尚福華，李 盼

(東北石油大學計算機與信息技術(shù)學院，黑龍江大慶 163318)

面向射孔數(shù)據(jù)協(xié)作的文件授權(quán)訪問控制模型

尚福華，李 盼

(東北石油大學計算機與信息技術(shù)學院，黑龍江大慶 163318)

適當?shù)脑L問控制機制是支持協(xié)作系統(tǒng)正常運行的一項關(guān)鍵技術(shù)。建立適當?shù)氖跈?quán)策略在協(xié)作系統(tǒng)中是有困難的，往往將傳統(tǒng)的授權(quán)機制模型應(yīng)用在協(xié)作系統(tǒng)中，不能為多用戶之間提供足夠的支持。針對射孔校深數(shù)據(jù)協(xié)同處理平臺，結(jié)合射孔數(shù)據(jù)協(xié)同處理的動態(tài)過程，提出一種支持協(xié)作的文件授權(quán)訪問控制模型，使其更適合于協(xié)同工作環(huán)境的訪問控制。重點分析了多用戶之間的動態(tài)授權(quán)機制，采用文件信任評價機制保證權(quán)限文件的安全性，基于Hash-索引數(shù)據(jù)庫，保證權(quán)限文件在協(xié)作系統(tǒng)中的唯一性。介紹了文件授權(quán)訪問控制模型各組件的構(gòu)成及具體應(yīng)用。在該模型中，用戶權(quán)限值會隨著其他多個用戶授權(quán)而動態(tài)變化，用戶能夠通過對權(quán)限文件進行信任評價來防止惡意分享文件，獲取其權(quán)限。

協(xié)同環(huán)境;動態(tài)授權(quán);文件共享;訪問控制

1 概述

利用射孔方法以達到最后完井的目的，是當今世界各國開發(fā)油田的主要手段。射孔的關(guān)鍵是把射孔槍準確送到目的層段，將頂部第一發(fā)彈對準目的層頂界，習慣上把這項對射孔層點火深度進行準確定位的工作稱為射孔校深［1］。

精準地定位到射孔槍的深度位置是射孔施工的關(guān)鍵。射孔深度計算工作決定著射孔的精度及準確性。對射孔深度數(shù)據(jù)處理的主要工序進行分析，其處理過程包括資料接收、任務(wù)下達、過程審核、技術(shù)支持等相關(guān)工作，優(yōu)化工作流程，提高射孔作業(yè)系統(tǒng)的工作效率和程度。進行有效的信息共享互換，實現(xiàn)業(yè)務(wù)信息的流轉(zhuǎn)控制、工序操作的流程控制、疑難井處理和問題資料返工的流程控制。由于射孔深度數(shù)據(jù)處理過程本身是一個動態(tài)過程，具有多部門和人員協(xié)同工作、動態(tài)性、臨時性的特點，是保證處理結(jié)果的準確性和有效性的重要基礎(chǔ)。但在應(yīng)用新技術(shù)的同時，信息安全問題也越來越受到關(guān)注。

文獻［2］歸納了常見的訪問控制機制，包括強制訪問控制(Mandatory Access Control，MAC)、自主訪問控制(Discretionary Access Control，DAC)以及在MAC 和DAC的基礎(chǔ)上提出的基于角色的訪問控制(Role-Based Access Control，RBAC)。

通過多用戶的合作，一起來實現(xiàn)某項任務(wù)或者工作的目標是協(xié)同環(huán)境的特性之一。協(xié)同環(huán)境中，把握協(xié)同和安全之間的尺度是十分困難的。由于在協(xié)同環(huán)境中對有需求的用戶來說，可以共享資源、信息甚至可以是其他用戶，但是安全是達到資源的保密的目的以及能夠保證其完整性和可用性，進而保證只能得到授權(quán)的用戶才能共享到相應(yīng)的資源、信息甚至其他用戶的協(xié)作［3］。

對于協(xié)作系統(tǒng)的特殊性，提出了對協(xié)作提供支持的訪問模型:基于任務(wù)的訪問控制(Task-Based Access Controls，TBAC)［4］。在TBAC中，主被動的安全模型的概念被首次提出。被動安全模型就是在傳統(tǒng)的訪問控制模型中，以主體、客體為核心，但是控制策略是靜態(tài)的，主體訪問客體的權(quán)限機制與上下文是沒有關(guān)系的。同時與之相對應(yīng)的主動安全模型是指保證安全以及建模的安全性是靠著活動或者任務(wù)為核心的機制，安全動態(tài)地管理任務(wù)的執(zhí)行過程，這樣主體訪問客體的權(quán)限是根據(jù)任務(wù)的上下文來變化的。TBAC是解決協(xié)作環(huán)境中訪問控制的新思路。

針對TBAC和RBAC［5］整合在一起的基于角色-任務(wù)的訪問控制(Task-Role Based Access Control，TRBAC)［6］、基于組的訪問控制模型(Team-Based Access Control，TMAC)［4］，Georgiadis等［7］在 TMAC的基礎(chǔ)上進行完善，提出將 TMAC的思路集成到RBAC［5］中的一個中間件;翟治年［8］對企業(yè)中的協(xié)作環(huán)境的訪問控制模型進行了研究;Bijon等［9］提出多級系統(tǒng)中以組為中心的訪問控制模型;閆璽璽等［10］研究了一種在共享環(huán)境下對敏感數(shù)據(jù)的訪問控制機制;姚志強等［11］提出一種在協(xié)作環(huán)境下的基于信任的訪問控制機制。上述模型都對協(xié)作環(huán)境下訪問控制的新需求做了研究。於光燦把能夠支持協(xié)作的訪問控制機制分為了兩類:通用型訪問控制模型和協(xié)作型訪問控制模型。在通用型訪問控制模型里模型與協(xié)作相關(guān)的元素沒有關(guān)系，是系統(tǒng)的應(yīng)用層來實現(xiàn)的;協(xié)作型訪問控制模型中涉及與協(xié)作相關(guān)的問題，直接對用戶間的協(xié)作提供了支持［12］。

文中以射孔數(shù)據(jù)協(xié)作為基礎(chǔ)，設(shè)計了一種面向射孔數(shù)據(jù)協(xié)作的文件授權(quán)訪問控制模型，使用戶權(quán)限值隨其他用戶行為動態(tài)變化。該模型支持文件信任評價，結(jié)合Hash-索引數(shù)據(jù)庫，有效避免了對權(quán)限文件惡意地分享隱患。

2 射孔數(shù)據(jù)協(xié)作流程對訪問控制的需求

在射孔協(xié)作環(huán)境中，需要計算組內(nèi)部、計算組之間或計算員與計算員之間相互協(xié)調(diào)與配合，來完成為射孔作業(yè)提供數(shù)據(jù)支持這一任務(wù)。下面以射孔深度協(xié)同處理為例，說明在協(xié)作環(huán)境中對訪問控制的安全需要。射孔深度數(shù)據(jù)處理分為兩個部分，由計算組1和計算組2分別計算，然后提交進行計算生成報表。計算組成員所涉及的節(jié)點任務(wù)如圖1所示。

上述協(xié)作流程的訪問控制需求如下:

(1)計算組1的所有成員有標圖計算成員B1、標圖審核成員A1，校深計算員B2、校深審核員A2、疑難井專家C2。由于企業(yè)內(nèi)部人員變動及疑難井問題出現(xiàn)的不同，可以有A1、A2分別動態(tài)地對B1、B2、C2授權(quán)進行處理。

(2)計算組2的所有成員有聯(lián)炮圖設(shè)計成員B3、聯(lián)炮圖審核員A3，同樣A3可以動態(tài)地對B1授權(quán)處理。

依照該例中的需要，制定訪問控制目標:

(1)計算員參與協(xié)作任務(wù)時，同協(xié)作組內(nèi)的用戶動態(tài)授權(quán)實現(xiàn)對資源的共享以及數(shù)據(jù)的雙向流動;

(2)在執(zhí)行協(xié)作任務(wù)時用戶設(shè)定的即時權(quán)限及撤銷不能使權(quán)限濫用;

(3)對權(quán)限文件使用信任評價機制來防止權(quán)限文件的惡意分享。

3 射孔數(shù)據(jù)協(xié)作文件授權(quán)訪問控制模型的描述

3.1 射孔數(shù)據(jù)協(xié)作文件授權(quán)訪問控制模型的基本原理

射孔數(shù)據(jù)協(xié)作文件授權(quán)訪問控制模型描述:該模型是針對傳統(tǒng)的訪問控制模型，提出了多計算員之間的動態(tài)授權(quán)以及對權(quán)限文件信任評價模式，也就是說在模型中任意一個計算員都設(shè)置有一個初始的權(quán)限值，權(quán)限值會由其他多個計算員對其授權(quán)發(fā)生改變;權(quán)限文件有其發(fā)布者設(shè)置其可用閾值，通過信任評價機制來保證權(quán)限文件是否安全。任意一個計算員獲取權(quán)限是通過能夠訪問到一個權(quán)限文件的，但是得保證到該用戶的權(quán)限值大于或等于其權(quán)限文件的閾值。

符號說明如表1所示。

表1 符號說明

射孔數(shù)據(jù)協(xié)作文件授權(quán)訪問控制模型中，計算員的權(quán)限值以及權(quán)限文件可用閾值的信任評價如下:

1)用戶之間授權(quán)。

計算員A對計算員B進行授權(quán)時，計算員B的權(quán)限值會根據(jù)計算員A自身的權(quán)限值進行重新計算，更新計算員B的權(quán)限值(計算員A對計算員B授權(quán)，只提升B的權(quán)限值。避免計算員之間的權(quán)限值無限增長下去，系統(tǒng)規(guī)定被授權(quán)計算員的權(quán)限值不大于授權(quán)計算員，且是單項的、能夠撤銷的)。A與B的權(quán)限值換算公式為:

其中，f為關(guān)系系數(shù)。

關(guān)系系數(shù)是根據(jù)權(quán)限文件閾值分為幾個等級及用戶的權(quán)限值來確定，根據(jù)排列組合的思想可以將f定義為(0.1，0.2，0.5)。這樣根據(jù)用戶量來有效選定f，通過不同的排列組合可以使用戶的權(quán)限值通過授權(quán)達到權(quán)限文件的解鎖閾值。

2)權(quán)限文件信任評價。

權(quán)限文件在被計算員發(fā)布到系統(tǒng)時，對已存在模型中的權(quán)限文件，該模型不能對其進行重復的存儲操作，而是由計算員對使用過的權(quán)限文件進行信任評價并統(tǒng)計信任評價中正面及負面評價次數(shù)以及設(shè)定信任等級。設(shè)T為信任等級因子(T∈［-1，1］)，對T∈［-1，0］，設(shè)定［-0.3，0］為輕微，并記錄其評價時間和次數(shù)，［-1，-0.3］為不信任。

3)Hash函數(shù)。

Hash函數(shù)即為哈希函數(shù)，也可稱為散列函數(shù)。其輸入任意長度的信息，并通過其算法，進而壓縮成固定長度并輸出，其輸出值被稱為消息摘要或散列值。簡而言之，應(yīng)用到模型中就是將權(quán)限文件經(jīng)過哈希計算得到固定長度且唯一的值［13-14］。

基于對權(quán)限文件的唯一性、安全性的考慮，將Hash函數(shù)應(yīng)用到實際中，必要的規(guī)定如下:

(1)哈希函數(shù)可應(yīng)用于任意大小的數(shù)據(jù)塊。

(2)哈希函數(shù)可輸出固定長度的值。

(3)很容易計算出對任意給定p的H(p)。

(4)其滿足單向性即唯一性，對任意的散列值h，找到滿足H(x)=h的p是不可行的。

(5)其滿足抗弱碰撞性，對給定的p1，只要p1≠p，存在H(p)=H(p1)是不可行的。

(6)其滿足抗強碰撞性，對任意能夠滿足H(p) =H(p1)的偶對p1=p在計算上是不可行的。

3.2 射孔數(shù)據(jù)協(xié)作文件授權(quán)訪問控制模型的構(gòu)成

射孔數(shù)據(jù)協(xié)作文件授權(quán)訪問控制模型由6個模塊組成，如圖2所示。首先為用戶分配初始權(quán)限值，設(shè)置用戶權(quán)限值范圍級別，規(guī)范化管理，避免權(quán)限值混亂，在射孔協(xié)同處理工作流程中依據(jù)最小特權(quán)原則對權(quán)限文件進行分級，規(guī)范化解鎖閾值，避免其權(quán)限文件解鎖閾值的混亂。計算員注冊模塊主要是在協(xié)作環(huán)境中增添了新的計算員。權(quán)限文件發(fā)布模塊主要是將權(quán)限文件存儲到權(quán)限文件的數(shù)據(jù)庫中，特別注意該模塊需先與哈希索引數(shù)據(jù)庫進行相關(guān)信息判斷。權(quán)限文件信任模塊主要記錄信任評價、信任等級以及正面或負面信任統(tǒng)計。獲取權(quán)限模塊主要是計算員獲取權(quán)限，判定特定的計算員能否獲取到權(quán)限。權(quán)限文件清除模塊是與權(quán)限文件Hash-索引數(shù)據(jù)庫直接相連的，經(jīng)過相關(guān)索引信息判斷來清除權(quán)限文件。

另外，射孔數(shù)據(jù)協(xié)作文件授權(quán)訪問控制模型中還包含實體文件庫以及Hash-索引庫。其權(quán)限文件自身存儲在實體文件庫中，Hash-索引庫存儲著權(quán)限文件的索引、屬性以及信任評級信息等。索引記錄是鏈接到對應(yīng)的權(quán)限文件，通過權(quán)限文件獲取其權(quán)限。

4 具體應(yīng)用

4.1 計算員注冊模塊

新的計算員是用此模塊來注冊的，詳細情況如下:

(1)收集到計算員基本信息，錄入到計算員數(shù)據(jù)庫中。收集計算員屬性的一個重要原因是確保射孔工作組中的每個計算員都有登錄賬號。信息表單根據(jù)數(shù)據(jù)庫范式要求多表聯(lián)合的方式，使每個屬性字段長度能夠符合編碼要求。

(2)為計算員分配初始權(quán)限值。

4.2 權(quán)限文件發(fā)布模塊

該模塊是通過Hash-索引數(shù)據(jù)庫的對應(yīng)索引信息判斷是否重復存儲，來完成權(quán)限文件的存儲。Hash-索引數(shù)據(jù)庫存儲的是權(quán)限文件通過Hash函數(shù)的結(jié)果值、權(quán)限文件的索引信息以及信任評價等信息。權(quán)限文件發(fā)布過程如下:

2)經(jīng)過Hash計算出權(quán)限文件的H(p)，在Hash-索引數(shù)據(jù)庫檢索查詢H(p)。

3)主要有兩種情況:

(2)假如H(p)被檢索到，說明了權(quán)限文件在實體文件庫中已被存儲，那么就不能繼續(xù)存儲，同時根據(jù)信任評價信息情況來判斷權(quán)限文件是否安全。假如都是正面的信任信息，那么說明此權(quán)限文件是安全的;假如信任等級因子T取負值，根據(jù)其對應(yīng)所屬區(qū)間，判斷是輕微還是已經(jīng)不被信任。如果是輕微等級，根據(jù)信任的評價時間及次數(shù)來判斷是否通知其發(fā)布者(統(tǒng)計次數(shù)超過三次，且時間都是最近的，通知發(fā)布者是否清除更換)。如果不被信任，那么通知其發(fā)布者來說明此權(quán)限文件已不安全了，是否清除更換。

在圖3中，權(quán)限文件發(fā)布模塊將權(quán)限文件存儲到實體文件庫中，文件信任評價模塊記錄權(quán)限文件是否是被信任的來說明權(quán)限文件的安全性，判定權(quán)限文件是否被清除或被替換。

4.3 權(quán)限獲取模塊

該模塊的關(guān)鍵是計算員之間的授權(quán)公式算法。詳細的通過權(quán)限文件獲取權(quán)限的過程:

(1)計算員A獲取權(quán)限文件p的權(quán)限;

(2)獲取計算員A的權(quán)限值UA及可用權(quán)限文件可用閾值UFp;

(3)通過比較UA和UFp的大小獲取權(quán)限。

多計算員的動態(tài)授權(quán)體現(xiàn)在不同的任務(wù)時期，一個計算員的權(quán)限值會隨著計算組或其他計算組的用戶對其的授權(quán)行為而變化。變化過程如圖4所示。

t1和t2是系統(tǒng)中的任意兩個任務(wù)時期。現(xiàn)假設(shè)權(quán)工作組計算員的系數(shù)f=0.5，則由式(1)得計算員D的權(quán)限值:

UD+UA*0.5=1.1，此時UD=UA，因此UD=1;

UD=UD+UB*0.5=1.5，此時UD＞UB，因此UD=UB=1;

UD=UD+UC*0.5=2。

最后在權(quán)限文件p1和p2中獲取權(quán)限。

4.4 權(quán)限文件刪除模塊

對于共同應(yīng)用到某個權(quán)限的權(quán)限文件的所有計算員來說，刪除其權(quán)限文件的過程為:

(1)權(quán)限最高的計算員刪除權(quán)限文件的命令時，其他所有計算員對此權(quán)限文件的索引全部刪除，或根據(jù)權(quán)限文件不安全的因素來刪除權(quán)限文件。

(2)如果權(quán)限文件損壞或其他原因造成權(quán)限文件不可用，那么通過計算對應(yīng)的權(quán)限文件索引表來處理:統(tǒng)計權(quán)限文件的索引個數(shù)，假如大于0，權(quán)限文件被替換;假如為0，權(quán)限文件從實體文件庫中徹底清除，同時清除所有索引信息，不能被撤銷。

具體過程如圖5所示。

這樣設(shè)計的目的可以確保權(quán)限文件的等級層次分明。

5 結(jié)束語

文中以射孔數(shù)據(jù)協(xié)作為例，設(shè)計了支持協(xié)作環(huán)境下的文件授權(quán)訪問機制，即多用戶的動態(tài)授權(quán)機制和權(quán)限文件信任評價機制，并預防對權(quán)限文件的惡意再分享:

(1)在射孔數(shù)據(jù)協(xié)作文件授權(quán)訪問控制模型中，計算員的權(quán)限值可以在其他計算員動態(tài)授權(quán)下增加，實現(xiàn)了動態(tài)授權(quán)管理;避免了只有管理員授權(quán)的局限性及專制權(quán)威，實現(xiàn)了多人授權(quán)的共同決策。該模型是通過訪問權(quán)限文件控制模塊的用戶授權(quán)公式來體現(xiàn)多用戶動態(tài)授權(quán)的。

(2)在協(xié)作任務(wù)中，用戶可以對自己的任務(wù)設(shè)置相應(yīng)的權(quán)限，通過權(quán)限文件的發(fā)布，可以使其他用戶訪問權(quán)限文件獲取權(quán)限，動態(tài)實現(xiàn)任務(wù)的特殊授權(quán)及撤銷。

(3)射孔數(shù)據(jù)協(xié)作文件授權(quán)訪問控制模型通過計算員本身的權(quán)限值及信任評價來保證權(quán)限的可靠性授權(quán)，同時保證權(quán)限文件的安全性以及有效避免權(quán)限文件被破壞。另一方面，Hash-索引數(shù)據(jù)庫能夠保障權(quán)限文件在模型中的唯一性，而且避免了權(quán)限文件在惡意的分享時，減少權(quán)限高的權(quán)限文件轉(zhuǎn)入到權(quán)限低的計算員的安全隱憂。同時，射孔數(shù)據(jù)協(xié)作文件授權(quán)訪問控制模型具有如下特點:一個計算員得到同計算組的計算員或其他計算組的計算組的授權(quán)越多，其權(quán)限值就越高，但是不能高于授權(quán)計算員中最高的權(quán)限值，能夠避免多個權(quán)限低的計算員將一個計算員的權(quán)限值授權(quán)的非常高，達到高權(quán)限的計算員;計算員之間的授權(quán)中，計算員的權(quán)限值越高，對其他計算員的權(quán)限值增長的越快。

［1］ 倪德忠.油氣井射孔層位的深度定位方法［J］.海洋石油，2004，24(2):88-92.

［2］ 訾小超，張紹蓮，茅 兵，等.訪問控制技術(shù)的研究和進展［J］.計算機科學，2001，28(7):26-28.

［3］ Thlone W，Ahn G J，Pai T，et al.Access control in collaborative systems［J］.ACM Computing Surveys，2005，37(1):29-41.

［4］ Thomas R K，Sandhu R S.Task-based authorization controls (TBAC):a family of models for active and enterprise-oriented authorization management［C］//Proc of the IFIP WG11.3 workshop on database security.London:Chapman＆ Hal，1997:13-19.

［5］ Sandhu R S，Coynek E J，F(xiàn)einsteink H L，et al.Role-based access control models［J］.IEEE Computer，1996，29(2):38-47.

［6］ Oh S，Park S.Task-role based access control(T-RBAC):an improved access control method for enterprise environment ［C］//Proc of the 11th international conference on database and expert systems applications.Berlin:Springer，2000:264-273.

［7］ Georgiadis C K，Mavridis I，Pangalos G，et al.Flexible teambased access control using contexts［C］//Proc of the ACM symp on access control models and technologies.New York: ACM，2001:21-27.

［8］ 翟治年.企業(yè)級協(xié)作環(huán)境中訪問控制模型研究［D］.廣州:華南理工大學，2012.

［9］ Bijon K Z，Sandhu R S，Krishnan R.A group-centric model for collaboration with expedient insiders in multilevel systems ［C］//Proc of the 2012 international conference on collaboration technologies and systems.Piscataway，NJ:IEEE，2012:419 -426.

［10］閆璽璽，耿 濤.面向敏感數(shù)據(jù)共享環(huán)境下的融合訪問控制機制［J］.通信學報，2014，35(8):71-77.

［11］姚志強，熊金波，馬建峰，等.以社區(qū)域為中心基于信任的訪問控制［J］.通信學報，2013，34(9):1-9.

［12］於光燦.協(xié)作環(huán)境中訪問控制模型研究［D］.武漢:華中科技大學，2008.

［13］鄭 東，趙慶蘭，張應(yīng)輝.密碼學綜述［J］.西安郵電大學學報，2013，18(6):1-10.

［14］Kanso A，Yahyaoui H，Almulla M.Keyed Hash function based on a chaotic map［J］.Information Sciences，2012，186(1):249 -264.

File Authorization Access Control Model for Perforated Data Collaboration

SHANG Fu-hua，LI Pan
(School of Computer and Information Technology，Northeast Petroleum University，Daqing 163318，China)

Appropriate access control mechanism is a key technology to support the normal operation of the collaborative work system. Construction of the appropriate authorization mechanism is very challenging for the cooperative system.The traditional access control system applied to the direct cooperation model is not enough for collaboration support among multiple users.In view of the dynamic process of the deep data processing platform and the collaborative process of perforating data，a file authorization access control model is proposed which supports collaboration，to make it more suitable for access control in collaborative work environment.It focuses on the analysis of the dynamic authorization mechanism between multi users in this paper，using the file trust evaluation mechanism to ensure the security of access files.Based on the Hash-index database，the uniqueness of the document in the collaborative system is ensured.The structure of file access control model and its application is introduced.In this model，the user rights value will change with other users’behavior，and users can use the authority file to prevent malicious sharing files and access permissions.

collaborative environment;dynamic authorization;file sharing;access control

TP31

:A< class="emphasis_bold">文章編號:1

1673-629X(2016)09-0119-05

10.3969/j.issn.1673-629X.2016.09.027

2015-12-13< class="emphasis_bold">修回日期:2

2016-04-06< class="emphasis_bold">網(wǎng)絡(luò)出版時間:

時間:2016-08-01

國家自然科學基金資助項目(61170132);國家重大專項(2011ZX05020-007)

尚福華(1962-)，男，教授，博士(后)，研究方向為人工智能、數(shù)據(jù)挖掘、計算機理論與方法;李 盼(1990-)，男，碩士研究生，研究方向為計算機應(yīng)用技術(shù)。

http://www.cnki.net/kcms/detail/61.1450.TP.20160801.0907.058.html