毋澤南,田立勤，，王志剛

(1.華北科技學(xué)院 計算機(jī)學(xué)院，北京 東燕郊 101601;2.青海師范大學(xué) 計算機(jī)學(xué)院，青海 西寧 810008)

基于信任的訪問控制模型在煤礦企業(yè)管理系統(tǒng)中的應(yīng)用

毋澤南1,田立勤1，2，王志剛2

(1.華北科技學(xué)院 計算機(jī)學(xué)院，北京 東燕郊 101601;2.青海師范大學(xué) 計算機(jī)學(xué)院，青海 西寧 810008)

針對煤礦安全生產(chǎn)核心數(shù)據(jù)庫的安全問題，結(jié)合傳統(tǒng)的訪問控制機(jī)制，提出了一種基于信任的訪問控制模型。首先分析了當(dāng)前煤礦企業(yè)管理系統(tǒng)中訪問控制模型存在的不足，然后對現(xiàn)有的訪問控制模型引入了信任的屬性，將身份認(rèn)證與用戶行為認(rèn)證結(jié)合起來，對登錄系統(tǒng)的用戶實(shí)行雙重認(rèn)證機(jī)制。實(shí)際應(yīng)用和理論分析表明，該模型相比于傳統(tǒng)的訪問控制模型，通過引入用戶信任屬性，形成動態(tài)分配權(quán)限機(jī)制，符合訪問控制模型中最小權(quán)限原則，可以有效維護(hù)煤礦企業(yè)管理系統(tǒng)的正常運(yùn)行，提高核心數(shù)據(jù)的安全性和完整性。

系統(tǒng)數(shù)據(jù)安全；訪問控制；信任機(jī)制；用戶行為

0 引言

近年來，互聯(lián)網(wǎng)技術(shù)得到了迅猛發(fā)展，社會各行業(yè)以及人們的生活越來越離不開互聯(lián)網(wǎng)技術(shù)。煤礦安全生產(chǎn)的信息化程度以及自動化水平也在不斷提高。國內(nèi)許多煤炭企業(yè)都在利用互聯(lián)網(wǎng)技術(shù)來建設(shè)基于安全、運(yùn)輸、采煤、地測、防治水等安全生產(chǎn)的多專業(yè)、一體化管理信息系統(tǒng)[1]。但企業(yè)在進(jìn)行安全生產(chǎn)信息化建設(shè)時，不能輕易忽視了企業(yè)信息管理系統(tǒng)的安全性問題,特別是在煤礦安全生產(chǎn)信息化管理中，系統(tǒng)的核心數(shù)據(jù)庫如果被非法人員或競爭廠商以及國外某組織入侵，將會對自身造成不可估量的后果。因此，通過分析企業(yè)的組織層次結(jié)構(gòu)和權(quán)責(zé)的區(qū)分，設(shè)計一套權(quán)限授予、權(quán)限管理機(jī)制，建立一個符合企業(yè)安全生產(chǎn)要求的訪問控制模型，將極大提高企業(yè)信息系統(tǒng)的安全性。

文獻(xiàn)[2]提出了一種增強(qiáng)的自主訪問控制機(jī)制，該機(jī)制的基本思想是每一個系統(tǒng)中客體的所有者可以完全自主地將其享有的客體訪問權(quán)限授權(quán)于其他主體，獲得訪問權(quán)限的主體可以對相應(yīng)客體執(zhí)行權(quán)限所允許的訪問操作。但它的不足在于客體權(quán)限的管理相對分散，而且授權(quán)管理比較復(fù)雜，需要對大量用戶、權(quán)限和訪問對象進(jìn)行授權(quán)管理。文獻(xiàn)[3]介紹了一種強(qiáng)制訪問控制模型來保障數(shù)據(jù)庫的安全，通過由系統(tǒng)的安全管理員來指定控制策略，包括上讀下寫，下讀上寫等安全規(guī)則，然后為所有主體和客體賦予相應(yīng)的安全級別。但該策略的不足在于其擴(kuò)展性不夠高，無法更好地滿足信息系統(tǒng)多樣性的變化要求。文獻(xiàn)[4]提出了基于角色的訪問控制(RABC)機(jī)制在煤礦企業(yè)系統(tǒng)中的應(yīng)用，文章通過結(jié)合一個煤礦企業(yè)的需求，將RABC應(yīng)用其中，有效地解決了分級設(shè)備管理、查詢、修改等問題，并能夠滿足系統(tǒng)正常運(yùn)行的要求。

本文針對現(xiàn)有的訪問控制模型的研究與分析，結(jié)合各自的問題，提出了一種基于信任的訪問控制(TBAC,Trust-based Access Model)模型，該模型在基于角色的訪問控制模型上加入了信任的屬性，將身份認(rèn)證和行為認(rèn)證相結(jié)合，使訪問控制模型可以根據(jù)用戶行為記錄來動態(tài)地調(diào)整用戶可以擁有的權(quán)限，從而保障企業(yè)信息系統(tǒng)的安全性。

1 訪問控制技術(shù)研究

訪問控制模型與技術(shù)是信息安全的核心技術(shù)之一[11]，通常系統(tǒng)管理員通過制定有效的訪問控制策略，使合法用戶在限定時間內(nèi)獲得系統(tǒng)的訪問權(quán)限，然后才可以對系統(tǒng)的服務(wù)器、目錄、文件等網(wǎng)絡(luò)資源進(jìn)行授權(quán)訪問。一套合理的訪問控制模型可以有效地限制用戶對系統(tǒng)的訪問，從而保障系統(tǒng)數(shù)據(jù)資源的安全性和完整性。

訪問控制技術(shù)包括主體S(Subject)、客體O(Object)和控制策略A(Attribution)三個要素。訪問控制技術(shù)主要包括自主訪問控制(DAC)、強(qiáng)制訪問控制(MAC)和基于角色訪問控制(RBAC)。

當(dāng)前很多企業(yè)管理系統(tǒng)一般采用的都是基于角色的訪問控制模型，因?yàn)殡S著互聯(lián)網(wǎng)的快速發(fā)展，信息系統(tǒng)的安全需求也在不斷變化并呈現(xiàn)出多樣化的特點(diǎn)，這些變化使得傳統(tǒng)的DAC和MAC模型不能滿足系統(tǒng)信息完整性的需求。而RBAC模型可以很好地滿足當(dāng)前企業(yè)系統(tǒng)需求。它的基本思想是將用戶映射到角色，角色用戶擁有相應(yīng)的權(quán)限，用戶通過“用戶—角色”委派關(guān)系獲得訪問權(quán)限。系統(tǒng)管理員根據(jù)系統(tǒng)或組織結(jié)構(gòu)來創(chuàng)建不同的角色，根據(jù)訪問操作的需要創(chuàng)建訪問權(quán)限，同時將角色映射到訪問權(quán)限。該模型的基本定義如下圖1所示：

雖然RBAC模型通過設(shè)置角色緩解了因用戶過多而帶來的管理問題，但是其自身同樣存在局限性：(1)在RBAC模型中用戶的角色是由系統(tǒng)管理員統(tǒng)一分配的，屬于靜態(tài)指派，所以該模型屬于完全的基于身份認(rèn)證的訪問控制策略；(2)在該模型中，用戶獲得角色后，就會得到該角色相應(yīng)的權(quán)限，并且可以無限制地使用。這樣容易出現(xiàn)權(quán)限濫用的情況。不符合訪問控制中最小權(quán)限原則。

以上針對現(xiàn)有的訪問控制模型的研究與分析，結(jié)合各自的問題，本文提出了一種基于信任的訪問控制(TBAC)模型，該模型在基于角色的訪問控制模型上加入了信任的屬性，將身份認(rèn)證和行為認(rèn)證相結(jié)合。

2 信任模型

本文重點(diǎn)的研究目標(biāo)是建立一個基于信任的訪問控制模型，該模型的關(guān)鍵之處在于用戶行為認(rèn)證的信任評估，它將直接或間接地影響訪問控制模型的建立效果。

2.1 相關(guān)概念

定義1：用戶行為證據(jù)：是用戶在訪問服務(wù)(系統(tǒng))時產(chǎn)生的行為記錄，把這些行為記錄通過數(shù)字化計算，可以用來作為評估用戶信任值的基本數(shù)據(jù)。

定義2：信任(Trust)[5]：是指信任方(一般是系統(tǒng))根據(jù)以往的經(jīng)驗(yàn)和數(shù)據(jù)對客體(一般是訪問服務(wù)的用戶)的一種誠實(shí)性判斷。

信任值[10]：是指信任方對客體的信任程度。

2.2 信任值計算

用戶每次訪問系統(tǒng)服務(wù)結(jié)束后，系統(tǒng)將對用戶進(jìn)行行為評估，通過采用文獻(xiàn)[6]的評估方法，得到用戶本次的信任值。在TBAC模型中，不能單純地利用用戶本次的信任值來判定用戶的可信程度，應(yīng)該綜合用戶的歷史信任值來進(jìn)行分析。用戶綜合信任值計算如下：

(1)

注：當(dāng)用戶訪問服務(wù)的次數(shù)為b

3 訪問控制在煤礦企業(yè)管理系統(tǒng)中的應(yīng)用

3.1 系統(tǒng)架構(gòu)

本文以山東能源龍口礦業(yè)集團(tuán)有限公司的煤礦安全生產(chǎn)信息管理系統(tǒng)[1]為例進(jìn)行研究和分析。

該系統(tǒng)基于Web、GIS以及三維可視化技術(shù)，實(shí)現(xiàn)了企業(yè)與各個礦井的安全監(jiān)控、自動化管理、人員調(diào)度、信息公示等安全生產(chǎn)過程中信息的有效集合。通過三維可視化技術(shù)，實(shí)現(xiàn)了煤礦安全生產(chǎn)在井下的三維空間數(shù)據(jù)建模和可視化信息展示。同時利用互聯(lián)網(wǎng)技術(shù)完成了企業(yè)、礦井的不同層次的管理，解決了煤礦安全生產(chǎn)數(shù)據(jù)多元化的統(tǒng)一組織管理問題，實(shí)現(xiàn)了基于工作流模式的安全生產(chǎn)信息化管理功能，提高了企業(yè)信息系統(tǒng)的安全性和管理效率。該企業(yè)煤礦信息管理系統(tǒng)的總體架構(gòu)如下圖2所示：

圖2 龍口礦業(yè)集團(tuán)信息管理系統(tǒng)總體架構(gòu)圖

3.2 煤礦安全生產(chǎn)系統(tǒng)中的訪問控制要求

該集團(tuán)的信息管理系統(tǒng)主要分為4個部分：Web服務(wù)平臺、煤礦應(yīng)用平臺、GIS分析平臺和專業(yè)數(shù)據(jù)存儲平臺。為保障集團(tuán)安全生產(chǎn)信息管理系統(tǒng)的安全性，提高企業(yè)工作效率，訪問控制模型的設(shè)計需要具備以下要求：在基于角色的訪問控制模型中，系統(tǒng)通過將角色分為五大類：系統(tǒng)管理員、公司領(lǐng)導(dǎo)、部門領(lǐng)導(dǎo)、高級技術(shù)人員、普通職工。各個角色對應(yīng)不同的權(quán)限，正常情況下，這樣的訪問控制模型保證了系統(tǒng)的安全性。但是如果出現(xiàn)非法用戶，盜用公司領(lǐng)導(dǎo)賬號密碼來訪問企業(yè)系統(tǒng)，將有可能泄露公司機(jī)密，對公司造成極大的危害。

4 改進(jìn)的訪問控制技術(shù)

基于信任的訪問控制(TBAC)模型是在RBAC模型的基礎(chǔ)上，加入了用戶行為認(rèn)證的控制模式。通過用戶身份認(rèn)證和行為認(rèn)證相結(jié)合的雙重控制模式來保障系統(tǒng)的安全性。該模型的結(jié)構(gòu)如下3所示：

圖3 改進(jìn)后的TBAC模型

4.1 TBAC模型工作流程

相比于通常的RBAC模型的授權(quán)形式，在TBAC模型工作流程中，當(dāng)用戶通過身份認(rèn)證登錄企業(yè)系統(tǒng)后，并不是立即得到相應(yīng)角色的權(quán)限，因此用戶不能對系統(tǒng)進(jìn)行任何操作[7-9]；此時系統(tǒng)會到后臺用戶行為信任數(shù)據(jù)庫中查詢當(dāng)前用戶的綜合信任值Tcom，然后根據(jù)該信任值在當(dāng)前用戶所屬角色的權(quán)限內(nèi)進(jìn)行等級劃分。以龍口礦業(yè)集團(tuán)有限公司系統(tǒng)人員管理為例，信任值等級劃分如下表1所示：

表1 集團(tuán)人員信任等級劃分表

其中，信任值等級為7級，等級越高，權(quán)限越大；例如，等級7將擁有對系統(tǒng)所有的操作權(quán)限，等級1只能瀏覽系統(tǒng)基本內(nèi)容，等級0將直接強(qiáng)制退出系統(tǒng)；這樣，即使非法人員盜用了公司賬號進(jìn)行登錄操作，若檢測到該用戶信任等級過低，那么他將無法對系統(tǒng)進(jìn)行違規(guī)操作。TBAC在煤礦企業(yè)系統(tǒng)管理中的監(jiān)控流程圖如下圖4所示：

圖4 TBAC模型實(shí)時監(jiān)控流程圖

4.2 TBAC模型特征分析

4.2.1 動態(tài)性

通過分析，我們可以看出傳統(tǒng)的RBAC模型實(shí)際上是基于身份認(rèn)證的控制機(jī)制，用戶一旦通過身份認(rèn)證，就將完全擁有該角色的所有權(quán)限，因此這種控制模型的權(quán)限分配是靜態(tài)的、一次性的。而TBAC模型通過加入用戶行為認(rèn)證機(jī)制，可以實(shí)時對用戶的訪問過程進(jìn)行監(jiān)控，因此該模型具有動態(tài)性。

4.2.2 雙重控制機(jī)制

相比于RBAC，TBAC在此基礎(chǔ)上引入了行為信任。用戶登錄系統(tǒng)，首先要進(jìn)行身份認(rèn)證的第一重控制；然后在用戶訪問系統(tǒng)的整個過程中，系統(tǒng)會對用戶的行為作出判斷，通過用戶行為證據(jù)得到信任值，系統(tǒng)根據(jù)用戶的信任值來給予相應(yīng)的權(quán)限，此為第二重控制。這樣的身份認(rèn)證和行為認(rèn)證的結(jié)合，更加有效地保障了企業(yè)管理系統(tǒng)的安全性。

4.2.3 細(xì)粒度的訪問控制

在TBAC中，系統(tǒng)根據(jù)信任值來對用戶進(jìn)行等級劃分。首先，根據(jù)身份認(rèn)證，用戶可以得到相應(yīng)的角色，然后在對應(yīng)角色環(huán)境下，系統(tǒng)根據(jù)該角色的信任值，對其進(jìn)行信任等級的劃分。因此，系統(tǒng)會對每一種角色環(huán)境下，做出相應(yīng)的等級劃分，然后根據(jù)用戶等級，賦予相應(yīng)的權(quán)限。

5 結(jié)論

本文針對煤礦企業(yè)管理系統(tǒng)的實(shí)際需求，建立了一種基于信任的訪問控制(TBAC)模型。該模型是對RBAC模型的改進(jìn)，克服了RBAC模型給用戶靜態(tài)賦權(quán)限的局限性，實(shí)現(xiàn)了對用戶角色的動態(tài)授權(quán)，有效地提高了企業(yè)管理系統(tǒng)的安全性。同時，TBAC提出將用戶行為信任加入到身份認(rèn)證的RBAC模型中，實(shí)現(xiàn)了身份認(rèn)證和行為認(rèn)證相結(jié)合的雙重訪問控制機(jī)制。

在煤礦企業(yè)管理系統(tǒng)中，使用該模型可以有效提高系統(tǒng)的安全性，防止企業(yè)核心數(shù)據(jù)庫內(nèi)容被非法侵入。但是，在實(shí)際應(yīng)用中，TBAC模型對權(quán)限的動態(tài)控制并不完全可以做到最好，這主要取決于用戶信任值的計算，如何根據(jù)用戶行為證據(jù)，更加準(zhǔn)確、合理地得到用戶信任值，將直接影響系統(tǒng)對用戶信任等級的劃分。因此，為了使TBAC模型更好地符合訪問控制中最小權(quán)限原則，如何更加細(xì)粒度地劃分用戶信任等級是該模型需要進(jìn)一步改進(jìn)的方向。

[1] 吳義祥 . 煤礦安全生產(chǎn)信息化管理系統(tǒng)[J] . 工礦自動化，2009(9)：90-92.

[2] 顧少慰，梁洪亮，李尚杰，等 . 一種增強(qiáng)的自主訪問控制機(jī)制的設(shè)計與實(shí)現(xiàn)[J]. 計算機(jī)工程與設(shè)計，2007,28(8):1781-1784.

[3] 朱祥彬 . 安全數(shù)據(jù)庫強(qiáng)制訪問控制的研究與實(shí)現(xiàn)[D].吉林:吉林大學(xué)，2010:13-20.

[4] 王亞琴 . 基于角色訪問控制結(jié)構(gòu)的煤礦企業(yè)設(shè)備管理系統(tǒng)設(shè)計[J].煤炭技術(shù)， 2012(12):254-255.

[5] 林闖，田立勤，王元卓 . 可信網(wǎng)絡(luò)中用戶行為可信的研究[J] . 計算機(jī)研究與發(fā)展，2008，45(12)：2033-2043.

[6] 田立勤，李君建，毋澤南 . 權(quán)重均衡優(yōu)化的Web用戶行為的信任評估[J] . 北京郵電大學(xué)學(xué)報，2016，39(6)：99-103 .

[7] Li Wen，Ping Lingdi，Lu Kuijun，Chen Xiaoping . Trust Model of Users' Behavior in Trustworthy Internet[C] // Proc of 2009 WASEInt Conf on Information Engineering，Piscataway，NJ：IEEE，2009：403-406.

[8] Liu Wu，Ren Ping，Liu Ke，Duan Hai-xin . User cooperation trust model and its application in network security management[C] // Proc of 2011 EighthInt Conf on Fuzzy Systems and Knowledge Discovery (FSKD)，Piscataway，NJ：IEEE，2011：2335-2339.

[9] Brosso, I，La Neve, A，Bressan, G，Ruggiero, W.V . A Continuous Authentication System Based on User Behavior Analysis[C] // Proc of 2010 Int Conf on Availability, Reliability, and Security，Piscataway，NJ：IEEE，2010：380-385.

[10] Tzu-Yu Chuang . Trust with Social Network Learning in E-Commerce [C] // Proc of 2010 IEEE International Conference on Communications Workshops ，2010：1-6.

[11] 李鳳華，熊金波.復(fù)雜網(wǎng)絡(luò)環(huán)境下訪問控制技術(shù)[M].北京：人民郵電出版社，2015:30-56.

ApplicationofTrust-basedAccessControlModelinCoalMineEnterpriseManagementSystem

WU Ze-nan1，TIAN Li-qin1,2，WANG Zhi-gang2

(1.SchoolofComputerScience,NorthChinaInstituteofScienceandTechnology,Yanjiao, 065201,China;2.SchoolofComputerScience,QinghaiNormalUniversity,Xining, 810008,China)

Aiming at the security problem of the core database of coal mine work safety,combining the traditional access control mechanism, a trust control model based on trust is proposed. Firstly, the paper analyzes the shortcomings of the access control model in the current coal mine enterprise management system, then introduces the trust attribute to the existing access control model, combines the identity authentication and the user behavior authentication, and carries on the double authentication mechanism to the users of the login system. The practical application and theoretical analysis show that compared with the traditional access control model,the model can effectively maintain the normal operation of the coal mine enterprise management system and improve the security and integrity of core data,by introducing the user trust attribute and form the dynamic allocation authority mechanism, which conforms to the principle of minimum authority in the access control model.

System data security; access control; trust mechanism; user behavior

2017-05-23

國家自然科學(xué)基金(61472137)，中央高?；究蒲袠I(yè)務(wù)費(fèi)專項(xiàng)(3142017053，3142015022 )

毋澤南(1991-)，男，河南焦作人，華北科技學(xué)院計算機(jī)學(xué)院在讀碩士研究生，研究方向：信息安全、用戶行為認(rèn)證。E-mail：18511465255@163.com

TP393.08

A

1672-7169(2017)04-0093-05