基于语义Web技术属性访问控制模型.docVIP

基于语义Web技术属性访问控制模型 　　摘要:基于语义Web技术和扩展访问控制标记语言(XACML),提出了一种具有语义的属性访问控制模型#65377;该模型利用XACML,可实现基于属性的访问控制;而利用语义Web技术,可降低属性策略定义和维护的复杂性,同时也可保护用户的敏感属性#65377;?? 　　关键词:基于属性的访问控制;语义Web技术;扩展访问控制标记语言?? 　　中图分类号:TP309.2文献标志码:A 　　文章编号:1001-3695(2007)10-0148-04 　　 　　传统授权是基于请求访问资源实体的身份,或是基于直接或间接分配给这些实体的角色#65377;但在像Internet这样的开放环境中,资源和请求者通常位于不同的安全域中,他们之间一般没有先前建立的信任关系,互不知晓彼此的身份或角色#65377;因此身份信息(如用户名#65380;口令#65380;身份证书)或角色信息并不能确定一个实体是否值得信任,基于身份或角色的访问控制机制显得不太适合#65377;相反,基于属性的访问控制机制比较适合于这种开放的环境[1]#65377;在ABAC中,授权决策是基于相关实体(如请求者#65380;资源#65380;环境)的属性,而不仅仅是身份或角色,身份或角色只是一种特殊的属性;ABAC比RBAC(role??based acces control,基于角色的访问控制)更加灵活#65380;使用范围更广,提供的控制粒度更细[2]#65377;?? 　　基于属性访问控制的灵活性也带来了属性策略定义和维护的复杂性,以及用户敏感属性暴露问题#65377;因为访问控制决策所需的属性可能来自不同的管理域,以不同的术语来表示和解释,即其语义可能不完全相同,从而引出了语义互操作性的需求,这种语义互操作性问题只能用语义Web技术(尤其是ontology技术)来解决[3]#65377;因此,本文基于语义Web技术和基于属性的访问控制机制,提出了一种称为具有语义的属性访问控制(semantic??aware attribute??based access control,S??ABAC)方法#65377;在S??ABAC方法中,将利用语义Web技术构造的推理引擎添加到原来的XACML[4]访问控制架构上#65377;?? 　　 　　1基于属性的访问控制和语义Web技术?? 　　 　　1.1ABAC及存在的问题?? 　　基于属性的访问控制(ABAC)机制因其灵活性和适用性,已广泛应用于开放和分布式的系统中,但也存在着策略管理和维护难度较大的问题#65377;ABAC中要利用用户(主体)的属性进行授权,这些属性中可能包含用户的敏感信息,如某资源的访问条件是“成人才能访问”,则授权决策要用到“成人”属性(用fullAge表示)#65377;“成人”属性可用“年龄”属性(用age表示)来表示,如age18;如果用户不愿暴露其年龄,也可用“拥有驾驭证(用hasDriverLicense表示)”属性表示他已是成人(因为只有成人才能拥有驾驭证),这就需要策略管理员事先考虑这些情况,使得策略的管理和维护变得非常复杂#65377;要解决这一问题,本文提议利用基于ontology的语义推理技术(语义Web技术),让系统能自动根据已有的属性推理出某些隐含的属性,从而得出某些结论,既简化了策略的管理复杂度,又解决了敏感属性的保护问题#65377;?? 　　1.2本体和语义Web技术?? 　　 语义Web技术就是要使用基于ontology的有精确语义的元数据(metadata)来标注人类能理解的信息内容,使机器#65380;代理也能理解,达到人机之间#65380; Web服务之间能互操作的目的#65377;为此需要建立标准化的元数据模型#65380;标准化(结构化)的语法和标准化的词汇#65377;?? 　　在语义Web中,资源用元数据表示#65377;利用XML语法,以RDF[5,6]作为描述资源的语言,以RDF schema(RDFS)[7]来定义元数据模式#65377;RDF 的数据模型可以用一个三元组(subject,property,value)或(subject,predicate,object)表示对资源的描述#65377;其中:subject表示资源(resource),是被描述和说明的对象;property 是这个三元组所要表达的主体的属性,属性值由value来给出;predicate是与资源相关的property,而object是property的值#65377;可以将RDF 语句看做是一个有向标记图,主体和客体是节点,谓词是由主体指向客体的有向边#65377;这些三元组的集合构成了RDF图#65377