基于本体的权限管理系统的研究与实现.docxVIP

第 31 卷第 13 期计算机工程2005 年 7 月Vol.3113Computer EngineeringJuly 2005基金项目论文文章编号 1000 3428(2005)13 0043 03文献标识码 A中图分类号 TP309基于本体的权限管理系统的研究与实现李栋栋1,2谭建龙11. 中国科学院计算技术研究所软件室, 北京 1000802. 中国科学院研究生院北京 100039摘　 要 设计实现了一个基于本体的权限管理系统 该系统使用本体对业务层面上与操作相关的信息进行概念建模 实现了一个对具有业务内涵的 范围相当广泛的一类广义操作进行权限定义 管理的合适的表达框架和管理机制 同时 该系统是独立于应用的 可以为多种应用程序提供统一的权限管理支持关键词权限管理授权访问控制本体拦截器　Research and Implementation of an Ontology-basedPrivilege Management SystemLI Dongdong1,2, TAN Jianlong1(1.Software Division, Institute of Computing Technology, Chinese Academy of Sciences, Beijing 100080;2. Graduate School of Chinese Academy of Sciences, Beijing 100039)Abstract This paper designs and implements an application-independent privilege management system. In the system, it introduces ontology intoenterprise application level, which builds up concept model for activity-relevant information of application level, implements a suitable frameworkand management mechanism for generalized activities with application connotation and builds up corresponding formalized model. Meanwhile, thesystem is application-independent, which can support uniform privilege management for multiple application programs and disjoin application logicand authorization logic.Key wordsPrivilege management; Authorization; Access control; Ontology; Interceptor1 背景权限管理是系统应用层安全的核心问题之一 它通过对的信息(4) 支持多应用共享在传统的企业应用中 应用的业主体访问权限的设置和维护来阻止对计算机系统和资源的务逻辑和授权逻辑通常是紧密绑定的 每个应用都有自己私非授权访问数据确保只有适当的人员才能获得适当的服务和有的接口来管理权限 企业没有一个单一的管理环境来管理多个应用的访问控制 这样 极有可能造成在同一企业中存现代企业集成环境中存在大量分布的异构的应用系在多个不一致的访问控制模型 无法保证跨应用的访问控制统 这些应用所基于的设计和技术都可能不同 其内部信息资源类型多 粒度细 对资源的操作往往具有业务内涵且操作的范围相当广泛 现代应用环境下 权限管理应该支持下列需求策略的一致性目前 应用开发者一般采用在应用系统中嵌入访问控制的方法 以支持应用级的复杂 细粒度和上下文相关的权限管理 这种将权限管理与应用的业务逻辑结合的方法会引发(1) 支持多种访问控制策略共存现代企业环境下每个若干问题[1] 因此 很有必要设计一种通用的权限管理系统应用需要处理许多不同类型的分布式数据对象 如图像 视来实现企业范围内细粒度的多策略的跨应用一致的独频数据 面向对象的数据等 对不同类型的数据对象需要使立于应用运作的权限管理 这种权限管理系统不仅可以支持用不同的访问控制策略传统的访问控制还支持对具有业务内涵操作的权限控制(2) 支持细粒度应用级的访问控制和普通目的访问控2 本体的引入制的一个基本区别就是 特定应用资源的粒度比普通计算机传统的权限管理只能表示主客体间的一些简单操作 不系统的要细得多因此现存的网络操作系统数据库管能表示具有业务内涵的