式表现:

∥rdf:about，表示组件模型的id号，用来唯一标明组件模型;

∥kbsm:purpose，表示组件模型的类型;

〈kbsm:Memory rdf:about=“…”kbsm:purpose=“…”〉

∥kbs:property:描述组件模型的属性值:

〈kbs:property〉属性值〈/kbs:property〉

〈kbsm:Memory〉

知识在系统中是通过一个成为记忆片段的XML来组织的，每一个知识(或者在系统中称作记忆)的形成是由各种动作来产生的，系统中产生的各种信息都以知识的形式存储，包括了用户信息，工作流信息等。操作影响记忆，反过来记忆又可以驱动操作，这样形成了一套封闭的知识系统。各种系统子功能在记忆体系外环绕，通过还原核心的记忆知识来实现记忆到子功能需要信息的转化，这个过程我们定义为记忆还原过程。

语义还原是指将给定语义片断分解还原成可索引的字段。依据还原结果的粒度，可以分为主题还原单元、记忆还原单元、陈述还原单元。陈述还原是还原的最小结构，是将含有“rdf:about”的陈述(〈主语，谓语，宾语〉三元关系)按照给定的映射规则分解还原成键值(〈字段名，字段值〉二元关系)。记忆还原是将一个记忆片段分解还原成若干个键值(〈字段名，字段值〉二元关系)。主题还原是将所有记忆片段按照主题还原成相关主题的若干个键值(〈字段名，字段值〉二元关系)。

2 访问控制模型组件

2.1 实体

矿山安全知识管理平台中通过工作流对知识的流程进行管理。工作流模型的基本概念是实体，在这里包括了以下实体:工作，用户，角色，身份，条件，权力。

(1)工作。工作是业务流程中的流程节点，包含相关属性以及其他实体，用T来表示用户集。处理是工作的核心部分，位于工作流实例的外部。处理可能更新有关的工作流的外部实体或系统信息，也可能通知外部系统工作流的状态变化。工作实体中包括了2种处理:前序和后序工作处理。前序处理是在进行工作核心部分之前进行的预处理。后序处理与前序处理基本相同，但后序处理是在业务流程状态发生变化后进行。一个工作可能有许多动作与之相关。用户、外部环境或触发器决定将要执行的动作。动作可被约束为仅被特定的角色或身份在工作流处于一定的状态下执行，每个动作都有默认的结果和零或多个条件结果。综上所述，一个工作有当前状态(例如待审查，待审核或发布状态)。同处理一样，工作有条件属性，并且只有在满足条件的情况下，工作才能够执行。工作的结果可以改变工作的状态以及改变当前工作，即工作流进入下个工作。在工作流的工作集中存在两个特殊的工作，代表工作流开始的起始工作和代表工作流结束的终止工作。

(2)用户。用户是使用系统的外部实体，用U来表示用户集。用户属于一定的角色和身份，正是具有了这些属性用户才能使用系统。对于特定的工作，需要通过工作中定义的相关角色、身份等信息来确认用户是否有权限完成这项工作。

(3)角色。系统中的角色是按层次结构组织的，用R来表示角色集。让角色ri，rj∈R，在角色树中，如果角色ri位于角色rj的父节点，我们就说角色ri包含角色rj。用户与角色之间存在多对多关系来表示用户具有哪些角色。矿山安全知识管理系统中存在二种角色:系统角色和组织角色。系统角色为用户在系统中扮演的角色，组织角色为用户在企业组织中扮演的实际业务角色，二者在系统中起着不同的作用。为了能够更好地与其他子系统整合，角色仅指系统角色，将组织角色纳入到身份实体当中。

(4)身份。身份表示了用户在矿山企业中的位置和职务，例如矿山企业中的生产部主任、生产班组组长等。同角色一样，身份也是按层次结构组织的，用I来表示身份集。在组织中，身份分为了多个类别，位置包括总部、科室、班组和小组等，职务包括主任、领导、职员等。不同的身份完成工作的种类和顺序是不相同的。为了提高工作流系统的灵活性，不同的身份会启动不同的工作流，不同的工作流中工作可能不同，工作的执行顺序也可能不同。

(5)条件。条件是一个布尔表达式，它的结果是多个条件的运算结果。在本研究中使用C来表示条件集。“AND”和“OR”是用来进行条件运算的运算符。

(6)权力。最后一个实体是权力，权力表示用户能够对知识进行操作的类型，用P来表示权力集。本研究中包括了8种权力:对于安全知识的新增，更新，删除，查看;对于独占知识的新增，更新，删除，查看。

2.2 信誉

信誉是对用户在系统中以往行为的评价，在本研究中使用Re来表示信誉。所有用户在初始阶段的信誉都为零，在使用系统的过程中，系统根据信誉模型动态调整用户的信誉值。用户的信誉值小于零时，系统对用户进行孤立，将用户排除在系统外。对于信誉大于零的那些用户，信誉起到激励作用，在工作当中，只有信誉值高的那些用户才能够执行该工作。

2.3 知识

知识是知识管理系统的核心，系统中所有的组件都是以知识的形式存在的。这里讨论实际的知识，而不是知识管理系统中泛指的知识。知识管理系统中的知识分为两类:共享知识和独占知识。其中共享知识允许在对知识进行修改时其他用户仍能够查看知识，独占知识在被更新时则不允许其他用户浏览知识。

2.4 关系

关系是2个实体间联系的抽象。实体与关系都包含了相关属性来实现业务流程的控制。在模型的定义中，当使用“is－a”来表示X和Y之间的关系时，意味着X继承了Y，X是Y的一个子类。当使用“has－a”来表示X和Y之间的关系时，意味着X包含了Y，Y是X中的一个部分。这两种关系用来表示实体之间的关系类别。

2.5 权限

权限是一个集合，它包含了 r，i，t，k，p，re。系统中的权限通过六元组表示，六元组(r，i，t，k，p，re)表示了拥有角色r，身份i，权力p的用户在信誉re满足的条件下，能够在工作t中处理知识k。

3 基于信誉的访问控制模型

图1为基于信誉的访问控制模型(ReBAC)，可以看出信誉如何影响访问控制过程:首先需要根据用户的信誉值排除信誉为负的用户，将这些用户孤立在本次工作的外部，然后验证用户的角色，用户能否进行当前的工作以及用户能否处理此知识，在进行完这些验证后从与工作发起的用户在历史上有过交互行为的用户中选择信誉值较高的几个用户作为当前工作的待执行人，若不存在这些用户，则从根据所有用户信誉值推荐当前工作的执行人。

图1 基于信誉的访问控制模型

信誉值通过文献［9］中的信任模型获得，包括了4个步骤:

第1步，利用用户间的操作关系得到正反馈和负反馈，生成反馈矩阵。

第2步，计算直接信誉。令r和s分别表示用户A对目标用户T交互的正反馈和负反馈的次数。则从用户A的角度来看用户T的信誉为取值在［－1，1］。

第3步，计算间接信誉。根据推荐算子进行信任传递的运算，得到不相邻的用户之间的间接信誉。

第4步，将用户与所有用户的直接信誉以及间接信誉根据合意算子进行信任聚合得到用户在系统中的总的信誉值，根据此值判断用户是否可以对安全知识进行相关操作。

4 结论

本研究提出了矿山安全知识管理平台中一种基于信誉的访问控制模型(ReBAC)，这个模型能够适应不断变化的企业业务流程和对安全知识的权限及访问控制要求，模型有效地加强了系统的安全性和访问控制的灵活性，克服了传统的基于角色的访问控制(RBAC)和基于任务和角色的访问控制模型(T－RBAC)的缺点，提高了矿山企业安全生产的能力。用户的行为作为访问控制的一个重要部分包括在了模型当中，能够影响访问控制的结果，这样用户的行为就受到一定的约束，有效地减少系统中的恶意行为，为安全知识在矿山安全知识管理系统中的传递和推荐提供了良好的基础。

［1］ 熊海涛，刘 鲁，张继春，等.装备保障中基于信任和预测的访问控制模型［J］.系统工程与电子技术，2011，33(2):315-319.

［2］ 李凤华，苏 铓，史国振，等.访问控制模型研究进展及发展趋势［J］.电子学报，2012，40(4):805-813.

［3］ Lampson B W.Protection［J］.Operating Systems Review，1974，8(1):18-24.

［4］ 邓集波，洪 帆.基于任务的访问控制模型［J］.软件学报，2003，14(1):76-82.

［5］ Oh S，Park S.Task-Role-Based access control model［J］.Information System，2003，28(6):533-562.

［6］ 余 牧，汪文生.矿山安全知识管理信息平台构建［J］.山西师范大学学报:自然科学版，2012，25(S2):127-129.

［7］ Wu Shengli，Amit Sheth，John Miller，et al.Authorization and access control of application data in workflow systems［J］.Journal of Intelligent Information Systems，2002，18(1):71-94.

［8］ 甘早斌，曾 灿，李 开，等.电子商务下的信任网络构造与优化［J］.计算机学报，2012，35(1):27-37.

［9］ Jsang A，Ismail R.The beta reputation system［C］∥Proceedings of the 15th bled electronic commerce conference.Slovenia:［s.n.］，2002:41-55.