一种基于本的权限管理模型.doc

一种基于本体的权限管理模型 李栋栋,2，白硕3 1（中国科学院 计算技术研究所 软件室, 北京 100080） 2（中国科学院研究生院，北京 100039） 3（上海证券交易所，上海 200120） E-mail: lidongdong@software.ict.ac.cn 摘要：权限管理是系统应用层安全的核心问题之一，通过权限的设置和维护，来阻止对计算机系统和资源的非授权访问。现代应用环境下，权限管理面临着信息资源类型多、访问控制粒度细、多策略共存、跨应用的安全策略和应用专用的安全策略等一系列问题。目前，许多应用开发者都采用在应用系统中嵌入访问控制的方法来解决上述问题。本文提出了一种新型的广义权限管理模型，该模型通过引入本体来对企业业务层面上与操作相关的信息进行概念建模，实现了一个对具有业务内涵的、范围相当广泛的一类广义操作进行权限定义和管理的合适的表达框架和管理机制，并建立了相应的形式化模型。本体的使用将传统的访问控制对象扩展为带参数的、参数论域通过领域本体呈现出结构性关联的、并且具有业务语义的服务，这样，扩大了访问控制的对象范围，丰富了相应的访问控制机制。 关键词：权限管理模型，授权，访问控制，本体，参考监控器 背景及相关工作 权限管理是系统应用层安全的核心问题之一，它通过对主体访问权限的设置和维护，来阻止对计算机系统和资源的非授权访问，确保只有适当的人员才能获得适当的服务和数据。 现代企业集成环境中存在大量分布的、异构的应用系统，这些应用所基于的设计和技术都可能不同，其内部信息资源类型多、粒度细，对资源的操作往往具有业务内涵范围相当广泛(动作(客体”结构，授权规则设置了什么主体可以对什么客体执行什么操作。所有的授权规则都可以用访问矩阵来表示【3】，行表示主体，列表示客体，每个元素表示主体对相应客体的访问权限。 为了进行授权决策，一个参考监控器将授权规则和三组信息，即访问请求信息、提出访问请求的主体、被访问的客体信息，作为输入【4】。 在传统的权限管理模型中，访问请求信息通常就是操作请求类型，例如 “读”操作类型。在MAC、DAC【5】【6】中，操作通常为简单的读、写、执行、追加等，RBAC【7】将操作请求扩展到在应用级上的一些操作，如审批、申请等。 主体的信息分为两类：安全相关信息和安全不相关。安全相关的信息由安全管理员或用户管理员来控制，描述了主体的身份、组成员、允许的权限等安全属性。在传统的权限管理模型中，主体中只有安全相关的信息才能用于访问控制决策。 同样，被访问客体的信息也被分为安全相关信息的和安全不相关信息。类似于主体，在传统的权限管理模型中，客体中只有安全相关的信息才被用在访问控制决策中，如客体名称、安全标签等。 参考监控器将上面三组信息代入授权规则进行计算，计算的最终结果是对访问的“允许（allow）”或“禁止（deny）”。 从图1可以看出，在传统的权限管理模型中，主体和客体是相互独立的，它们之间或者互不牵连，或者只通过一些共同的标记来进行联系（如安全标签）【6】。主体有主体的结构和标记，客体有客体的结构和标记，中间满足什么关系，就放行，否则就拦截。参考监控器所使用的主客体的信息是受限的，只有主客体的安全相关属性才能用于授权决策中。但是，现代应用环境下的权限管理不同于传统的权限管理，需要面对若干新问题【8】： ( 在现代应用环境下，主客体营垒不甚分明，一个实体可能既是主体，又是客体。这样的主客体在传统的权限管理模型中无法表示。 ( 现代企业应用中，操作不仅仅是对文件和目录的简单的读、写和执行，而是一种广义的操作，通常都具有业务领域的内涵。例如对企业内部请假审批操作来说，必须要考虑主体的职位客体的职位请假的类型、天数权限规定可的的类型、天数…( 现代应用的访问控制有时需要考虑主客体的安全无关信息。比如，对公共图书馆中某些材料的访问要根据访问用户的年龄来授予相应权限；另一个例子是从组织的工作流执行过程中获得的信息。这些信息不是由安全管理员或用户管理员控制的，也不是以主客体安全属性的形式提供给参考监视器的，因此传统的权限管理无法实现这种需求。 ( 现代应用环境下，安全策略的表述有可能是跨应用的，策略的表达中涉及到一些公用的信息和结构，比如：时间、安全级别、职位等等。传统的权限管理模型没有提供这样的一种公共结构来表述这些共享信息。 此外，现代应用环境下还需要控制多种粒度的操作（包括基于用户的域名或IP地址、基于访问控制列表、基于规则的操作等），这样，必须需要多种权限管理层次，以实现各种粒度的权限控制。传统的权限管理模型同样无法解决这一问题。 从上面分析可见，传统的基于参考监控器的主客体独立的权限管理模型已经不能满足现代应用环境下权限管理的需要。为了解决权限管理所面临的上述新问题，很有必要提出一种新