分布式環(huán)境中基于本體的訪問控制策略描述研究.pdf

1、訪問控制技術(shù)作為一項(xiàng)重要的信息安全技術(shù)，其主要目標(biāo)是阻止未授權(quán)用戶對(duì)敏感機(jī)密信息的訪問，以及防止合法用戶的不當(dāng)操作對(duì)信息系統(tǒng)造成的破壞，本質(zhì)上是在保證系統(tǒng)中信息的完整性和機(jī)密性的前提下，最大限度的支持信息的有效共享。
　　隨著計(jì)算技術(shù)和網(wǎng)絡(luò)技術(shù)的發(fā)展，信息系統(tǒng)已由傳統(tǒng)的封閉集中式模式發(fā)展成為開放分布式模式，給信息系統(tǒng)的安全研究帶來了新的挑戰(zhàn)。主要體現(xiàn)在兩個(gè)方面：研究和開發(fā)滿足開放分布式系統(tǒng)安全需求的訪問控制模型，以及可以有效解決語

2、義信息集成、共享和分析的策略表示和定義方法。
　　開放分布式環(huán)境的開放性、異構(gòu)性和動(dòng)態(tài)性，給訪問控制技術(shù)提出了新的要求。傳統(tǒng)的在封閉集中式環(huán)境中建立的訪問控制模型，包括自主訪問控制、基于安全等級(jí)的訪問控制和基于角色的訪問控制，已不再適用。基于屬性的訪問控制(attribute based access control, ABAC)，引入實(shí)體屬性的概念，對(duì)訪問控制相關(guān)的授權(quán)輔助信息進(jìn)行統(tǒng)一建模，通過定義屬性之間的關(guān)系表達(dá)授權(quán)約束，具

3、備強(qiáng)大的表達(dá)能力，能夠有效的解決開放分布式環(huán)境中細(xì)粒度的訪問控制和大規(guī)模主體動(dòng)態(tài)授權(quán)問題，已成為目前分布式訪問控制研究的主要方法。本文給出ABAC模型的數(shù)學(xué)形式化定義，為ABAC策略的表示和定義提供理論基礎(chǔ)。
　　在研究和抽象滿足不同應(yīng)用安全需求的訪問控制模型的同時(shí)，對(duì)安全策略的形式化表示和定義方法的研究也正同步進(jìn)行。策略是一組由管理需求產(chǎn)生的，相對(duì)持久的說明性規(guī)則，這組規(guī)則約束了系統(tǒng)作決策的過程。策略驅(qū)動(dòng)的安全管理是分布式環(huán)境中

4、安全管理研究中被學(xué)者和研究人員廣泛認(rèn)可和接受的安全管理方法。本體作為共享概念模型的形式化規(guī)范，本身也是一種高效的知識(shí)建模工具。本文提出了ABAC策略本體定義和實(shí)施框架OntoABAC，借助具有描述邏輯基礎(chǔ)的Web本體語言O(shè)WL，對(duì)ABAC策略中各種實(shí)體和關(guān)系進(jìn)行形式化定義，為策略信息的表達(dá)提供清晰的語義。鑒于描述邏輯和OWL在刻畫實(shí)體和關(guān)系、能力的不足，給出了策略本體上基于SWRL的用戶自定義規(guī)則的推理方法，對(duì)策略中的推理規(guī)則進(jìn)行定義。