多级环境下基于角色和本体的访问控制.docxVIP

多级环境下基于角色和本体的访问控制 0 语义技术在访问控制中的应用 商业世界的任务具有多级安全特征。为了保护商业秘密，商业活动必须限制资源的访问，并根据员工的工作水平和其他条件保护不同类别的数据。多级环境中数据、人员都具有安全级别,在用户访问数据时依据这些等级进行不同的处理。 访问控制技术是一种对资源访问进行限制的安全方法,它根据一定的安全策略限制用户对关键资源的访问。其中基于角色的访问控制RBAC(role based access control)是一种强制访问控制,一般应用于用户分级的环境。但是它与多级环境下传统的强制访问控制不同,并不是针对多级安全专门提出的,在商业多级环境中可能造成敏感信息的泄露。 为了解决多级环境中的信息安全的问题,安全研究者提出了一些多级安全模型,其中最经典的是1973年由David Elliott Bell和Len LaPadula为美国国防部提出的BLP(Bell-LaPadula)模型。它是第一个可以用数学方法证明系统安全性的模型,严格依赖密级进行授权判决。在大型的商业机构中,很难严格按照BLP模型为用户划分安全等级,因此BLP的可用性受到了限制。 语义技术是一种新兴的知识表示技术,允许信息的意义及其之间的关联能够在运行期间被获得和处理,使得软件理解商业系统中用户、资源的等级关系,使用用户、资源的信息进行推理成为可能。随着语义技术的兴起,国内外都有安全研究者提出采用语义技术进行访问控制的方法。但是这些方法并不是针对多级环境的特点提出的,不具有多级安全的特性。本文所解决的问题,就是利用语义技术的描述和推理能力,根据系统中用户隶属关系、资源拥有关系等已有信息,结合RBAC模型和BLP模型的安全特性,在不损失系统安全性的前提下,实现多级环境中用户权限的自动分配,并按照这种权限进行访问控制。 1 基于角色和部件的多段安全模型 1.1 商业环境安全的实现方法—商业多级环境的抽象 商业多级环境最大的特点之一便是系统中的用户存在上下级隶属关系,这种隶属关系隐式地表达了用户安全级别的高低关系。因此,在商业系统中可以采用多级环境中已经存在的业务角色间的上下级关系作为访问控制的依据,实现安全级别的动态判定。具体方法是为用户指定角色,为文件等资源指定所有者。利用角色间的上下级关系作为安全级别判断的依据,使得角色在角色继承关系中的级别可以代表用户在多级系统中的安全级别;资源的所有者的安全级别代表资源在多级系统中的安全级别。在访问控制时,将角色继承关系作为判断安全级别关系的依据,对环境中的用户进行符合*-特性和简单安全特性的基于角色的授权。 实际的商业环境十分复杂,不同环境中用户的角色等级具有动态性,同一等级的角色可能有不同的描述。为了对商业环境中的多级安全问题更有针对性,本文对商业多级环境进行了抽象,如图1所示。 环境中的每个用户都分配了一个角色,角色间具有继承关系。需要为环境中的资源显式的指定其所有者和所有者对资源的可以进行的操作。为了保证系统的安全性,本文选取BLP模型中可能造成敏感信息泄露的读和写操作来研究。 抽象后的多级环境具有以下特性: (1) 每个资源属于且只属于一个所有者,不存在多个用户共同拥有一个资源的情况; (2) 每个用户属于且只属于一个角色,不存在一个用户属于多个角色的情况; 第一个特性避免了资源属于多个用户,资源的安全级别无法确定的情况;第二个特性避免了用户属于多个角色,用户的权限无法确定的情况,这也是对RBAC做出的静态职权分离的约束。 1.2 rbac中的角色与行为 本体(ontology)是一种构建知识模型的技术,它提供对某领域知识的共同理解,确定该领域内共同认可的术语,明确地给出这些术语和术语之间相互关系的定义,可以用它形式化的描述RBAC模型。 基于OWL DL(web ontology language with description logics)语言的强表达能力和可计算性,本文选择OWL DL作为本体描述语言,对基于角色的访问控制方法进行建模。 RBAC模型的本体描述如图2所示。 该模型中各类的定义如下: 类定义1 Subject:主体,访问控制请求的发起方,一般为系统中的用户; 类定义2 Object:客体,访问控制请求的被访问方,一般为系统中的资源; 类定义3 Role:角色,RBAC中系统会给每个用户分配角色,角色具有继承关系; 类定义4 Action:行为,表示访问控制请求中主体请求对客体进行的操作; 类定义5 Request:请求,一个请求会关联一个形如 Object, Action的二元组,表示对客体Object进行操作Action的某次访问控制请求。 其中角色既可以定义为本体中的类,也可以定义为本体中的值。我们选择了将角色定义为类的方式创建RBAC的模型。将