（计算机软件与理论专业论文）偏序结构下参数化的权限管理基于本体的权限管理案例研究.pdf

偏序结构下参数化的权限管理：摘篮 摘要 权限管理技术是安全系统的核心技术，它通过权限的设置和维护，来阻止对计算机 系统和资源的非授权访问，确保只有适当的人员才能获得适当的服务和数据。权限管理 问题。直是计算机系统安全研究和应用的热点之一。 现代应用环境卜，如企业信息门户、版权保护、分布式电子图书馆中，信息资源的 多样性和复杂性使得安全机制的设置越来越成为一个复杂和困难的挑战。当今，权限管 理面临着若干问题，如：信息资源类型多，对应用资源的访问控制粒度越来越细，多种 安全策略共存于一个系统中，跨应用的安全策略和应用专用的安全策略，以及企业范围 内授权策略的一致性等问题。目前，许多应用开发者都采用在应用系统中嵌入访问控制 的方法来解决上述问题。这种方法较难实现、耗费大且易出错，从安全角度讲，也是很 危险的，它使安全策略的验证、修改和充分执行变得非常困难。 本文的目标定位在对一种新型的广义权限管理模型的研究，主要解决对企业内部带 有语义信息操作的控制以及跨应用复杂安全策略的表述和实现中所涉及的科学理论问 题和关键技术问题。本文在企业信息门户的背景下，建立了一个主客体交融的、细粒度 的、带参数的、参数论域呈偏序结构的权限管理模型，有以下几点创新之处： 权限管理中本体的引入和使用 为了描述企业内部带有语义信息的广义操作，在企业的业务层面上，我们引入了本 体来对业务层面上与操作相关的信息进行概念建模，实现了一类对具有业务内涵、范围 相当广泛的广义操作进行权限定义和管理的合适的表达框架和管理机制，并建立了相应 的形式化模型；另一方面，本体的使用将传统的访问控制对象扩展为带参数的、参数论 域通过领域本体呈现出结构性关联( 偏序结构) 的、并且具有业务语义的服务。这样， 扩大了访问控制对象的范围，丰富了相应的访问控制机制。 多策略授权设置语言 我们设计了种能够用一个单一的框架来表达不同访问控制策略的语言，该语言支 持用户自定义谓词和复杂授权规则的设置，表达力强且扩充方便，并且提供一种通用的 机制来实现多种访问策略，为跨管理域和多个不同平台提供了一种统一的访问控制策略 的设置和构成。该语言通过对谓词及用户自定义谓词的支持，使得我们不仅能够对文件、 目录以及各种更细粒度的数据单元进行授权设置，而且还可以对各种带有复杂参数的服 务进行授权设置。 独立的权限管理服务器 我们设计了一个独立于应用程序的权限管理服务器，它能为多种应用程序提供统一 的权限管理支持。每个应用只需要实现自己的业务逻辑，对业务逻辑的每个操作环节的 一i 一 偏序结构下参数化的权限管_ ! l ! 二摘要 权限判断全部可以由权限管理服务器来进行。这种设计将应用逻辑和授权逻辑分丌，策 略的验证、修改和执行不会影响应用逻辑的运行，同样，应用逻辑的改变也不会影响策 略的执行。独立的权限管理服务器不仅加强了企业范围内授权策略的一致性，而且为企 、【k 应用内的业务操作提供了语义清晰的形式化模型和用户友好的结构化界面。 基于最小授权规则库的权限计算 为了提高权限判断系统的性能，我们提出了一种新的基于最小授权规则集合的权限 计算算法。该算法基于最小授权规则集合，用反链式结构来表示最小授权规则集合，采 用动态继承的方法来进行权限的判断。这种方法考虑了授权规则的在各个方向上的继承 传播，并能处理由于负授权的存在可能引发的规则冲突，降低了以往访问控制在空间上 的耗费。 我们一直有一个想法，就是建立一套类似于w e b 资源服务系统一样的权限服务系 统，它能为许多应用提供权限设置和权限查询的w e bs e r v i c e s 接口。我们希望它能成为 一种软件平台，为国家安全和经济建设提供核心技术支持。本研究可以看作是这个方向 上的一个尝试。 关键字：本体权限管理授权访问控制安全策略授权规则授权规则库偏序结构 参数化反链继承冲突解决 p r i v i l e g em a n a g e m e n tw i t hp a r a m e t r e sa n dp a r t i a l o r d e rs t r u c t u r e ：a b s t r a c t p r i v i l e g em a n a g e m e n t w i t hp a r a m e t r e sa n dp a r t i a l o r d e rs t u r c t u r e - - _ _ r e s e a r c h e so np r i v i l e g em a n g e m e n tb a s e do ro n t o l o g y p r i v i l e g em a n a g e m e n t i st h ec o r eo f s y s t e ms e c u r i t y ，w h i c hc a np r e v e n tc o m p u t e rs y s t e m a n dr e s o u r c ef r o mb e i n gu n a u t h o r i z e da c c e s s e da n dm a k es u r et h a td i f f e r e n tp e o p l ec a ng e t d i f f e r e n ts e r v i c e sa n d d a t a p r i v i l e g em a n a g e m e n t i s a l w a y s a n i m p o r t a n tp r o b l e m o f c o m p u t e rs y s t e ms e c u r i t yr e s e a r c h e sa n da p p l i c a t i o n s u n d e rt h em o d e ma p p l i c a t i o n c i r c u m s t a n c e s ，s u c h a s e n t e r p r i s e i n f o r m a t i o n p o r t a l ， c o p y r i g h tp r o t e c t i o n ，d i s t r i b u t e dd i g i t a ll i b r a r y ，e t c ，t h ev a r i e t ya n dc o m p l e x i t yo fi n f o r m a t i o n m a k et h es e c u r i t ym e c h a n i s m s p e c i f i c a t i o nm o r ea n dm o r ec o m p l e xa n dd i f f i c u l t a tp r e s e n t ， p r i v i l e g em a n a g e m e n t i sf a c e dw i t hm a n y p r o b l e m s ，f o re x a m p l e ，t o om a n yt y p e so fr e s o u r c e s ， m 6 r ea n dm o r ef i n e ra c c e s st oa p p l i c a t i o nr e s o u r c e s ，m u l t i p l es e c u r i t yp o l i c i e sc o e x i s t i n gi n o n es y s t e m ，a c r o s s a p p l i c a t i o ns e c u r i t yp o l i c e s ，u s eo fa p p l i c a t i o n s p e c i f i cs e c u r i t yp o l i c e s ， a n d c o n s i s t e n c y o fa u t h o r i z a t i o n p o l i c i e s a c r o s s e n t e r p r i s ea p p l i c a t i o n s n o w a d a y s ， a p p l i c a t i o nd e v e l o p e r sr e s o r tt oe m b e d d i n g a c c e s sc o n t r o lf u n c t i o n a l i t yi na p p l i c a t i o ns y s t e m t h i s c o u p l i n g o fa c c e s sc o n t r o l f u n c t i o n a l i t y w i t h a p p l i c a t i o nl o g i c c a u s e s s i g n i f i c a n t p r o b l e m si n c l u d i n gt r e m e n d o u s l yd i f f i c u l t ，c o s t l ya n de r r o rp r o n ed e v e l o p m e n t ，i n t e g r a t i o n ， a n do v e r a l lo w n e r s h i p o f a p p l i c a t i o n s o f t w a r e o u rd i s s e r t a t i o na i m sa tt h er e s e a r c ho fan e w g e n e r a l i z e dp r i v i l e g em a n a g e m e n tm o d e l ， m a i n l yt o r e s o l v et h ep r o b l e mo fc o n t r o l l i n ga c t i v i t i e sw i t hs e m a n t i ci n f o r m a t i o nw i t h i n e n t e r p r i s e sa n ds p e c i l y i n ga n di m p l e m e n t i n ga c r o s s a p p l i c a t i o nc o m p l e xs e c u r i t yp o l i c i e s i n t h eb a c k g r o u n do fe n t e r p r i s ei n f o r m a t i o np o r t a l ，i nt h i sd i s s e r t a t i o n ，w ep r o p o s ea p r i v i l e g e m a n a g e m e n tm o d e lw h i c h i ss u b j e c ta n do b j e c tm i n g l e d ，f i n e g r a i n e d ，p a r a m e t e ru s e d ，a n d w i t hp a r t i a l o r d e rs t r u c t u r e dp a r a m e t r i cf i e l d s t h em a i n p o i n t so f o u rw o r ka r ed e s c r i b e da s f o l l o w s i n t r o d u c i n g a n du s i n go f o n t o l o g yi np r i v i l e g em a n a g e m e n t i no r d e rt od e s c r i b eg e n e r a l i z e da c t i v i t i e sw i t hs e m a n t i ci n f o r m a t i o nw i t h i ne n t e r p r i s e s ， w ei n t r o d u c eo n t o l o g yi n t oe n t e r p r i s ea p p l i c a t i o nl e v e lw h i c hc a nb u i l du pc o n c e p tm o d e lf o r a c t i v i t y r e l e v a n ti n f o r m a t i o no fa p p l i c a t i o nl e v e l b a s e do no n t o l o g y ，w ep r o p o s eas u i t a b l e f r a m e w o r k a n d m a n a g e m e n t m e c h a n i s mf o r g e n e r a l i z e d a c t i v i t i e sw i t h a p p l i c a t i o n c o n n o t a t i o na n db u i l du pc o r r e s p o n d i n gf o r m a l i z e dm o d e l a n do nt h eo t h e rh a n d ，o n t o l o g y h e l p s t oe x t e n dt r a d i t i o n a la c c e s sc o n t r o lo b j e c t st os e r v i c e sw i t hp a r a m e t e r sa n dw i t h a p p l i c a t i o n s e m a n t i ci n f o r m a t i o n ，w h i c h e n l a r g e sr a n g e s o fa c c e s sc o n t r o l o b j e c t s a n d e n r i c h e sa c c e s sc o n t r o lm e c h a n i s m e s m u l t i p l ea u t h o r i z a t i o ns p e c i f i c a t i o nl a n g u a g e w e d e s i g n al a n g u a g ew h i c h s u p p o r t su s e rd e f i n e dp r e d i c a t e sa n dc o m p l e xa u t h o r i z a t i o n i 偏序关系f 参数化的权限管埋：日录 s p e c i f i c a t i o n 1 h i sl a n g u a g ec a ni m p l e m e n t an u m b e ro fd i f f e r e n ts e c u r i t yp o l i c i e s ，b a s e do n d i v e r s ea u t h o r i z a t i o nm o d e l s w h i c hc a nc o e x i s ti na p p l i c a t i o n s t h el a n g u a g ep r o v i d e sa u n i f o r mm e c h a n i s ms oa st os t a n d a r d i z et h ew a yt h a t a p p l i c a t i o n s d e f i n et h e i r s e c u r i t y r e q u i r e m e n t sa n ds u p p o r tt h ec o m m o na u t h o r i z a t i o nr e q u i r e m e n t sa n dp r o v i d et h em e a n s t o d e f i n i n g a n d i n t e g r a t i o n w i t h a p p l i c a t i o n o r o r g a n i z a t i o ns p e c i f i cp o l i c i e s a sw e l l a p p l i c a t i o n s s h o u l dn o tn e e dt o r e i m p l e m e n t t h eb a s i ca u t h o r i z a t i o nf u n c t i o n si na n a p p l i c a t i o ns p e c i f i cm a n n e r t h es u p p o r to fp r e d i c a t e sa n d u s e r d e f i n e dp r e d i c a t e sh e l p su st o s p e c i f ya u t h o r i z a t i o nn o to n l yt of i l e ，d i r e c t o r ya n dm o r ef i n e d - g r a i n e dd a t ai t e m ，b u ta l s ot o s e r v i c e sw i t hc o m p l e x p a r a m e t e r s i n d e p e n d e n tp r i v i l e g em a n a g e m e n t s e r v e r w e d e s i g na na p p l i c a t i o n i n d e p e n d e n tp r i v i l e g em a n a g e m e n ts y s t e mw h i c h c a ns u p p o r t u n i f o r mp r i v i l e g em a n a g e m e n tf o rm u l t i p l ea p p l i c a t i o np r o g r a m s u s i n gi t ，e a c ha p p l i c a t i o n o n l yn e e d st oi m p l e m e n ti t sa p p l i c a t i o nl o g i ca n dn e e d n tt oc o n s i d e ra c c e s sc o n t r o l 。t h i s d e s i g nd i s j o i n sa p p l i c a t i o nl o g i ca n d a u t h o r i z a t i o nl o g i c ，w h i c hh e l p st ok e e pp o l i c i e sw i t h i n t h ew h o l ee n t e r p r i s e s c o n s i s t e n t m o r e o v e r , i n d e p e n d e n tp r i v i l e g em a n a g e m e n t s e r v e r p r o v i d e s c l e a rs e m a n t i cf o r m a l i z e dm o d e la n d u s e r - f r i e n d l y s t r u c t u r e di n t e r f a c e sf o r e n t e r p r i s ea p p l i c a t i o n s p r i v i l e g ec a l c u l a t i n gb a s e d o nt h el e a s ta u t h o r i z a t i o nr u l es e t t o i m p r o v ec a p a b i l i t y o fp r i v i l e g e d e d u c i n g a n dd e c i s i o n ，w e d e s i g n ap r i v i l e g e c a l c u l a t i n ga l g o r i t h mb a s e do n t h el e a s ta u t h o r i z a t i o nr u l es e t t h i sa i g o f i t h mi sb a s e do nt h e l e a s ta u t h o r i z a t i o nr u l es e tw h i c hi s e x p r e s s e du s i n g a n t i c h a i na n d a d o p t sd y n a m i c i n h e r i t a n c em e t h o dt om a k ep r i v i l e g ed e c i s i o n t h ea p p r o a c hc a l c u l a t e s a u t h o r i z a t i o n p r o p a g a t i o na l o n g d i f f e r e n t p a r t i a l o r d e r s t r u c t u r e sa n di sa b l et or e s o l v ea u t h o r i z a t i o n c o n f l i c t sc a u s e db y n e g a t i v e a u t h o r i z a t i o n s w eh a v ea ni d e ao fs e t t i n gu pap r i v i l e g es e r v i c es y s t e mw h i c hi ss i m i l a rt ow e b r e s o u r c es e r v i c e i tc a np r o v i d ea u t h o r i z a t i o ns p e c i f i c a t i o ni n t e r f a c e sa n da u t h o r i z a t i o nq u e r y i n t e r f a c e sf o rm u l t i p l ea p p l i c a t i o n s w eh o p ei tc a nb e c o m eas t a n d a r ds o f t w a r es y s t e ma n d c a np r o v i d et e c h n o l o g y s u p p o r t f o rn a t i o n a l s e c u r i t y a n de c o n o m i c d e v e l o p m e n t o u r r e s e a r c hc a nb el o o ko na sa na t t e m p ti nt h i sf i e l d k e y w o r d s ：o n t o l o g y ，p r i v i l e g em a n a g e m e n t ，a u t h o r i z a t i o n ，a c c e s sc o n t r o l ，s e c u r i t yp o l i c y ， a u t h o r i z a t i o n r u l e ，p a r t i a l o r d e r s t r u c t u r e ，p a r a m e t r i c ，a n t i c h a i n ，i n h e r i t a n c e ， a u t h o r i z a t i o nc o n f l i c t v 独创性声明 本人声明我所呈交的论文是我个人在导师指导下进行的研究工作及取 得的研究成果。据我所知，除了文中特别加以标注和致谢的地方外，沦文 中不包含其他人已经发表或撰写过的研究成果。与我同工作的同志对本 文所做的任何贡献均已在论文中作，明确的说明并表示了谢意。 作者签名：杰糕、糊 日期：函计苫。弓 关于论文使用授权的说明 中国科学院计算技术研究所有权保留送交论文的复印件，允许论文被 查阅和借阅；并可以公布论文的全部或部分内容，可以采用影印、缩印或 其它复制手段保存该论文。 作者签名：危鸫、柚、导师签名：解每 日期：如中岁，7 ； 第l 章0 i 高 第1 章引言 权限管理技术是安全系统的核心技术，它通过对主体访问权限的设置和维护，来阻 止对计算机系统和资源的非授权访问，确保只有适当的人员才能获得适当的服务和数 据。权限管理问题一直是计算机系统安全研究和应用的热点之一。特别地，在现代应用 环境中，如企业信息门户、分布式电子图书馆、工作流应用、版权保护、服务组合等， 都涉及到对一些共享资源( 文件、任务、服务、设备等) 的操作控制问题，如何保证只 有授权用户才能访问这些异常复杂的共享资源成为每个应用领域都关心的问题。 近年来，随着企业信息化程度的日益发展，以及企业内部信息资源多样性和复杂性 的提高，信息安全的问题已明显暴露出来了，信息安全技术已经远远跟不上时代对它的 急切要求，甚至成为应用发展的一种障碍。而权限控制作为保护企业信息资源免受攻击 的一种必要的安全手段，如何实现对各种资源复杂的操作控制将是一个具有挑战性的问 题，也成为每个企业都紧迫关注的问题。 一1 1 现代应用环境对权限管理的要求 现代企业集成环境中存在大量分布、异构的应用系统，这些应用所基于的设计和技 术都可能不同，且内部信息资源类型多、粒度细。在某些应用域中，要求访问控制必须 是细粒度的，授权决策时必须支持针对特定应用的信息的使用，且能一致有效地执行跨 企业应用组织的授权策略。因此，如何为这些应用设置安全机制，已经成为一个越来越 复杂和困难的挑战，成为每个企业都必须关注的问题。现代企业中应用级的权限管理必 须支持下列需求：支持多策略授权和访问控制；支持细粒度的权限管理；支持带参数的 权限管理；支持多应用共享的权限管理。 1 1 1 支持多策略授权和访问控制 与传统的应用不同，现代企业环境下每个应用需要处理很多不同类型的分布式数据 对象，如：图像、视频数据、关系数据、面向对象的数据，对这些数据的访问请求不可 能只用一种访问控制策略来实现，需要在不同的策略下进行管理。而且，需要对不同类 型的数据对象使用不同的访问控制策略，例如：一些复杂的对象可能需要一种细化的访 问控制策略，可以对该对象的某一特定部分进行授权，且需要肯定与否定授权以及例外 处理：而对关系型数据，则不需要这样细化的访问控制策略。不同的授权管理策略也可 能共存于同一系统中，例如：在某个应用系统中，授权给某个用户访问某个数据的权限 可能需要几个用户的联合授权：而在另外一个应用中，只需要单个管理员授权就足够了。 很明显，当一个访问控制机制使用一个特定的策略时，能同时满足不同的保护策略需求 是很困难的。因此企业应用级的权限管理模型，必须能够支持多种授权和访问控制策略， i 】 偏序结构下参数化的权限管理一琏十本体的权限管理案例研究 且允许它们共存于个应用系统内。 1 1 2 支持细粒度的权限管理 一般，可以将权限管理的粒度分为兰个层次【r s a 】： 1 ) 粗粒度：在u m l 级上限制用户的访问来保护机器及内容，可以基于用户的域名或 【p 地址来控制访问，阻止黑客和攻击者的攻击。 2 ) 中粒度：基于访问控制列表，提供传统的对目录和文件的条件访问。这个层次的 权限管理可用w e b 服务器的个人和组的访问控制列表或者目录服务中用户和组的 权限来完成。 3 ) 细粒度：包括详细的基于规则的访问控制，需要使用策略管理服务，并且可以鉴 别用户的角色和管理复杂的i f t h e n 业务规则。 某些应用资源，例如文件、数据库记录等等，都可以被一个操作系统或数据库管理 系统来保护。但是，有些应用特定的资源则不可以，这是因为除了应用本身，这些资源 不被其他应用所认知，例如：应用业务逻辑特定部分的执行。换句话说，特定应用资源 的粒度比普通的计算机系统要细得多，这是应用级和普通目的访问控制的一个基本区 别。因此，现存的网络、操作系统、数据库管理系统和中间件技术都无法完全实现对企 业内部应用资源的细粒度权限控制，它们都是为特定目标的使用而设计的，控制粒度太 粗，且只关心某些类型的资源，只能实现权限控制粒度的第一个和第二个层次。至于细 粒度的权限控制，目前还没有一个比较好的产品，能够实现对复杂条件下的各种操作请 求的权限控制。 目前，应用开发者一般采用在应用系统中嵌入访问控制的方法，以支持复杂、细粒 度和上下文相关的授权策略。这种方法将访问控制功能和应用逻辑结合起来，会引发若 干问题：使得企业的安全管理变得异常困难，且耗费大、易出错，也使得安全策略和控 制机制的改变变得更困难，为应用软件的开发、修改和动态配置带来了很大的难度。因 此，设计一种通用的能支持细粒度的权限管理模型，也是企业权限管理的一个重要需求。 1 1 3 支持带参数的权限管理 一般来说，主客体的信息都分为安全相关的信息和安全不相关的信息。传统的访问 控制中，只有安全相关的信息才能用于操作的控制决策中，安全策略的设置局限于主客 体的安全级别或者是角色等安全相关的信息。这些安全相关的信息由安全管理员或用户 管理员来控制，描述了主体的身份、组成员、允许权限、客体的安全标签、所有者等安 全属性。 但是，现代应用环境下，主体对客体不仅仅是简单的读、写、执行等访问与被访问 第1 章t j l 啬 的关系，。u f 之间还存在些非访问操作的关系，例如请假、帐务的审批等。这些操作 都带有些语义信息，比如请假操作，需要考虑请假主体的职位、客体的职位、请假的 类型、天数、可批假期的类型和天数等等。对这种应用级上的带语义信息的操作的控制， 必须要考虑主客体的一些安全无关的信息。这些安全无关的信息不是由安全管理员或用 户管理员控制的，也不是以主客体安全属性的形式提供用于授权决策的，授权决策系统 必须通过其他方式来获得这些动态信息。 通常采用带参数的服务请求的方式柬实现这种与应用特定信息相关的权限控制。因 此是否支持参数化的权限管理成为应用级权限管理的一个重要问题。这也是应用级操作 控制与通用系统访问控制机制的一个区别，应用级访问控制使用的授权规则需要使用访 问操作、主体或客体相关的信息，这些信息作为服务请求所携带的参数，其论域是与应 用背景相关的，安全策略的设置不局限于主客体的安全级别和角色等安全属性。因此应 用级的访问控制比通用系统的访问控制所使用的信息更详细，和业务逻辑、企业模型等 因素更相关联。 1 1 4 支持多应用共享的权限管理 在传统的企业应用中，一般地，授权逻辑和应用是紧紧绑定在一起的，企业安全管 理员不得不逐个为应用配置授权逻辑，给管理带来了巨大的困难，也增加了人为出错的 可能。在这些拥有自己的访问控制机制的应用中，每个应用都有自己私有的接口来管理 安全机制。这样，企业不可能使用单一的管理环境来管理多个应用的访问控制和其他的 安全机制，因此，访问控制管理成为一个非常耗费资源和易出错的任务。另外，应用中 安全信息的复制，以及授权和应用逻辑的结合，有可能造成在同一企业中存在着多个不 一一致的访问控制模型。这种情况下，保证跨应用的访问控制规则的一致性变得非常困难。 为了解决上述问题，现代企业的权限管理应该支持多应用的共享，这样就可以用一 种集中、统一的方法来实现整个企业内所有应用的权限管理，使得应用逻辑和授权逻辑 分离，降低了企业内部不一致访问控制策略的执行。另外，还增强了企业权限管理的实 用性、可管理性和可维护性。 1 2 本体的作用 从上面的讨论可以看出，现代企业需要有一种集中、统一的权限管理模型，来支持 企业范围内细粒度的、多策略的、带参数的、跨应用一致的、以及独立于应用运作的权 限管理，这种权限管理模型不仅支持传统的访问控制，而且能够支持对带语义信息的操 作的控制。 为了支持对每个应用内的带语义信息操作的控制，企业应该有一个共享的概念和术 语集合来用于领域知识的共享。但是，由于企业内部的各个应用并不是同时开发的，可 1 1 偏序结构下参数化的权阻管理一綦f 奉体的权限管理案例卅f 究 能基于小同的设计和技术，每个应用都有自己的一些概念和术语集合。这样，在各种类 型应用间的信息交换中，信息的含义深受其被浏览和解释的卜下文的影响，共享信息变 得比较困难。 如图1 1 所示，在一个企业内部，有如下应用系统：c a d 系统、执行分机、生产分 析、产品数据管理系统、过程规划、产品管理系统、调度系统，为了对各个应用内具有 业务领域内涵的操作进行控制，企业需要统一不同应用间术语的含义，来解决安全策略 设置时的信息语义冲突。 图1 1 ：使用点对点转捩器进行应用i 司概念和术语的映射 传统的方法是使用点对点的转换程序来对两个应用间的概念和术语进行映射，但是， 当应用的数量比较多和信息比较复杂的时候，这种方法比较困难，因为软件开发者必须 提供每两个应用之间的转换器。 为了解决上面的问题，我们选择使用本体这种可共享和可重用的模型来进行企业内 部概念的建模，来实现领域知识的共享，以及解决信息语义的冲突。所有的本体都包含 一个词汇表，带有对术语语义含义的设置。这样，本体通过提供带有共享语义的通用词 汇来支持领域知识共享和应用间信息的交流，而不是像图1 1 中那样为每一对应用创建 点对点转换器，只需要为每个应用和通用本体之间创建术语的转换器即可，见图1 2 。 可见，使用本体这种共享的“公共结构”描述工具，我们可以统一应用中一些共享 信息的语义，有利于跨应用、多策略、细粒度的权限管理系统的实现。另外，现代应用 中复杂的主客体也需要有本体这样一种丰富的结构来为其归纳分类。其次，本体间存在 一些关系和约束信息，利用这些关系及约束信息，可以更方便地进行策略推理和冲突解 涣。 堡! 里! l 妻 图i2 ：使用本体进行应用间概念和术语的映射 1 3 本文的目标与贡献 本文的目标定位在对一种新型的广义权限模型的研究上，主要解决对企业内部带有 语义信息的操作的控制以及跨应用的复杂安全策略的表述和实现中所涉及的科学理论 问题和关键技术问题。本文在企业信息门户的背景下，建立了一个主客体交融的、细粒 度的、带参数的、参数论域呈偏序结构的权限管理模型，有以下几点创新之处： ( 1 ) 权限管理中本体的提出和使用 在企业环境中，企业内部信息异常复杂，不同应用间存在若干信息的交换要求。由 于每个应用可能都是基于不同的设计和技术单独开发的，同一信息在不同应用中可能会 使用不同的概念和术语来表示，这样使得信息的共享变得比较困难。如何解决跨应用安 全策略的设置及跨应用资源的访问控制成为一个难题。我们引入了本体结构，使用企业 组织的概念和术语本体，给出企业内部各种信息的确切定义，统一领域内不同应用间知 识的表示，从而实现跨应用的复杂的安全策略的设置：同时，利用本体中的一些关系及 约束来实现权限管理中权限的推理决策和冲突的解决，从而实现对跨应用资源的访问控 制。 ( 2 ) 多策略授权设置语言 我们设计了一种能够用一个单一的框架来表达不同访问控制策略的语言，该语言支 持用户自定义谓词和复杂的授权规则的设置，表达力强且方便扩充，并且提供一种通用 的机制来实现多种访问策略，为跨管理域和多个不同平台提供了一种统一的访问控制策 略的设置和构成。该语言通过对谓词及用户自定义谓词的支持，使得我们不仅能够设置 对文件、目录以及各种更细粒度数据单元的授权，而且还可以对各种带有复杂参数的服 务进行授权设置。 偏序结构f 参数化的权限管理恭于牟体的权限管埋案例研究 ( 3 ) 独立的权限服务器 我们设计了一个独立于应用程序的权限管理系统，它能为多种应用程序提供统的 权限管理支持。每个应用只需要实现自己的业务逻辑，对每个业务逻辑的权限判断全部 可以山权限管理服务器来实现。这种设计将应用逻辑和授权逻辑分丌，策略的验证、修 改和执行不会受应用逻辑改变的影响，同样，应用逻辑的改变也不会影响策略的执行。 独立的权限管理服务器不仅加强了企业范围内授权策略的一致性，而且为企业应用内的 业务操作提供了语义清晰的形式化模型和用户友好的结构化界面。 ( 4 ) 基于最小授权规则库的权限计算 为了提高权限判断系统的性能，我们设计了基于最小授权规则集合的权限计算算法。 该算法基于最小授权规则集合，用反链式结构来表示最小授权规则集合，采用动态继承 的方法来进行权限的判断。这种方法考虑了授权规则的在各个方向上的继承传播，并能 处理由于负授权的存在可能引发的规则冲突，降低了咀往访问控制在空间上的耗费。 1 4 本文的组织 在本文中，为了在各个部分表述的方便，如果没有特殊说明，我们把操作( o p e r a t i o n ) 、 活动( a c t i v i t y ) 、动作( a c t i o n ) 都认为表示相同的意思，即表示主体对客体所做的行为。 本文的各个工作之间的关系是这样的( 图1 3 本文技术点之问关系) 。 本体设置授权设置语言 | r| r 偏序结构下的权限管理模型 权限传播、冲突解决算法授权决策算法 上 、| r 支持多策略的权限管理系统 图1 3 本文技术点之间关系 本文的下面内容是这样组织的 1 4 1 1 第二章关于相关工作的个综述 本章主要总结了关于权限管理中所涉及到的一些基本问题，包括几种i 全策略的介 绍，主要安全策略的设置方法，还有一些已有的权限管理系统。分析了各每传统权限管 理模型的优缺点，并指明了其所1 i 能解决的问题，希望为解决访问控制系爱丌发中需要 处理的问题提供一个新思路。 1 4 1 2 第三章基于本体的权限管理模型 本章在前一章的基础上，对传统的权限管理模型进行了扩充，提出了一种新型的权 限管理模型。该模型引用了本体这种表达结构，能够实现对域内各种复杂主客体的表示， 并能实现域内信息的共享。浚模型可以解决传统的权限管理模型所不能表述的问题。本 章首先介绍了传统的权限管理模型，提出了传统的权限管理模型不能解决的问题，然后 给出了基于本体的权限管理模型，总结了新模型在表达力上的创新点。为了表示企业内 部与权限相关的信息，我们给出了一个简单的本体描述框架。在该描述框黑的基础上， 用户可以构建自己领域内与权限相关信息的本体，本文给出了权限本体构蓬的方法：最 后对基于本体的权限管理模型进行了总结和分析。 本章所提出的模型是后面几章的基础，我们所有的工作都是基于这个槎型的。 1 4 1 3 第四章对授权设置语言的详细介绍 授权设置语言是权限管理的一个重要组成部分，涉及到授权策略的表示方式，其表 达能力及灵活性直接关系到权限控制所能达到的粒度和权限计算的复杂程尼菱： 本章主要提出了一种谓词逻辑语言，用来实现复杂的安全策略表述。苣先给出了该 语言的基本组成，包括常量、变量和谓词符号；然后给出了授权规则的表示形式，并给 出了一些具体的实例：同时，分析说明了我们所提出的语言对多策略的支誓吾：最后是对 本章的小结。 本章是权限管理模型的一个重要组成部分，我们将其单独列出来介绍，它是我们所 设计的权限管理系统的基础之一。 1 4 1 4 第五章介绍了偏序结构下参数化的权限管理 本章的内容主要探讨了对严格定义了若干偏序关系的本体的权限管理，包括权限沿 偏序关系的传播，以及冲突的解决和权限的推理决策。我们提出了偏序结十每了权限计算 的种算法，该算法基于最小授权规则集合，用反链式结构来表示最小授意t 规则集合， 利用实体问和操作问的偏序关系，采用动态继承的方法来进行权限的判断。这种方法考 虑了授权规则在本体各个层次结构上的继承传播，并能处理由于负授权的 亨在所可能引 l 一7 偏序结构下参数化的权限管理一攮十奉体的权限管理案例研究 发的规则的冲突，降低了以往访问控制在空间上的耗费。 我们首先给出了权限沿实体和沿操作进行传播的规则：并给出了由于负授权及权限 传播所引发的授权冲突的解决方法；然后给出了授权规则和授权规则集的闭包算法；并 给出了授权规则库的生成算法包括最小授权规则集的生成和维护算法；以及给出了基 于最小授权规则集合的权限推理决策算法；本章最后对偏序结构下权限管理中的问题进 行了小结。 1 4 1 5 第六章介绍一个权限管理原型系统的实现 本章我们详细介绍了一个权限管理原型系统的实现，给出了系统框架和主要的实现 技术。首先介绍了系统各组成部分的功能；并给出了系统设计的详细数据结构、核心算 法、主要界面和拦截器实现的技术等等；最后给出本章的小结。 1 4 1 6 第八章对全文作出总结和未来研究的想法 最后我们对我们现在的工作和未来的计划，作一些总结和展望。 第2 章相关丁作 第2 章相关工作 权限管理主要是解决授权和访问控制的问题，它的一个重要的目标是保护数据和资 源只能被授权用j 、访问( s e c r e c y ，c o n f i d e n t i a l jl y ) 、不被擅自和非法修改、删除和 泄露( i n t e g r i t y ) ，同时，保证合法用户对资源的可用性( a v a i l a b i l j t y ，n o d e n i a l so fs e r v ic e ) 。因此权限管理主要控制对系统和资源的任何访问，并且保证只 能进行授权访问。该过程必须在一些安全策略的控制下进行的。 在详细介绍论文以前，很有必要介绍一下计算机系统访问控制的一些背景知识，包 括访问控制策略的基本分类、访问权限的表示、几种典型安全模型的体系结构、以及国 内外相关工作的进展情况。另外，为了分析我们提出的结果，我们介绍了对现存技术、 相关工作的评论标准。这些标准包括访问资源的粒度、支持特定应用域的策略