一种基于本体的权限管理模型

一种基于本体的权限管理模型李栋栋基金项目：国家863高技术研究发展计划资助项目（编号863-306-ZD02-01-3）基金项目：国家863高技术研究发展计划资助项目（编号863-306-ZD02-01-3）作者简介：李栋栋，女，1972年生，博士研究生，主要研究方向为信息安全技术、企业建模、业务集成等。白硕，男，1956年生，研究员，博士生导师，主要研究方向为自然语言处理、信息安全等。1（中国科学院计算技术研究所软件室,北京100080）2（中国科学院研究生院，北京100039）3（上海证券交易所，上海200120）E-mail:lidongdong@摘要：权限管理是系统应用层安全的核心问题之一，通过权限的设置和维护，来阻止对计算机系统和资源的非授权访问。现代应用环境下，权限管理面临着信息资源类型多、访问控制粒度细、多策略共存、跨应用的安全策略和应用专用的安全策略等一系列问题。目前，许多应用开发者都采用在应用系统中嵌入访问控制的方法来解决上述问题。本文提出了一种新型的广义权限管理模型，该模型通过引入本体来对企业业务层面上与操作相关的信息进行概念建模，实现了一个对具有业务内涵的、范围相当广泛的一类广义操作进行权限定义和管理的合适的表达框架和管理机制，并建立了相应的形式化模型。本体的使用将传统的访问控制对象扩展为带参数的、参数论域通过领域本体呈现出结构性关联的、并且具有业务语义的服务，这样，扩大了访问控制的对象范围，丰富了相应的访问控制机制。关键词：权限管理模型，授权，访问控制，本体，参考监控器背景及相关工作权限管理是系统应用层安全的核心问题之一，它通过对主体访问权限的设置和维护，来阻止对计算机系统和资源的非授权访问，确保只有适当的人员才能获得适当的服务和数据。现代企业集成环境中存在大量分布的、异构的应用系统，这些应用所基于的设计和技术都可能不同，其内部信息资源类型多、粒度细，对资源的操作往往具有业务内涵且操作的范围相当广泛【1】。因此，如何解决对企业应用内部带有语义信息操作的访问控制以及跨应用安全策略的设置，已经成为一个越来越复杂和困难的挑战，成为每个企业都必须关注的问题。目前企业应用的权限管理大都采用了传统的参考监控器这样的访问控制机制（见图1）【2】。一个参考监控器是安全系统的一部分，负责调解主体对系统资源（即客体）的访问，通过检测授权库中的授权规则来进行访问请求判断，然后进行执行。传统上，通过“主体动作客体”结构，授权规则设置了什么主体可以对什么客体执行什么操作。所有的授权规则都可以用访问矩阵来表示【3】，行表示主体，列表示客体，每个元素表示主体对相应客体的访问权限。为了进行授权决策，一个参考监控器将授权规则和三组信息，即访问请求信息、提出访问请求的主体、被访问的客体信息，作为输入【4】。在传统的权限管理模型中，访问请求信息通常就是操作请求类型，例如“读”操作类型。在MAC、DAC【5】【6】中，操作通常为简单的读、写、执行、追加等，RBAC【7】将操作请求扩展到在应用级上的一些操作，如审批、申请等。主体的信息分为两类：安全相关信息和安全不相关。安全相关的信息由安全管理员或用户管理员来控制，描述了主体的身份、组成员、允许的权限等安全属性。在传统的权限管理模型中，主体中只有安全相关的信息才能用于访问控制决策。同样，被访问客体的信息也被分为安全相关信息的和安全不相关信息。类似于主体，在传统的权限管理模型中，客体中只有安全相关的信息才被用在访问控制决策中，如客体名称、安全标签等。参考监控器将上面三组信息代入授权规则进行计算，计算的最终结果是对访问的“允许（allow）”或“禁止（deny）”。从图1可以看出，在传统的权限管理模型中，主体和客体是相互独立的，它们之间或者互不牵连，或者只通过一些共同的标记来进行联系（如安全标签）【6】。主体有主体的结构和标记，客体有客体的结构和标记，中间满足什么关系，就放行，否则就拦截。参考监控器所使用的主客体的信息是受限的，只有主客体的安全相关属性才能用于授权决策中。但是，现代应用环境下的权限管理不同于传统的权限管理，需要面对若干新问题【8】：在现代应用环境下，主客体营垒不甚分明，一个实体可能既是主体，又是客体。这样的主客体在传统的权限管理模型中无法表示。现代企业应用中，操作不仅仅是对文件和目录的简单的读、写和执行，而是一种广义的操作，通常都具有业务领域的内涵。例如对企业内部请假审批操作来说，必须要考虑主体的职位、客体的职位，请假的类型、天数，权限规定可审批的假期的类型、天数…等等。传统的权限管理模型无法对这种带有语义信息的操作进行控制。现代应用的访问控制有时需要考虑主客体的安全无关信息。比如，对公共图书馆中某些材料的访问要根据访问用户的年龄来授予相应权限；另一个例子是从组织的工作流执行过程中获得的信息。这些信息不是由安全管理员或用户管理员控制的，也不是以主客体安全属性的形式提供给参考监视器的，因此传统的权限管理无法实现这种需求。现代应用环境下，安全策略的表述有可能是跨应用的，策略的表达中涉及到一些公用的信息和结构，比如：时间、安全级别、职位等等。传统的权限管理模型没有提供这样的一种公共结构来表述这些共享信息。此外，现代应用环境下还需要控制多种粒度的操作（包括基于用户的域名或IP地址、基于访问控制列表、基于规则的操作等），这样，必须需要多种权限管理层次，以实现各种粒度的权限控制。传统的权限管理模型同样无法解决这一问题。从上面分析可见，传统的基于参考监控器的主客体独立的权限管理模型已经不能满足现代应用环境下权限管理的需要。为了解决权限管理所面临的上述新问题，很有必要提出一种新型的广义权限管理模型，用以解决对企业内部带有语义信息操作的控制以及跨应用复杂安全策略的设置问题。基于本体的权限管理模型企业应用内部带有语义信息的广义操作要求现代企业的权限管理模型必须具有对这种语义信息的描述功能，同时，还能将这种语义信息用于操作执行时的权限判断。本体是共享概念模型的明确的形式化规范说明，它具有良好的概念层次结构和领域知识的共享性以及对逻辑推理的支持【9】【10】，因而我们考虑在权限管理模型中引入本体的概念，即使用本体这种工具为企业应用领域与操作相关的信息进行概念建模，借此反映操作的一些语义信息。当具体操作实现时，再将操作转化为对技术层面上带参数的服务的访问，并利用应用领域中的语义信息来进行访问控制。图2是基于本体的权限管理模型。从上图可以看出，在基于本体的权限模型中，主体和客体都是本体的一部分，且它们都包含若干属性和属性值集合。此外，本体中还包含若干实体关系及约束。当主体对客体发出的操作请求被截获后，权限引擎根据相关规则以及这个操作所涉及的本体要素（包含操作所带的所有参数）之间是否满足策略所指定的约束条件，来决定该操作是被允许还是禁止。2.1 与传统的权限管理模型的比较传统的权限模型中，主客体间只是单纯的访问关系，不能表示它们之间的一些非访问关系，如报告关系、撤职关系等等，即传统的权限模型不能表示带业务语义信息的操作；传统的权限模型中，安全策略也只是规定了哪个主体可以访问哪个客体，访问粒度粗。为了细化访问粒度，有些模型增加了类似BLP模型【11】中的安全标签这样的公共安全属性，来加强主体对客体访问的约束，但这种安全属性并不能涵盖所有的与策略表达相关的因素；另外，对于跨应用的策略来说，由于各个应用中所采用的信息的表示概念和术语并不相同，传统的权限模型很难对跨应用的安全策略进行表述。基于本体的权限管理模型则把所有主体和客体都纳入本体体系中，主客体结构以及它们之间的关系都是领域共享的，从而使得利用这种共享结构来统一表述各种复杂的带语义信息的操作以及跨应用的安全策略就成为可能；在基于本体的权限管理模型中，由于主体对客体的操作可以附带各种参数，且参数可以引用主客体的所有属性，因此基于本体的权限管理模型可以实现主体对客体细粒度的操作控制，即只有当操作所带的参数满足策略的约束条件时，才可允许操作的执行。2.2基于本体的权限管理模型的表达力我们所提出的权限管理模型依然是一种“访问控制”模型，但已经突破了传统的“访问控制”的范畴：——从技术层面看，控制的依然是“访问”。但是被访问的资源除了传统的网址、文件和目录，还有更细粒度的数据单元，以及带有复杂参数的服务。我们将其统一地看为是对“服务”的访问。——从业务层面看，控制的是广义的“操作”，这种操作具有业务领域的内涵（比如请假）。或者说，这种广义的操作赋予对“服务”的访问以业务语义。业务层面上广义的操作和技术层面上对服务的访问具有一一对应的关系。因此出于表述上的方便，后面我们对二者等同对待。在我们所提出的基于本体的权限管理模型中，本体模型是建立在业务层面上的。因此，在本体模型中的权限管理，实际上是在业务层面上对广义操作的控制，而不是技术层面上对服务的访问控制。被控制的广义操作只有借助技术系统中的服务来实现的时候，才存在访问控制的问题，或者说权限管理（对广义操作的控制）才被映射为对服务的访问控制。因此，这种主客体交融的、细粒度的、带参数的、参数论域呈结构性关联的权限管理模型在“表达能力”方面的创新点有：（1）在业务层面，通过引入本体，得到了一个对具有业务内涵的、范围相当广泛的一类广义操作进行权限定义和管理的合适表达框架和管理机制，建立了相应的形式化模型。（2）在技术层面，通过把控制对象扩展为带参数的、参数论域通过领域本体呈现出结构性关联（如偏序结构）的、并且具有业务语义的服务，扩大了访问控制的对象范围，丰富了相应的访问控制机制。（3）在两个层面的结合上，通过建立本体，业务层面为技术层面提供了语义清晰的形式化模型和用户友好的结构化界面。权限本体描述框架为了解决企业内部知识共享以及海量信息的组织、管理和维护的问题，许多企业都开始使用本体这种能在语义和知识层次上描述信息系统的概念模型建模工具，用以描述企业内部的概念以及概念和概念之间的关系，并通过概念之间的关系来描述概念的语义。由于现在信息系统建设的现状是：先有应用，少部分本体尚在建设或规划之中，大部分没有本体。应用在本体层面还远没有打通。考虑到上述情况，我们设计了一个简单的本体描述框架，用来为每个企业建立自己的本体，然后在该本体的基础上实现企业的权限管理。由于我们所关心的只是企业内部用于权限推理和决策的共享知识，因此，我们所设计的本体描述框架，也只考虑了企业内部和权限及权限推理有关的概念和概念间的关系。这个本体描述框架不能作为描述整个企业概念模型的工具，它是非常简单的，它只用于企业内部与权限有关的概念建模（如企业组织结构、资源、操作、约束等）。下面将给出我们所提出的本体描述框架。为了区别于为整个企业概念建模的本体，我们称与企业权限管理相关的概念建模的本体为权限本体。一般，一个权限本体被形式化描述为：1）元素：实体、操作、属性、条件、类、实例；2）关系：存在于实体间；3）约束：对关系的约束。权限本体描述框架如图3所示。3.1实体 实体的概念很广泛，可以指领域内任何主体或客体，比如：文件、用户、设备等等。每个实体都包含若干属性。定义3.1（实体）：实体可以表示为一个三元组：entity(Name,attributeList,attribValues)。Name指明了实体的名称；attributeList是实体包含的属性列表；attribValues是实体的各个属性所对应的具体值。实体包含实体的类和实例。由于实体的类之间存在继承关系且实体的实例和实体的类之间存在实例化的关系，因此整个实体可以按层次结构进行组织，实体间的这种层次关系可用于权限的传播计算。3.2属性 属性都是和实体相关的，用来存储实体的信息。定义3.2（属性）：一个属性是一个二元组：attribute(Name,Type)。Name为属性名称；Type定义了属性所存储的值的类型。在系统中，属性类型可以为一些简单的数据类型，如：字符串、整数、浮点数和日期等等，也可以为实体这样复杂的类型，如：商品中包含供应商、库存等属性，这些属性本身就是一个实体。实体属性可以沿实体间的层次关系进行传播，一般，子类包含其父类的全部属性；实体的实例包含其相应类的全部属性。属性分为两种：一种是不可改变的属性，如：实体的安全级别，其值只能由系统管理员来设置；另外一种是可以改变的属性，它所存储的值可以动态改变，如：用户消费的数额，这个值随着每次用户的消费而改变。3.3类和实例类是实体中的抽象节点，类似于面向对象中类的概念，例如：用户、角色、文件、目录等等；实例是实体中的一些具体节点，是类实例化后的结果，类似与面向对象里面对象的概念，例如：某个具体的用户“Tom”，某个具体的文件“paper.doc”等都是一些实例。类可以从一个已存在的类继承而来，并继承了该类的所有属性，用户也可以对其属性进行增加和删除。实例只能是一个类实例化的结果，它继承了该类的所有属性。3.4操作实体间的操作不仅仅包含传统的读、写、执行等简单的访问操作，还包括一些非访问操作（带语义信息的操作），是对传统访问操作的一个扩充。定义3.3（操作）：操作是一个四元组：operation(subject,object,activity,constraints)。subject和object分别表述操作的主客体类型，activity是操作名称，constraints表示了该操作的约束条件。 操作可以具有层次结构，即一种操作可以包含另一种操作，例如：一般情况下，写操作包含读操作（如对某个文件进行写操作，同样也就意味着可对其进行读操作）。操作间的这种层次关系可以用于权限管理中，若主体对客体拥有某个权限，则他对该客体也拥有该权限所包含的的所有权限。3.5条件 条件用于限制操作的执行，约束条件定义如下：定义3.4（条件）：条件是一个二元组Condition(predicateName,predicateValue)，predicateName表示了条件中使用的谓词名称；predicateValue表示谓词的参数值。使用约束条件，可以实现细粒度的操作控制，比如：为了实现对某种特定类型文件的读操作，我们可以通过对Read操作增加约束条件的方法（如限定客体只能是doc文件类型）。这样，主体和客体的类型进一步被细化。一般，一个特定的操作可以有零个、一个或多个约束条件（或者约束条件的非）来共同完成对它的限定，这些约束条件之间是逻辑与的关系。3.6实体间的基本关系关系表示了在领域中概念和概念之间的交互作用，形式上定义为n维笛卡儿乘积的子集：R：E1E2…En。关系的种类有多种，归纳起来可以分为两类：一类是具有传播性的关系，另一类是不具有传播性的关系。实体间典型的具有传播性的关系有下面几种：部分（part_of）关系：表示一个实体是另一个实体的组成部分，用于表达概念之间部分与整体的关系。如：人力资源部是企业组织的一部分。类包含（kind_of）关系：表示子类和父类之间的包含关系。如C-languageProgrammer和Programmer、File和Resource的关系等。实例化（inst_of）关系：表示实例和类之间实例化的关系。如“ldd”和CommonUser的关系等。定义3.5（实体偏序关系）：是实体集合E上的一种偏序关系£E。给定两个实体e和e，若e£Ee，我们称e小于或等于e。可以证明part_of，kind_of，inst_of关系是实体偏序关系。证明略。实体间不具有传播性的关系可用于授权规则的约束条件表述中，比如“夫妻关系”不具有传播性，有这样一条规则：规定有夫妻关系的，一方不能向另一方请假。3.7约束约束来设置实体之间必须满足的类子类关系的公理，约束可以用在权限的计算推理中。例如：下面图4中描述了一个本体内实体间的约束。基于本体的权限管理我们将基于本体的权限管理的基本步骤总结如下：根据上面提出的权限本体描述框架，建立相关领域的权限本体，包括创建实体的属性集合、创建应用域中的基本实体类、创建实体实例、设置实体关系、建立实体间的约束、创建操作集合、设置操作关系、创建条件谓词等。使用授权策略设置工具，进行权限的设置。这里包括授权规则和授权策略的制定、冲突解决方式的选择等等。将授权规则和策略存入规则库。对截获的用户操作请求，请求转换器按照权限本体把操作请求（及所带的参数）转换成规定的格式，将请求传递给权限引擎。权限引擎利用权限本体中的相关实体信息和实体间的关系，对规则库中的规则进行匹配及推理，得出决策结果，返回给用户。结论为了解决企业应用内带语义信息的操作以及跨应用安全策略的设置和访问控制的问题，我们提出了一种基于本体结构的权限管理模型。我们使用本体来对业务层面上与操作相关的信息进行概念建模，实现了一个对具有业务内涵的、范围相当广泛的一类广义操作进行权限定义和管理的合适的表达框架和管理机制，并建立了相应的形式化模型；另一方面，本体的使用将传统的访问控制对象扩展为带参数的、参数论域通过领域本体呈现出结构性关联（偏序结构）的、并且具有业务语义的服务，这样，扩大了访问控制的对象范围，丰富了相应的访问控制机制。在本文中我们主要给出了一种基于本体的权限管理模型，分析了这种新型广义权限管理模型的表达力；并给出了一种简单的本体描述框架，在该描述框架的基础上，用户可以构建自己领域内与权限相关信息的本体，从而利用该本体进行企业应用级的权限管理。我们的模型仍然存在着许多值得研究的问题，例如：该模型的一致性和完整性证明上；该权限本体如何更好地设计完善上，这些我们将在以后的工作中逐步进行解决。【参考文献】【1】K.Beznosov.EngineeringAccessControlforDistributedEnterpriseApplications.PhDthesis,FloridaInternationalUniversity,Miami,FL,2000.127【2】J.Anderson.ComputerSecurityTechnologyPlanningStudy.AirForceElectronicSystemsDivisionESD-TR-73-51.Vols.IandII,1972.【3】LampsonB.W.Protection.InProceedingsofthe5thAnnualPrincetonConferenceonInformationSciencesandSystems.1971.【4】WooT.,LamS.AuthorizationsinDistributedSystems:ANewApproach.JournalofComputerSecurity.2(2&3):107-136,1993.【5】NationalComputerSecurityCenter(NCSC).AGuidetoUnderstandingDiscretionaryAccessControlinTrustedSystem,ReportNSCD-TG-003Version1,30September1987.【6】D.E.Denning.Alatticemodelofsecureinformationflow.CommunicationsoftheACM,19(5):236-243,May1976.【7】R.Sandhu,D.Ferraiolo,andR.Kuhn.TheNISTmodelforrole-basedaccesscontrol:Towardsaunifiedstandard.InProc.OfthefifthACMWorkshoponRole-basedAccessControl,pages47-63,BerlinGermany,July2000.【8】DongdongLi,SonglinHu,ShuoBai.AUniformModelforAuthorizationandAccessControlinEnterpriseInformationPlatform.EDCIS2002,180-192【9】Borst.W.N.ConstructionofEngineeringOntologiesforKnowledgeSharingandReuse.PhDthesis,UniversityofTwenter,Enschede,1997.【10】StuderR,BenjaminsV.R,FenselD.KnowledgeEngineering,PrinciplesandMethods.DataandKnowledgeEngineering,1998,25(1-2):161-197【11】D.E.BellandL.J.LaPadula.Securecomputersystems:Mathematicalfoundations.TechnicalReportESD-TR-278,vol.1,TheMitreCorp.,Bedford,MA,1973AnOntology-basedPrivilegeManagementModelLiDong-dong,BaiShuoSoftwareDivision,InstituteofComputingTechnology,TheChineseAcademyofSciences,Beijing100080,ChinaE-mail:lidongdong@Privilegemanagementisthecoreofsystemsecurity,whichcanpreventcomputersystemandresourcefrombeingunauthorizedaccessedandmakesurethatdifferentpeoplecangetdifferentservicesanddata.Underthemodernapplicationcircumstances,privilegemanagementisfacedwithmanyproble