（管理科学与工程专业论文）多级安全元数据访问控制策略和模型研究.pdf

国防科学技术大学研究生院硕十学位论文 摘要 随着元数据技术的发展，元数据的应用越来越广泛，很多信息系统都运用元 数据描述信息资源。元数据能够描述信息资源各个方面的信息，此外，元数据和 它所描述的信息资源具有类似的行为和特征，从某种程度上说，元数据也是信息 系统的一种信息资源。 在很多信息系统中，用户可以直接访问元数据，并通过对元数据的访问获得 元数据所描述的信息资源的信息。和其它信息资源一样，信息系统中的元数据也 面临着非法用户的非法访问以及合法用户的非法操作的威胁，所以需要对元数据 进行访问控制。 本文首先研究了元数据和访问控制，然后对包含敏感信息资源而且使用元数 据描述信息资源的信息系统中的元数据和元数据访问控制进行了分析，得出这类 信息系统中元数据访问控制的问题是多级安全问题的结论，接着分析了现有的访 问控制模型在解决该问题上的不足，从而提出用于解决该问题的多级安全元数据 访问控制策略和模型。 多级安全元数据访问控制模型是一种以发展比较成熟、获得普遍承认并得到 广泛应用的基于角色的访问控制模型为基础的访问控制模型，它引入了安全级别、 范围和敏感级别等元素，增加了安全级别分配、用户范围分配、敏感级别分配和 客体范围分配等关系，并对基于角色的访问控制模型的访问控制规则和约束规则 进行了改进，从而避免了基于角色的访问控制模型在元数据访问控制中的不足， 并能够很好地解决元数据访问控制的问题。 本文对多级安全元数据访问控制模型的相关问题进行了分析，介绍了多级安 全元数据访问控制策略，详细说明和描述了该模型的基本元素、整体结构、模型 中的关系、约束规则以及访问控制规则，并对该模型进行了分析，最后设计了该 模型的实现框架，通过该模型在一个原型系统中的应用验证了模型的可行性。 主题词：访问控制多级安全信息系统信息资源元数据 第i 页 国防科学技术大学研究生院硕十学位论文 a b s t r a c t w i t ht h er a p i dd e v e l o p m e n to fm e t a d a t at e c h n o l o g y ，t h ea p p l i c a t i o n so fm e t a d a t a b e c o m em o r ea n dm o r e ，m a n yi n f o r m a t i o n s y s t e m s u s em e t a d a t at od e s c r i b e i n f o r m a t i o nr e s o u r c e s m e t a d a t ac a nd e s c r i b ea l la s p e c t s i n f o r m a t i o no fi n f o r m a t i o n r e s o u r c e s ，b e s i d e s ，m e t a d a t ah a v et h es a m eb e h a v i o r sa n dc h a r a c t e r sa st h ei n f o r m a t i o n r e s o u r c e sd e s c r i b e dh a v e ，i ns o m e w a yi tc a nb es a i dt h a t ，m e t a d a t ai sa sw e l la sak i n d o fi n f o r m a t i o nr e s o u r c e so fi n f o r m a t i o ns y s t e m s i nm a n yi n f o r m a t i o ns y s t e m s ，u s e r sc a na c c e s sm e t a d a t ad i r e c t l y , a n dg e tt h e i n f o r m a t i o no fi n f o r n l a t i o nr e s o u r c e sw h i c ha r ed e s c r i b e db ym e t a d a t ab yt h ea c c e s st o t h em e t a d a t a l i k eo t h e ri n f o r m a t i o nr e s o u r c e s ，t h em e t a d a t ao fi n f o r m a t i o ns y s t e m sa r e t h r e a t e n e db yt h ei l l e g a la c c e s so fu n a u t h o r i z e du s g r sa n dt h ei l l e g a lo p e r a t i o n so f a u t h o r i z e du s e r st o o ，t h e r e f o r e ，t h ea c c e s sc o n t r o lt om e t a d a t ai sn e e d e d t m sp a p e rf i r s t l yr e s e a r c h e sm e t a d a t aa n da c c e s sc o n t r o l ，t h e na n a l y s e st h e m e t a d a t aa n dt h em e t a d a t aa c c e s sc o n t r o lo ft h ei n f o r m a t i o ns y s t e m sw h i c hc o n t a i n s e n s i t i v ei n f o r m a t i o nr e s o u l c c sa n du s em e t a d a t at od e s c r i b ei n f o r m a t i o nt c s o l l r c c s e d u c e st h a tt h ep r o b l e mo fm e t a d a t aa c c e s sc e n t r e lo ft h i sk i n do fi n f o r m a t i o ns y s t e m s i sap r o b l e mo fm u l t i l e v e ls e c u r i t y , t h e n ，a n a l y s e st h ed e f i c i e n c i e so fe x i s t i n ga c c e s s c o n t r o lm o d e l si ns o l v i n gt h i sp r o b l e m ，a c c o r d i n g l y p u t sf o r w a r dm u l t i l e v e ls e c u r i t y m e t a d a t aa c c e s sc o n t r 0 1p o l i c ya n dm o d e lt os o l v et h i sp r o b l e m m u l t i l e v e ls e c u r i t ym e t a d a t aa c c e s sc o n t r o lm o d e li sak i n do fa c c e s sc o n t r o l m o d e lb a s e so nr o l eb a s e da c c e s sc o n t r o lm o d e lw h i c hh a sb e e nd e v e l o p e dm a t u r e l y , a c k n o w l e d g e da n da p p l i e de x t e n s i v e l y , i ti n t r o d u c e ss e c u r i t yl e v e l ，c a t e g o r y , s e n s i t i v i t yl e v e la n ds o m eo t h e re l e m e n t s ，a d d ss e c u t i r yl e v e la s s i g n m e n t ，u s e r c a t e g o r ya s s i g n m e n t ，s e n s i t i v i t yl e v e la s s i g n m e n t ，o b j e c tc a t e g o r ya s s i g n m e n ta n d s o m e0 t l l e l r e l a t i o n s a n da m e l i o r a t e st h ea c c e s sc o n t r o lr u l e sa n dc o n s t r a i nr u l e so f r o l eb a s e da c c e s sc o n t r o lm o d e l ，c o n s e q u e n t l y , a v o i dt h ed e f i c i e n c i e so fr o l eb a s e d a c c e s sc o n t r o lm o d e li nm e t a d a t aa c c e s sc o n t r o l ，a n dc a ns o l v et h ep r o b l e mo f m e t a d a t aa c c e s sc o n t r o lc o m m e n d a b l y t h i sp a p e ra n a l y s e st h er e l a t e dp r o b l e m so ft h i sm o d e l ，i n t r o d u c e sm u l t i l e v e l s e c u r i t ym e t a d a t aa c c e s sc o n t r o lp o l i c y , i l l u m i n a t e sa n dd e p i c t st h eb a s i ce l e m e n t s ， h o l i s t i cs t r u c t u r e ，r e l a t i o n s ，c o n s t r a i nr u l e sa n da c c e s sc e n t r e lr u l e so fm o d e l ，a n a l y s e s t h et h i sm o d e l ，l a s t l y , d e s i g n st h ef r a m e w o r ko fi m p l e m e n t i n gt h i sm o d e l ，v a l i d a t e st h e f e a s i b i l i t yo ft h i sm o d e lb yap r o t o t y p es y s t e mw h i c ha p p l i e dt h i sm o d e l k e yw o r d s ：a c c e s sc o n t r o l m u l t i l e v e ls e c u r i t y i n f o r m a t i o n s y s t e m i n f o r m a t i o nr e s o u r c em e t a d a t a 第i i 页 国防科学技术大学研究生院硕十学位论文 表目录 表2 1 根据功能划分的六种元数据类型1 6 表3 1 访问矩阵示例2 2 表4 1 描述情报的部分元数据及其对应的敏感程度和范围的示例3 6 表4 2 部分用户的被信任程度、能够访问的情报元数据的范围和角色的示例3 7 表5 1 情报集成管理原型系统中描述情报的元数据项5 7 表5 2 系统中其它与访问控制相关的数据库表及其说明5 8 表5 2 续5 9 表5 3 采用多级安全元数据访问控制与基于角色的访问控制的决策时间对比6 6 表5 4 多级安全元数据访问控制与基于角色的访问控制应用的实验结果对比6 7 第1 i i 页 国防科学技术大学研究生院硕十学位论文 图 图 图 图 1 1 2 3 图3 4 图3 5 图3 6 图3 7 图3 8 图3 9 图4 1 图4 2 图4 3 图4 4 图5 1 图5 2 图5 3 图5 4 图5 5 图5 6 图5 7 图5 8 图5 9 图目录 访问控制功能示意图3 b l p 模型的简单安全规则2 6 b l p 模型的星规则2 6 强制访问控制中保证机密性的信息流向2 6 r b a c 的基本思想2 7 r b a c 9 6 模型的四个概念模型之间的关系2 7 r b a c 9 6 模型2 8 n i s tr b a c 参考模型。2 9 a b c 模型的组成3 1 决策的连续性和属性的可变性3 2 信息资源对象抽象映射成元数据记录的示意图3 4 多级安全元数据访问控制所涉及的三个方面之间的关系4 1 多级安全元数据访问控制策略的作用示意图4 4 多级安全元数据访问控制模型的整体结构4 4 多级安全元数据访问控制的实现框架5 4 安全级别管理中的新增安全级别操作6 0 级别分配管理中的新增级别分配操作6 0 系统的用户认证界面6 1 系统访问控制规则实现模块的处理流程图6 2 系统对访问请求进行访问控制的处理流程图6 3 用户查询相应情报记录的示例6 4 用户修编相应情报元数据项的示例6 4 审计中的日志查询、查看和导出操作6 5 第页 独创性声明 本人声明所呈交的学位论文是我本人在导师指导下进行的研究工作及取得 的研究成果。尽我所知，除了文中特别加以标注和致谢的地方外，论文中不包含 其他人已经发表和撰写过的研究成果，也不包含为获得国防科学技术大学或其它 教育机构的学位或证书而使用过的材料。与我一同工作的同志对本研究所做的任 何贡献均已在论文中作了明确的说明并表示谢意。 学位论文题目：垒盈塞全丞数量边闽控剑筮喳塑搓型盟窒 学位论文作者签名：孽丛l 日期： 椰年 i 二月争日 学位论文版权使用授权书 本人完全了解国防科学技术大学有关保留、使用学位论文的规定。本人授权 国防科学技术大学可以保留并向国家有关部门或机构送交论文的复印件和电子 文档，允许论文被查阅和借阅；可以将学位论文的全部或部分内容编入有关数据 库进行检索，可以采用影印、缩印或扫描等复制手段保存、汇编学位论文。 ( 保密学位论文在解密后适用本授权书。) 学位论文题目： 垒熟塞全丞熬堡边间控剑筮坠塑搓型塑窒 学位论文作者签名： 垂4 垒 日期： 瑚年，三月分日 作者指导教师签名：杰杠 日期： 沙9 多 年f 2 ， 月铲 日 国防科学技术大学研究生院硕士学位论文 第一章绪论 1 1 研究背景和问题 近年来，随着计算机技术、信息技术和网络技术的飞速发展，随着信息资源 的日益丰富和信息化进程的不断推进，信息化时代已经来临，人们的生产生活方 式因此而产生了巨大而深远的影响，但与此同时，一些相关的问题也在不断涌现。 首先，信息资源的获取途径越来越多，信息资源的形式和格式也越来越多样化， 信息资源呈现出多样性、复杂性、多维性、多媒体性等特性，如何才能有效、全 面地描述信息资源；其次，人们也深受“信息爆炸 所带来的种种问题的困扰和 折磨，一方面，信息以指数模式激增，导致信息资源数量r 益庞大，另一方面， 对于人们来说，查找、获得和利用自己所需要的信息资源却成为一件越来越困难 的事情，如何才能快速方便地查找、获取和利用信息资源。为了解决这些问题， 人们一直都在做着多方面的研究工作，元数据就是这方面研究的成果之一。 迄今为止，元数据尚没有一个统一的定义，使用最为普遍的一个定义是：“元 数据是关于数据的数据 。可以使用元数据描述信息资源的内容以及其它各方面 的属性信息，从而能够有效、全面地描述信息资源，另外，通过元数据对信息资 源的描述和组织，能够提供对信息资源的有序管理，从而最终有助于实现对信息 资源快速方便的查找、获取和利用。作为描述、组织和管理信息资源的重要方式 和手段，元数据在各种信息系统中都有着极为广泛的应用。 元数据和被描述的信息资源具有类似的行为和特征，将元数据和信息资源截 然分开是不合适的，在某些情况下的元数据，在另一些情况下就成为信息资源， 有些元数据可能还拥有关于它的元数据，这种关系可以回溯到任意深度。例如， 一段对某个视频内容的描述文字是关于这个视频的元数据，在很多情况下，它也 可以作为一种独立的信息资源来看待，就像其它信息资源对象一样，用户根据它 可以知道视频的内容。 随着元数据的研究工作不断向前推进，元数据的外延和内涵不断扩展，它不 再仅仅只是描述和表示信息资源的工具，元数据本身也是一种信息资源，元数据 比较详尽地描述了信息资源的内容和其它特征，所以，如果用元数据描述信息资 源各个方面的信息，那么，信息资源就可以完全抽象映射为元数据，从某种意义 上说，任何信息资源都可以转换成相应的元数据，元数据可以替代信息资源本身。 在信息系统中，有些元数据除了描述和表示信息资源外，还是提供给用户访 问的信息资源，如果将信息资源完全抽象映射为元数据，那么对信息资源的访问 就可以通过对描述信息资源的元数据的访问来实现，也就是说，对信息资源对象 第1 页 国防科学技术大学研究生院硕十学位论文 的访问可以通过对描述信息资源对象的元数据的访问来实现，对信息资源对象属 性的访问可以通过对描述信息资源对象属性的元数据的访问来实现。在这里需要 说明一下，本文所说的信息资源对象包括信息资源对象的内容以及其它各个方面 属性的信息，而不是通常意义上只指信息资源对象的内容，例如，通常我们所说 的一篇文献只是指该篇文献的内容，本文还包括该篇文献的其它属性信息如文件 格式、作者、摘要、描述等。同样的，本文所说的对信息资源对象的访问是指对 信息资源对象的内容以及其它各个方面属性信息的访问。如果用元数据对信息资 源对象进行描述，那么，通常所说的对信息资源对象的访问只是对描述信息资源 对象的内容的元数据的访问，而本文还包括对描述信息资源对象的其它属性的元 数据的访问。 由于种种原因，针对信息系统的入侵行为以及对信息系统的非法操作行为时 有发生，使得对信息系统中信息资源进行保护的需求尤其是对敏感信息资源进行 保护的需求越来越迫切，敏感信息资源是指需要保密的信息资源，使用元数据对 信息系统的信息资源进行描述后，外界可以通过对元数据的访问获得元数据所描 述的信息资源的信息，所以，元数据和其它信息资源一样，也时刻都面临着非法 使用、窃取、泄露、篡改等非法操作的威胁。 计算机通信网络中，主要的安全保护措施被称作安全服务。国际标准化组织 ( i s o ) 在网络安全体系的设计标准( i s 0 7 4 9 8 2 ) 【l 】中定义了五种安全服务，即： 身份认证服务( a u t h e n t i c a t i o n ) 、访问控制服务( a c c e s sc o n t r 0 1 ) 、数据机密性 服务( d a t ac o n f i d e n t i a l i t y ) 、数据完整性服务( d a t ai n t e g r i t y ) 和不可否认服务 ( n o n r e p u d i a t i o n ) 。其中，访问控制是网络信息安全服务中的一个重要组成部分， 并且被认为是当今应用最基本和最广泛的安全服务。 一般而言，访问控制是针对越权使用资源的防御措施。只要人们有需要保护 的资产，就存在访问控制。从远古时代开始，人们就用护卫、门、锁等限制个人 对贵重物品的访问。几乎所有的现有系统，从计算机操作系统、数据库系统、信 息系统到一栋大楼，都需要访问控制的保护。 在今天的信息技术时代，一个重要的安全需求就是保护计算机系统的信息资 源。在计算机系统中，访问控制是指通过某种途径显式地准许或限制访问能力及 范围的一种方法【2 1 。访问控制管理所有对系统资源的访问请求，根据安全策略的要 求，对每一个系统资源访问请求做出是否许可的判断，能够有效地防止非法用户 访问系统资源以及合法用户非法使用系统资源【3 】。访问控制的功能就是保护系统资 源【4 】，如图1 1 所示。如果要保证信息系统中信息资源，尤其是敏感信息资源的安 全，使它们得到安全、合理地使用，防止非法使用、泄露和篡改等非法行为的产 生，就必须使用访问控制对其进行保护。 第2 页 国防科学技术大学研究生院硕士学位论文 图1 i 访问控制功能示意图 正如前文所分析的，在信息系统中，使用元数据对信息资源进行描述后，对 信息资源的访问就可以由对描述信息资源的元数据的访问来实现，所以对信息系 统中信息资源的访问控制也就可以由对描述信息资源的元数据的访问控制来实 现。 大多数信息系统都包含敏感信息资源而且信息资源所具有的敏感程度不相 同，主要表现在不同信息资源对象的敏感程度不同、同一信息资源对象不同属性 信息的敏感程度不同、不同信息资源对象相同属性信息的敏感程度也不相同，所 以，描述信息资源的元数据的敏感程度也不相同；除此以外，不同信息资源对象 所包含信息涉及的范围不同，所以，描述不同信息资源对象的元数据所包含信息 涉及的范围也不相同。与此相对应的是，大多数信息系统的用户被信任的程度和 所能访问的信息的范围也不相同，首先，根据被信任的程度的不同，用户能够访 问的元数据的敏感程度也不同，被信任程度高的用户可以访问敏感程度高的元数 据，被信任程度低的用户则只能访问敏感程度低的元数据：其次，不同的用户所 能访问的信息的范围也不相同，所有的用户只能访问对应范围的信息资源。所以， 在这类信息系统中，就需要根据用户被信任的程度和所能访问的信息的范围以及 描述信息资源的元数据的敏感程度和所包含的信息涉及的范围来决定是否允许用 户对描述信息资源的元数据的访问请求。 下面以一个情报信息系统为例进行详细说明。该情报信息系统中有各种类型 的情报，每份情报具有标题、来源、地域和内容等属性信息，系统使用元数据描 述情报信息和情报的各项属性信息。系统中不同的情报具有不同的敏感程度，如 果将敏感级别由高到低划分为“绝密级 、“机密级”、“秘密级”和“公开级 ， 则各份情报分别具有相应的敏感级别，另外，情报的属性信息的敏感程度也不相 同，例如，有的情报的来源信息是“绝密级 、内容信息是“机密级”，而有的 情报的来源信息是“机密级 、内容信息是“绝密级。系统中所有的情报根据 第3 页 国防科学技术大学研究生院硕十学位论文 其所属国家或地区进行划分，如“中国台湾省”、“日本”、“美国”等，则情 报的分类就可以看作是其包含信息所涉及的范围，如一份日本情报的范围为“日 本 、一份美国情报的范围为“美国。系统的一部分用户负责对系统的情报进 行修编，这些情报修编人员被信任的程度不同，根据被信任的程度由高到低将他 们进行划分，例如可以划分为高级用户级和普通用户级两个级别，不同级别的用 户能够修编的情报及情报属性信息的敏感程度不同，规定高级用户级的情报修编 人员可以修编所有敏感级别的情报信息或情报属性信息，而普通用户级的情报修 编人员只能修编敏感级别为“秘密级 、“公开级 的情报信息或情报属性信息， 另外，不同的情报修编人员由于其专业和分工的不同，其负责修编的情报信息也 不同，例如某个普通用户级的情报修编人员只负责对日本情报进行修编，即该情 报修编人员所能访问的情报信息的范围为“日本”，那么，他只能修编敏感级别 为“秘密级 或“公开级、范围是“日本”的情报。当情报修编人员向系统提 交对情报的修编请求时，系统需要根据情报修编人员的被信任程度和范围以及情 报信息的敏感级别和范围对访问请求做出是否许可的判断，只有满足规定的条件 时，才允许访问请求，否则就拒绝访问请求。 在访问控制问题中，很重要的一类问题就是多级安全( m u l t i l e v e ls e c u r i t y ，简 称m l s ) 问题，指的是用户和受保护的信息资源都被分配安全标记( s e c u r i t y l e v e l ) ，也称为安全级别，在执行访问控制时，根据用户和受保护的信息资源的 安全标记来决定是否允许用户的访问请求【5 6 】。由上面的分析可以看出，在包含敏 感信息资源而且信息资源敏感程度不同的信息系统中，如果将用户的被信任程度 和所能访问的信息的范围看作是用户的安全标记，将描述信息资源的元数据的敏 感程度和包含信息所涉及的范围看作是元数据的安全标记，那么这类信息系统中 的元数据访问控制问题就是多级安全问题。 自从访问控制问题提出之后，人们一直致力于访问控制问题的研究，并且已 经取得了一定的成果，提出了多种访问控制模型，其中，在各种信息系统中得到 广泛应用的一种访问控制模型是基于角色的访问控制，它在访问控制中引入角色， 大大降低了管理的复杂程度，它还是一种比较通用的访问控制模型，能够解决多 种访问控制问题。目前，在上文所说的信息系统中的元数据的访问控制问题也都 是采用基于角色的访问控制来解决，对于上文的情报信息系统，如果设置一个角 色为“修编日本情报的普通用户级人员”，将该角色的权限设置为对相应情报信 息的修编操作，再通过用户分配使相应的用户拥有该角色，当用户向系统提交访 问请求时，系统根据其所具有的角色查找其是否具有对相应情报信息进行修编操 作的权限，只有具有相应的权限才能允许该用户的访问请求，否则拒绝该用户的 访问请求。通过这种方式，运用基于角色的访问控制可以解决信息系统中元数据 第4 页 国防科学技术大学研究生院硕士学位论文 访问控制的多级安全问题，但是却存在一些问题和不足之处，首先，基于角色的 访问控制本身没有将用户根据其被信任程度和所能访问的信息的范围进行划分， 也没有将信息资源根据其敏感程度和包含信息涉及的范围进行划分，不能够满足 这类信息系统中对用户和信息资源进行直接管理的需求；其次，运用基于角色的 访问控制解决该类信息系统中元数据的访问控制问题，主要是通过设置不同的角 色来实现，这样一来将增加角色的数量，从而加大了系统管理的复杂程度，与基 于角色的访问控制的初衷相违背，例如在上例中，同样是情报修编角色，如果按 用户的被信任程度和修编的情报的国家或地区设置角色，用户的被信任程度分为2 个级别，国家或地区共有n 个，则需要设置2 n 个不同的情报修编角色，如果 还需要进一步细分，则角色的数量将大大增加，管理的复杂程度也将随之增加。 为了克服基于角色的访问控制在解决该类信息系统中元数据的访问控制问题 中所表现出的不足，也为了能够更加方便简单地实现信息系统中元数据的访问控 制，本文将在基于角色的访问控制模型的基础上进行改进并设计一种访问控制模 型多级安全元数据访问控制模型，此模型可以解决包含敏感信息资源并且信 息资源敏感程度不同的信息系统中的元数据的访问控制问题，相对于运用基于角 色的访问控制解决该问题更加简单方便，该模型通过对元数据的访问控制实现对 敏感信息资源的访问控制，有效地防止非法用户访问信息资源和合法用户非法访 问信息资源，达到保护该类信息系统中信息资源的目的。 1 2 国内外研究现状和发展趋势 1 2 1 国内外研究现状 元数据的概念起源于计算机科学，早在二十世纪六十年代，为了有效描述数 据集，j a c km a y e r s 就定义了m e t a d a t a 一词的概念【7 】，该词的中文译名有多种，元 数据是其当前在中国大陆比较通用的译名。元数据的概念虽然很早就己经提出， 但直至二十世纪九十年代中期，它的应用主要还是集中在地理信息界对地理信息 数据的管理与互操作以及一些一般性的数据管理、系统设计和维护等行业领域。 从二十世纪九十年代中期开始，图书情报领域引入元数据概念并进行大规模的研 究和应用工作，从那时起，元数据开始得到广泛的研究和应用峭j 。 国外对元数据的研究和开发工作起步较早，目前的研究工作几乎涉及了元数 据相关的各个方面，无论是在元数据的相关理论研究工作还是在实际应用上都取 得了许多可以借鉴的成果。迄今为止，已经形成了描述对象种类繁多、应用领域 广阔的多种元数据标准，其中已有许多元数据标准被广泛采用。综合看来，国外 关于元数据的研究大致可以分为五类【9 】：第一类是关于确定什么样的信息集是需要 第5 页 国防科学技术大学研究生院硕士学位论文 元数据来组织的，主要是确定信息资源的类型和元数据的目的；第二类研究是关 于元数据的产品，主要探讨元数据自动生成系统，以代替人工标引；第三类是研 究元数据如何被创建、读取和使用，这涉及如何利用元数据在分布式网络例如在 因特网上进行资源定位，以及元数据的语义与检索问题；第四类研究是关于元数 据的标准化问题，主要是探讨如何使各种元数据规范正式化和标准化，包括元数 据的术语、规则以及扩展；第五类研究是关于元数据的互操作性问题，研究元数 据的互操作性是为了使不同标准下产生元数据能相互转换，扩大数据共享范围。 与国外相比，我国的元数据研究与应用工作开展得较晚，尚处于起步阶段。 国内关于元数据的研究主要分为两类，一类是纯理论的研究，包括对元数据的概 要性介绍和少数国外元数据方案的介绍；另一类是应用性研究，包括元数据在数 据库、数字图书馆、地理信息系统等方面的应用研究。总体来看，我国对于元数 据的研究，无论是在理论方面还是实践方面的探讨都还比较缺乏，尚没有形成属 于自己的元数据方案，与国际上其它研究单位和人员的交流还不够充分，对国际 上各种大型元数据研讨会的参与也不够多。但是，令人安慰的是，目前我国在该 领域的研究正逐渐掀起热潮，已有不少单位和个人对元数据进行研究并已取得初 步的成果，以后可望进一步取得丰硕的成果。 访问控制技术起源于自二十世纪六十年代末、七十年代初，当时是为了满足 管理大型主机系统上共享数据授权访问的需要，但随着计算机技术和应用的发展， 特别是网络应用的发展，这一技术的思想和方法迅速应用于计算机系统的各个领 域，尤其是在美国国防部的可信计算机系统评估标准( t r u s t e dc o m p 咖s y s t e m e v a l u a t i o nc d t c r i a ，简称t c s e c ) 问世以后，访问控制得到了广泛的研究，因为 该标准把访问控制作为评价计算机系统安全的主要指标【5 】。在三十多年的发展过程 中，先后出现了多种重要的访问控制技术，如自主访问控制( d i s c r e t i o n a r y a c c e s s c o n t r o l ，简称d a c ) 、强制访问控制( m a n d a t o r y a c c e s sc o n t r o l ，简称m a c ) 、 基于角色的访问控制( r o l eb a s e da c c e s sc o n t r o l ，简称r b a c ) 和使用控制( u s a g e c o n t r o l ，简称u c o n ) 等，它们的基本目标都是防止非法用户进入系统和合法用 户对系统资源的非法使用。访问控制技术作为实现安全系统的核心技术，是系统 安全的一个解决方案，是保证信息机密性和完整性的关键技术，对访问控制的研 究已成为计算机科学的研究热点之一。 对访问控制模型的研究，从二十世纪六十、七十年代至今，大致经历了以下5 个阶段： ( 1 ) 1 9 6 9 年，b w l a m p s o n 通过形式化的表示方法运用主体、客体和访问矩 阵的思想第一次对访问控制问题进行了抽象，主体是访问操作中的主动实体，客 体是访问操作中的被动实体，主体对客体进行访问，系统根据访问矩阵使用引用 第6 页 国防科学技术大学研究生院硕士学位论文 监控器来进行访问控制【1 0 , 1 1 】。之后出现了多种应用于大型主机系统中的访问控制 模型，其中较典型的有d a v i db e l l 和l e nl a p a d u l a 于1 9 7 3 年提出并于1 9 7 6 年完 善的b e l l l a p a d u l a ( 简称b l p ) 模型【1 2 1 4 】以及h a r r i s o nm a 、r u z z ow l 、u l l m a nj d 于1 9 7 6 年提出的h r u 模型 i s 】，其中影响较大的是b l p 模型。b l p 模型是实现操 作系统中多级安全策略的经典模型，其主要目的是解决军方操作系统中的多级安 全问题。多级安全的思想最初起源于二十世纪六十年代美国国防部对保护计算机 中的机密性信息的迫切要求，因此多级安全策略又称为军事安全策略 1 6 , 1 7 1 ，在多 级安全问题中，主体和客体都被分配不同安全标记，b l p 模型能够防止操作系统 中高级别的信息泄露给低级别的主体it s , 1 9 。多级安全策略目前仍然是各种安全操 作系统中应用最广泛的一类安全策略【2 们。 ( 2 ) 美国国防部在1 9 8 5 年公布的“可信计算机系统评估标准( t c s e c ) 中 明确提出了访问控制在计算机安全系统中的重要作用，并指出一般的访问控制机 制有两种：自主访问控制和强制访问控制。自主访问控制【2 1 2 2 1 最早出现在二十世 纪七十年代初期的分时系统中，基本思想伴随着访问矩阵被提出，它允许用户自 主地将访问权限授予其他用户，是多用户环境下最常用的一种访问控制技术，在 目前流行的u n i x 类操作系统中被普遍采用。强制访问控s u t s , 1 3 a 3 2 4 】最早出现在由 a t & t 和m i t 联合开发的安全操作系统m u l t i c s 系统中，在t e s e c 中被用作为b 级安全系统的主要评价标准之一，在强制访问控制中，由授权机构为主体和客体 分别定义固定的访问属性，用户无权进行修改，通过对主客体的访问属性进行比 较来判断用户访问的合法性，强制访问控制适用于对系统安全要求较高的军用操 作系统中。现在，习惯上将自主访问控制和强制访问控制称为传统的访问控制模 型，它们仍然被应用在很多领域。 ( 3 ) 1 9 9 2 年，d a v i df c r r a i o l o 和鼬c kk u h n 率先提出基于角色的访问控制模型 ( r b a c ) 框架，并给出了r b a c 模型的一种形式化定义【2 5 】。该模型第一次引入 了角色的概念并给出其基本语义，指出r b a c 模型实现了最小权限原则( 1 e a s t p d v i l e g e ) 和职责分离原则( s e p a r a t i o no f d u t y ) ，该模型给出了一种集中式管理的 r b a c 管理方案。1 9 9 5 年他们以一种更直观的方式对该模型进行了描述【2 6 】。1 9 9 6 年，r a v is a n d h u 等人提出了著名的r b a c 9 6 模型1 2 7 j ，将传统的r b a c 模型根据 不同需要拆分成四种嵌套的模型并给出形式化定义，随后又提出了a r b a c 9 7 t 2 引、 a r b a c 9 9 1 2 9 】模型。2 0 0 1 年，d a v i df e r r a i o l o 、r a v is a n d h u 等人提出了r b a c 建议 标准 4 1 ，此建议标准综合了该领域众多研究者的共识，包括2 个主要部分：r b a c 参考模型( r b a cr e f e r e n c em o d e l ) 和r b a c 功能规范( r b a cf u n c t i o n a l s p e c i f i c a t i o n ) 。r b a c 参考模型定义了r b a c 的通用术语和模型构件，并且界定 了标准所讨论的r b a c 领域范围；r b a c 功能规范定义了r b a c 的管理操作。2 0 0 4 第7 页 国防科学技术大学研究生院硕十学位论文 年该标准成为美国幽家标准与技术研究院( t h en a t i o n a li n s t i t u t eo fs t a n d a r d sa n d t e c h n o l o g y ，简称n i s t ) 标准。 ( 4 ) 随着访问控制研究的深入，对访问控制模型的研究扩展到更多的领域，比 较有代表性的有：应用于工作流系统或分布式系统中的基于任务的授权控制模型 ( t a s k b a s e da u t h e n t i c a t i o nc o n t r o l ，简称t b a c ) 1 3 0 】、基于任务和角色的访问控 制模型( t a s k r o l e - b a s e da c c e s sc o n t r o l ，简称t r b a c ) 【3 。t b a c 采用“面向 任务的观点，从任务( 活动) 的角度来建立安全模型和实现安全机制，从工作 流中的任务角度建模，依据任务和任务状态的不同，对权限进行动态管理，实现 对协同信息的多种访问控制。t r b a c 模型基于t b a c 模型和r b a c 模型，将角 色的概念引入到t b a c 模型中，模型中用户的权限通过角色和任务来进行分配和 管理。 ( 5 ) 下一代访问控制模型的提出。2 0 0 3 年，j p a r k 和r a v is a n d h u 提出了一种 新的访问控制模型，称作使用控制模型( u c o n ) 1 3 2 , 3 3 】，也被称为a b c ( a u t o r i z a t i o n 、 o b l i g a t i o n 、c o n d i t i o n ) 模型【3 4 】。u c o n 对d a c 、m a c 和r b a c 等模型进行了扩 展，定义了授权( a u t h o r i z a t i o n ) 、职责( o b l i g a t i o n ) 和条件( c o n d i t i o n ) 三个决 策因素。u c o n 模型不仅包含了d a c 、m a c 和r b a c ，还包含了数字版权管理、 信任管理等，它用系统的方式提供了一个保护数字资源的统一标准的框架，被称 为下一代访问控制模型。 目前，国外正在进行访问控制相关问题研究的机构和组织主要有美国国家标 准与技术研究院( n i s t ) 、g e o r g em a s o n 大学的信息安全技术实验室( l a b o r a t o r y o fi n f o r m a t i o ns e c u r i t yt e c h n o l o g y ，简称l i s t ) 等。当前国外对访问控制的研究主 要集中在对现有访问控制模型的完善、改进和应用以及对下一代访问控制模型的 探索研究。例如，文献 3 5 】提出了下一代访问控制模型包括下一代r b a c 应该遵 循的五个基本法则并将其抽象为a s c a a ，包括提取( a b s t r a c t i o n ) 、分离 ( s e p a r a t i o n ) 、牵制政策( c o n t a i n m e n t ) 、自动操作( a u t o m a t i o n ) 和可说明性 ( a c c o u n t a b i l i t y ) ，其中，提取和分离法则从r b a c 9 6 模型而来，如提取权限和 管理功能分离，后三个法则是新引入的，牵制政策法则包括最小权限、职责分离 和其它约束，自动操作法则包括自动获取权限和自动撤销权限等，可说明性则法 则是为了应对安全信息共享所面临的内部威胁；文献【3 6 对u c o n 模型进行了详 细的形式化描述：文献 3 7 】针对分布式环境中对可信使用控制的需求，在u c o n 的基础上，提出了一种在分布式环境中实现强制安全的框架；文献 3 8 】通过持续使 用会话扩展了基本u c o n 模型，扩展了u c o n 中义务的表示，并提出了一种通用 的、持续增强的可配置的使用控制引擎( u s a g ec o n t r o le n g i n e ) ，能够满足灵活的 安全需求。 第8 页 国防科学技术大学研究生院硕十学位论文 虽然国内对访问控制的研究起步较国外晚，但是很多高校和研究机构已经在 进行相关课题的研究，主要集中在访问控制模型的研究、改进和应用方面，并取 得了一定的成果。例如，华中科技大学的马建平、胡和平等人研究了基于角色的 访问控制的安全策略和模型 3 9 , 4 0 ，洪帆、邓集波等人研究了基于任务的访问控制 和授权模型【4 1 4 2 】，沈海波等人提出利用基于属性的访问控$ 1 ( a t t r i b u t e - b a s e da c c e s s c o n t r o l ，简称a b a c ) 来处理w e b 服务的访问控$ , j l a - j 题【4 3 ，并在此基础之上提出 利用基于策略的访问控制( p o l i c