分布式環(huán)境中基于本體的RBAC策略研究.pdf

1、伴隨網(wǎng)絡(luò)與信息技術(shù)的快速發(fā)展，適普計算、語義Web、網(wǎng)格計算、多代理系統(tǒng)等等計算模式紛紛體現(xiàn)出了蓬勃的生命力。它們都處于開放、分布式的計算環(huán)境中，而要在這樣的環(huán)境下實現(xiàn)安全互操作，則必須面臨著如何解決在多個異構(gòu)自治域之間安全信息的共享、交互以及集成的問題，這對于訪問控制系統(tǒng)的研究來說是一項重大的挑戰(zhàn)。 已有的大部分研究往往側(cè)重于解決訪問控制在特定環(huán)境下所存在的某些具體問題，而缺乏對分布式環(huán)境整體上的考察。在對分布式環(huán)境作了細致的

2、研究后，提出了利用本體這種新興的技術(shù)，來完成對管理域內(nèi)的各種實體進行描述與控制的一般性方法，從而滿足系統(tǒng)從整體上的安全集成的目的。 著眼于解決分布式訪問控制策略框架中的描述、推理、集成等關(guān)鍵問題，在對基于角色訪問控制策略進行充分抽象的基礎(chǔ)上，提出了OntoRBAC——基于角色訪問控制的本體模型族。將RBAC 中的各種實體定義為策略本體中的各類概念，將授權(quán)定義為策略規(guī)則，用描述邏輯語言對之加以形式化的聲明。從功能上看，該模型又由基

3、礎(chǔ)子模型、層次子模型、約束子模型、模態(tài)子模型和總體模型這五個方面構(gòu)成，它對RBAC96 模型提供了有力的支持，并在實體層次描述、約束描述以及模態(tài)授權(quán)等方面作了有益的擴展。 本體描述了現(xiàn)實世界中的概念及其之間的關(guān)系，卻無法表達概念之間的因果推理關(guān)系，語義網(wǎng)規(guī)則語言（SWRL）的誕生提供了對這種本體概念之間的推理規(guī)則的定義能力，然而它目前無法很好地與本體的描述邏輯推理結(jié)合到一起。因此需要引入SWRL 的子集——描述Horn 邏輯（D

4、HL），在DHL 的范圍內(nèi)可以實現(xiàn)從描述邏輯到在Horn 邏輯的轉(zhuǎn)換，這種轉(zhuǎn)換被證明是具有語義保持性的，因此相應(yīng)的描述邏輯的推理可以被Horn 邏輯推理替代。從而借助于Horn 邏輯中前向推理、后向推理以及混合推理這三種基于規(guī)則的推理方法，可以實現(xiàn)對本體以及本體規(guī)則的推理。另外，在DHL 的范圍內(nèi)，對OntoRBAC 中各個子模型的推理規(guī)則進行了具體的定義，所有的訪問控制決策均在這些推理規(guī)則的基礎(chǔ)上來完成。 針對策略的描述與集成

5、中可能存在的沖突問題，提出了超協(xié)調(diào)本體知識庫中的兩種推理算法——沖突即終止算法和最大一致性算法。這兩種算法并沒有直接引入非單調(diào)推理，而是試圖在超協(xié)調(diào)的本體知識庫中找到一個一致性的子集，而在這個子集的基礎(chǔ)上提供單調(diào)性的推理，對于解決在非一致的本體庫中實現(xiàn)單調(diào)性推理提供了很大的幫助，并可以將它們運用于OntoRBAC 中的沖突消解問題。 策略集成是安全互操作中的一項重要的需求。借助于前面的策略描述與推理，采用基于單本體的策略集成的主

6、要思路和方法，對OntoRBAC 的策略集成進行了形式上的定義，并給出了策略集成中的聲明方法。這些聲明包括跨域的授權(quán)規(guī)則定義、跨域的角色層次映射定義、實體層次映射定義和實體一致性聲明，這些方法體現(xiàn)出了對一般RBAC 策略集成方式的支持與擴展。 OntoRBAC 需要一個策略服務(wù)器來實現(xiàn)集中式的策略管理，而這種方法對分布式授權(quán)的管理能力不強。在此討論了如何在OntoRBAC 的基礎(chǔ)上，引入信任管理的機制，利用PMI 和屬性證書來實