基于信任的访问控制模型在煤矿企业管理系统中的应用

毋泽南,田立勤，，王志刚

(1.华北科技学院 计算机学院，北京 东燕郊 101601;2.青海师范大学 计算机学院，青海 西宁 810008)

基于信任的访问控制模型在煤矿企业管理系统中的应用

毋泽南1,田立勤1，2，王志刚2

(1.华北科技学院 计算机学院，北京 东燕郊 101601;2.青海师范大学 计算机学院，青海 西宁 810008)

针对煤矿安全生产核心数据库的安全问题，结合传统的访问控制机制，提出了一种基于信任的访问控制模型。首先分析了当前煤矿企业管理系统中访问控制模型存在的不足，然后对现有的访问控制模型引入了信任的属性，将身份认证与用户行为认证结合起来，对登录系统的用户实行双重认证机制。实际应用和理论分析表明，该模型相比于传统的访问控制模型，通过引入用户信任属性，形成动态分配权限机制，符合访问控制模型中最小权限原则，可以有效维护煤矿企业管理系统的正常运行，提高核心数据的安全性和完整性。

系统数据安全；访问控制；信任机制；用户行为

0 引言

近年来，互联网技术得到了迅猛发展，社会各行业以及人们的生活越来越离不开互联网技术。煤矿安全生产的信息化程度以及自动化水平也在不断提高。国内许多煤炭企业都在利用互联网技术来建设基于安全、运输、采煤、地测、防治水等安全生产的多专业、一体化管理信息系统[1]。但企业在进行安全生产信息化建设时，不能轻易忽视了企业信息管理系统的安全性问题,特别是在煤矿安全生产信息化管理中，系统的核心数据库如果被非法人员或竞争厂商以及国外某组织入侵，将会对自身造成不可估量的后果。因此，通过分析企业的组织层次结构和权责的区分，设计一套权限授予、权限管理机制，建立一个符合企业安全生产要求的访问控制模型，将极大提高企业信息系统的安全性。

文献[2]提出了一种增强的自主访问控制机制，该机制的基本思想是每一个系统中客体的所有者可以完全自主地将其享有的客体访问权限授权于其他主体，获得访问权限的主体可以对相应客体执行权限所允许的访问操作。但它的不足在于客体权限的管理相对分散，而且授权管理比较复杂，需要对大量用户、权限和访问对象进行授权管理。文献[3]介绍了一种强制访问控制模型来保障数据库的安全，通过由系统的安全管理员来指定控制策略，包括上读下写，下读上写等安全规则，然后为所有主体和客体赋予相应的安全级别。但该策略的不足在于其扩展性不够高，无法更好地满足信息系统多样性的变化要求。文献[4]提出了基于角色的访问控制(RABC)机制在煤矿企业系统中的应用，文章通过结合一个煤矿企业的需求，将RABC应用其中，有效地解决了分级设备管理、查询、修改等问题，并能够满足系统正常运行的要求。

本文针对现有的访问控制模型的研究与分析，结合各自的问题，提出了一种基于信任的访问控制(TBAC,Trust-based Access Model)模型，该模型在基于角色的访问控制模型上加入了信任的属性，将身份认证和行为认证相结合，使访问控制模型可以根据用户行为记录来动态地调整用户可以拥有的权限，从而保障企业信息系统的安全性。

1 访问控制技术研究

访问控制模型与技术是信息安全的核心技术之一[11]，通常系统管理员通过制定有效的访问控制策略，使合法用户在限定时间内获得系统的访问权限，然后才可以对系统的服务器、目录、文件等网络资源进行授权访问。一套合理的访问控制模型可以有效地限制用户对系统的访问，从而保障系统数据资源的安全性和完整性。

访问控制技术包括主体S(Subject)、客体O(Object)和控制策略A(Attribution)三个要素。访问控制技术主要包括自主访问控制(DAC)、强制访问控制(MAC)和基于角色访问控制(RBAC)。

当前很多企业管理系统一般采用的都是基于角色的访问控制模型，因为随着互联网的快速发展，信息系统的安全需求也在不断变化并呈现出多样化的特点，这些变化使得传统的DAC和MAC模型不能满足系统信息完整性的需求。而RBAC模型可以很好地满足当前企业系统需求。它的基本思想是将用户映射到角色，角色用户拥有相应的权限，用户通过“用户—角色”委派关系获得访问权限。系统管理员根据系统或组织结构来创建不同的角色，根据访问操作的需要创建访问权限，同时将角色映射到访问权限。该模型的基本定义如下图1所示：

虽然RBAC模型通过设置角色缓解了因用户过多而带来的管理问题，但是其自身同样存在局限性：(1)在RBAC模型中用户的角色是由系统管理员统一分配的，属于静态指派，所以该模型属于完全的基于身份认证的访问控制策略；(2)在该模型中，用户获得角色后，就会得到该角色相应的权限，并且可以无限制地使用。这样容易出现权限滥用的情况。不符合访问控制中最小权限原则。

以上针对现有的访问控制模型的研究与分析，结合各自的问题，本文提出了一种基于信任的访问控制(TBAC)模型，该模型在基于角色的访问控制模型上加入了信任的属性，将身份认证和行为认证相结合。

2 信任模型

本文重点的研究目标是建立一个基于信任的访问控制模型，该模型的关键之处在于用户行为认证的信任评估，它将直接或间接地影响访问控制模型的建立效果。

2.1 相关概念

定义1：用户行为证据：是用户在访问服务(系统)时产生的行为记录，把这些行为记录通过数字化计算，可以用来作为评估用户信任值的基本数据。

定义2：信任(Trust)[5]：是指信任方(一般是系统)根据以往的经验和数据对客体(一般是访问服务的用户)的一种诚实性判断。

信任值[10]：是指信任方对客体的信任程度。

2.2 信任值计算

用户每次访问系统服务结束后，系统将对用户进行行为评估，通过采用文献[6]的评估方法，得到用户本次的信任值。在TBAC模型中，不能单纯地利用用户本次的信任值来判定用户的可信程度，应该综合用户的历史信任值来进行分析。用户综合信任值计算如下：

(1)

注：当用户访问服务的次数为b

3 访问控制在煤矿企业管理系统中的应用

3.1 系统架构

本文以山东能源龙口矿业集团有限公司的煤矿安全生产信息管理系统[1]为例进行研究和分析。

该系统基于Web、GIS以及三维可视化技术，实现了企业与各个矿井的安全监控、自动化管理、人员调度、信息公示等安全生产过程中信息的有效集合。通过三维可视化技术，实现了煤矿安全生产在井下的三维空间数据建模和可视化信息展示。同时利用互联网技术完成了企业、矿井的不同层次的管理，解决了煤矿安全生产数据多元化的统一组织管理问题，实现了基于工作流模式的安全生产信息化管理功能，提高了企业信息系统的安全性和管理效率。该企业煤矿信息管理系统的总体架构如下图2所示：

图2 龙口矿业集团信息管理系统总体架构图

3.2 煤矿安全生产系统中的访问控制要求

该集团的信息管理系统主要分为4个部分：Web服务平台、煤矿应用平台、GIS分析平台和专业数据存储平台。为保障集团安全生产信息管理系统的安全性，提高企业工作效率，访问控制模型的设计需要具备以下要求：在基于角色的访问控制模型中，系统通过将角色分为五大类：系统管理员、公司领导、部门领导、高级技术人员、普通职工。各个角色对应不同的权限，正常情况下，这样的访问控制模型保证了系统的安全性。但是如果出现非法用户，盗用公司领导账号密码来访问企业系统，将有可能泄露公司机密，对公司造成极大的危害。

4 改进的访问控制技术

基于信任的访问控制(TBAC)模型是在RBAC模型的基础上，加入了用户行为认证的控制模式。通过用户身份认证和行为认证相结合的双重控制模式来保障系统的安全性。该模型的结构如下3所示：

图3 改进后的TBAC模型

4.1 TBAC模型工作流程

相比于通常的RBAC模型的授权形式，在TBAC模型工作流程中，当用户通过身份认证登录企业系统后，并不是立即得到相应角色的权限，因此用户不能对系统进行任何操作[7-9]；此时系统会到后台用户行为信任数据库中查询当前用户的综合信任值Tcom，然后根据该信任值在当前用户所属角色的权限内进行等级划分。以龙口矿业集团有限公司系统人员管理为例，信任值等级划分如下表1所示：

表1 集团人员信任等级划分表

其中，信任值等级为7级，等级越高，权限越大；例如，等级7将拥有对系统所有的操作权限，等级1只能浏览系统基本内容，等级0将直接强制退出系统；这样，即使非法人员盗用了公司账号进行登录操作，若检测到该用户信任等级过低，那么他将无法对系统进行违规操作。TBAC在煤矿企业系统管理中的监控流程图如下图4所示：

图4 TBAC模型实时监控流程图

4.2 TBAC模型特征分析

4.2.1 动态性

通过分析，我们可以看出传统的RBAC模型实际上是基于身份认证的控制机制，用户一旦通过身份认证，就将完全拥有该角色的所有权限，因此这种控制模型的权限分配是静态的、一次性的。而TBAC模型通过加入用户行为认证机制，可以实时对用户的访问过程进行监控，因此该模型具有动态性。

4.2.2 双重控制机制

相比于RBAC，TBAC在此基础上引入了行为信任。用户登录系统，首先要进行身份认证的第一重控制；然后在用户访问系统的整个过程中，系统会对用户的行为作出判断，通过用户行为证据得到信任值，系统根据用户的信任值来给予相应的权限，此为第二重控制。这样的身份认证和行为认证的结合，更加有效地保障了企业管理系统的安全性。

4.2.3 细粒度的访问控制

在TBAC中，系统根据信任值来对用户进行等级划分。首先，根据身份认证，用户可以得到相应的角色，然后在对应角色环境下，系统根据该角色的信任值，对其进行信任等级的划分。因此，系统会对每一种角色环境下，做出相应的等级划分，然后根据用户等级，赋予相应的权限。

5 结论

本文针对煤矿企业管理系统的实际需求，建立了一种基于信任的访问控制(TBAC)模型。该模型是对RBAC模型的改进，克服了RBAC模型给用户静态赋权限的局限性，实现了对用户角色的动态授权，有效地提高了企业管理系统的安全性。同时，TBAC提出将用户行为信任加入到身份认证的RBAC模型中，实现了身份认证和行为认证相结合的双重访问控制机制。

在煤矿企业管理系统中，使用该模型可以有效提高系统的安全性，防止企业核心数据库内容被非法侵入。但是，在实际应用中，TBAC模型对权限的动态控制并不完全可以做到最好，这主要取决于用户信任值的计算，如何根据用户行为证据，更加准确、合理地得到用户信任值，将直接影响系统对用户信任等级的划分。因此，为了使TBAC模型更好地符合访问控制中最小权限原则，如何更加细粒度地划分用户信任等级是该模型需要进一步改进的方向。

[1] 吴义祥 . 煤矿安全生产信息化管理系统[J] . 工矿自动化，2009(9)：90-92.

[2] 顾少慰，梁洪亮，李尚杰，等 . 一种增强的自主访问控制机制的设计与实现[J]. 计算机工程与设计，2007,28(8):1781-1784.

[3] 朱祥彬 . 安全数据库强制访问控制的研究与实现[D].吉林:吉林大学，2010:13-20.

[4] 王亚琴 . 基于角色访问控制结构的煤矿企业设备管理系统设计[J].煤炭技术， 2012(12):254-255.

[5] 林闯，田立勤，王元卓 . 可信网络中用户行为可信的研究[J] . 计算机研究与发展，2008，45(12)：2033-2043.

[6] 田立勤，李君建，毋泽南 . 权重均衡优化的Web用户行为的信任评估[J] . 北京邮电大学学报，2016，39(6)：99-103 .

[7] Li Wen，Ping Lingdi，Lu Kuijun，Chen Xiaoping . Trust Model of Users' Behavior in Trustworthy Internet[C] // Proc of 2009 WASEInt Conf on Information Engineering，Piscataway，NJ：IEEE，2009：403-406.

[8] Liu Wu，Ren Ping，Liu Ke，Duan Hai-xin . User cooperation trust model and its application in network security management[C] // Proc of 2011 EighthInt Conf on Fuzzy Systems and Knowledge Discovery (FSKD)，Piscataway，NJ：IEEE，2011：2335-2339.

[9] Brosso, I，La Neve, A，Bressan, G，Ruggiero, W.V . A Continuous Authentication System Based on User Behavior Analysis[C] // Proc of 2010 Int Conf on Availability, Reliability, and Security，Piscataway，NJ：IEEE，2010：380-385.

[10] Tzu-Yu Chuang . Trust with Social Network Learning in E-Commerce [C] // Proc of 2010 IEEE International Conference on Communications Workshops ，2010：1-6.

[11] 李凤华，熊金波.复杂网络环境下访问控制技术[M].北京：人民邮电出版社，2015:30-56.

ApplicationofTrust-basedAccessControlModelinCoalMineEnterpriseManagementSystem

WU Ze-nan1，TIAN Li-qin1,2，WANG Zhi-gang2

(1.SchoolofComputerScience,NorthChinaInstituteofScienceandTechnology,Yanjiao, 065201,China;2.SchoolofComputerScience,QinghaiNormalUniversity,Xining, 810008,China)

Aiming at the security problem of the core database of coal mine work safety,combining the traditional access control mechanism, a trust control model based on trust is proposed. Firstly, the paper analyzes the shortcomings of the access control model in the current coal mine enterprise management system, then introduces the trust attribute to the existing access control model, combines the identity authentication and the user behavior authentication, and carries on the double authentication mechanism to the users of the login system. The practical application and theoretical analysis show that compared with the traditional access control model,the model can effectively maintain the normal operation of the coal mine enterprise management system and improve the security and integrity of core data,by introducing the user trust attribute and form the dynamic allocation authority mechanism, which conforms to the principle of minimum authority in the access control model.

System data security; access control; trust mechanism; user behavior

2017-05-23

国家自然科学基金(61472137)，中央高校基本科研业务费专项(3142017053，3142015022 )

毋泽南(1991-)，男，河南焦作人，华北科技学院计算机学院在读硕士研究生，研究方向：信息安全、用户行为认证。E-mail：18511465255@163.com

TP393.08

A

1672-7169(2017)04-0093-05