偏序结构下参数化的权限管理-基于本体的权限管理案例研究

摘要

该文的目标定位在对一种新型的广义权限管理模型的研究,主要解决对企业内部带有语义信息操作的控制以及跨应用复杂安全策略的表述和实现中所涉及的科学理论问题和关键技术问题.该文在企业信息门户的背景下,建立了一个主客体交融的、细粒度的、带参数的、参数论域呈偏序结构的权限管理模型,有以下几点创新之处:权限管理中本体的引入和使用;为了描述企业内部带有语义信息的广义操作,在企业的业务层面上,我们引入了本体来对业务层面上与操作相关的信息进行概念建模,实现了一类对具有业务内涵、范围相当广泛的广义操作进行权限定义和管理的合适的表达框架和管理机制,并建立了相应的形式化模型;另一方面,本体的使用将传统的访问控制对象扩展为带参数的、参数论域通过领域本体呈现出结构性关联(偏序结构)的、并且具有业务语义的服务.这样,扩大了访问控制对象的范围,丰富了相应的访问控制机制.多策略授权设置语言;我们设计了一种能够用一个单一的框架来表达不同访问控制策略的语言,该语言支持用户自定义谓词和复杂授权规则的设置,表达力强且扩充方便,并且提供一种通用的机制来实现多种访问策略,为跨管理域和多个不同平台提供了一种统一的访问控制策略的设置和构成.该语言通过对谓词及用户自定义谓词的支持,使得我们不仅能够对文件、目录以及各种更细粒度的数据单元进行授权设置,而且还可以对各种带有复杂参数的服务进行授权设置.独立的权限管理服务器;我们设计了一个独立于应用程序的权限管理服务器,它能为多种应用程序提供统一的权限管理支持.每个应用只需要实现自己的业务逻辑,对业务逻辑的每个操作环节的权限判断全部可以由权限管理服务器来进行.这种设计将应用逻辑和授权逻辑分开,策略的验证、修改和执行不会影响应用逻辑的运行,同样,应用逻辑的改变也不会影响策略的执行.独立的权限管理服务器不仅加强了企业范围内授权策略的一致性,而且为企业应用内的业务操作提供了语义清晰的形式化模型和用户友好的结构化界面.基于最小授权规则库的权限计算;为了提高权限判断系统的性能,我们提出了一种新的基于最小授权规则集合的权限计算算法.该算法基于最小授权规则集合,用反链式结构来表示最小授权规则集合,采用动态继承的方法来进行权限的判断.这种方法考虑了授权规则的在各个方向上的继承传播,并能处理由于负授权的存在可能引发的规则冲突,降低了以往访问控制在空间上的耗费.

目录

文摘

英文文摘

独创性声明及关于论文使用授权的说明

第1章引言

1.1现代应用环境对权限管理的要求

1.1.1支持多策略授权和访问控制

1.1.2支持细粒度的权限管理

1.1.3支持带参数的权限管理

1.1.4支持多应用共享的权限管理

1.2本体的作用

1.3本文的目标与贡献

1.4本文的组织

第2章相关工作

2.1基本术语表

2.2访问控制策略

2.2.1自主型访问控制(DAC)策略

2.2.2强制型访问控制(MAC)策略

2.2.3基于角色的访问控制(RBAC)策略

2.2.4三种策略的比较

2.2.5访问控制策略的一个例子

2.3访问权限的表示方法

2.3.1用访问控制矩阵表示权限

2.3.2用安全分类表示权限

2.3.3用授权规则表示权限

2.3.4用XML表示权限

2.4几种典型的安全模型

2.4.1 Lampson访问矩阵模型

2.4.2 Bell-LaPadula模型

2.4.3 RBAC模型

2.5对权限管理模型的评价标准

2.6已有的研究成果

2.6.2通用授权和访问控制API(GAAAPI)

第3章基于本体的权限管理模型

3.1传统的权限管理模型

3.1.1分析

3.2请假应用实例

3.2.1需求总结

3.3基于本体的权限管理

3.3.1本体简介

3.3.2基于本体的权限管理模型

3.3.3与传统权限模型的比较

3.3.4基于本体的权限管理模型的表达力

3.3.5基于本体的权限管理的基本步骤

3.4权限本体描述框架

3.4.1实体

3.4.2属性

3.4.3类和实例

3.4.4 操作

3.4.5条件

3.4.6实体基本关系

3.4.7约束

3.5权限本体的创建

3.5.1权限本体的一个实例

3.6分析和总结

3.6.1自主型访问控制模型

3.6.2强制访问控制模型

3.6.3基于角色访问控制模型

3.6.4基于本体的访问控制模型

3.7 小结

第4章支持多策略的授权设置语言MASL

4.1先前的研究工作

4.2 MASL的语言组成

4.2.1常量符号

4.2.2变量符号

4.2.3谓词符号

4.3授权规则的逻辑表示

4.3.1授权规则的定义

4.3.2授权约束条件及其参数化

4.3.3授权规则的实例

4.4多策略的支持

4.4.1自主型访问控制策略

4.4.2基于角色访问控制策略

4.4.3强制访问控制策略

4.5小结

第5章偏序结构下参数化的权限管理

5.1偏序关系及权限的传播

5.1.1权限沿实体偏序关系的传播

5.1.2权限沿操作偏序关系的传播

5.2权限的冲突及解决算法

5.2.1授权冲突

5.2.2冲突解决方法

5.3授权规则的闭包

5.3.1授权规则闭包算法

5.3.2授权规则闭包的例子

5.4授权规则库的反链表示

5.4.1反链表示

5.4.2反链的实例

5.5授权规则库的反链维护算法

5.5.1增加授权规则算法

5.5.2撤销授权规则

5.5.3算法复杂度分析

5.6基于最小授权规则库的权限推理算法

5.7小结

第6章权限管理原型系统的实现

6.1权限管理原型系统的整体模块

6.1.1权限服务器

6.1.2拦截器

6.1.3系统数据流程

6.2主要数据结构

6.2.1本体信息存储

6.2.2操作基本信息存储

6.2.3授权规则存储

6.2.4整体说明

6.3核心算法的实现

6.4主要界面

6.4.1实体属性输入界面

6.4.2授权规则管理管理界面

6.4.3授权规则约束条件管理界面

6.4.4权限决策算法在实际应用中的使用界面

6.5拦截器的实现介绍

6.5.1多媒体拦截器

6.5.2 Portal拦截器

6.6 小结

第7章总结和对未来工作的展望

7.1本文的贡献

7.1.1权限管理中本体的提出和使用

7.1.2多策略授权设置语言

7.1.3独立的权限管理服务器

7.1.4基于最小授权规则库的权限计算

7.2进一步研究的方向

7.2.1面向数据流的权限管理系统

7.2.2和数字版权保护应用系统的集成

7.2.3基于本体的权限管理技术研究

参考文献

作者简历

致谢