（计算机应用技术专业论文）基于角色的资源空间模型访问控制的研究与应用.pdf

摘要 资源空间模型是一个通过对资源内容进行分类的规范、存储、管理和定位 阏终资源的语义数据模型，它通过在维上设置约寒来实现规范纯，觚而提高资 源管理的难确性。要保证资源空闽模型安全、有效地管理网络资源，如德建立 有效的访问控制机制是关键问题之一。 本文蓄先褥单介绍了资源空 蠡j 模型的稿关概念，然后对传统经典访闯控制 技术进行了回顾，重点分析了基于是色的访闯控制模型，主要是r b a c 9 6 参考模 型族和n i s t 的r b a c 建议标准。间时对经典数据管理模型所采用的访问控制技 术进行了总结，随爝戮r b a c 9 6 模型和n i s tr b a c 建议标准为基础对资源空间模 型的访闯控制需求进行分橱，提出基于惫色的资源空阉模型访阚控制模型 ( r o l e b a s e da c c e s sc o n t r o lf o rr e s o u r c es p a c em o d e l ，r s m r b a c ) 。该模 型主要包括授权和权限认证两个方面。在授权方面，为便于分工管理提出了“组 织概念；霹融失更加灵活的对资源空阍模型孛辨轴耜辘上静坐标两种访阂控 制客体实施控制，引入了上卷( r o l 卜u p ) 和下钻( d r i l l - d o w n ) 两种抽象权限。 此外本文亦引入定期授权来细化授权控制的时间粒度：并结合正负权限和强弱 授投来实施r s m - r b a c 静访闯控制授权。在权限认证方薅，提出了一静基于资源 空间模型坐标系统的权限认迁机制。 r s m - r b a c 的实现按照功能可以划分为四个部分：角色管理模块，用户管理 模块，会话功施模块帮访闯控制决策模块。本文结合应用实例对上述四个模块 的实现分别进杼了详细讨论。 关键谪：赘源空闻模型；信息安全；授权；基于角色的访糊控制；访闯控制决 策 a b s t r a c t t h er e s o u r c es p a c em o d e li sas e m a n t i cd a t am o d e lf o rs p e c i f y i n g ，s t o r i n g , m a n a g i n ga n dl o c a t i n gw e b r e s o u r c e sb ya p p r o p r i a t e l yc l a s s i f y i n gt h ec o n t e n t so f r e s o u r c e s ar e s o u r c es p a c ec a nb en o r m a l i z e dt oi n c r e a s et h ec o r r e c t n e s so fr e s o u r c e m a n a g e m e n tb ys e t t i n gc o n s t r a i n t so nd i m e n s i o n s h o w t os e tu pa l le f f e c t i v ea c c e s s c o n t r o lm e c h a n i s mi sak e yf o rr e s o u r c es p a c em o d e lt om a n a g ew e br e s o u r c e s s a f e l ya n de f f e c t i v e l y i nt h i sp a p e r , w ei n t r o d u c et h eb a s i cc o n c e p t so fr e s o u r c es p a c em o d e la n d r e v i e wt r a d i t i o n a la c c e s sc o n t r o l sw i t hf o c u s e so nr b a c 9 6m o d e la n dp r o p o s e d r b a cs t a n d a r do fn i s t a p p l i c a t i o n so ft h e s ea c c e s sc o n t r o lt e c h n o l o g yi n t r a d i t i o n a ld a t am a n a g e m e n tm o d e l sa r ea l s os u m m a r i z e d 。i no r d e rt oa t t a c k d i f f i c u l t i e so fr s mr e s o u r c e sp r o t e c t i o n ，w ep r o p o s eam o d e ln a m e dr s m r b a c b a s e do nt h er b a c 9 6m o d e la n dt h ep r o p o s e dr b a cs t a n d a r do fn i s t 。i n r s m r b a c ，f o rt h es a k eo fm a n a g e m e n td i v i s i o n ，ac o n c e p to f “o r g a n i z a t i o n i s b r o u g h tf o r w a r d 。w ea l s oi n t r o d u c et w on e wo p e r a t i o n sn a m e d “r o l l u p ”a n d “d r i l l d o w n s e p a r a t e l y i no r d e rt o m a n i p u l a t et h e r e s o u r c e sm o r ef l e x i b l y 。 f u r t h e r m o r e ，r u l e so fa u t h o r i z a t i o na n da u t h e n t i c a t i o na r ed i s c u s s e dc a r e f u l l y ； “p e r i o d i ca u t h o r i z a t i o n ”i su s e dt oc o n t r o lt h eg r a n u l a r i t yo ft i m eo fa u t h o r i z a t i o n ， a n dn e g a t i v ea n dp o s i t i v ep e r m i s s i o nt y p e sa r ea p p l i e dt or e s o l v et h ep r o b l e m s c a u s e db yo v e r l a p p i n go fa u t h o r i z a t i o ni nr s m a tt h ee n do ft h i sp a p e r , a d e c i s i o n - m a k i n ga l g o r i t h ms u i t a b l ef o rr s m r b a ci sp r e s e n t e db a s e do nad a t a s t r u c t u r ef o ru s e r p e r m i s s i o na s s i g n m e n tr e l a t i o n s 。 i m p l e m e n t a t i o no fr s m - r b a ci so r g a n i z e d i n t of o u rc o m p o n e n t s ：r o l e m a n a g e m e n t ，u s e rm a n a g e m e n t ，s e s s i o nf u n c t i o n ，d e c i s i o n m a k i n g 。 k e y w o r d s ：r e s o u r c es p a c em o d e l ；i n f o r m a t i o ns e c u r i t y ；a u t h o r i z a t i o n ； r o l e b a s e da c c e s sc o n t r o l ；a u t h e n t i c a t i o n 学位论文原创性声明 本人郑重声明：所呈交的论文是本人在导师的指导下独立进 行研究所取得的研究成果除了文中特别加以标注引用的内容 外，本论文不包含任何其他个人或集体己经发表或撰写的成果作 品对本文的研究做出重要贡献的个人和集体，均巴在文中以明 确方式标明本人完全意识到本声明的法律后果由本人承担。 作者签名： 枷， 日期：缈8 年岁月名日 学位论文版权使用授权书 本学位论文作者完全了解学校有关保留、使用学位论文的规 定，同意学校保留并向国家有关部门或机构送交论文的复印件和 电子版，允许论文被查阅和借阅。本人授权湖南科技大学可以将 本学位论文的全部或部分内容编入有关数据库进行检索，可以采 用影印、缩印或扫描等复制手段保存孝汇编本学位论文。 ， 涉密论文按学校规定处理。 作者张肄多硼、 铺张蹦蚴 嚣期：伽g 年 瞽期：2 一。孑年 岁月彤e t y - 月2 否矗 湖南科技大学硕士学位论文 1 1 研究背景 第一章绪论 随着互联网技术的飞速发展，网络数据资源规模日趋膨胀，互联网已经成为 人类获取和共享资源的最大载体。互联网数据资源的膨胀，以及数据组织的杂 乱无序，引起了诸多问题，例如资源冗余、语义信息匮乏以至用户间资源共享 困难，成为制约其进一步发展的瓶颈。怎样统一、规范和有效地管理各种w e b 资源已经成为w e b 所面临的一个关键问题。语义w e b ，w e b 服务和网格是下 一代互联网的三个重要研究方向，中国已经在语义知识网格方面启动了一个国 家级研究项目，其核心技术就是资源空间网格一一个可视化的资源共享和管理 环境。资源空间网格的研究目标是要解决三个核心科学问题：i n t e r n e t 上各种资 源的规范化组织、语义互联以及动态聚类1 2 l 。资源空间网格的体系结构包括资源 使用机制( r e s o u r c eu s i n gm e c h a n i s m ，r u m ) 和资源空间模型( r e s o u r c es p a c e m o d e l ，r s m ) ，其中资源空间模型是一个由相互独立的坐标和相互正交的轴所 构成的统一坐标系统，它支持对资源进行准确高效地操作1 1 1 。 和其它数据管理模型一样，资源空间模型必须要解决的一个重要问题是资 源共享的安全问题。从文件系统、数据库系统到数据仓库，数据安全问题一直 都是必须考虑的一个方面，安全问题的解决方案一般包括身份认证、访问控制、 完整性、一致性和审计。通常一个完整的数据安全解决方案必须满足三个要求： 机密性，完整性和可用性1 3 1 。其中机密性指防止对数据的未经授权的使用，关系 数据库管理系统中的访问控制机制就是用来确保数据机密性的；此外，访问控 制机制和语义完整性约束被用来共同保证数据的完整性。早期的访问控制模型 大多建立在关系数据模型框架上，这些早期的模型提出了一些重要的原则【4 1 使得 关系数据库的访问控制模型与操作系统的访问控制模型相区分开来，原则的第 一条就是关系数据库的访问控制应当依照逻辑数据模型来表述，第二条就是数 据库对客体的保护除了提供基于命名的控制之外，也应当提供基于内容的控制。 数据仓库是在以事务处理为主要任务的数据库基础上发展起来的，但是它与数 据库有着根本的不同，它是一个能支持管理决策过程的、面向主题的、集成的、 时变的、非易失的数据集合，它的一个最大特征就是对多维视图的支持。因此， 单纯采用关系数据库的访问控制机制不能很好的解决数据仓库的数据安全问 题，对此，已有众多学者提出了针对数据仓库和o l a p 的安全控制模型【5 6 7 叭。 资源空间模型是一种新的资源管理数据模型，它与关系数据库系统、数据 第一章绪论 仓库之间都存在诸多不同之处。为解决资源空间模型的数据安全问题，需要依 据资源空间模型自身的特征来建立适合这一数据模型的安全控制机制。本文从 访问控制角度来讨论如何建立资源空间模型的访问控制模型。 1 2 国内外研究概况 1 2 i访问控制技术研究现状 访问控制已经被认为是信息安全领域中一个重要部分。访问控制( a c c e s s c o n t r 0 1 ) ，就是根据既定安全策略的要求，对每一个资源访问请求做出是否许可 的判断，从而有效防止非法用户访问系统资源和合法用户非法使用资源。计算 机信息系统访问控制技术最早出现于六十年代，随后出现了自主访问控制 ( d i s c r e t i o n a r ya c c e s sc o n t r o l ，d a c ) 和强制访问控制( m a n d a t o r ya c c e s s c o n t r o l ，m a c ) 两种典型的访问控制技术，他们被广泛应用于多用户系统，对于 计算机信息系统的安全做出了很大的贡献。访问控制的矩阵模型及其扩展模型 9 , 1 0 , 1 1 , 1 2 都属于自主访问控制模型。这些模型在数据库中应用时，矩阵的每个项 都包含一个适当的条件( 除权限外) ，进行存取操作的主体需要满足该条件才能 进行操作。强制存取控制的一个著名例子是b e l l l a p a d u l a 模型【1 3 1 ，在强制访问 控制模型中，主体不能修改访问权，也不能将自己的访问权限授予其他主体。 随着网络技术的进一步发展，访问需求大大增加，同时一些公共信息服务 系统对信息的完整性和可用性的需求也大大高于对保密性的需求，d a c m a c 技 术难以满足这些要求，于是人们开始采用基于角色的访问控制( r o l e b a s e d a c c e s sc o n t r o l ，r b a c ) 技术来解决问题。r b a c 的起源可以追溯到七十年代。 在七、八十年代的一些访问控制产品已经采用了“角色”概念来进行系统管理，如 i b m 的r a c f 等。近来，r b a c 又重新引起了人们的重视，并且大多数是在应 用层上来控制对应用数据的访问，它成为了一种被广泛接受的授权和访问控制 模型。在过去的几年里，关于r b a c 的研究取得了不少进展。其中有些是对已 有的访问控制系统进行扩展，在其中加入角色的概念【1 4 ，”j ，也有的是将角色加 入到面向对象系统中l 1 7 l 。r a v is a n d u 等人提出r b a c 9 6 模型【l 引。f e r r a i l o 等人 则讨论了r b a c 的功能及其使用r b a c 的原因。b a r k l e y 对简单r b a c 模型与 访问控制表的功能进行了比较【1 9 , 2 0 1 。1 9 9 7 年，s a n d h u 和b h a m i d i p a t i 等人又提出 了a r b a c 9 7 模型来解决基于角色访问控制模型中角色管理问题f 2 。2 0 0 1 年， s a n d h u 与f e r r a i o l o 等人一起提出了基于角色访问控制的n i s t 建议标准【2 2 i ，该 建议标准对此前存在的众多基于角色的访问控制模型进行了总结，对r b a c 中 的相关概念的不同定义进行了统一，目的在于为进一步研究r b a c 提供一个通 湖南科技大学硕十学位论文 用的平台，也为r b a c 的商业化打下一个基础。 l 。2 。2资源空闻模型的访闻控制 资源空间模型的访问控制目前还处于刚刚起步的状态，随着知识网格的不 断发展以及资源空间模型的推广应髑，资源空间模型的访闻控制受到了越来越 多的关注。作为一种资源管理机制，对资源共享的有效管理一直是一个很重要 的方面。如果缺少有效的资源空间模型安全控制机制，将大大影响资源空间模 型的进一步推广应用。 重。3 本文的主要工作 本文讨论如何在s a n d h u 等人提蹬的r b a c 9 6 模型和n i s tr b a c 建议标准 基础上建立基于角色的资源空间模型访问控制模型。并根据该模型建立相应的 r b a c 系统。 与传统的关系数据模型不同，r s m r b a c 的客体不再是具体的某个表或者 某个视图，而是处于某个坐标空问中的点或者是资源条目，这种新形式的客体 难以采用基予名称的方式来区分，逶常必须基于其所在空闻的坐标系统来定使， 因此，对这种客体实施访问控制时需要结合客体周围的坐标系统来考虑。此外， r b a c 建议标准没有对如何实施授权进行具体描述，也没有提供具体的访问控制 决策机制。针对上述问题，本文进行了以下主要工作： 1 对r s m r b a c 中的基本元素( 用户，角色，层次，客体，操作，权限， 责任分离关系，分配关系，会话) 进行了详细分析，提出基于坐标轴上的投影 来描述r s m 中的客体； 2 引入两种抽象权限实现基于坐标轴的授权控制；引入“组织”概念实现焦 色管理上的分工，达到简化管理和减少授权失误的目的：引入正负权限和强弱 授权来解决r s m r b a c 中的授权管理问题；介绍了一种r s m r b a c 的访问决 策机制； 3 最后，采用关系数据库存储资源字典数据，对r s m r b a c 的具体实现进 行了讨论。 1 4 本文的组织结构 论文共分为五章。 第一章为绪论，篱要介绍课题的研究背景、国内外研究现状、研究内容和 本文的结构安排。 第一章绪论 第二章是对资源空间模型的综述。回顾了数据管理方法的发展历史，同时 重点介绍了资源空间模型的相关概念和关键技术。 第三章是对访闯控制技术研究的综述。篱要介绍了当前三种主流访阀控制 机制，同时分析了文件系统，关系数据库及多维数据模型所采用的访问控制策 略及实现技术。 第因章在r b a c 9 6 模型和n i s tr b a c 建议标准的基础上对资源空间模型访 问控制机制中的基本要素进行了仔细分析，建立了基予焦色的资源空间模型访 问控制模型( r s m r b a c ) ，重点讨论了r s m r b a c 中的授权处理。 第五章是r s m r b a c 模型的实现。r s m r b a c 的实现依据功能可分为四个 模块，本章结合j c s t 在线审稿系统中的访阅控制实施情况对四个模块的实施分 别进行了详细讨论，在访问控制决策模块中给出了r s m r b a c 的权限认证算法。 第六章对本文的不足之处进行了总结，提出以后的改进和研究方向。 湖南科技大学硕士学位论文 2 1 资源空间模型 第二章资源空间模型 统一、规范和有效的管理各_ 葶中w e b 资源是下一代w e b 需要解决的核心问题 之一。语义网格v e g a k g 是为解决各种资源的管理和共享而提出的新机制【2 ，1 ， 它吸收7 阏格的理念，采用了语义w e b 的相关标准，同时弓| 入新的资源管理模 型和新的交互平台。v e g a k g 包括两个关键组件，资源空间模型 2 4 , 2 5 t 2 6 l 驷资源 使用机制，这两个组件同时也是资源空间网格的两大核心。资源空间模型通过 范式的形式统一定义和组织资源，资源使用机制帮助用户方便的使用资源空间 中的资源。资源空间模型是一个通过对资源内容进行分类的规范、存储、管理 和定位网络资源的语义数据模型f 4 5 j 。它用统一的资源视图定义、共享和管理各 种w e b 资源秘。信息资源包括通过i n t e r n e t 传输的各种类型的电子文档，该类 资源能够被直接或间接地阅读和感知；知识资源包括用机器可理解的方式表达 的概念、公理、规则和方法，理解信息资源或者对人类经验的总结就能够产生 知识。服务资源包括使用现有w e b 标准进行交互的可重用的过程集合。资源空 闻模型包括3 级模式：用户级，逻辑级和语义级。用户级模式是一个反映在瓷 源浏览器中的二维空间【2 7 1 ；逻辑级模式是一个反映资源空间统一视图的n 维空 间；语义级模式定义基于语义的资源表示和组织机制。资源空间模型关注的是： 面对一个应用领域、组织或个人的资源，如何建立合适的多维分类体系，并用 规范化的分类体系来管理资源，丽不论资源呈现何种形式和存放何处。 互联网资源空间是现实的资源空间的一部分，它是一种非常有潜力的有效 管理各类网络资源的模型。它的瞄的不是替代数据库和文件系统，而是提供一 种新的模型，在数据库和文件系统不擅长的某些应用中发挥独特的作用。它与 语义链网络、数据库模型和语义互联网的研究成果( 如互联网本体语言0 w l ) 的结合，可望为未来互联网环境提供一个强大的语义平台。2 0 0 2 年提出了资源 空越模型的雏形，利用它来管理网络知识资源1 2 勤。2 0 0 3 - - 2 0 0 4 年提嵩了箕主要 理论和模型 2 4 , 2 9 | 。2 0 0 7 年，系统地发展了其理论、模型和防范f 3 0 l 。蹰前资源空 间模型已具备完整的理论、模型和方法。 资源空闻模型生要体现了以下思想： l 。统一的资源抽象。将各种资源映射到一个统一语义空间，建议的方法是 采用一个统一的属性集来非规范化的描叙资源； 2 。统一的资源划分。能在给定区域内对资源进行划分； 第二章资源空间模型 3 统一的资源操作。资源能够通过一个统一的操作集进行操作； 4 统一的资源视图。用户能对分布在i n t e r n e t 上饪意资源进行操作。 通常，各种资源能用一个通用的属性集来概括： n a m e ，a u t h o r ，o w n e r ， a b s t r a c t ，v e r s i o n ，l o c a t i o n ，p r i v i l e g e ，a c c e s s - a p p r o a c h ，e f f e c t i v e d u r a t i o n ，r e l a t e d m a t e r i a l 。这熙的抽象表示对信息和知识的内容进行抽象或者对服务的功能进行 描叙，它可以是规范化的或者是非规范化的。 资源空阊模型是一个管理信患，知识和服务资源的语义空闻，可以从以下 几个方面来描述资源空间模型： l 。概念或者逻辑上来说资源空间是对一个n 维的赘源空间的定义。 2 从用户视图来说，一个用户视图就是整个资源空间的一个以用户可理解 的形式显示的子集。 3 从表达层来说，它是一个基于描述性语言铡如x m l 、r d f 和o w l 的可 被跨平台理解的定义。 4 。从存储层来说，资源空闻的物理存储结构包括空间结构的存储，耜关索 引和资源实体的存储。 资源空间模型包括以下主要态容： 1 资源空间模型方法学 用于指导资源空间模型的学习、设计和研究，包括资源的基本定义和特征、 操作的定义，范式理论、完整性理论、查询语言和开发方法。这套理论和模型 从形式上看是与关系数据库理论并行的。两个模型的不同决定了其范式理论的 不同，进而决定了其完整性理论和开发方法的不同。 2 资源空问模型和语义链网络的集成及其关系理论 资源空间模型和语义链网络虽然是独立发展出来的两个模型，但是二者之 间具有内在联系，在某种条件下可以相互转换。把这两种模型有机结合起来， 就形成了一个支持资源分类管理和分类查询的语义数据模型。在此模型下，一 个资源既可与同属一个点、又可与属予其它点或者其它空闻的瓷源建立语义关 系。资源不仅可以按内容来定位，还可以被用来找到相关的资源。 3 资源空阆模型查询操作的完备性和必要性理论 资源空间模型需要一套资源操作语言来进行资源的查询、趸新和管理。首 先，需要提供理论基础，利用其来判断所提出的任何一个资源操作子语言的选 择能力的完备性，并且判别绐果要独立于任何嵌入子语言的主语言。例如，首 先必须回答以下问题：所定义的操作是否足够，即是否完备? 是否必需? 其次， 对予各种子语言，哪种子语言的表达能力更强? 通过研究得出结论：操作联合( u n i o n ) 、区分( d i f f e r e n c e ) 、相交 ( i n t e r s e c t i o n ) 、扩展笛卡尔乘积( e x t e n d e dc a r t e s i a np r o d u c t 、选择( s e l e c t i o n ) 、 湖南科技大学硕士学饶论文 加入( j o i n ) 、拆分( d i s j o i n ) 、合并 ，从查找效率的角度来看，空闻熬维 数是越高越好，还是越低越好，或者是其他的情况? 每个轴上坐标个数的分稚 式越均匀越好，还是越不均匀越好? 釜我的复杂度和每令轴上坐标个数酶分布 有没有关系? 通过考查查找复杂度和每个轴上坐标分布的关系，得出如下结论： 从查找复杂度的焦度来看，每个轴上坐标分布越平均越努。通过研究查找复杂 度和空间的维数的变化关系，得出如下结论：资源空间的维数不是越低越好， 也不是越高越好，丽是存在一个唯一的临界维数。具有临界维数的资源空闻是 最优豹。缀论得出鲍簸界维数敢篷大约是kn ( n 是资源空闻审熬点的总令数) 。 6 概率资源空间模型 它支持用户或应用糕序以不确定性的方式存储和管理资源，是一种更为普 遍的资源空闽模型。在最初的资源空阆模型巾，一个资源要么属于一含类，要 么不满于一个类。但在缎多应用中，人们往往不能准确判断一个给定的资源是 否属于一个类。为此，任意一个资源都在每一个维上赋予一个概率隶属函数， 从而将一个资源空闻映射到概率空闻。这样，资源空阌模型的范式理论、完整 性约柬理论和操俸也在概率资源空闻模型中得到了更一般的定义帮解释。 资源空间模型的基本概念和符号如下： 1 ) 姿源空闽是一个器维坐标空闻。空闻孛的每个坐标点唯一确定一个资澡 或一类相关资源的集合，用符号表示为r s ( ，x 2 , ，焉) ，或者只简单用r s 表示， 其中r s 是资源空间名称，* 是坐标轴名称。殿= ( c 1 1 ，c 涵，c 翩表示某个坐标 第二章资源空润模黧 轴及轴上的有序坐标。c 表示坐标名，坐标名用名词或名词短语形式。任意的坐 标名称都对应领域本体中的某个规范化或非规范化的语义定义。 ( 2 ) 两个辘糍弼。当在弱一领域本体串，两轴的名称及轴上的所有相应坐标 点名称都相圊。 “ ( 3 ) 一个坐标代表类资源。符号表示为r ( c ) 。当坐标c 既不是坐标c 的褥义谲也不是近义词时，c 与e ，褶互独立。 4 ) 如果两个轴置。c 1 1 ，。，c l 藕期舻 岛k 。岛曩有提同的辘名趄有不 同的坐标，那么这两个轴可以合并成一个轴：x = x iu x 2 = ( c l l ，c i n , 如l 。c 2 n ) ， 顺序与原来的顺序保持致。 5 ) 通过将坐标集髫分成譬和两令集合，可豉将一个鞠分残第和两 个轴。因此有妒掣u 。 形式化定义如下： 定义差。设黔( e i ，q ，蕊) 表示轴，c i 表示轴帮上的莱个坐标，称x 细分g ( 符号表示必& x ) ，当虽仅当以下甄个条件目时成立： ( 1 ) ( r ( g ) n r ( g7 ) ) n ( r ( c p ) n r ( g ) ) 喾f 2 i ，( k p ，a n dk , p f l ，n 】) ； ( 2 ) ( r ( c i ) n r ( c i ) ) u ( 露( c 2 ) c i r ( c i ) ) u u ( 震( ( 孙) n r ( q ) ) 2r ( c | ) 定义2 。轴渗 期譬= ( c i ，c 2 ，磊，称x 缨分碧 ( 刀脯) ，尚且仅当x 细分c l ，殴，。 定义3 轴彳细分轴r ，同时r 细分魁即x x , 刀刀，称这两个轴相互 正交。 姿源空闻可以透过在维上设置约束来实现规范化，从瓤提高资源管理的难 确性。资源空间的范式就是用来实现这种规范化的。第一范式要求坐标名不重 复，第二范式要求备坐标稆互独立，第三范式要求各维( 轴) 相互芷交( 即互 相缨分) 。以上三个范式是设计一个靓范纯资源空闯的指导方针。此辨还可缢根 据应用需要定义更加严格或宽松的范式。图2 。l 表示一个三维的参考资源空间。 2 。2资源空阅模型与其镳数据模型的毙较 在计算机世界，文件系统是有效管理计算资源的第一个里程碑，它是一种 采爝文件方式，通过在存储设备和誉录索雩 之阗建立鼷射关系来存储、管理和 获取资源的方法。它可以看作是一个以文件类型必维的一维资源空闻。它是后 来人们实现操作系统和数据库的重要基础。数据库系统是计算机资源管理的另 一个鬟程磷辫l 。特别是关系数据模型，它以坚实的数学基础和优美的模型成为 一3 。 潮鬻科鼓大学颈士学毽论文 f i g 。2 1t h r e e - d i m e n s i o n a lr e f e r e n c er e s o u r c es p a c e 图2 。l 三维翔识空闻 集中式数据管理的典范。大部分的数据库系统采用文件祭统作为其商层索引和 存撩设备之瓣粒簌瑟获射撬嬲。文糌系统穗数据瘁系统都是集中计算对代酌产 物。万绦网是一个巨大的菲集中式文件系统。w e b 页蕊的添船、更耨韶删除都 不存在集中式的控制。因此w e b 资源的管理对予传统的数据模型来说是个挑 战。赛源空秘模型则提供了一种新的存储帮表达w e b 资源的方式，它是稀能 够管理嚣联网资源的语义数据模型。资潦空阕模型与多维数据模型具有定穗 似性，艏者主噩篇予数据仓库翻联辊分析处理( o n 。l i n ea n a l y s i sp r o c e s s i n g ， o l a p ) ，它与资源空间模型在理论基础，管理的对象，规范化的基础，操作特 鬣滚及交互基勰方莲都存在嚣鬻。 与关系数据库楣比，资源空闽模型与关系数据岸之间存在瓣个共同点，第 是对象的操作与对象本身是区分开的，第二是两者的操作语畜都采用相同的 形式，s q l 形式，焉者使褥雳户麓够更翔容易理勰瓷源搡棒语言( 装0 l ) 魏语法 与语义。 资源空间模型与关系数据库之闯酶主要区别存在予六个方蕊瓣l ，翔表2 差凝 示。第一个区潮是资源空闻模型鹩理论基础是资源本体，而关系数据库的理论 基礁是关系我数。筹二个区裂是资源空瓣摸型薪管理鳇对象是缝擒纯豹或者拳 结构化的信息，知识和瓷源，丽关系数据库的管理对象是原子数据。第三个区 别是资源空间模型的数据模型是个统的坐标系统，而关系数据库的数据模 型是蓑系表格。第嚣个嚣澍蹩资源窒阕模鳖酶觏莲纯蒸醚是一今褶互独立弱蓬 交的坐撂系统，蕊关系数据库是滋数依赖关系。上述区别决定资源空越模型关 第二章资源空间模狴 表2 。l 资源空闻模型与关系数据瘴管理系统的主要蘧别 t a b 2 1m a j o rd i f f e r e n c e sb e t w e e nr s ma n dr d b m 注的是被管理对象( 或资源) 的内容( 语义) 以及基于内容的资源分类，因此 它熊够实现基于内容的操作，也缝够对资源进行准确定位；丽关系数据库关心 的是管理对象的属性，它支持基于属性的操作。第五个区别在于资源空间模型 在对资源进行操作时能提供一个统一的基于分类的语义视图，而关系数据库从 本质上来说支持属性视图。资源空间模型的这个特征使得它适合于统一管理和 共享i n t e r n e t 资源。第六个区别是资源空间模型的交互基础是语义w e b ，它为资 源提供了机器可理解的语义基础，而关系数据库却没有考虑进行交互的需求。 不同的商业数据库之间采用o d b c 作为进行交互的标准。 此外，资源空间模型与多维数据模型具有一定相似性，但后者主要焉于数 据仓库和联机分析处理( o l a p ) ，它与资源空间模型在理论基础，管理的对象， 规范化的基础，操作特征以及交互基础方面都存在区别。 2 3 本章小结 资源空间网格是一种针对下一代w e b 的资源管理的解决方案，资源空间网 格模型的核心包括资源空间模型和资源使用机制。资源空阀模型通过语义范式 来组织各种资源，从而保证资源操作的正确性和高效性。本章对资源空间模型 的相关概念进行了介绍，同时将资源空间模型与目前广泛应用的关系数据库管 理系统和多维数据模型进行比较，从而有助于更进一步的了解资源空闻模型的 特征，建立适合资源空阀模型的访闯控制机制。 湖南科技大学硕士学位论文 3 1 访闯控制策略 第三章访闯控制策略 访闻控制技术，是通过某种方式骥魂地准许或限制访闻能力及范曝的一赞 方法。通过访问控制服务，可以限制对关键资源的访问，防止非法用户的侵入 或者合法用户的不慎操作所造成的损失。访闯控制系统般包括三个组成部分： 主体、窖体、访闻控制策略 3 i , 3 2 , 3 3 l 。 3 。l 。l叁主访闯控制 。 爨主访问控制( d a c ) 最举出现在七十年代初期的分时系统中，在u n i x 操 作系统中被普遍采用。d a c 基予这样的思想：客体( 能接受或包含信患的被动实 体，如文件、内存块等) 韵主入全权管理有关客体的访问权限，有权泄漏、修 改该客体的有关信息。也就是说主体( 可以对其他实体实施操作的主动实体， 通常是系统用户或代理用产行巍的进程等 除了能够拥有对客体的全部操俸权 限外，还能够将其自身所具有的权限转赋予别的主体。访问控制矩阵模型及其 扩曩驹氟3 5 满一7 3 都是经典的秦主访阍控制模型。这些模型包括短阵模型，控制列表 模型和访问能力表模型( 分别见图3 1 ，图3 2 和图3 3 ) 。最籀单的方法莫过于 f i l e l 掣 f i l e lf i l e 2f i l e 3 s u b j o h no w n + w 霸搬o w r l + r e a d a l i c e * - 斯i t e b o b _ o w n + r e a d w r i t e f i g + 3 。ia c c e s sm a t r i xm o d e l 圈3 1 访瓣矩阵模型 j o h n o w n r e a d w r i t e a 1 i c e w r i t e r e a d f i g 3 2a c c e s sc o n t r o ll i s t 图3 2 访问控制列表 第三章访问控制策略 f i g 3 3c a p a b i l i t yl i s t 图3 3 访问能力表 访问控制矩阵模型。使用者发出要求访问某个客体时，首先系统检查使用者和 该客体在访闯控制矩阵中对应的存取权。访问控制矩阵模型存在一个问题就是， 在一个庞大的系统中所建立的访润控制矩阵通常十分稀疏，造成空间浪费。访 问控制列表和访问能力表是在访问控制矩阵上的改进。访问控制列表的缺点是 在主体列中寻找某特定使用者比较费时。访问能力表的缺点是在增加、撤销 及搜索权限列时时闽开销比较大。 多数集中式操作系统中采用访问控制列表方法或者类似方法，但在分布式系 统中，由于很难确定给定客体的潜在主体集，因此在现代操作系统中访问能力 表也得到了广泛应雳。d a c 的主要不足之处在予：难以控制赋予出去的权限， 尤其无法抵御特洛伊木马的攻击：此铃，由于客体数量巨大，使得资源管理较 分散且开销较大；用户间的关系也难以得到体现，不易于管理。 3 1 2强制访问控制 通常所说的强制访问控制( m a n d a t o r ya c c e s sc o n t r o l ，m a c ) 主要是指 t c s e c ( 美国防部颁布的( ( t r u s t e dc o m p u t e rs y s t e me v a l u a t i o nc r i t e r i a ) ) ) 中的 m a c ，它主要用来描叙美国通用计算机系统环境下的多级安全策略i 豫1 。m a c 的 基本思想是每个主体都有既定的安全属性，每个客体也都有既定安全属性，主 体对客体能否执行特定的操作取决于二者属性之间的关系。以d b m s ( 数据库 管理系统) 为例，在采用m a c 机制时，给每个访闻主体和被访问对象( 客体) 分配敏感度标记( l a b e l ) 。敏感度标记被分为若予级别，如绝密( t o ps e c r e t ) 、 机密( s e c r e t ) 、可信( c o n f i d e n t i a l ) 、公开( p u b l i c ) 等。主体的敏感度标记称 为许可证级别( c l e a r a n c el e v e l ) ，客体的称为密级( c l a s s i f i c a t i o nl e v e l ) 。通过对 比二者的标记来最终决定主体是否能够存取客体。对比规则如下：仪当主体的 许可证级别大于或等于客体的密级时，该主体才能读取相应的客体；仅当主体 的许可证级别小于或等于客体的密级时，该主体才能写相应的客体。概括而言， 就是向上写，往下读。在这种情况下信息流只是从低级别的地方流向高级别的 地方。从瓶保证了信息的保密性要求。所以它一般应用于翠方等有明显等级观 湖南科技大学硕士学位论文 念的行业。但是由予只保证级别低的入往高级剐酶地方写入信息僵不能读取， 因此m a c 的一个主要缺点就是信息熬完整姓难跌 馨刘保涯。o r a c l e 对m a c 的 最新支持是o r a c l e9 i 中引入的l a b e ls e c u r i t y 机制。 3 1 3 基于角色的访闻控制 基予角色的访问控制( r o l e b a s e da c c e s sc o n t r o l ，r b a c ) 通常被认必是对传 统的鑫主访阏控制和强稠访阏控制的一个缀有前途的两者选一，r b a c 一个最重 要的特色就是它自身是一个中性策略，它是一个结合策略的方法焉不是具体能 菜一个特殊懿安全策略的方法 3 8 , 3 9 , 4 0 l 。r b a c 孳l 入焦色的概念，以惫色俸麦授权 管理的中介，系统安全管理员可根据需臻定义备种角色，并为其设置合适的访问 权限，然后根据焉户所担任的工作职责或者级别分配福应的熊色，献面使用户 获得相关的权限集。r b a c 有以下优势： 1 便于授权管理。如系统管理员需要修改系统设置等内容时，必须有几个 不丽角色憨用户裂场穷麓操豫，献两保证了安全性。 2 便于根据工作需要划分等级。如企业财务部门与非财务部门的员工对企 业财务的访阅权限就可裔财务入员这今角色来区分。 3 便予赋予最，j 、特权。翔即使用户被赋予高级身份也未必一定要使用，以 便减少损失。只有必要时方能拥奄特权。 4 便予任务分担。不同的角色完成不同的任务。 这薹需要指出的是用户组和角色的区别，两者的主要区别是出发点不一样， 焉户组是麸溺户燕度爨发，面受色飙权限鑫度出发，可戬用用户组来实现囊色 的功能。 r b a c 模型中经常被提到的是r b a c 9 6 ，该模型是r 。s a n d h u 等人提是的关 于r b a c 的一个参考模型族l 撼l 。该协议族包含r b a c 0 ，r b a c l ，r b a c 2 ，其 中r b a c 0 是最基本的模型，描叙了任何支持r b a c 的系统的最小要求。r b a c 0 包含四个要素：用户，角色，会话，和访闯权限。用户通过激活所属角色的一 个子集获得一组访问权限邵谢对相关客体执行规定的操作，任何菲显式的授权 都是被禁止的。r b a c l 是对r b a c 0 的扩充，增热了囊色等级能概念。透过角 色等级，上级角色继承下级角色的全部权限，再加上自身权限便构成该角色的 全部权限。 r b a c 2 也是r b a c 0 的扩充，它糯入了约束的概念。例如，会计和凄缡不 能由一个人来担当。r b a c 2 的约束规则主要有； 1 最小权限：用户被分配到的权限不麓超过完成箕职责所需的最小权限。 防止权利滥用。 2 。基数约束与角色容量：分配绘个用产的囊色数毽和一个蹙色所能嚣有 第二章访面控制策略 的权限数目都可以作为安全策略加以限制。例如，规定总经理角色只能由一个 人担当，这就是角色容量。 3 互斥角色：一个用户只能属予一组互斥角色中的某一个，否则会破坏职 责分离。 4 先决条件：一个用户获得某个角色必须先拥有某一权限才能获得另一权 限。例如，文件系统中先有读目录的权限才能有写文件的权限。 r b a c 3 是r b a c l 和r b a c 2 的结合，将角色等级与约束结合起来就产生了 等级结构上的约束： 1 等级间的基数约束：给定角色的父角色或子角色的数量限制。 2 等级闻的互斥角色：两个给定角色是否可以有共同的上级角色或下级角 色。特别是两个互斥焦色是否可以有共同的上级焦色，例如在一个项目小组中 程序员和测试员是互斥角色，那么项目主管角色应该如何来解释、定义。 r b a c 9 6 模型中只有一个安全管理员( s e c u r i t yo f f i c e r , s o ) 进行系统安全 策略设计和管理，丽大型系统中用户和篇色数量众多，单靠一个s o 是不瑗实的。 通常做法是指定一组s o ，如首席s o ，系统级s o ，部门级s o 等等。在此基础 s a n d h u 等人提出了r b a c 9 6 的管理模型a r b a c 9 7 t 引i 。a r b a c 9 7 中的角色分为 棠规角色和管理角色，二者是互斥的。访阌权限也分为常规权限和管理权限， 也是互斥的。管理角色有等级结构和权限继承。 a r b a c 9 7 包括三个组成部分： l 。用户凫色管理( u s e r r o l ea s s i g n m e n t ) ； 2 。权限角色分配管理( p e r m i s s i o n r o l ea s s i g n m e n t ) ； 3 角色角色分配管理( r o l e r o l ea s s i g n m e n