面向射孔數據協作的文件授權訪問控制模型

尚福華，李 盼

(東北石油大學計算機與信息技術學院，黑龍江大慶 163318)

面向射孔數據協作的文件授權訪問控制模型

尚福華，李 盼

(東北石油大學計算機與信息技術學院，黑龍江大慶 163318)

適當的訪問控制機制是支持協作系統正常運行的一項關鍵技術。建立適當的授權策略在協作系統中是有困難的，往往將傳統的授權機制模型應用在協作系統中，不能為多用戶之間提供足夠的支持。針對射孔校深數據協同處理平臺，結合射孔數據協同處理的動態過程，提出一種支持協作的文件授權訪問控制模型，使其更適合于協同工作環境的訪問控制。重點分析了多用戶之間的動態授權機制，采用文件信任評價機制保證權限文件的安全性，基于Hash-索引數據庫，保證權限文件在協作系統中的唯一性。介紹了文件授權訪問控制模型各組件的構成及具體應用。在該模型中，用戶權限值會隨著其他多個用戶授權而動態變化，用戶能夠通過對權限文件進行信任評價來防止惡意分享文件，獲取其權限。

協同環境;動態授權;文件共享;訪問控制

1 概述

利用射孔方法以達到最后完井的目的，是當今世界各國開發油田的主要手段。射孔的關鍵是把射孔槍準確送到目的層段，將頂部第一發彈對準目的層頂界，習慣上把這項對射孔層點火深度進行準確定位的工作稱為射孔校深［1］。

精準地定位到射孔槍的深度位置是射孔施工的關鍵。射孔深度計算工作決定著射孔的精度及準確性。對射孔深度數據處理的主要工序進行分析，其處理過程包括資料接收、任務下達、過程審核、技術支持等相關工作，優化工作流程，提高射孔作業系統的工作效率和程度。進行有效的信息共享互換，實現業務信息的流轉控制、工序操作的流程控制、疑難井處理和問題資料返工的流程控制。由于射孔深度數據處理過程本身是一個動態過程，具有多部門和人員協同工作、動態性、臨時性的特點，是保證處理結果的準確性和有效性的重要基礎。但在應用新技術的同時，信息安全問題也越來越受到關注。

文獻［2］歸納了常見的訪問控制機制，包括強制訪問控制(Mandatory Access Control，MAC)、自主訪問控制(Discretionary Access Control，DAC)以及在MAC 和DAC的基礎上提出的基于角色的訪問控制(Role-Based Access Control，RBAC)。

通過多用戶的合作，一起來實現某項任務或者工作的目標是協同環境的特性之一。協同環境中，把握協同和安全之間的尺度是十分困難的。由于在協同環境中對有需求的用戶來說，可以共享資源、信息甚至可以是其他用戶，但是安全是達到資源的保密的目的以及能夠保證其完整性和可用性，進而保證只能得到授權的用戶才能共享到相應的資源、信息甚至其他用戶的協作［3］。

對于協作系統的特殊性，提出了對協作提供支持的訪問模型:基于任務的訪問控制(Task-Based Access Controls，TBAC)［4］。在TBAC中，主被動的安全模型的概念被首次提出。被動安全模型就是在傳統的訪問控制模型中，以主體、客體為核心，但是控制策略是靜態的，主體訪問客體的權限機制與上下文是沒有關系的。同時與之相對應的主動安全模型是指保證安全以及建模的安全性是靠著活動或者任務為核心的機制，安全動態地管理任務的執行過程，這樣主體訪問客體的權限是根據任務的上下文來變化的。TBAC是解決協作環境中訪問控制的新思路。

針對TBAC和RBAC［5］整合在一起的基于角色-任務的訪問控制(Task-Role Based Access Control，TRBAC)［6］、基于組的訪問控制模型(Team-Based Access Control，TMAC)［4］，Georgiadis等［7］在 TMAC的基礎上進行完善，提出將 TMAC的思路集成到RBAC［5］中的一個中間件;翟治年［8］對企業中的協作環境的訪問控制模型進行了研究;Bijon等［9］提出多級系統中以組為中心的訪問控制模型;閆璽璽等［10］研究了一種在共享環境下對敏感數據的訪問控制機制;姚志強等［11］提出一種在協作環境下的基于信任的訪問控制機制。上述模型都對協作環境下訪問控制的新需求做了研究。於光燦把能夠支持協作的訪問控制機制分為了兩類:通用型訪問控制模型和協作型訪問控制模型。在通用型訪問控制模型里模型與協作相關的元素沒有關系，是系統的應用層來實現的;協作型訪問控制模型中涉及與協作相關的問題，直接對用戶間的協作提供了支持［12］。

文中以射孔數據協作為基礎，設計了一種面向射孔數據協作的文件授權訪問控制模型，使用戶權限值隨其他用戶行為動態變化。該模型支持文件信任評價，結合Hash-索引數據庫，有效避免了對權限文件惡意地分享隱患。

2 射孔數據協作流程對訪問控制的需求

在射孔協作環境中，需要計算組內部、計算組之間或計算員與計算員之間相互協調與配合，來完成為射孔作業提供數據支持這一任務。下面以射孔深度協同處理為例，說明在協作環境中對訪問控制的安全需要。射孔深度數據處理分為兩個部分，由計算組1和計算組2分別計算，然后提交進行計算生成報表。計算組成員所涉及的節點任務如圖1所示。

上述協作流程的訪問控制需求如下:

(1)計算組1的所有成員有標圖計算成員B1、標圖審核成員A1，校深計算員B2、校深審核員A2、疑難井專家C2。由于企業內部人員變動及疑難井問題出現的不同，可以有A1、A2分別動態地對B1、B2、C2授權進行處理。

(2)計算組2的所有成員有聯炮圖設計成員B3、聯炮圖審核員A3，同樣A3可以動態地對B1授權處理。

依照該例中的需要，制定訪問控制目標:

(1)計算員參與協作任務時，同協作組內的用戶動態授權實現對資源的共享以及數據的雙向流動;

(2)在執行協作任務時用戶設定的即時權限及撤銷不能使權限濫用;

(3)對權限文件使用信任評價機制來防止權限文件的惡意分享。

3 射孔數據協作文件授權訪問控制模型的描述

3.1 射孔數據協作文件授權訪問控制模型的基本原理

射孔數據協作文件授權訪問控制模型描述:該模型是針對傳統的訪問控制模型，提出了多計算員之間的動態授權以及對權限文件信任評價模式，也就是說在模型中任意一個計算員都設置有一個初始的權限值，權限值會由其他多個計算員對其授權發生改變;權限文件有其發布者設置其可用閾值，通過信任評價機制來保證權限文件是否安全。任意一個計算員獲取權限是通過能夠訪問到一個權限文件的，但是得保證到該用戶的權限值大于或等于其權限文件的閾值。

符號說明如表1所示。

表1 符號說明

射孔數據協作文件授權訪問控制模型中，計算員的權限值以及權限文件可用閾值的信任評價如下:

1)用戶之間授權。

計算員A對計算員B進行授權時，計算員B的權限值會根據計算員A自身的權限值進行重新計算，更新計算員B的權限值(計算員A對計算員B授權，只提升B的權限值。避免計算員之間的權限值無限增長下去，系統規定被授權計算員的權限值不大于授權計算員，且是單項的、能夠撤銷的)。A與B的權限值換算公式為:

其中，f為關系系數。

關系系數是根據權限文件閾值分為幾個等級及用戶的權限值來確定，根據排列組合的思想可以將f定義為(0.1，0.2，0.5)。這樣根據用戶量來有效選定f，通過不同的排列組合可以使用戶的權限值通過授權達到權限文件的解鎖閾值。

2)權限文件信任評價。

權限文件在被計算員發布到系統時，對已存在模型中的權限文件，該模型不能對其進行重復的存儲操作，而是由計算員對使用過的權限文件進行信任評價并統計信任評價中正面及負面評價次數以及設定信任等級。設T為信任等級因子(T∈［-1，1］)，對T∈［-1，0］，設定［-0.3，0］為輕微，并記錄其評價時間和次數，［-1，-0.3］為不信任。

3)Hash函數。

Hash函數即為哈希函數，也可稱為散列函數。其輸入任意長度的信息，并通過其算法，進而壓縮成固定長度并輸出，其輸出值被稱為消息摘要或散列值。簡而言之，應用到模型中就是將權限文件經過哈希計算得到固定長度且唯一的值［13-14］。

基于對權限文件的唯一性、安全性的考慮，將Hash函數應用到實際中，必要的規定如下:

(1)哈希函數可應用于任意大小的數據塊。

(2)哈希函數可輸出固定長度的值。

(3)很容易計算出對任意給定p的H(p)。

(4)其滿足單向性即唯一性，對任意的散列值h，找到滿足H(x)=h的p是不可行的。

(5)其滿足抗弱碰撞性，對給定的p1，只要p1≠p，存在H(p)=H(p1)是不可行的。

(6)其滿足抗強碰撞性，對任意能夠滿足H(p) =H(p1)的偶對p1=p在計算上是不可行的。

3.2 射孔數據協作文件授權訪問控制模型的構成

射孔數據協作文件授權訪問控制模型由6個模塊組成，如圖2所示。首先為用戶分配初始權限值，設置用戶權限值范圍級別，規范化管理，避免權限值混亂，在射孔協同處理工作流程中依據最小特權原則對權限文件進行分級，規范化解鎖閾值，避免其權限文件解鎖閾值的混亂。計算員注冊模塊主要是在協作環境中增添了新的計算員。權限文件發布模塊主要是將權限文件存儲到權限文件的數據庫中，特別注意該模塊需先與哈希索引數據庫進行相關信息判斷。權限文件信任模塊主要記錄信任評價、信任等級以及正面或負面信任統計。獲取權限模塊主要是計算員獲取權限，判定特定的計算員能否獲取到權限。權限文件清除模塊是與權限文件Hash-索引數據庫直接相連的，經過相關索引信息判斷來清除權限文件。

另外，射孔數據協作文件授權訪問控制模型中還包含實體文件庫以及Hash-索引庫。其權限文件自身存儲在實體文件庫中，Hash-索引庫存儲著權限文件的索引、屬性以及信任評級信息等。索引記錄是鏈接到對應的權限文件，通過權限文件獲取其權限。

4 具體應用

4.1 計算員注冊模塊

新的計算員是用此模塊來注冊的，詳細情況如下:

(1)收集到計算員基本信息，錄入到計算員數據庫中。收集計算員屬性的一個重要原因是確保射孔工作組中的每個計算員都有登錄賬號。信息表單根據數據庫范式要求多表聯合的方式，使每個屬性字段長度能夠符合編碼要求。

(2)為計算員分配初始權限值。

4.2 權限文件發布模塊

該模塊是通過Hash-索引數據庫的對應索引信息判斷是否重復存儲，來完成權限文件的存儲。Hash-索引數據庫存儲的是權限文件通過Hash函數的結果值、權限文件的索引信息以及信任評價等信息。權限文件發布過程如下:

2)經過Hash計算出權限文件的H(p)，在Hash-索引數據庫檢索查詢H(p)。

3)主要有兩種情況:

(2)假如H(p)被檢索到，說明了權限文件在實體文件庫中已被存儲，那么就不能繼續存儲，同時根據信任評價信息情況來判斷權限文件是否安全。假如都是正面的信任信息，那么說明此權限文件是安全的;假如信任等級因子T取負值，根據其對應所屬區間，判斷是輕微還是已經不被信任。如果是輕微等級，根據信任的評價時間及次數來判斷是否通知其發布者(統計次數超過三次，且時間都是最近的，通知發布者是否清除更換)。如果不被信任，那么通知其發布者來說明此權限文件已不安全了，是否清除更換。

在圖3中，權限文件發布模塊將權限文件存儲到實體文件庫中，文件信任評價模塊記錄權限文件是否是被信任的來說明權限文件的安全性，判定權限文件是否被清除或被替換。

4.3 權限獲取模塊

該模塊的關鍵是計算員之間的授權公式算法。詳細的通過權限文件獲取權限的過程:

(1)計算員A獲取權限文件p的權限;

(2)獲取計算員A的權限值UA及可用權限文件可用閾值UFp;

(3)通過比較UA和UFp的大小獲取權限。

多計算員的動態授權體現在不同的任務時期，一個計算員的權限值會隨著計算組或其他計算組的用戶對其的授權行為而變化。變化過程如圖4所示。

t1和t2是系統中的任意兩個任務時期。現假設權工作組計算員的系數f=0.5，則由式(1)得計算員D的權限值:

UD+UA*0.5=1.1，此時UD=UA，因此UD=1;

UD=UD+UB*0.5=1.5，此時UD＞UB，因此UD=UB=1;

UD=UD+UC*0.5=2。

最后在權限文件p1和p2中獲取權限。

4.4 權限文件刪除模塊

對于共同應用到某個權限的權限文件的所有計算員來說，刪除其權限文件的過程為:

(1)權限最高的計算員刪除權限文件的命令時，其他所有計算員對此權限文件的索引全部刪除，或根據權限文件不安全的因素來刪除權限文件。

(2)如果權限文件損壞或其他原因造成權限文件不可用，那么通過計算對應的權限文件索引表來處理:統計權限文件的索引個數，假如大于0，權限文件被替換;假如為0，權限文件從實體文件庫中徹底清除，同時清除所有索引信息，不能被撤銷。

具體過程如圖5所示。

這樣設計的目的可以確保權限文件的等級層次分明。

5 結束語

文中以射孔數據協作為例，設計了支持協作環境下的文件授權訪問機制，即多用戶的動態授權機制和權限文件信任評價機制，并預防對權限文件的惡意再分享:

(1)在射孔數據協作文件授權訪問控制模型中，計算員的權限值可以在其他計算員動態授權下增加，實現了動態授權管理;避免了只有管理員授權的局限性及專制權威，實現了多人授權的共同決策。該模型是通過訪問權限文件控制模塊的用戶授權公式來體現多用戶動態授權的。

(2)在協作任務中，用戶可以對自己的任務設置相應的權限，通過權限文件的發布，可以使其他用戶訪問權限文件獲取權限，動態實現任務的特殊授權及撤銷。

(3)射孔數據協作文件授權訪問控制模型通過計算員本身的權限值及信任評價來保證權限的可靠性授權，同時保證權限文件的安全性以及有效避免權限文件被破壞。另一方面，Hash-索引數據庫能夠保障權限文件在模型中的唯一性，而且避免了權限文件在惡意的分享時，減少權限高的權限文件轉入到權限低的計算員的安全隱憂。同時，射孔數據協作文件授權訪問控制模型具有如下特點:一個計算員得到同計算組的計算員或其他計算組的計算組的授權越多，其權限值就越高，但是不能高于授權計算員中最高的權限值，能夠避免多個權限低的計算員將一個計算員的權限值授權的非常高，達到高權限的計算員;計算員之間的授權中，計算員的權限值越高，對其他計算員的權限值增長的越快。

［1］ 倪德忠.油氣井射孔層位的深度定位方法［J］.海洋石油，2004，24(2):88-92.

［2］ 訾小超，張紹蓮，茅 兵，等.訪問控制技術的研究和進展［J］.計算機科學，2001，28(7):26-28.

［3］ Thlone W，Ahn G J，Pai T，et al.Access control in collaborative systems［J］.ACM Computing Surveys，2005，37(1):29-41.

［4］ Thomas R K，Sandhu R S.Task-based authorization controls (TBAC):a family of models for active and enterprise-oriented authorization management［C］//Proc of the IFIP WG11.3 workshop on database security.London:Chapman＆ Hal，1997:13-19.

［5］ Sandhu R S，Coynek E J，Feinsteink H L，et al.Role-based access control models［J］.IEEE Computer，1996，29(2):38-47.

［6］ Oh S，Park S.Task-role based access control(T-RBAC):an improved access control method for enterprise environment ［C］//Proc of the 11th international conference on database and expert systems applications.Berlin:Springer，2000:264-273.

［7］ Georgiadis C K，Mavridis I，Pangalos G，et al.Flexible teambased access control using contexts［C］//Proc of the ACM symp on access control models and technologies.New York: ACM，2001:21-27.

［8］ 翟治年.企業級協作環境中訪問控制模型研究［D］.廣州:華南理工大學，2012.

［9］ Bijon K Z，Sandhu R S，Krishnan R.A group-centric model for collaboration with expedient insiders in multilevel systems ［C］//Proc of the 2012 international conference on collaboration technologies and systems.Piscataway，NJ:IEEE，2012:419 -426.

［10］閆璽璽，耿 濤.面向敏感數據共享環境下的融合訪問控制機制［J］.通信學報，2014，35(8):71-77.

［11］姚志強，熊金波，馬建峰，等.以社區域為中心基于信任的訪問控制［J］.通信學報，2013，34(9):1-9.

［12］於光燦.協作環境中訪問控制模型研究［D］.武漢:華中科技大學，2008.

［13］鄭 東，趙慶蘭，張應輝.密碼學綜述［J］.西安郵電大學學報，2013，18(6):1-10.

［14］Kanso A，Yahyaoui H，Almulla M.Keyed Hash function based on a chaotic map［J］.Information Sciences，2012，186(1):249 -264.

File Authorization Access Control Model for Perforated Data Collaboration

SHANG Fu-hua，LI Pan
(School of Computer and Information Technology，Northeast Petroleum University，Daqing 163318，China)

Appropriate access control mechanism is a key technology to support the normal operation of the collaborative work system. Construction of the appropriate authorization mechanism is very challenging for the cooperative system.The traditional access control system applied to the direct cooperation model is not enough for collaboration support among multiple users.In view of the dynamic process of the deep data processing platform and the collaborative process of perforating data，a file authorization access control model is proposed which supports collaboration，to make it more suitable for access control in collaborative work environment.It focuses on the analysis of the dynamic authorization mechanism between multi users in this paper，using the file trust evaluation mechanism to ensure the security of access files.Based on the Hash-index database，the uniqueness of the document in the collaborative system is ensured.The structure of file access control model and its application is introduced.In this model，the user rights value will change with other users’behavior，and users can use the authority file to prevent malicious sharing files and access permissions.

collaborative environment;dynamic authorization;file sharing;access control

TP31

:A< class="emphasis_bold">文章編號:1

1673-629X(2016)09-0119-05

10.3969/j.issn.1673-629X.2016.09.027

2015-12-13< class="emphasis_bold">修回日期:2

2016-04-06< class="emphasis_bold">網絡出版時間:

時間:2016-08-01

國家自然科學基金資助項目(61170132);國家重大專項(2011ZX05020-007)

尚福華(1962-)，男，教授，博士(后)，研究方向為人工智能、數據挖掘、計算機理論與方法;李 盼(1990-)，男，碩士研究生，研究方向為計算機應用技術。

http://www.cnki.net/kcms/detail/61.1450.TP.20160801.0907.058.html