（计算机应用技术专业论文）面向多域合作的安全策略分析与复合研究.pdf

山东大学硕士学位论文 摘要 基于w e b 的资源共享和系统互操作是组织间进行合作的重要形式，确保合作 组织信息系统的安全是保证共享资源安全性的重要方面。访问控制是确保信息系 统安全的关键技术，通过约束访问主体对被访问客体的行为以保护共享信息和资 源。在实际应用中，访问控制依托安全策略来实施。安全策略是组织根据安全需 求和业务目标制定的一系列涉及系统访问的许可或禁止的规定。在面向多域合作 的应用中，如何有效地分析和整合不同组织的安全策略，在确保组织信息系统安 全的同时，提高协同工作的效率，是一个至关重要的问题。 安全策略相似度是不同组织的安全策略，在访问主体、被访问客体或访问行 为等安全约束上的相似程度，它比较的是不同安全策略之间权限分配的共同点和 不同点。将策略相似度分析作为策略比较的前期步骤，能过滤掉相似度低的安全 策略，返回高相似度值的策略集合，以便于细粒度的策略分析或提高安全策略复 合的效率。在多域合作环境中，不同组织的资源受各自访问控制系统的保护，这 就要求各组织在保护本地资源的同时，遵守其它组织的安全约束。策略复合的目 的，就是有机地集成不同组织的安全策略，从而构建一个安全互信的协同工作环 境，提高组织之间权限分配的效率。在策略复合领域中，合作策略是不同安全策 略中，相应属性的相同属性值构成的共性安全策略。合作策略关注的是策略的属 性复合，表达了合作组织之间共同的安全需求。对合作组织进行安全策略共性特 征的抽取，以形成合作策略，能够保证组织合作的公平性，使合作组织在更大程 度上共享资源，从而提高合作的效率。 在多域合作环境中，每个合作组织隶属于不同的管理机构，独立管理自己的 资源和访问控制，并依据本地的安全需求和业务目标来定义安全策略，从而导致 了安全策略的异构性。基于w e b 的多域合作环境通常使用x a c m l 策略语言表 示异构的访问控制策略。x a c m l 是国际标准化组织制定的基于w e b 的安全策 略描述语言标准之一，提供了完整的访问控制和授权系统标准，被广泛应用于 w e b 环境中的安全策略表达，本文所做工作都基于x a c m l 语言描述。当前对 策略相似度的研究主要基于相同的概念层次结构，并使用相同的概念进行策略表 达，没有考虑概念层次结构的异构性，不能处理更为普遍的策略异构情况。在策 略复合领域，现有的安全策略复合方法大多关注于决策方案的复合，较少关注策 山东大学硕士学位论文 略属性的复合，没有从合作策略共性特征抽取的角度强调合作组织之间的公平 性，提高组织合作的效率。针对这两个问题，本文提出了异构安全策略相似度算 法和安全策略共性特征抽取算法。本文主要工作和创新点如下： 在策略相似度分析方面，提出了异构安全策略相似度计算方法。算法首先通 过语义映射技术，判断出不同安全策略中语义异构概念间的语义关系，并基于语 义关系对异构概念层次结构进行结点合并。基于合并后的概念层次结构，通过概 念的语义层次距离和合并前后的语义位置变化来计算安全策略的相似度值。算法 对概念层次结构的合并，不仅能消除概念之间的语义异构，计算更为普遍的异构 安全策略相似度值，而且基于语义层次距离和语义位置的变化计算相似度值更符 合概念之间的语义差异，能够提高计算结果的准确性。在算法实验中，本文选取 不同的概念层次结构和安全策略实例进行相似度计算，从而证明算法在运行效率 上是可行的，在计算效果上能避免当前策略相似度研究中可能出现的相似度值相 同的不准确现象。 在合作策略生成方面，提出了安全策略共性特征抽取算法。算法基于逻辑代 数的形式进行安全策略表达，通过对安全规则的进一步范式分解和概念层次分 解，获得每个属性只有单一属性值的原子规则。安全策略的共性特征依据原子规 则中相应属性的属性值交集进行抽取。对安全规则进行范式分解和概念层次分解 不仅能实现策略的属性复合，确保没有遗漏地抽取出不同安全策略的共同部分， 而且对安全策略进行先分解再抽取的方法能有效提高策略共性特征抽取的效率。 在算法实验中，通过构造不同数量级别的策略属性值和不同规模的概念层次结 构，本文依次分析了安全策略规则个数、规则中属性值个数、数值约束中区域个 数和概念层次结构结点个数对算法运行效率的影响，从而证明算法在运行效率上 是可行的。 关键词：安全策略：访问控制：策略分析；本体；x a c m l 山东大学硕士学位论文 a b s t r a c t r e s o u r c es h a r i n ga n ds y s t e mi n t e r o p e r a t i o nb a s e do nw e bi st h ek e yw a yo f c o o p e r a t i o na m o n go r g a n i z a t i o n s i ti si m p o r t a n tt op r o t e c tc o o p e r a t i v ep a r t n e r s s y s t e mf o ra s s u r i n gt h es h a r i n gr e s o u r c es e c u r i t y a c c e s sc o n t r o li st h ek e yt e c h n o l o g y t o p r o t e c t i n f o r m a t i o ns y s t e mb y r e s t r i c t i n ge v e r yr e q u e s tt o r e s o u r c e s t h e d e v e l o p m e n to fa c c e s sc o n t r o lr e l i e so ns e c u r i t yp o l i c y t h es e c u r i t yp o l i c yi st h e p e r m i t t i n go rd e n y i n gr u l e sa b o u ts y s t e ma c c e s sd e s i g n e db yo r g a n i z a t i o n sa c c o r d i n g t o s e c u r i t yr e q u i r e m e n ta n db u s i n e s st a r g e t i n t h e m u l t i d o m a i nc o o p e r a t i v e a p p l i c a t i o n s ，h o wt oa n a l y z ea n dc o m p o s ed i f f e r e n tp o l i c i e se f f e c t i v e l yt ob a l a n c et h e i n f o r m a t i o ns e c u r i t ya n dt h ee f f i c i e n c yo fc o o p e r a t i o ni sa v e r yi m p o r t a n ti s s u e p o l i c ys i m i l a r i t yi st h ed e g r e eo fs i m i l a r i t ya b o u ts e c u r i t yr e s t r i c t i o ni ns u b j e c t ， r e s o u r c eo ra c t i o nb e l o n g i n gt od i f f e r e n tp o l i c i e s t h es i m i l a r i t yc o m p a r e st h e c o m m o na n dd i f f e r e n tp a r t si nr i g h t sa s s i g n m e n ta m o n gp o l i c i e sa n dp r o v i d e sf u r t h e r a p p r o a c h e ss u c ha sf i n e - g r a i n e dp o l i c ya n a l y s i so rp o l i c yc o m p o s i t i o nb yr e t u r n i n g t h em o s ts i m i l a rp o l i c i e s i nm u l t i - d o m a i ne n v i r o n m e n t ，t h er e s o u t c eb e l o n g i n gt o d i f f e r e n to r g a n i z a t i o n si sc o n t r o l l e db yd i f f e r e n tp o l i c i e s i tr e q u i r e st h eo r g a n i z a t i o n s h o u l dp r o t e c ti t so w nr e s o u r c ea n da l s oc o m p l yw i t ho t h e ra c c e s sc o n t r o ls y s t e m s t h ep u r p o s eo fp o l i c yc o m p o s i t i o ni si n t e g r a t i n gd i f f e r e n tp o l i c i e sf o rb u i l d i n ga m u t u a lt r u s tc o o p e r a t i v ee n v i r o n m e n tt oi m p r o v et h ec o o p e r a t i o ne f f i c i e n c y t h e c o o p e r a t i v ep o l i c yg e n e r a t i n gr e s e a r c hi sak i n do fp o l i c yc o m p o s i t i o na p p r o a c h e s f o c u s i n go nt h ea t t r i b u t e sc o m p o s i t i o n t h ec o o p e r a t i v ep o l i c yi st h ec o m m o np a r t so f c o r r e s p o n d i n g a t t r i b u t e si nd i f f e r e n t p o l i c i e s i te x p r e s s e s t h es a h l e s e c u r i t y r e q u i r e m e n to fc o o p e r a t i v eo r g a n i z a t i o n s e x t r a c t i n gt h ec o m m o nc h a r a c t e r sa m o n g p o l i c i e st og e n e r a t et h ec o o p e r a t i v ep o l i c yc a ng u a r a n t e et h ef a i m e s so fc o o p e r a t i o n ， m a k eag r e a t e rd e g r e eo nr e s o u r c es h a r i n ga n di m p r o v et h ee f f i c i e n c yo fc o o p e r a t i o n i nt h em u l t i - d o m a i nc o o p e r a t i v ee n v i r o n m e n t ，e a c hp a r t n e rb e l o n g st od i f f e r e n t a d m i n i s t r a t o r n e ym a n a g er e s o u r c ea n da c c e s sc o n t r o ls y s t e m si n d e p e n d e n t l y i t m a k e sp o l i c i e sh e t e r o g e n e o u s l y h o w e v e lt h er e c e n tp o l i c ys i m i l a r i t ya n a l y s e sr e l y o nt h es a m ec o n c e p th i e r a r c h ya n dc o n c e p te x p r e s s i o ni nc o m p u t i n g t h e yd o n t 山东大学硕士学位论文 c o n s i d e rt h eh e t e r o g e n e o u sh i e r a r c h i e sa n dc a l ln o tc o m p u t et h eh e t e r o g e n e o u s p o l i c i e ss i m i l a r i t yw h i c hi s m o r ec o m m o ni nw e be n v i r o n m e n t i nt h ep o l i c y c o m p o s i t i o nr e s e a r c hd o m a i n ，t h er e c e n ta p p r o a c h e sm o s t l yf o c u so nt h ed e c i s i o n s c h e m ec o m p o s i t i o nr a t h e rt h e nc o o p e r a t i v ep o l i c yg e n e r a t i n g 1 1 1 e yd o n tc o n s i d e r o nt h ep o l i c yc o m n l o nc h a r a c t e r se x t r a c t i n gs i d et oe m p h a s i z et h ef a i r n e s so f c o o p e r a t i o na n de f f i c i e n c yi m p r o v e m e n t i nt h i sp a p e lw ep r o p o s et w oa l g o r i t h m sb a s e do i lx a c m l p o l i c yl a n g u a g ef o r t h eh e t e r o g e n e o u sp o l i c ys i m i l a r i t ya n a l y s i sa n dc o o p e r a t i v ep o l i c yg e n e r a t i n g t h e x a c m l l a n g u a g ei st h es t a n d a r do fo a s i s f o re x p r e s s i n gs e c u r i t yp o l i c y i tp r o v i d e s c o m p l e t ea c c e s sc o n t r o la n da u t h o r i z a t i o ns y s t e m ss t a n d a r d t h ex a c m l i sw i d e l y u s e dt oe x p r e s ss e c u r i t yp o l i c yi nw e be n v i r o n m e n ta n da l lo fo u ra p p r o a c h e sa r e b a s e do ni t t h em a i nc o n t r i b u t i o n so ft h i sp a p e ra r e ： i nt h er e s e a r c ho fp o l i c ys i m i l a r i t ya n a l y s i s ，w ep r o p o s et h eh e t e r o g e n e o u sp o l i c y s i m i l a r i t yc o m p u t a t i o na l g o r i t h mh a v i n gt w os t e p s t h ef i r s t o n ee x t r a c t sa t t r i b u t e v a l u e si np o l i c i e sa n dm a p st h e mt ot h ec o r r e s p o n d i n gc o n c e p th i e r a r c h y , a n dt h e n m e r g e st h ed i f f e r e n tc o n c e p th i e r a r c h i e si n t oa u n i f o r mo n e i nt h es e c o n dp r o c e s s ，w e c a l c u l a t et h ec h a n g eo fr e l a t i v ep o s i t i o no ne a c hn o d ea n dt h ec h a n g eo fs e m a n t i c d i s t a n c ea m o n gn o d e sa f t e rm e r g i n gt oo b t a i nt h es i m i l a r i t y t h ec o n c e p th i e r a r c h i e s m e r g i n gc a ne l i m i n a t es e m a n t i ch e t e r o g e n e i t ya m o n gc o n c e p t sa n dt h ec a l c u l a t i o n b a s e do nt h ec h a n g eo fr e l a t i v ep o s i t i o no nn o d e sa n ds e m a n t i cd i s t a n c ec a ni m p r o v e t h er e s u l t sa c c u r a c y w ee x p e r i m e n tt h ea l g o r i t h mb ys e l e c t i n gd i f f e r e n tc o n c e p t h i e r a r c h i e sa n dp o l i c yi n s t a n c e s t h er e s u l t ss h o wt h a tt h ea l g o r i t h mi sf e a s i b l ei n e f f i c i e n c ya n dc a na v o i dg e t t i n gt h es a m es i m i l a r i t yw h i c hi si n a p p r o p r i a t ei nr e c e n t p o l i c ys i m i l a r i t yr e s e a r c h i nt h er e s e a r c ho fc o o p e r a t i v ep o l i c yg e n e r a t i n g ，w ep r o p o s et h ep o l i c yc o n m l o n c h a r a c t e r se x t r a c t i n ga l g o r i t h m t h ea l g o r i t h mt r a n s l a t e st h er u l e so fp o l i c yi n t o c o m p o u n db o o l e a ne x p r e s s i o na tf i r s t ，a n dt h e nm a k e sp a r a d i g ml o g i ct r a n s f o r m a t i o n f o rr u l e sa n dd e c o m p o s e st h e mb a s e do nc o n c e p th i e r a r c h y t h er e s u l to f d e c o m p o s i t i o ni sg e n e r a t i n ga t o mr u l e si nw h i c he a c ha t t r i b u t eh a so n l yo n ev a l u e 山东大学硕士学位论文 r u l e s e x t r a c t i n g a f t e r d e c o m p o s i t i o n c a l l i m p r o v e t h e e f f i c i e n c y a n dt h e d e c o m p o s i t i o nr e l y i n go nc o n c e p th i e r a r c h y c a na v o i d o m i t t i n ga n yc o m m o n c h a r a c t e rb e t w e e np o l i c i e s w ea l s oe x p e r i m e n tt h ea l g o r i t h mb y c o n s t r u c t i n g d i f f e r e n ts c a l ep o l i c i e sa n dh i e r a r c h i e st oa n a l y z et h ee f f i c i e n c yo fa l g o r i t h mw i t ht h e n u m b e ro fr u l e si ns e c u r i t yp o l i c y , o fa t t r i b u t ev a l u e si nr u l e s ，o fr e g i o n si nn u m e r i c a t t r i b u t e sa n do fn o d e si nc o n c e p th i e r a r c h y t h er e s u l t ss h o wt h a tt h ea l g o r i t h mi s f e a s i b l ei ne f f i c i e n c y k e yw o r d s ：s e c u r i t yp o l i c y ；a c c e s sc o n t r o l ；p o l i c ya n a l y s i s ；o n t o l o g y ；x a c m l v 原创性声明和关于论文使用授权的声明 原创性声明 本人郑重声明：所呈交的学位论文，是本人在导师的指导 下，独立进行研究所取得的成果。除文中已经注明引用的内容 外，本论文不包含任何其他个人或集体已经发表或撰写过的科 研成果。对本文的研究做出重要贡献的个人和集体，均已在文 中以明确方式标明。本声明的法律责任由本人承担。 论文作者签名：- _ 隧日期：型 关于学位论文使用授权的声明 本人完全了解山东大学有关保留、使用学位论文的规定， 同意学校保留或向国家有关部门或机构送交论文的复印件和电 子版，允许论文被查阅和借阅；本人授权山东大学可以将本学 位论文的全部或部分内容编入有关数据库进行检索，可以采用 影印、缩印或其他复制手段保存论文和汇编本学位论文。 ( 保密论文在解密后应遵守此规定) 论文作者签名：坦导师签名：日期：业 山东大学硕士学位论文 1 1 研究背景 第一章绪论 基于w e b 的资源共享和系统互操作是组织间进行合作的重要形式，组织间 的交互与合作，需要进行大量的信息共享和资源互访。但是，随着计算机犯罪的 增加，信息安全的形式也日益严峻，确保合作组织信息系统的安全是保证信息共 享和资源互访安全性的重要方面n 1 1 2 1 3 】【4 1 。访问控制是确保信息系统安全的关键 技术【5 】，通过约束访问主体对被访问客体的访问行为来保护共享信息和资源，是 确保信息系统安全的重要手段1 6 7 1 1 引。访问控制的目的是限制系统用户所能进行 的操作【9 】。在实际应用中，访问控制是依托安全策略来实施的。安全策略是组织 根据安全需求和业务目标制定的一系列涉及系统访问请求的许可或拒绝的规定， 是一组约束规则的集合。在面向多域合作的应用中，如何有效地分析不同组织的 安全策略，比较不同策略在权限分配上的共同点和不同点，有机地整合满足本地 安全需求的访问控制策略，构建一个安全互信的协同工作环境，从而在确保组织 信息系统安全的同时，提高协同工作的效率，是一个至关重要的问题。 策略比较通过判断不同组织安全策略在主体、客体、行为或约束上的异同点， 来确认不同安全策略在安全需求上的相似性，从而进行基于安全需求和约束的访 问控制授权指派。安全策略之间的相似程度反映了组织之间安全需求的相似程 度，组织合作时可依据策略比较的结果进行不同程度的权限分配。比如，组织间 在相互提供共享资源时，会比较需要访问资源的其它组织的安全策略，并只会响 应同自己安全策略相似度高的组织的访问需求。在更复杂的应用环境中，合作者 需要获得的服务可能由不同的共享资源组成，每个资源都受不同访问控制策略的 保护。在获取服务时，合作者会被要求同拥有资源的各组织进行安全策略的比较， 为了避免因与某些组织安全策略差异较大而无法获取该资源，从而导致整个服务 的访问失败，合作者通常会倾向于访问安全策略比较相似的资源组成的服务，以 提高访问成功的几率。 针对安全策略比较的研究，目前主要有逻辑推理、模式检测和相似度计算三 种。逻辑推理是利用布尔表达和逻辑代数对策略中的规则进行布尔分析，模式检 测通过模型的构建、规范、实现和检验来对规则进行可满足判断，这两种方法的 山东大学硕士学位论文 计算量较大，尤其在处理大范围异构分布式环境和时间约束上，计算的时间成本 是难以接受的。相对于这两种方法，相似度计算是一种效率较高的策略比较方式。 它通过将策略中的规则进行抽象和分解，对分解出的规则的各个属性，进行属性 值之间相似程度的判断。策略相似度计算可以作为安全策略逻辑推理和比较的过 滤阶段，在进行细粒度策略分析之前过滤掉相似度值低的安全策略以提高效率， 同时，相似度代表了不同安全策略之间授权约束的异同点，为策略复合提供了有 效的依据【1 1 1 。 策略复合是将不同组织的安全策略按照一定的分析方法进行集成，从而实现 安全策略的相互理解，有效地平衡多域合作环境中协同工作和系统安全之间的矛 盾，构建一个安全互信的整体安全框架的安全策略分析方法。在多域环境中，每 个合作组织都独立管理自己的共享资源并定义其安全约束。安全策略复合的目 的，就是使不同组织的安全策略，在保护本地资源的同时，遵守其他系统的安全 约束，从而将各个独立的访问控制策略集成为一个整体安全策略，实现异构安全 策略约束下的资源共享和权限分配。在w e b 多域环境中，基于平等合作的需要， 不同组织在访问控制授权上存在共同点，在访问主体、被访问客体、访问行为或 访问约束上，存在相同的安全需求，因此，不同组织的安全策略在具有异构性的 同时，存在着共同特征。组织合作时，可以将不同安全策略中的共性特征进行抽 取，提取出其中相同的属性和属性值，形成共性合作策略。合作策略是不同安全 策略中，相应属性的相同属性值构成的共性安全策略。合作策略关注的是策略的 属性复合，表达了合作组织之间共同的安全需求。在合作组织各自的安全策略中， 对于主体属性，可能存在相同的资源请求者；对于行为属性，可能存在相同的权 限要求；对于约束属性，也可能存在相同的约束条件。这些相同的属性值都能作 为共性抽取出来形成一个新的安全策略。通过复合不同安全策略的共性特征以生 成合作策略，更多的是强调组织交互时的公平性原则，例如，两组织交互时，如 果组织a 向组织b 开放了其数据库资源，那么它必然也要求组织b 对等地向其 开放数据库资源，这个时候可以将数据库中的资源提取出来作为共同安全规则中 的资源属性，供两个组织在交互中使用，而如果其中一个组织拒绝开放其数据库 资源，则另一组织也能做出相应的授权响应。合作策略对公平性需求的满足，保 证了组织之间交互与合作的顺利进行。 2 山东大学硕士学位论文 1 2 问题描述 在安全策略相似度分析领域，当前研究并没有解决语义异构安全策略的相似 度计算问题。在基于w e b 的多域合作环境中，合作实体是各个独立的组织，每 个组织隶属于不同的管理机构，独立管理自己的资源和访问控制，并依据本地的 安全约束和业务目标来定义其安全策略以反映本地的安全需求，同时，组织在表 达安全策略时，使用的概念基于本领域本体1 4 】1 1 5 】的语义描述，这些导致了多域 合作的组织之间安全策略的异构性。在w e b 环境中，通常使用x a c m l 语言 【1 2 】【1 3 1 ( e x t e n s i b l ea c c e s sc o n t r o lm a r k u pl a n g u a g e ，可扩展的访问控制标记语言) 来表达异构的访问控制策略。安全策略在表示成x a c m l 策略语言时，每一个 安全规则都包括主体( s u b j e c t ) 、客体( o b j e c t ) 、行为( a c t i o n ) * ! 口约束( c o n d i t i o n ) 四种 主要属性，并按规则效果划分为许可规则和拒绝规则集合。安全策略通过规则联 合算法解决规则之间的潜在冲突，以使安全策略对每个请求只返回一个最终结 果。x a c m l 是当前流行的安全策略表达语言，是o a s i s ( o r g a n i z a t i o nf o rt h e a d v a n c e m e n to fs t r u c t u r e di n f o r m a t i o ns t a n d a r d s ，结构化信息标准组织) 制定的安 全策略表达标准之一，提供了完整的访问控制和授权系统标准，被广泛应用于基 于w e b 的安全策略表达，本文所做工作都基于x a c m l 策略表达语言。 文献【1 0 】基于x a c m l 策略表达语言，通过概念的层次结构进行相似度值计 算。这种方法借助安全策略表达中的概念为结点的层次结构来进行相似度的计 算，首先对不同组织安全策略中的概念进行抽取，再将概念对应到相应概念层次 结构中，通过概念之间结点相距的边的个数来判断概念的相似度差异，从而计算 安全策略的相似程度。这种方法的优点在于能简洁有效地利用策略表达中的概念 进行相似度值的计算，但它的不足在于：一、对属于不同组织的安全策略，都基 于相同的概念层次结构进行分析，这种分析方法的前提，是不同组织的概念使用 相同的语义表达，无法适用于多域环境下更为普遍的异构安全策略分析；二、在 判断概念之间的相似度时，使用的是概念结点之间边的个数，这种基于结构层次 关系的计算方法并不能准确反映概念之间的语义差异，可能造成两组语义差别不 同的概念计算出相同的相似度值。 在策略复合领域，现有的安全策略复合方法大多关注于决策方案的复合，没 有考虑针对属性值的复合，无法简明地表达不同组织间共同的安全需求，对基于 山东大学硕士学位论文 相同属性值生成新的合作策略研究较少。在对不同安全策略抽取共性特征生成合 成策略时，需要考虑三个方面的问题。一是在对不同组织安全策略进行抽取时， 既要确保抽取出安全策略之间所有的共性特征，保证权限没有遗漏，又应考虑到 策略共性特征抽取的时间效率。在w e b 环境下进行协同合作的组织，其安全规 则的定义十分复杂，规则数量较多，但是为了确保共性特征抽取时没有造成权限 遗漏，必须遍历所有的安全规则，如何在遍历和抽取安全规则时提高效率，是合 成策略生成的关键。二是基于w 曲环境的多域合作中，各组织的安全策略都是 动态变化和高度自治的，这意味着策略之间的共性部分随时会发生变化，策略共 性特征的抽取应具有一定的灵活性，在安全策略发生变化时，不应再对所有的安 全规则进行重复遍历和抽取，否则，其时间消耗将是难以接受的。三是组织之间 由于不同的安全需求，可能导致生成的合作策略中存在安全规则冲突，因此，在 合作策略生成后，需要考虑如何解决可能存在的安全规则冲突。 1 3 研究内容 针对当前安全策略相似度研究局限于相同的概念层次结构，使用相同的概念 进行策略表达，没有考虑概念层次结构的异构性，不能处理更为普遍的策略异构 情况，无法适用于面向多域合作的w e b 应用环境的缺点，本文提出了一种基于 x a c m l 策略语言的异构安全策略相似度计算方法。算法分为两个阶段，第一阶 段对x a c m l 表示的策略语言，按属性划分抽取出不同属性的属性值，抽取出 的属性值所代表的概念对应着本领域的概念层次结构。对抽取出的语义异构的策 略属性值，通过语义映射技术，计算出概念之间的语义关系并以四种集合形式表 示：包含、被包含、相等和相离。基于概念之间的语义关系，对异构的概念层次 结构进行合并，将不同安全策略中语义异构的概念层次结构合并成一个语义一致 的统一概念层次结构；第二阶段基于合并后的概念层次结构，通过比较规则中的 概念在层次结构合并前后相对位置的变化程度来表示属性值的差异，并将层次结 构的语义层次距离作为权重对属性差异值进行加权相加以得到安全策略的相似 度。 针对当前策略复合研究较少针对属性值进行策略复合的问题，提出了安全策 略共性特征抽取算法，基于不同安全策略相同的属性值生成新的合作策略，从共 4 山东大学硕士学位论文 性特征的角度强调组织合作的平等性。算法由安全策略的范式表示，安全规则的 范式分解，安全规则的概念层次分解和共性特征抽取四个阶段组成。算法首先抽 取安全策略规则中的概念，将安全规则表示成复合布尔表达式的形式，复合布尔 表达式是由相同属性值的析取式构成的合取范式。在将安全规则转换成合取范式 后，利用逻辑变换中的分配率对安全规则进行范式分解，将合取范式转换成主析 取范式，主析取范式中的每个极小项都是单一属性值构成的合取式。范式分解后， 算法对极小项中每一个属性值都进行基于概念层次结构的分解，分解的结果是生 成有语义继承关系的单一属性值构成的原子规则。策略共性特征的抽取基于原子 规则进行，算法对原子规则中每一个属性值作求交运算以抽取共性特征。将安全 策略分解成原子规则，并基于原子规则抽取共性特征的原因在于，当组织的安全 策略发生变化时，没有发生变化的安全规则，其分解结果是不会变化的，因此只 需要针对变化的安全规则进行分解和抽取，并不需要对所有安全规则重新判断。 如果共性特征的抽取基于原有安全规则，则每一次变化都需要进行规则的重新逐 一比较，灵活性差。 在给出两个算法的细节之后，文章给出了各算法的详细实例说明，并在最后 对算法在j a v a 框架内进行了系统实现和数据分析。在异构安全策略相似度算法 实验中，我们选取了不同的概念层次结构和安全策略实例进行相似度计算，所得 到的实验数据表明算法在运行的时间效率上是可行的，在计算的实际效果上能避 免当前研究【1 0 1 使用结构层次距离而可能出现的相似度值相同的不准确现象。在 安全策略共性特征抽取算法实验中，我们通过构造不同数量级别的策略属性值和 不同规模的概念层次结构，依次分析了安全策略中规则个数、规则中属性值个数、 数值约束中区域个数和概念层次结构结点个数对安全策略特征抽取算法执行的 时间效率的影响，实验数据表明算法在运行效率上是可行的，并具有一定的灵活 性。实验结果证明，本文所提异构安全策略相似度算法和安全规则共性特征抽取 算法是有效的，达到了预期的研究目标。 1 4 论文结构 文章后续部分组织结构如下： 第二章论述了访问控制和安全策略的基本概念，并对w e b 环境下的主要安 山东大学硕士学位论文 全策略描述语言和当前安全策略分析与复合领域的主要研究成果进行了分析。 第三章对异构安全策略相似度算法进行了详细论述。本章首先对概念层次 结构和策略元素的属性分类进行了说明，并给出了算法中使用的函数和谓词。然 后详细论述了算法两个阶段的设计和实现细节，并从时间复杂度上分析了算法的 有效性。最后给出了算法的实例分析。 第四章对安全策略共性特征抽取算法进行了详细论述。本章针对策略元素 不同的属性分类详细论述了共性特征抽取算法的四个阶段，并分析了算法每个阶 段的时间复杂度。本章还论述了规则联合算法在合作策略中的冲突解决方法，并 简要分析了异构安全策略共性特征的抽取。最后同样给出了算法的实例分析。 第五章详细介绍了本文针对两个算法进行的效率和效果实验，对实验目的、 环境、数据和内容进行了描述，对实验结果进行了分析比较，得出结论。 第六章对文章所做工作进行总结，并指出下一步还要继续深入研究的内容。 6 山东大学硕士学位论文 2 1 访问控制与安全策略 第二章相关工作 基于w e b 的多域合作环境中，交互的组织需要在确保合法用户正常访问的 同时，保护其数据和资源免遭非授权的访问和修改。访问控制是一种通过约束用 户对资源的访问行为从而达到对敏感信息和资源进行保护的安全服务机制川，它 控制着对系统数据和资源的所有访问请求并返回对请求的许可或拒绝响应，其目 的是限制系统用户所能进行的操作。访问控制包括两个方面的关键技术【1 6 1 ，一 方面是安全策略的制定，即如何表达主体对客体有何种权限：另方面是安全策 略的实现，即如何将制定的策略在系统中有效的执行。访问控制的实施不仅可以 保证合法用户的正常操作，也能够防止非授权用户入侵和合法用户误操作引起的 安全问题。 在实际应用中，访问控制是依托安全策略来实施的。安全策略是系统安全行 为规则的描述【1 7 】，表达了一个组织要实现的安全目标和实现这些安全目标的途 径。安全策略可以划分为两个部分，问题策略和功能策略。问题策略描述了一个 组织所关心的安全领域和对这些领域内安全问题的基本态度。功能策略则描述 如何通过安全规则的制定解决所关心的问题。安全策略在表示成x a c m l 策略语言 时，每一个安全规则都主要包含主体( s u b j e c t ) 、客体( o b j e c t ) 、行为( a c t i o n ) 和约 束( c o n d i t i o n ) 四种属性。安全策略的规则约束就是决定某个主体，在某一约束条 件下，能否对计算机系统中的某个资源，进行某种行为。 一般地，安全策略包含以下几个主要部分： 1 、主体( s u b j e c t ) 。主体是同信息系统进行交互的行为执行者。主体可以是 一个自然人，一个自然人构成的群体，或者是另一个信息系统。主体是信息系统 的访问者，也是信息系统资源的请求者和使用者。主体是安全策略的核心部分。 组织之间的交互与协作，是主体和主体的交互与协作。其根本目的就是要让主体 去获得某些资源或进行某些操作，从而完成某项应用。主体是拥有或接受信息的 主动实体。 2 、客体( o b j e c t ) 。计算机系统中所有能被访问的资源。客体既包括打印机， 扫描仪，读卡器等硬件资源，也包括文档、程序、图片、音频和视频等软件资源， 7 山东大学硕士学位论文 还包括利用本系统，对其他系统进行访问和操作的权限资源。大到高性能集群计 算机，j , 至u 数据库中某一数据表的字段属性，都是信息系统的资源。同主体相对 应，客体是拥有或接受信息的被动实体。 3 、行为( a c t i o n ) 。信息系统中，主体对客体施加的操作。行为包括主体对客 体的访问，获取，修改，删除等。行为是主体对客体所拥有的权限，是连接主体 和客体的桥梁。客体只有通过行为才能为主体使用，也才有存在的价值。安全策 略通过不同的规则约束，为资源访问主体赋予不同的权限，比如，只有读权限而 没有写权限等，以对资源和数据等客体进行保护。 4 、约束( c o n s t r a i n t s ) 。用于表示主体对客体进行某一行为时，必须满足的条 件。约束可以限制访问主体、被访问客体，访问行为或作为独立的附加条件。对 访问主体的限制，约束了可请求资源和信息的主体范围，对访问客体的限制，约 束了可访问的资源和信息的范围，对访问行为的限制，约束了主体对客体所拥有 的权限范围，而独立的附加约束条件，是对主体访问客体的额外限制，比如，主 体只能在某个时间段内对客体施加行为的时间约束，或者主体只能在某个地点对 特定客体施加行为的地点约束等。 2 2w e b 环境下的安全策略描述语言 2 2 1x a c m l 语言 在基于w e b 的分布式应用环境中，安全策略广泛使用x a c m l 语言进行表 示。x a c m l 是一种用于决定请求响应的通用访问控制策略语言和执行授权策 略的框架，它在传统的分布式环境中被广泛用于访问控制策略的执行。在典型的 访问控制框架中，有策略执行点p e p ( p o l i c ye n f o r c e m e n tp o i m ) , 1 策略决定点 p d p ( p o l i c yd e c i s i o np o i n o 。p e p 用于表达请求和执行访问控制决定。p d p 从p e p 处接受请求，评估适用于该请求的策略，并将授权决定返回给p e p 。x a c m l 语 言的框架结构如图2 1 所示。 8 山东大学硕士学位论文 束属性 约束 图2 - 1x a c m l 框架结构 x a c m l 在策略表达上结构清晰，将安全规则表示为主体，客体，行为和约 束四个主要属性的