（计算机软件与理论专业论文）一个用语义web技术设计和实现的访问控制系统.pdf

东南大学硕士学位论文 摘要 人类迈入知识社会之后，信息呈爆炸方式增长，因此信息系统的安全问题受到越来越多 的重视，这不仅涉及到个人计算机的安全问题，也包括大规模分布式系统的安全问题，如那 些运行在因特网上的系统。访问控制作为计算机安全问题的一部分，正受到越来越多的重视。 在企业中往往有多个应用系统，每个系统可能有各自的访问控制模块，这便给不同应用 系统的访问控制数据共享带来了问题。而语义w e b 技术可以为语义互操作带来便利，使用 语义w e b 技术，可以更好地描述不同访问控制实体之间的语义关系。因此本文使用核心本 体来描述访问控制模型中各个元素及其关系，如主体、客体等，用u r i 来标识各个元素的实 例，用r d f 来描述访问控制数据，这样可以更好地达到访问控制数据的共享。本文通过对语 义w e b 和各种访问控制模型研究现状的调查，结合我们所要开发的电子商务系统u m a r k e t 中对访问控制的要求，开发了一个用语义w e b 技术设计和实现的访问控制系统，该系统是 在n i s t 的基于角色的访问控制模型的基础上开发的。在文章中，我们首先给出了访问控制 系统的体系结构图及其相关的设计原则。从这些设计原则，我们可以看出系统支持静态职责 分离、动态职责分离、基数约束，也提供了通用算法来保证模型中的一些静态性质。我们通 过s p a r q l 语言对r d f 数据的查询能力为用户提供了丰富的浏览接口。为了支持不同要求的 企业级应用，我们也支持两种不同粒度的权限，即同时支持细粒度的权限和粗粒度的权限。 系统使用缓存方式来管理访问控制数据、使用连接池技术管理大量到r d fr e p o s i t o r y 的连 接，这样可以更好的提升系统的性能。 最后本文通过几个细分的场景，从两个角度对系统的使用进行了说明，即分别从管理员 的角度和普通用户的角度。 关键词：语义w e b ，本体，资源描述框架，访问控制，基于角色的访问控制 东南大学硕士学位论文 a b s t r a c t i nt h ek n o w l e d g es o c i e t y , t h ea m o u n to fi n f o r m a t i o ng r o w se x p l o s i v e l y s os e c u r i t yi s s u e so f i n f o r m a t i o ns y s t e ma t t r a c tm o r ea n dm o r ea t t e n t i o n t h i si sn o to n l yr e l a t e dt op e r s o n a lc o m p u t e r s e c u r i t yi s s u e s ，b u ta l s oi n c l u d e ss e c u r i t yi s s u e so fl a r g e s c a l ed i s t r i b u t e ds y s t e m ，s u c ha st h o s e r u n n i n g o nt h ei n t e r a c t a c c e s sc o n t r o la sp a r to ft h ec o m p u t e rs e c u r i t yp r o b l e m ，a t t r a c t sm o r ea n d m o r ea t t e n t i o nn o w t h ee n t e r p r i s e so f t e nh a v es e v e r a la p p l i c a t i o ns y s t e m sa n de a c hs y s t e mm a yh a v et h e i ro w n a c c e s sc o n t r o lm o d u l e s os h a r i n ga n di n t e g r a t i n ga c c e s sc o n t r o ld a t ai nd i f f e r e n ta p p l i c a f i o n sw i l l b ev e r yd i f f i c u l t t h es e m a n t i cw e br e l a t e dt e c h n o l o g i e sc a nf a c i l i t a t es e m a n t i ci n t e r o p e r a b i l i t y a n ds e m a n t i cr e l a t i o n s h i p sb e t w e e nd i f f e r e n ta c c e s sc o n t r o le n t i t i e sc a nb ed e s c r i b e db e t t e rb y u s i n gs e m a n t i cw e br e l a t e dt e c h n o l o g i e s i nt h i sp a p e r , w eu s et h ec o r eo n t o l o g yt od e s c r i b et h e e l e m e n t so ft h ea c c e s sc o n t r o ls y s t e m ，u s er d fl a n g u a g et od e s c r i b ea c c e s sc o n t r o lm o d e ld a t a a n du s eu r it oi d e n t i f yt h ei n s t a n c eo ft h ee l e m e n t ss u c ha ss u b j e c t ，o b j e c t a n dt h i sw i l lm a k e a c c e s sc o n t r o ld a t as h a r e dm o r ee x p e d i e n t l y t h r o u g ht h ei n v e s t i g a t i o no ft h es t a t eo fa r tf o r s e m a n t i cw e ba n da c c e s sc o n t r o lm o d e l ，a na c c e s sc o n t r o ls y s t e mi sd e v e l o p e db yu s i n gs e m a n t i c w e br e l a t e dt e c h n o l o g i e s ，w h i c hi s a p p l i e d t oa c c e s sc o n t r o lo fu m a r k e ts y s t e mt h a ti sa l l e - c o m m e r c es y s t e m t h a ts y s t e mi so nt h eb a s i so ft h en i s tr o l e - b a s e da c c e s sc o n t r o lm o d e l i n t h i sp a p e r , w ed e s c r i b et h ea r c h i t e c t u r ea n dd e s i g np r i n c i p l e so fa c c e s sc o n t r o ls y s t e mf i r s t l y f r o m t h ed e s i g np r i n c i p l e s ，w ec a ns e et h a ts y s t e ms u p p o r t ss t a t i ca n dd y n a m i cs e p a r a t i o no fd u t i e s ， e a r d i n a l i t yc o n s t r a i n t ，a sw e l la sp r o v i d e sag e n e r a la l g o r i t h mt og u a r a n t e et h ep r o p e r t i e so ft h a t m o d e l w ep r o v i d er i c hu s e ri n t e r f a c et h r o u g hs p a r q lw h i c hc a l lq u e r yt h er d fd a t a t o s u p p o r td i f f e r e n ta p p l i c a t i o n s ，b o t hc o a r s e - g r a i n e dp e r m i t sa n df i n e - g r a i n e dp e r m i t sa r es u p p o r t e d i nt h es y s t e m ，w eu s ec a c h et om a n a g ea c c e s sc o n t r o ld a t aa n du s ec o n n e c t i o np o o lt om a n a g er d f r e p o s i t o r yc o n n e c t i o n s a n dt h i sw i l li m p r o v et h ep e r f o r m a n c eo ft h es y s t e r n f i n a l l y , w ei l l u s t r a t eh o w t ou s et h es y s t e mf r o mt h ep e r s p e c t i v eo ft h ea d m i n i s t r a t o ra n d g e n e r a lu s e r , t h r o u g haf e w s c e n a r i o s k e y w o r d s ：s e m a n t i cw e b ，o n t o l o g y , r d f , a c c e s sc o n t r o l ，r o l e - b a s e da c c e s sc o n t r 0 1 n 东南大学学位论文独创性声明 本人声明所呈交的学位论文是我个人在导师指导下进行的研究工作及取得的研究成 果。尽我所知，除了文中特别加以标注和致谢的地方外，论文中不包含其他人已经发表 或撰写过的研究成果，也不包含为获得东南大学或其它教育机构的学位或证书而使用过 的材料。与我一同工作的同志对本研究所做的任何贡献均已在论文中作了明确的说明并 表示了谢意。 研究生签名：丝垒鳖日期： 俨g 。 东南大学学位论文使用授权声明 东南大学、中国科学技术信息研究所、国家图书馆有权保留本人所送交学位论文的 复印件和电子文档，可以采用影印、缩印或其他复制手段保存论文。本人电子文档的内 容和纸质论文的内容相一致。除在保密期内的保密论文外，允许论文被查阅和借阅，可 以公布( 包括刊登) 论文的全部或部分内容。论文的公布( 包括刊登) 授权东南大学研 究生院办理。 研究生签名：独崆导师签名：王考丝r 日 期： 东南大学硕士学位论文 1 1 研究背景 第一章绪论 人类迈入知识社会之后，信息呈爆炸方式增长，因此信息与系统的安全问题受到越来越 多地重视，这不仅涉及到个人计算机的安全问题，也包括大规模分布式系统的安全问题，如 那些运行在因特网上的系统。访问控制作为计算机安全问题的一部分，正受到越来越多的重 视。从二十世纪六十年代末七十年代初，访问控制技术出现以来，研究人员提出了多种访问 控制模型，同时也提出了多种访问控制策略。当然，对于各种访问控制模型的实现技术也取 得了长足的进步。 在二十世纪六十年代未，b w l a m p s o n 第一次通过形式化的方法对访问控制问题进行 了抽象【6 l ，对于该问题它使用了主体、客体的访问控制矩阵来表达。l a m p s o n 的表示方法非 常简单实用，随着计算机硬件技术和软件技术的发展，这种方法越来越不能满足人们的需要， 因为随着客体与主体的增多，访问控制矩阵对存储空间的要求越来越高。在当时存储空间有 限的情况下，这便成为一个限制这种技术发展的瓶颈，于是人们想到了用稀疏矩阵来表示访 问控制矩阵。这便出现了两种表示访问控制矩阵的方法，一种是基于列的方法，另一种是基 于行的方法。 基于列的方法主要是访问控制列表，基于行的方法主要是权能表。访问控制列表主要是 把访问控制矩阵的每一列表示成一个访问控制列表。因此，访问控制列表描述了主体对该客 体具有哪些权限。它是实现自主访问控制简明有效的方法之一，目前在很多应用系统中都得 到了应用。但是该种访问控制方法有一个问题，就是很难获得某个特定的主体能够访问的客 体的集合。与访问控制列表相反，权能表存储的是访问控制矩阵的行，这样它可以对于主体 表达哪些客体是可以访问的，以及以何种访问模式进行访问。与访问控制列表类似，该种访 问控制方法也存在着一个缺点，即对某个特定的客体很难获得能访问该客体的主体的集合。 上面更多的是从实现技术方面来考察访问控制模型，事实上目前的访问控制策略主要有 两种：自主访问控制和强制访问控制。前面所讲的访问控制矩阵及其变体都属于自主访问控 制，其本质思想是基于主体来限制对客体的访问，同时对客体具有某种访问权限或者能力的 主体也可以把该种权限或者能力授予其它主体。强制访问控制是“强加”给访问主体的，即 系统强制主体服从访问控制政策。常见的强制访问控制模型有b e l l l a p a d u l a 模型、b i b a 模 型和c h i n e s ew a l l 模型。 随着系统复杂性的增加，传统的自主访问控制策略和强制访问控制策略越来越不能满足 实际的需要，于是研究人员在两者的基础上提出了基于角色的访问控制模型1 5 j 。在基于角色 的访问控制模型被提出来以后，很多研究人员在最早提出的基于角色的访问控制模型基础上 做了自己的扩展，因此出现了很多的变体，于是美国国家标准委员会( n i s t ) 在充分市场分 析的基础上，发布了基于角色的访问控制的形式化模型 4 1 。基于角色的访问控制的基本思想 是主体映射到角色而不是直接映射到权限，因为与一般的用户相比角色更加稳定。角色实际 上是与特定- t 作岗位相关的一个权限集，当用户改变时只需进行角色的撤消和重新分配即 可。一个基于角色的访问控制模型一般有五个元素组成：用户、角色、操作、客体、权限。 与前两种访问控制策略相比，它具有更大的灵活性，还便于实施整个企业或公司的网络信息 系统的安全策略，因此在企业或者公司的管理信息系统具有很大的应用前景。当然在对不同 的企业或者公司的实施访问控制的过程中，其对安全的需求往往是不一样的。为了适应这种 变化，基于角色的访问控制模型有四个子模型，各个子模型对访问控制的要求是不一样的。 东南大学硕士学位论文 基于角色的访问控制模型除了在企业或者公司有很大的应用之外，在通用软件，如数据 库、操作系统，也得到了广泛的应用。当前基于角色的访问控制的产品好多只满足了基于角 色的访问控制模型第一层次的要求，并且也只支持少量的角色。 事实上，在企业或者公司的中往往有多个应用系统，每个系统可能有各自的访问控制模 块，这便给不同应用系统的访问控制数据的共享带来了问题。而语义w e b 技术可以为语义互 操作带来便利。 近两年来，语义w e b 的相关技术发展迅猛，同时也越来越受到研究人员的关注。语义w e b ( s e m a n t i cw e b ) 2 2 】是由饰b e r n e r s l e e 在1 9 9 8 年倡导的下一代万维网的发展方向。w 3 c 于 2 0 0 1 年2 月启动了“s e m a n t i cw e ba c t i v i t y ”，从此，语义w e b 的研究和应用得到了广泛的关 注，并取得了很大的进展。2 0 0 4 年2 月1 0 日，与r d f s ( r d f 和r d fs c h e m a ) 和o w l 语言有关的 1 2 个技术规范正式发布，这标志着语义w e b 的本体语言及理论基础已经基本奠定。2 0 0 4 年2 月2 5 日，w 3 c 成立了“s e m a n t i cw e bb e s tp r a c t i c e sa n dd e p l o y m e n t ”工作组 4 5 1 ，并宣告 “s e m a n t i cw e ba c t i v i t y ”进入第二阶段。 使用语义w e b 技术，可以更好地描述不同访问控制实体之间的语义关系，我们可以用核 心本体【9 1 描述访问控制模型中各个元素及其关系，如主体、客体等，用u r i 来标识各个元素 的实例，用r d f 来描述访问控制数据。在我们实施的u m a r k e t 项目碰到了一些问题，而语义 w e b 技术的引入可以解决这些问题，下面首先介绍旧版系统存在的问题以及用户对我们开发 的新版u m a r k e t 系统的要求。 1 21 h 版u m a r k e t 系统访问控制的实现 u m a r k e t 是一个电子市场( e - m a r k e t p l a c e ) 应用系统，它主要包括产品目录管理，定 购管理，采购商供应商管理等。 在这样一个电子商务系统中对安全性的要求是比较高的，因此访问控制在整个系统中占 有很重要的地位。在旧版系统的设计中也采用了基于角色的访问控制模型，只是使用了基于 角色的访问控制模型的第一个层次r b a c o 7 1 。在系统中为了减少访问控制数据，系统采用了 粗粒度的权限，图1 是使用数据建模工具p o w e r d e s i g n e r 设计的物理数据模型。 旧版系统的访问控制设计主要分为五张表：用户表、角色表、权限表、角色权限表、用 户角色表。用户表用于存放用户的基本信息，即在基于角色的访问控制模型中的主体信息。 角色表维护角色的基本信息，权限表维护权限的基本信息。角色权限表用于保存角色与权限 之间的映射关系，用户角色表用于维护主体与角色间的授权关系，这两张表都是多对多的关 系。在图1 中，箭头表示的是引用关系，也就是表与表之间的外键关系。在系统中，访问控 制子系统主要提供了管理性的接口，包括权限的授予和回收以及一些浏览性的界面包括查看 那个主体或者用户被授予了那些角色等。由于使用了粗粒度的权限，系统对于一个大类别都 有一个决策器来决定某个主体是否能对某个客体进行某个操作，决策器的决策是通过一系列 规则来确定某个主体是否能对某个客体进行某个操作，大类别可以是订单等，系统在描述权 限时只描述到订单这一大类，而没有描述到具体某个订单。 东南大学硕士学位论文 曩曩翼 啦血垒垃 勰拦谜帕r c h a r ( 5 f kr o u e p e r m _ r e f e 瞿n c e _ p e r m i t s 舟色扭曩 用户t盘曼h ，廿c h 盯匹习) b k 凸臣 甩e hz 誓止堑盛2 血垃 扭陧卫i 吐血k 压垃 用户名v a r c h a r ( 5 0 ) 口令v a r b i n a f f ( 12 e ) 搦蠡 跏 状态$ m a l l i n t | 帐懈t e x t u o 让嘲f 难能“。u 姒 弋； 色翼 哪能明唧卧雒刚咿。哪婴蒜 角色i dv i a c h e e r6 0 】_ - ， 角色名v a r c h a r ( 5 0 ) , m l p a 色t ， 田! 工立! 誓业蜢嫩) i 出舷2 是色hv 盯c h u 6 0 ) 缸凸d 图1 旧版l 脚a r k e t 系统中使用基于角色的访问控制模型的数据模型 在新版的系统中用户提出了新的要求，第一需要支持细粒度的权限，第二需要支持角色 层次和静态职责分离，第三就是要在后面开发的招投标系统和将要开发的新版u m a r k e t 系 统之间能共享访问控制数据。由于招投标系统和新版u m a r k e t 系统是两个不同的应用系统， 在新版u m a r k e t 系统中访问控制数据不能够被后面招投标系统所理解，因此决定采用语义 w e b 的相关技术解决这些问题。 1 3 本文工作 本文在美国国家标准委员会提出的基于角色的访问控制模型的基础上，使用语义w e b 相关技术来实现基于角色的访问控制系统，这样可以使访问控制数据能更好地被共享。本文 用核心本体【9 】描述访问控制模型中各个元素及其关系，如主体、客体等，用u r i 来标识各个 元素的实例，用r d f 来描述访问控制数据。系统支持静态职责分离、动态职责分离、基数约 束，也提供了通用算法来保证模型中的一些静态性质。我们通过s p a r q l 语言对r d f 数据的 查询能力为用户提供了丰富的浏览接口。为了支持不同要求的企业级应用，我们支持两种不 同粒度的权限，即同时支持细粒度的权限和粗粒度的权限。系统通过使用缓存方式来管理访 问控制数据、通过连接池技术管理大量到r d fr e p o s i t o r y 的连接来提升性能。最后本文通 过几个细分的场景，从两个角度对系统的使用进行了说明，即分别从管理员的角度和普通用 户的角度。 东南大学硕上学位论文 2 1 语义w e b 第二章相关工作 语义w e b 最早是由b e m e r s l e e 在1 9 9 8 年提出的下一代万维网的发展方向阎，其 目标是跨越现有缺乏自动化与智能化信息处理方式的万维网与信息社会中日益严峻的“信息 爆炸”之间的鸿沟。语义w e b 希望能为万维网上的信息资源添加语义标签，让计算机能够在 “理解， w e b 信息“含义”的基础上更好的与人协作，为人们在异构、分布式的万维网中进行信 息检索、信息访问和信息交换活动提供更准确、更有效的支持。 语义w e b 的基本思想是在w e b 信息中加入机器( 即软件代理，s o f t w a r ea g e n t ) 可处理 的用于表达语义信息的数据，让机器能够进一步地依据数据层次上的关系、规则、逻辑和条 件进行推理，从而自动化、智能化地对信息进行组织、分类和处理，使得信息能够克服信息 孤岛( i s o l a t e di s l a n d ) 限制，跨越不同应用的边界实现相互之间的共享、重用，并由此实现 信息资源在语义层次上的全方面互联。在此基础上，语义w e b 还可以构建更高层次的，基 于知识的w e b 应用与w e b 服务。 为了实现语义w e b 的研究目标，t u nb e m e r s l e e 于2 0 0 0 年提出了语义w e b 体系结构 模型，为语义w e b 相关技术的研究工作制定了一个可实施的技术路线刚翊。 l o g i c f r a m e w o r k ! o w l i r llll i lizl 口 圈i ，l 圉苣一腓l 图2 修订的语义w e b 体系结构描述1 本章节余下部分将对语义w e b 体系结构中的核心部分进行简要说明。 ( 1 ) u n i c o d e 和u r i u n i c o d e 和u r i 是语义w e b 的基础。u n i c o d e 是一个字符编码系统标准团】，支持世界所 有主要语言文本的混合编码，用于保证使用国际化、通用化的字符集，避免不同类型字符集 1 该图内容为t i m b e r n e r s l e e 在i s w c 2 0 0 5 大会上给出的经过修订的语义w e b 体系结构描述。此图与2 0 0 0 年给出的语义w e b 体系结构图示有所区别。 东南大学硕士学位论文 之间由于编码不同而造成的存储、传递和使用上的混乱，同时也可以实现多国语言的混合存 储和使用。u r i ( u n i f o r mr e s o u r c ei d e n t i f i e r s ，统一资源标识符) 是i n t e m e t 资源的一种识 别方法，在语义w e b 中，任何可以被描述的事物都可以称为资源( 即语义w e b 资源) ；每 一个资源都由唯一的语义w e bu r i 所标识【2 4 1 ，并通过u r i 来确定该资源；不同的资源拥有 不同的u r i 。 ( 2 ) x m l 和n a m e s p a c e s x m l ( e x t e n s i b l em a r k e tl a n g u a g e ，可扩展标记语言) 是一种允许自定义标记的通用、 结构化描述语言【2 6 l ，是描述w e b 文档和数据的标准化语言。n a m e s p a c e ( 命名空间) 【冽为 x m l 文档中的结构化标记提供了上下文环境：一方面为文档中的每一个标记都赋予了确定 的含义，另一方面将不同于上下文环境中相同名称的标记区分开来，从而避免了语义上的歧 义。 ) g v i l 的出现使得在已有不同类型数据之间实现互操作成为可能，能够帮助消除万维网 上的各种信息在语法描述层次上的差异。由于x m l 实现了数据内容和表现形式的分离，这 就使得现有万维网上的信息能够在保持面向用户浏览的同时，还能帮助支持计算机对这些信 息的自动处理。因此，) 【l 旺构成了语义w e b 的语法基础。 ( 3 ) r d f 和r d f s c h e m a r d f ( r e s o u r c ed e s c r i p t i o nf r a m e w o r k ，资源描述框架) 网定义了一种用以描述、b 资 源及其相互关系的简单模型，提供了一个机器可处理的数据框架，是用于描述形式化语义信 息的有效工具。r d f 是实现语义w e b 的核心技术之一，其基本数据模型主要包括三类对象： 资源( r e s o u r c e s ) ，属性( p r o p e r t i e s ) 和陈述( s t a t e m e n t s ) 。r d f 描述的任何事物被称为 r d f 资源，并通过语义w e bu r i 进行唯一标识，因此又被称为是r d fu r i 资源；资源之间 的相互关系通过属性和属性值来描述【2 5 1 。描述某个资源具有特定属性的属性值，就构成了 r d f 中的一个陈述( s t a t e m e n t ) 。陈述用于表达资源之间特定的二元关系，通常用r d f 三 元组( r d ft r i p l e ) ，臣p 的形式进行描述；其中，s u b j e c t 是指被描 述的资源，p r e d i c a t e 是指描述资源的属性，o b j e c t 则是属性对应的属性值。属性值也可以是 r d f 常量资源( 1 a t e r a l s ) 。一组r d f 三元组的集合共同构成了一张r d f 图( r d fg r a p h ) 。 r d f 通过属性和值描述资源及资源之间的关系，但r d f 并没有提供语言机制定义r d f 的词汇表( v o c a b u l a r i e s ，或术语t e r m s ) 。r d f s ( r d fv o c a b u l a r yd e s c r i p t i o nl a n g u a g e ，即 r d fs c h e m a ) 2 5 魄供了这种表达机制。r d f s 为r d f 定义了基本的词汇表，并提供语言机 制让用户扩展词汇表，自定义所需的词汇。r d f s 通过类型层次结构和属性层次结构将定义 的词汇组织起来，支持有限的推理能力，构成完备的语义空间。 x m l ( 包括x m ls c h e m a 2 9 1 ) 和r d f ( 包括r d f s ) 能为所描述的数据或资源提供有 限的语义信息。但是x m l 标签和r d f 属性不能处理以下问题：同一概念有多种词汇表达， 同一词汇表示多种概念。这一问题需要本体来给予解决。 ( 4 ) o w l 及o n t o l o g y 语义信息的交流必须以共同的理解为基本前提，否则交流双方就会产生误解或者出现不 理解的情况。在语义w e b 中，这种共同理解是由本体来实现的。本体( o n t o l o g y ) 是共享 概念的形式化规范说明 4 6 1 0 。本体明确定义类型、实例和属性，组织类型层次结构和属性层 次结构，并通过属性来描述资源之间的关系。在语义w e b 中，本体具有非常重要的地位： 本体是解决语义层次上w e b 信息共享和交换，实现语义互操作的基准。 东南大学硕士学位论文 o w l ( w e bo n t o l o g yl a n g u a g e ，w e b 本体语言) 0 0 l ，是w 3 c 推荐的w e b 本体描述语 言，用丁描述在万维网上发布和共享的本体。o w l 作为r d f r d f s 的扩展，提供了更多基 于描述逻辑( d e s c r i p t i o nl o g i c ，d l ) 【3 1 l 的原语以支持更加丰富的语义表达和更强的推理能 力。o w l 有三个子语言：o w li d t e ，o w ld l 和o w lf u l l ：这三个子语言的语义表达能力 是逐渐增强的，用于支持不同的语义表达能力和推理要求的w e b 应用。 2 2s p a r q l 查询语言 w 3 c 于2 0 0 4 年2 月成立r d fd a t aa c c e s sw o r k i n gg r o u p ( d a w g ) 4 7 1 ，d a w g 致力于制定r d f 查询语言和访问协议标准。2 0 0 4 年3 月制定了r d f 数据访问用例和需求文档，这个文档指定了 r d f 查询语言和数据访问协议的用例、需求和目标，用例覆盖各种应用领域，如私人和商业 信息管理、资源发布、旅游、软件开发、社会网络等。技术需求可以归类为数据模型的支持 ( 有限的数据类型支持，可扩展的数值测试) 、图层次上的操作( r d f 图模式匹配一交或者 补，变量绑定结果) 、输出结果的构建( 子图结果，本地查询) 、输出管理( 可选匹配，返 回结果个数限制，结果流输出) 、接口描述协议的确定( 用w s d l 描述接口) 。设计目标有用 户友好的语法、数据的综合和聚合、不存在的二元组测试、高效利用带宽的协议、文字查询、 是或否的查询、设定排序的结果等。s p a r q l 4 2 1 是d a w g 根据上面提及的技术需求和设计目标 制定的一种r d f 查询语言。s p a r q l 遵循s q l 语言的语法格式，一个s p a r q l 查询基于查询模式。 s p a r q l 支持丰富的查询模式，最简单的查询模式是三元组模式，例如：? b o o k d c ：t i t l e ? t i t l e 就是一个三元组模式，其中b o o k 和t i t l e 是变量。通过组合简单的三元组模式，可以得到更 加复杂的图模式，包括基本图模式、值限制模式、可选图模式、图模式的并、n a m e dg r a p h s 图模式。这些图模式可以嵌套定义，这样可以组合成更强大的查询模式，满足更广泛的需求； s p a r q l 还支持对结果集的排序和返回结果数量的限制等功能。为了满足不同的需求，s p a r q l 提供了四种查询结果格式。s e l e c t 格式的查询返回的是全部或者部分查询模式匹配的变量绑 定：c o n s t r u c t 格式的查询返回的是一张满足查询模式的子图；d e s c r i b e 格式的查询返回的 是一张描述指定资源的r d f 图；a s k 格式的查询返回查询模式是否匹配。 下面是一个简单的例子。 东南大学硕士学位论文 p r e f i xf o a f ： 一：al o a f ：n a m e s p a r k ”； f o a f ：m b o x ； f o a f ：d e p i c t i o n 一：bf o a f ：n a m e ”c o l l i n ”； f o a f m b o x ； f o a l - d e p i c t i o n 一：cf o a l ：n a m e ”a b e ”； f o a f ：m b o x s h a l s u m ”3 f 0 1 f a 9 9 2 9 d f 7 6 9 a f f l 7 3 f 5 7 d e c 2 f e o c 2 2 9 0 a e e a ” 一：df o a l ：n a m e j a m s o u r c e ”； f o a l ：d e p i c t i o n 一 一：ef o a l ：n a m e ”d e f ； f o a f ：m b o x _ s h a l s u m ”3 e d j i 8 0 s d f o s d 9 8 f s 0 8 9 k e w e s j e k q k 9 0 3 3 3 2 s f f s ” l o a f ：d e p i c t i o n 图3 ：五个人的f o a f 图 p r e f i xf 0 碰 s e l e c t ? m b o x 、7 l ， r e ? xf o a l ：n a m e ”s p a r k ” ? xf o a f ：m b o x ? m b o x 图4 ：基本图模式查询例子 图3 定义了一个简单的f o a f 图，它包含五个虚拟人物的描述信息。图4 显示的查询例子是 为了找出s p a r k 的邮箱。查询的第一行定义了f o a f 命名空间的前缀，这样以后就不需要每 次都写出f o a f 的完整u r l ，可以用前缀来代替；s e l e c t 子句规定了要返回的变量绑定， 变量都以字符“? ”或“$ ”开头，在这个例子中，将返回变量m b o x 的绑定；最后，w h e r e 子句包含了一个基本的图模式，它包含两个三元组模式，分别是? xf o a l ：n a m e ”s p a r k ”和? x f o a f ：m b o x ? m b o x 。只有同时匹配这两个三元组模式的变量绑定才能成为图模式的解。在这 个例子中，第一个三元组模式匹配到一个叫- a 的空白节点( b l a n kn o d e ) ，这个空白节点有 一个f o a l ：n a m e 属性，属性值是s p a r k ，所以我们把这个空白节点绑定到x 变量上，这个图模 式的第二个三元组模式匹配以 - a 为主体、f o a f ：m b o x 为谓词的三元组的客体节点。 图5 显示了查询结果。 东南大学硕七学位论文 2 3 访问控制 计算机安全在计算机科学中是一个很重要的研究领域，随着计算机的计算能力、数量的 增加以及软件复杂性的增加，它正被越米越多的人关注。计算机安全的定义：计算机安全指 的是一种被用来监视和保护资源的机制。在本文中，主要研究访问控制这样一种计算机安全 的技术。访问控制是指通过某些方式阻止未授权的用户与特定的资源交互，并且保证授权的 用户不会被拒绝。访问控制技术的研究起源于7 0 年代，它主要集中于用哪一种方法来让主 体获得特定的权限。通常，依据主体与权限之间是否具有严格的顺序可以把访问控制分为两 类：自主访问控制( d a c ，o i s c r e t i o n a r ya c c e s sc o n t r 0 1 ) 1 2 , 5 j ，它的基本思想就是访问 主体可以向其它主体自主的转让自己的访问权限。强制访问控制( m a c ，m a n d a t o r y a c c e s s c o n t r 0 1 ) 】，这种访问控制的特点是具有高度结构化的访问控制策略以及在数学上具有更 严格的约束，但同时也缺少了灵活性。 2 3 1 自主访问控制 目前，大部分的操作系统和软件的访问控制模型都采用了自主访问控制，它最早出现在 7 0 年代的分时系统中。它主要是基于主体来限制对客体的访问，同时对客体具有某种访问 权限或者能力的主体也可以把该种权限或者能力授予其它主体。它主要包括访问控制矩阵、 访问控制列表、权能表等。 2 3 1 1 访问控制矩阵 l a m p s o n 首先提出了访问控制矩阵模型，虽然这是一个很简单的想法，但是那是很多其 它访问控制方法的基础。访问控制矩阵是通过行来表示主体集，通过列来表示客体集，矩阵 中的每个元素提供了主体对客体的可能的访问模式，即表达了访问控制主体对客体的访问权 限。虽然这个方法很容易实现，但在大规模分布式的系统中，这个矩阵往往是一个稀疏矩阵。 为了提高应用系统的效率，往往只存储矩阵的行或列，由此引出了下面两种方法。 2 3 1 2 访问控制列表 访问控制列表主要是把访问控制矩阵的每一列表示成一个访问控制列表。因此，访问控 制列表描述了主体对该客体具有哪些权限。它是实现自主访问控制的最好的方法之一，目前 在很多应用系统中都得到了应用。但是该种访问控制方法有一个问题，就是很难获得某个特 定的主体能够访问的客体的集合。 2 3 1 3 权能表 与访问控制列表相反，权能表存储的是访问控制矩阵的行，这样它可以对于主体表达哪 些客体是可以访问的，以及与何种访问模式进行访问。与访问控制列表类似，该种访问控制 方法也存在着一个缺点，即对某个特定的客体很难获得能访问的主体的集合。 2 3 2 强制访问控制 强制访问控制是“强加”给访问主体的，即系统强制主体服从访问控制政策。强制访问 控制( m a c ) 的主要特征是对所有主体及其所控制的客体实施强制访问控制。常见的强制 访问控制模型有b e l l l a p a d u l a 模型、b i b a 模型和c h i n e s ew a l l 模型。在介绍这些模型之前 8 东南大学硕十学位论文 首先定义一个概念：安全格。 一个安全格可以定义为( l ，s ) ，l 是一个集合，s 表示偏序关系。对于元素口、b ( 口e l ， b 三) 存在最小上界“( “l ) 和最大下界z ( z l ) 满足下面的条件： 口墨“，bs “ 1s 口，zsb 并且 v ve l ，口墨“，bs “呻vs 比 v 七e l ，ks 口，ks b _ k 墨z 更直接的，可以把这种结构看作一个无环的有向图，某个节点是集合l 的一个元素，边表示 这样一种偏序结构，这个图是可拓扑排序的。 2 3 2 1b e ii - l a p a d u l a ( b l p ) 模型 在b l p 模型中，所有的主体和客体都有安全标签，并且这个安全标签只能由安全管理 员赋值，普通用户不能改变。这个模型需要满足一组规n - 简单安全性，要求主体读访问对象时，主体的最大安全级必须大于或者等于客体的安全 级别。 一属性，一个主体只能写大于或等于主体安全级别的客体。它用于防止信息从高安全 级流向低安全级，即信息不能泄露到低安全级的主体。 平静性原理，它要求系统的主体在访问一个客体时，所涉及到的主体和客体的安全标签 不能被改变。 b l p 模型保证了客体的高度安全性，它保证了信息流总是低安全级别的实体流向高安全 级别的实体，因此避免了在自主访问控制机制中的敏感信息泄密的情况。但是b l p 模型也有 个问题，由高安全级别所有者拥有的文件永远不能被低安全级别的人访问，因此即使是级别 不同的可信任实体也不可以相互通信。 2 3 2 2b - b a 模型 b i b a 提出了与b l p 模型相反的模型称之为b i b a 模型，若用w 表示主体或者客体的安全 标签，b i b a 模型需要满足如下两条规n - 简单整体属性，如果主体s 能够读客体口，则以) sw ( d ) 。 一属性，如果主体s 能够写客体d ，则w g ) w ( d ) 。 b i b a 模型保证了系统的整体性，但是可能有不信任实体故意泄露高安全级别的信息。因 此可以把b l p 模型和b i b a 模型结合起来。对于普通的实体采用b l p 模型，对于可信任的实体 采用b i b a 模型。 东南大学硕上学位论文 2 3 2 3c h i n e s ew a i i 模型 b r e 霹e r 和n a s h 于1 9 8 9 年提出t c h i n e s ew 姒l 模型【1 引，和其它强制访问控制模型一样，它 也考虑信息不能在某些类i i u 2 _ 间流动，与前面提到模型不同，它不使用偏序关系来区分不同 的类别。其要点就是每个人只能访问与他已拥有的信息不冲突的信息。为了维护信息流约柬， 可以使用一个布尔矩阵来记录一个主体是否可以与一个客体交互。这个模型需要满足两个性 质： 踮一属性，一个主体要访问一个客体必须满足以下两个条件，这个客体和主体以前 访问的客体必须在同一个单位的数据集内，或者该客体是主体以前没有访问过的利 益冲突类。 一属性，主体只有在满足下列条件时才能写访问客体，第一个规则允许主体访问的客 体，或者在其它利益冲突类上不存在该主体可以访问的客体。 2 3 3 基于角色的访问控制 图6 基于角色的访问控制模型中五个元素之间的关系 在自主访问控制系统中，对访问控制列表或者权能表的维护成为一个管理性的问题，而 基于角色的访问控制可以简化授权管理。基于角色的访问控制的基本思想是主体映射到角色 而不是直接映射到权限，因为与一般的用户相比角色更加稳定。角色实际上是与特定工作岗 位相关的一个权限集，当用户改变时只需进行角色的撤消和重新分配即可。一个基于角色的 访问控制模型一般有五个元素组成：用户、角色、操作、客体、权限。图6 表示这五个元素 之间的关系，下面介绍两个基于角色的访问控制模型：r b a c9 6 模型和n i s tr b a c 模型。 2 3 3 1r b a c9 6 模型 1 0 东南大学硕士