基于分布式本体的语义访问控制方法.pdfVIP

2010年8月 湖北第二师范学院学报 A1培．2010 第27卷第8期 JournalofHubeiUniversityofEducation V01．27 No．8 基于分布 式本体 的语义访 问控制方 -去 胡罗凯，王海军 (湖北第二师范学院计算机学院，武汉430205) 摘 要：随着web服务技术的不断完善和云计算技术的进一步普及，使得原来彼此割裂或很少交互的各安全域之间需 要更多更密切的协调和交互动作以完成原来在单安全域环境下难以完成的复杂任务 ，传统的访 问控制方法已经很难满 足这些复杂开放环境下的资源保护任务了。本文将语义Web的相关理念和技术引入到现有的基于策略的和基于属性 的访问控制方法中，为需要参与跨域访问的各安全城建立安全域本体及其之间的跨域本体，构成跨域访问控制的分布式 本体体系，然后以该本体体系为知识库，在跨域访问时进行知识推理，解决了跨域访问控制时遇到的语法异构问题，为异 构环境下的访 问控制提供了一种新的思路。 关键词：分布式本体；跨域访问控制；语义Web 中图分类号：TP309 文献标识码：A 文章编号：1674-344X(2010)8-0084-04 基金项目：湖北第二师范学院青年基金项 目(0209C015)。 作者简介：胡罗凯(1981一)，男，湖北武汉人，讲师，博士生，研究方向为智能软件工程、SOA安全性。 访问控制技术是信息安全的核心技术之一。其主 这种网络化、开放化、异构化和动态化的环境下继续应 要任务是保证各种计算资源不被非法使用和访问。访 用SBAC是一个迫切需要解决的问题。 问控制规定了主体对客体访问的权限，在身份认证的 1 相关工作 基础上，根据 “身份”信息对访问请求加以控制。访问 在SBAC的研究方面，Yagae等人最早将语义 控制机制是对信息资源进行保护的重要措施，是计算 b技术引入到访问控制策略的决策和实施中，C6]Rei 机系统中重要且基础的安全机制。在传统的访问控制 和Rein提出了一种基于道义概念 (deonficconcept 方法中，基于格的访问控制 LBAC…方法是一种粗粒 based)进行建模的策略定义语言，该语言使用一阶逻 度的强制访问控制(MAC)方法。为适应 自主访问控 辑进行描述，并可 以与 RDF或 OWL进行转换。 制(DAC)的需求，基于身份的访问控制(IBAC)和基于 KAoS使用语义Web语言来表示和推理多Agent及分 角色的访问控制(RBAC) 方法 目前被广泛应用于各 布式系统中的策略。】T．Priebe等人也提出了一种利 种互联网和数据库系统。然而，在 IBAC模型中，几乎 用本体来管理访问控制中属性的方法。9【但是他们的 每一个主体都需要一个身份标识符和若干个访问控制 工作均没有涉及分布式知识建模与表达的问题。目 权限，很难维护访问控制列表中越来越多的身份标识 前，使用OWL—Lite的扩展进行表示。此外，在本体 符。而在RBAC模型中，随着系统规模和复杂性的提 映射的研究方面，有些研究组织提出使用具有通用性 高，大型的组织需要建立和维护相当数量的角色，需要 的上层本体(CommonLevelOntology)，这些本体描述 在角色和权限间，角色和用户间做相当多的分配工作。 了最基本的概念，如事件 (event)、时间(time)、空间 随着安全信息的增多和SOA的发展，基于属性的访问 (space)、事物 (thing)、人物 (human)、处理流程 控制ABAC[31方法和 XACMLH语言被越来越多地使 (process)等，其中一些通用本体已经逐渐成为了领域 标准，例如SUMO[1和DOLCEo[11]上层本体的目的建 用在了Web服务的访问控制中，ABAC方法并不直接