一种基于本体权限管理模型.docVIP

一种基于本体的权限管理模型 李栋栋,2，白硕3 1（中国科学院 计算技术研究所 软件室, 北京 100080） 2（中国科学院研究生院，北京 100039） 3（上海证券交易所，上海 200120） E-mail: lidongdong@software.ict.ac.cn 摘要：权限管理是系统应用层安全的核心问题之一，通过权限的设置和维护，来阻止对计算机系统和资源的非授权访问。现代应用环境下，权限管理面临着信息资源类型多、访问控制粒度细、多策略共存、跨应用的安全策略和应用专用的安全策略等一系列问题。目前，许多应用开发者都采用在应用系统中嵌入访问控制的方法来解决上述问题。本文提出了一种新型的广义权限管理模型，该模型通过引入本体来对企业业务层面上与操作相关的信息进行概念建模，实现了一个对具有业务内涵的、范围相当广泛的一类广义操作进行权限定义和管理的合适的表达框架和管理机制，并建立了相应的形式化模型。本体的使用将传统的访问控制对象扩展为带参数的、参数论域通过领域本体呈现出结构性关联的、并且具有业务语义的服务，这样，扩大了访问控制的对象范围，丰富了相应的访问控制机制。 关键词：权限管理模型，授权，访问控制，本体，参考监控器 背景及相关工作 权限管理是系统应用层安全的核心问题之一，它通过对主体访问权限的设置和维护，来阻止对计算机系统和资源的非授权访问，确保只有适当的人员才能获得适当的服务和数据。 现代企业集成环境中存在大量分布的、异构的应用系统，这些应用所基于的设计和技术都可能不同，其内部信息资源类型多、粒度细，对资源的操作往往具有业务内涵范围相当广泛参考监控器将上面三组信息代入授权规则进行计算，计算的最终结果是对访问的“允许（allow）”或“禁止（deny）”。 从图1可以看出，在传统的权限管理模型中，主体和客体是相互独立的，它们之间或者互不牵连，或者只通过一些共同的标记来进行联系（如安全标签）【6】。主体有主体的结构和标记，客体有客体的结构和标记，中间满足什么关系，就放行，否则就拦截。参考监控器所使用的主客体的信息是受限的，只有主客体的安全相关属性才能用于授权决策中。但是，现代应用环境下的权限管理不同于传统的权限管理，需要面对若干新问题【8】： ( 在现代应用环境下，主客体营垒不甚分明，一个实体可能既是主体，又是客体。这样的主客体在传统的权限管理模型中无法表示。 ( 现代企业应用中，操作不仅仅是对文件和目录的简单的读、写和执行，而是一种广义的操作，通常都具有业务领域的内涵。例如对企业内部请假审批操作来说，必须要考虑主体的职位客体的职位请假的类型、天数权限规定可的的类型、天数…IP地址、基于访问控制列表、基于规则的操作等），这样，必须需要多种权限管理层次，以实现各种粒度的权限控制。传统的权限管理模型同样无法解决这一问题。 从上面分析可见，传统的基于参考监控器的主客体独立的权限管理模型已经不能满足现代应用环境下权限管理的需要。为了解决权限管理所面临的上述新问题，很有必要提出一种新型的广义权限管理模型，用以解决对企业内部带有语义信息操作的控制以及跨应用复杂安全策略的设置问题。 基于本体的权限管理模型 企业应用内部带有语义信息的广义操作要求现代企业的权限管理模型必须具有对这种语义信息的描述功能，同时，还能将这种语义信息用于操作执行时的权限判断。 本体是共享概念模型的明确的形式化规范说明，它具有良好的概念层次结构和领域知识的共享性以及对逻辑推理的支持【9】【10】，因而我们考虑在权限管理模型中引入本体的概念，即使用本体这种工具为企业应用领域与操作相关的信息进行概念建模，借此反映操作的一些语义信息。当具体操作实现时，再将操作转化为对技术层面上带参数的服务的访问，并利用应用领域中的语义信息来进行访问控制。图2是基于本体的权限管理模型。 从上图可以看出，在基于本体的权限模型中，主体和客体都是本体的一部分，且它们都包含若干属性和属性值集合。此外，本体中还包含若干实体关系及约束。当主体对客体发出的操作请求被截获后，权限引擎根据相关规则以及这个操作所涉及的本体要素（包含操作所带的所有参数）之间是否满足策略所指定的约束条件，来决定该操作是被允许还是禁止。 2.1 与传统的权限管理模型的比较 传统的权限模型中，主客体间只是单纯的访问关系，不能表示它们之间的一些非访问关系，如报告关系、撤职关系等等，即传统的权限模型不能表示带业务语义信息的操作；传统的权限模型中，安全策略也只是规定了哪个主体可以访问哪个客体，访问粒度粗。为了细化访问粒度，有些模型增加了类似BLP模型【11】中的安全标签这样的公共安全属性，来加强主体对客体访问的约束，但这种安全属性并不能涵盖所有的与策略表达相关的因素；另外，对于跨应用的策略来说，由于各个应用中所采用的信息的表示概念和术语并不