基于描述逻辑的访问控制策略冲突检测方法研究

摘要

访问控制作为信息保护的被动防护技术被普遍用于阻止非法用户对资源信息的访问,一方面,访问控制模型以及访问控制策略语言需要协同的发展以满足开放和动态环境下应用系统的安全需求,然而,当前已有的访问控制策略描述语言对模型的支持都或多或少的存在不足；另一方面策略语言或者模型本身都不包含对策略的分析,而在复杂的应用环境下,表达了系统安全需求的策略库中可能存在影响策略决策性能的冗余策略,以及导致误判的冲突策略。针对以上问题,本文对访问控制策略的表示以及策略的冗余和冲突进行了研究。
　　 首先,提出了一种使用Web本体语言OWL对可扩展访问控制标记语言XACML进行扩展的方法。论文针对当前被认为工业界和学术界标准的访问控制策略描述语言XACML对基于角色的访问控制(RBAC)模型的支持存在的缺点,引入OWL语言来表达RBAC中的角色约束。设计了集成了XACML和OWL的策略管理框架,并将策略的授权以及实施与角色约束解耦,使得策略管理更加灵活。
　　 其次,提出了基于描述逻辑DL的策略分析方法。分析了由于角色和资源层次关系引起的授权传播。给出传播规则,并进一步分析了由于规则传播引起的规则冲突。从知识表示功能的角度,分析了如何使用DL对访问控制策略进行知识表示,设计并构建了访问控制领域知识库,提出了利用知识库领域本体的一致性检测来进行约束管理和冲突检测的方法。
　　 最后,结合一个具体的实例以及描述逻辑推理系统Racer,演示从知识库构建到角色约束管理以及冲突检测的过程,验证了基于描述逻辑的冲突检测方法的有效性。

目录

文摘

英文文摘

图、表清单

注释表

第一章 绪论

1.1 课题研究背景

1.2 当前研究现状及选题依据

1.2.1 当前研究现状

1.2.2 选题依据

1.4 论文主要工作及组织结构

第二章 访问控制模型及其描述语言

2.1 基于角色的访问控制(RBAC)模型

2.1.1 RBAC模型的特征

2.1.2 RBAC模型簇

2.2 访问控制描述语言

2.2.1 访问控制策略的表示

2.2.2 访问控制策略决策流程

2.3 支持RBAC模型的XACML标准

2.3.1 XACML RBAC标准中策略的表示

2.3.2 XACML对RBAC支持存在的不足

2.3.3 XACML的语义扩展方法

2.4 本章小节

第三章 XACML的语义扩展

3.1 使用OWL表示RBAC约束模型

3.1.1 OWL语言的特征

3.1.3 基本元素的表示

3.1.3 角色约束的表示

3.2 基于OWL的XACML扩展

3.2.1 策略管理框架

3.2.2 角色约束管理

3.3 基于描述逻辑的策略分析

3.3.1 描述逻辑的知识库形式

3.3.2 描述逻辑中的推理问题

3.3.3 基于描述逻辑的策略分析方法

3.4 本章小节

第四章 基于描述逻辑的策略冲突检测方法

4.1 策略冲突产生的原因

4.1.1 角色层次关系

4.1.2 资源层次关系

4.1.3 规则冲突分析

4.2 分析预处理

4.2.1 规则冗余分析

4.2.2 规则冗余处理

4.3 基于描述逻辑的冲突检测

4.3.1 角色约束管理

4.3.2 规则冲突检测

4.4 访问控制领域DL-KB的构成

4.4.1 共享本体

4.4.2 领域本体

4.4 本章小节

第五章 基于RACER的策略冲突检测

5.1 推理系统RACER的特性

5.2 访问控制DL-KB的设计

5.2.1 访问控制DL-KB的构建

5.2.2 Racer中的推理

5.3 实验演示与分析

5.3.1 角色约束

5.3.2 规则冲突

5.4 本章小节

第六章 总结与进一步研究工作

6.1 论文总结

6.2 进一步研究工作

参考文献

致谢

在学期间的研究成果及发表的学术论文