一種基于本體的權(quán)限管理模型

一種基于本體的權(quán)限管理模型李棟棟基金項(xiàng)目：國(guó)家863高技術(shù)研究發(fā)展計(jì)劃資助項(xiàng)目（編號(hào)863-306-ZD02-01-3）基金項(xiàng)目：國(guó)家863高技術(shù)研究發(fā)展計(jì)劃資助項(xiàng)目（編號(hào)863-306-ZD02-01-3）作者簡(jiǎn)介：李棟棟，女，1972年生，博士研究生，主要研究方向?yàn)樾畔踩夹g(shù)、企業(yè)建模、業(yè)務(wù)集成等。白碩，男，1956年生，研究員，博士生導(dǎo)師，主要研究方向?yàn)樽匀徽Z(yǔ)言處理、信息安全等。1（中國(guó)科學(xué)院計(jì)算技術(shù)研究所軟件室,北京100080）2（中國(guó)科學(xué)院研究生院，北京100039）3（上海證券交易所，上海200120）E-mail:lidongdong@摘要：權(quán)限管理是系統(tǒng)應(yīng)用層安全的核心問(wèn)題之一，通過(guò)權(quán)限的設(shè)置和維護(hù)，來(lái)阻止對(duì)計(jì)算機(jī)系統(tǒng)和資源的非授權(quán)訪(fǎng)問(wèn)?，F(xiàn)代應(yīng)用環(huán)境下，權(quán)限管理面臨著信息資源類(lèi)型多、訪(fǎng)問(wèn)控制粒度細(xì)、多策略共存、跨應(yīng)用的安全策略和應(yīng)用專(zhuān)用的安全策略等一系列問(wèn)題。目前，許多應(yīng)用開(kāi)發(fā)者都采用在應(yīng)用系統(tǒng)中嵌入訪(fǎng)問(wèn)控制的方法來(lái)解決上述問(wèn)題。本文提出了一種新型的廣義權(quán)限管理模型，該模型通過(guò)引入本體來(lái)對(duì)企業(yè)業(yè)務(wù)層面上與操作相關(guān)的信息進(jìn)行概念建模，實(shí)現(xiàn)了一個(gè)對(duì)具有業(yè)務(wù)內(nèi)涵的、范圍相當(dāng)廣泛的一類(lèi)廣義操作進(jìn)行權(quán)限定義和管理的合適的表達(dá)框架和管理機(jī)制，并建立了相應(yīng)的形式化模型。本體的使用將傳統(tǒng)的訪(fǎng)問(wèn)控制對(duì)象擴(kuò)展為帶參數(shù)的、參數(shù)論域通過(guò)領(lǐng)域本體呈現(xiàn)出結(jié)構(gòu)性關(guān)聯(lián)的、并且具有業(yè)務(wù)語(yǔ)義的服務(wù)，這樣，擴(kuò)大了訪(fǎng)問(wèn)控制的對(duì)象范圍，豐富了相應(yīng)的訪(fǎng)問(wèn)控制機(jī)制。關(guān)鍵詞：權(quán)限管理模型，授權(quán)，訪(fǎng)問(wèn)控制，本體，參考監(jiān)控器背景及相關(guān)工作權(quán)限管理是系統(tǒng)應(yīng)用層安全的核心問(wèn)題之一，它通過(guò)對(duì)主體訪(fǎng)問(wèn)權(quán)限的設(shè)置和維護(hù)，來(lái)阻止對(duì)計(jì)算機(jī)系統(tǒng)和資源的非授權(quán)訪(fǎng)問(wèn)，確保只有適當(dāng)?shù)娜藛T才能獲得適當(dāng)?shù)姆?wù)和數(shù)據(jù)?，F(xiàn)代企業(yè)集成環(huán)境中存在大量分布的、異構(gòu)的應(yīng)用系統(tǒng)，這些應(yīng)用所基于的設(shè)計(jì)和技術(shù)都可能不同，其內(nèi)部信息資源類(lèi)型多、粒度細(xì)，對(duì)資源的操作往往具有業(yè)務(wù)內(nèi)涵且操作的范圍相當(dāng)廣泛【1】。因此，如何解決對(duì)企業(yè)應(yīng)用內(nèi)部帶有語(yǔ)義信息操作的訪(fǎng)問(wèn)控制以及跨應(yīng)用安全策略的設(shè)置，已經(jīng)成為一個(gè)越來(lái)越復(fù)雜和困難的挑戰(zhàn)，成為每個(gè)企業(yè)都必須關(guān)注的問(wèn)題。目前企業(yè)應(yīng)用的權(quán)限管理大都采用了傳統(tǒng)的參考監(jiān)控器這樣的訪(fǎng)問(wèn)控制機(jī)制（見(jiàn)圖1）【2】。一個(gè)參考監(jiān)控器是安全系統(tǒng)的一部分，負(fù)責(zé)調(diào)解主體對(duì)系統(tǒng)資源（即客體）的訪(fǎng)問(wèn)，通過(guò)檢測(cè)授權(quán)庫(kù)中的授權(quán)規(guī)則來(lái)進(jìn)行訪(fǎng)問(wèn)請(qǐng)求判斷，然后進(jìn)行執(zhí)行。傳統(tǒng)上，通過(guò)“主體動(dòng)作客體”結(jié)構(gòu)，授權(quán)規(guī)則設(shè)置了什么主體可以對(duì)什么客體執(zhí)行什么操作。所有的授權(quán)規(guī)則都可以用訪(fǎng)問(wèn)矩陣來(lái)表示【3】，行表示主體，列表示客體，每個(gè)元素表示主體對(duì)相應(yīng)客體的訪(fǎng)問(wèn)權(quán)限。為了進(jìn)行授權(quán)決策，一個(gè)參考監(jiān)控器將授權(quán)規(guī)則和三組信息，即訪(fǎng)問(wèn)請(qǐng)求信息、提出訪(fǎng)問(wèn)請(qǐng)求的主體、被訪(fǎng)問(wèn)的客體信息，作為輸入【4】。在傳統(tǒng)的權(quán)限管理模型中，訪(fǎng)問(wèn)請(qǐng)求信息通常就是操作請(qǐng)求類(lèi)型，例如“讀”操作類(lèi)型。在MAC、DAC【5】【6】中，操作通常為簡(jiǎn)單的讀、寫(xiě)、執(zhí)行、追加等，RBAC【7】將操作請(qǐng)求擴(kuò)展到在應(yīng)用級(jí)上的一些操作，如審批、申請(qǐng)等。主體的信息分為兩類(lèi)：安全相關(guān)信息和安全不相關(guān)。安全相關(guān)的信息由安全管理員或用戶(hù)管理員來(lái)控制，描述了主體的身份、組成員、允許的權(quán)限等安全屬性。在傳統(tǒng)的權(quán)限管理模型中，主體中只有安全相關(guān)的信息才能用于訪(fǎng)問(wèn)控制決策。同樣，被訪(fǎng)問(wèn)客體的信息也被分為安全相關(guān)信息的和安全不相關(guān)信息。類(lèi)似于主體，在傳統(tǒng)的權(quán)限管理模型中，客體中只有安全相關(guān)的信息才被用在訪(fǎng)問(wèn)控制決策中，如客體名稱(chēng)、安全標(biāo)簽等。參考監(jiān)控器將上面三組信息代入授權(quán)規(guī)則進(jìn)行計(jì)算，計(jì)算的最終結(jié)果是對(duì)訪(fǎng)問(wèn)的“允許（allow）”或“禁止（deny）”。從圖1可以看出，在傳統(tǒng)的權(quán)限管理模型中，主體和客體是相互獨(dú)立的，它們之間或者互不牽連，或者只通過(guò)一些共同的標(biāo)記來(lái)進(jìn)行聯(lián)系（如安全標(biāo)簽）【6】。主體有主體的結(jié)構(gòu)和標(biāo)記，客體有客體的結(jié)構(gòu)和標(biāo)記，中間滿(mǎn)足什么關(guān)系，就放行，否則就攔截。參考監(jiān)控器所使用的主客體的信息是受限的，只有主客體的安全相關(guān)屬性才能用于授權(quán)決策中。但是，現(xiàn)代應(yīng)用環(huán)境下的權(quán)限管理不同于傳統(tǒng)的權(quán)限管理，需要面對(duì)若干新問(wèn)題【8】：在現(xiàn)代應(yīng)用環(huán)境下，主客體營(yíng)壘不甚分明，一個(gè)實(shí)體可能既是主體，又是客體。這樣的主客體在傳統(tǒng)的權(quán)限管理模型中無(wú)法表示?，F(xiàn)代企業(yè)應(yīng)用中，操作不僅僅是對(duì)文件和目錄的簡(jiǎn)單的讀、寫(xiě)和執(zhí)行，而是一種廣義的操作，通常都具有業(yè)務(wù)領(lǐng)域的內(nèi)涵。例如對(duì)企業(yè)內(nèi)部請(qǐng)假審批操作來(lái)說(shuō)，必須要考慮主體的職位、客體的職位，請(qǐng)假的類(lèi)型、天數(shù)，權(quán)限規(guī)定可審批的假期的類(lèi)型、天數(shù)…等等。傳統(tǒng)的權(quán)限管理模型無(wú)法對(duì)這種帶有語(yǔ)義信息的操作進(jìn)行控制?，F(xiàn)代應(yīng)用的訪(fǎng)問(wèn)控制有時(shí)需要考慮主客體的安全無(wú)關(guān)信息。比如，對(duì)公共圖書(shū)館中某些材料的訪(fǎng)問(wèn)要根據(jù)訪(fǎng)問(wèn)用戶(hù)的年齡來(lái)授予相應(yīng)權(quán)限；另一個(gè)例子是從組織的工作流執(zhí)行過(guò)程中獲得的信息。這些信息不是由安全管理員或用戶(hù)管理員控制的，也不是以主客體安全屬性的形式提供給參考監(jiān)視器的，因此傳統(tǒng)的權(quán)限管理無(wú)法實(shí)現(xiàn)這種需求?，F(xiàn)代應(yīng)用環(huán)境下，安全策略的表述有可能是跨應(yīng)用的，策略的表達(dá)中涉及到一些公用的信息和結(jié)構(gòu)，比如：時(shí)間、安全級(jí)別、職位等等。傳統(tǒng)的權(quán)限管理模型沒(méi)有提供這樣的一種公共結(jié)構(gòu)來(lái)表述這些共享信息。此外，現(xiàn)代應(yīng)用環(huán)境下還需要控制多種粒度的操作（包括基于用戶(hù)的域名或IP地址、基于訪(fǎng)問(wèn)控制列表、基于規(guī)則的操作等），這樣，必須需要多種權(quán)限管理層次，以實(shí)現(xiàn)各種粒度的權(quán)限控制。傳統(tǒng)的權(quán)限管理模型同樣無(wú)法解決這一問(wèn)題。從上面分析可見(jiàn)，傳統(tǒng)的基于參考監(jiān)控器的主客體獨(dú)立的權(quán)限管理模型已經(jīng)不能滿(mǎn)足現(xiàn)代應(yīng)用環(huán)境下權(quán)限管理的需要。為了解決權(quán)限管理所面臨的上述新問(wèn)題，很有必要提出一種新型的廣義權(quán)限管理模型，用以解決對(duì)企業(yè)內(nèi)部帶有語(yǔ)義信息操作的控制以及跨應(yīng)用復(fù)雜安全策略的設(shè)置問(wèn)題?；诒倔w的權(quán)限管理模型企業(yè)應(yīng)用內(nèi)部帶有語(yǔ)義信息的廣義操作要求現(xiàn)代企業(yè)的權(quán)限管理模型必須具有對(duì)這種語(yǔ)義信息的描述功能，同時(shí)，還能將這種語(yǔ)義信息用于操作執(zhí)行時(shí)的權(quán)限判斷。本體是共享概念模型的明確的形式化規(guī)范說(shuō)明，它具有良好的概念層次結(jié)構(gòu)和領(lǐng)域知識(shí)的共享性以及對(duì)邏輯推理的支持【9】【10】，因而我們考慮在權(quán)限管理模型中引入本體的概念，即使用本體這種工具為企業(yè)應(yīng)用領(lǐng)域與操作相關(guān)的信息進(jìn)行概念建模，借此反映操作的一些語(yǔ)義信息。當(dāng)具體操作實(shí)現(xiàn)時(shí)，再將操作轉(zhuǎn)化為對(duì)技術(shù)層面上帶參數(shù)的服務(wù)的訪(fǎng)問(wèn)，并利用應(yīng)用領(lǐng)域中的語(yǔ)義信息來(lái)進(jìn)行訪(fǎng)問(wèn)控制。圖2是基于本體的權(quán)限管理模型。從上圖可以看出，在基于本體的權(quán)限模型中，主體和客體都是本體的一部分，且它們都包含若干屬性和屬性值集合。此外，本體中還包含若干實(shí)體關(guān)系及約束。當(dāng)主體對(duì)客體發(fā)出的操作請(qǐng)求被截獲后，權(quán)限引擎根據(jù)相關(guān)規(guī)則以及這個(gè)操作所涉及的本體要素（包含操作所帶的所有參數(shù)）之間是否滿(mǎn)足策略所指定的約束條件，來(lái)決定該操作是被允許還是禁止。2.1 與傳統(tǒng)的權(quán)限管理模型的比較傳統(tǒng)的權(quán)限模型中，主客體間只是單純的訪(fǎng)問(wèn)關(guān)系，不能表示它們之間的一些非訪(fǎng)問(wèn)關(guān)系，如報(bào)告關(guān)系、撤職關(guān)系等等，即傳統(tǒng)的權(quán)限模型不能表示帶業(yè)務(wù)語(yǔ)義信息的操作；傳統(tǒng)的權(quán)限模型中，安全策略也只是規(guī)定了哪個(gè)主體可以訪(fǎng)問(wèn)哪個(gè)客體，訪(fǎng)問(wèn)粒度粗。為了細(xì)化訪(fǎng)問(wèn)粒度，有些模型增加了類(lèi)似BLP模型【11】中的安全標(biāo)簽這樣的公共安全屬性，來(lái)加強(qiáng)主體對(duì)客體訪(fǎng)問(wèn)的約束，但這種安全屬性并不能涵蓋所有的與策略表達(dá)相關(guān)的因素；另外，對(duì)于跨應(yīng)用的策略來(lái)說(shuō)，由于各個(gè)應(yīng)用中所采用的信息的表示概念和術(shù)語(yǔ)并不相同，傳統(tǒng)的權(quán)限模型很難對(duì)跨應(yīng)用的安全策略進(jìn)行表述?；诒倔w的權(quán)限管理模型則把所有主體和客體都納入本體體系中，主客體結(jié)構(gòu)以及它們之間的關(guān)系都是領(lǐng)域共享的，從而使得利用這種共享結(jié)構(gòu)來(lái)統(tǒng)一表述各種復(fù)雜的帶語(yǔ)義信息的操作以及跨應(yīng)用的安全策略就成為可能；在基于本體的權(quán)限管理模型中，由于主體對(duì)客體的操作可以附帶各種參數(shù)，且參數(shù)可以引用主客體的所有屬性，因此基于本體的權(quán)限管理模型可以實(shí)現(xiàn)主體對(duì)客體細(xì)粒度的操作控制，即只有當(dāng)操作所帶的參數(shù)滿(mǎn)足策略的約束條件時(shí)，才可允許操作的執(zhí)行。2.2基于本體的權(quán)限管理模型的表達(dá)力我們所提出的權(quán)限管理模型依然是一種“訪(fǎng)問(wèn)控制”模型，但已經(jīng)突破了傳統(tǒng)的“訪(fǎng)問(wèn)控制”的范疇：——從技術(shù)層面看，控制的依然是“訪(fǎng)問(wèn)”。但是被訪(fǎng)問(wèn)的資源除了傳統(tǒng)的網(wǎng)址、文件和目錄，還有更細(xì)粒度的數(shù)據(jù)單元，以及帶有復(fù)雜參數(shù)的服務(wù)。我們將其統(tǒng)一地看為是對(duì)“服務(wù)”的訪(fǎng)問(wèn)。——從業(yè)務(wù)層面看，控制的是廣義的“操作”，這種操作具有業(yè)務(wù)領(lǐng)域的內(nèi)涵（比如請(qǐng)假）。或者說(shuō)，這種廣義的操作賦予對(duì)“服務(wù)”的訪(fǎng)問(wèn)以業(yè)務(wù)語(yǔ)義。業(yè)務(wù)層面上廣義的操作和技術(shù)層面上對(duì)服務(wù)的訪(fǎng)問(wèn)具有一一對(duì)應(yīng)的關(guān)系。因此出于表述上的方便，后面我們對(duì)二者等同對(duì)待。在我們所提出的基于本體的權(quán)限管理模型中，本體模型是建立在業(yè)務(wù)層面上的。因此，在本體模型中的權(quán)限管理，實(shí)際上是在業(yè)務(wù)層面上對(duì)廣義操作的控制，而不是技術(shù)層面上對(duì)服務(wù)的訪(fǎng)問(wèn)控制。被控制的廣義操作只有借助技術(shù)系統(tǒng)中的服務(wù)來(lái)實(shí)現(xiàn)的時(shí)候，才存在訪(fǎng)問(wèn)控制的問(wèn)題，或者說(shuō)權(quán)限管理（對(duì)廣義操作的控制）才被映射為對(duì)服務(wù)的訪(fǎng)問(wèn)控制。因此，這種主客體交融的、細(xì)粒度的、帶參數(shù)的、參數(shù)論域呈結(jié)構(gòu)性關(guān)聯(lián)的權(quán)限管理模型在“表達(dá)能力”方面的創(chuàng)新點(diǎn)有：（1）在業(yè)務(wù)層面，通過(guò)引入本體，得到了一個(gè)對(duì)具有業(yè)務(wù)內(nèi)涵的、范圍相當(dāng)廣泛的一類(lèi)廣義操作進(jìn)行權(quán)限定義和管理的合適表達(dá)框架和管理機(jī)制，建立了相應(yīng)的形式化模型。（2）在技術(shù)層面，通過(guò)把控制對(duì)象擴(kuò)展為帶參數(shù)的、參數(shù)論域通過(guò)領(lǐng)域本體呈現(xiàn)出結(jié)構(gòu)性關(guān)聯(lián)（如偏序結(jié)構(gòu)）的、并且具有業(yè)務(wù)語(yǔ)義的服務(wù)，擴(kuò)大了訪(fǎng)問(wèn)控制的對(duì)象范圍，豐富了相應(yīng)的訪(fǎng)問(wèn)控制機(jī)制。（3）在兩個(gè)層面的結(jié)合上，通過(guò)建立本體，業(yè)務(wù)層面為技術(shù)層面提供了語(yǔ)義清晰的形式化模型和用戶(hù)友好的結(jié)構(gòu)化界面。權(quán)限本體描述框架為了解決企業(yè)內(nèi)部知識(shí)共享以及海量信息的組織、管理和維護(hù)的問(wèn)題，許多企業(yè)都開(kāi)始使用本體這種能在語(yǔ)義和知識(shí)層次上描述信息系統(tǒng)的概念模型建模工具，用以描述企業(yè)內(nèi)部的概念以及概念和概念之間的關(guān)系，并通過(guò)概念之間的關(guān)系來(lái)描述概念的語(yǔ)義。由于現(xiàn)在信息系統(tǒng)建設(shè)的現(xiàn)狀是：先有應(yīng)用，少部分本體尚在建設(shè)或規(guī)劃之中，大部分沒(méi)有本體。應(yīng)用在本體層面還遠(yuǎn)沒(méi)有打通?？紤]到上述情況，我們?cè)O(shè)計(jì)了一個(gè)簡(jiǎn)單的本體描述框架，用來(lái)為每個(gè)企業(yè)建立自己的本體，然后在該本體的基礎(chǔ)上實(shí)現(xiàn)企業(yè)的權(quán)限管理。由于我們所關(guān)心的只是企業(yè)內(nèi)部用于權(quán)限推理和決策的共享知識(shí)，因此，我們所設(shè)計(jì)的本體描述框架，也只考慮了企業(yè)內(nèi)部和權(quán)限及權(quán)限推理有關(guān)的概念和概念間的關(guān)系。這個(gè)本體描述框架不能作為描述整個(gè)企業(yè)概念模型的工具，它是非常簡(jiǎn)單的，它只用于企業(yè)內(nèi)部與權(quán)限有關(guān)的概念建模（如企業(yè)組織結(jié)構(gòu)、資源、操作、約束等）。下面將給出我們所提出的本體描述框架。為了區(qū)別于為整個(gè)企業(yè)概念建模的本體，我們稱(chēng)與企業(yè)權(quán)限管理相關(guān)的概念建模的本體為權(quán)限本體。一般，一個(gè)權(quán)限本體被形式化描述為：1）元素：實(shí)體、操作、屬性、條件、類(lèi)、實(shí)例；2）關(guān)系：存在于實(shí)體間；3）約束：對(duì)關(guān)系的約束。權(quán)限本體描述框架如圖3所示。3.1實(shí)體 實(shí)體的概念很廣泛，可以指領(lǐng)域內(nèi)任何主體或客體，比如：文件、用戶(hù)、設(shè)備等等。每個(gè)實(shí)體都包含若干屬性。定義3.1（實(shí)體）：實(shí)體可以表示為一個(gè)三元組：entity(Name,attributeList,attribValues)。Name指明了實(shí)體的名稱(chēng)；attributeList是實(shí)體包含的屬性列表；attribValues是實(shí)體的各個(gè)屬性所對(duì)應(yīng)的具體值。實(shí)體包含實(shí)體的類(lèi)和實(shí)例。由于實(shí)體的類(lèi)之間存在繼承關(guān)系且實(shí)體的實(shí)例和實(shí)體的類(lèi)之間存在實(shí)例化的關(guān)系，因此整個(gè)實(shí)體可以按層次結(jié)構(gòu)進(jìn)行組織，實(shí)體間的這種層次關(guān)系可用于權(quán)限的傳播計(jì)算。3.2屬性 屬性都是和實(shí)體相關(guān)的，用來(lái)存儲(chǔ)實(shí)體的信息。定義3.2（屬性）：一個(gè)屬性是一個(gè)二元組：attribute(Name,Type)。Name為屬性名稱(chēng)；Type定義了屬性所存儲(chǔ)的值的類(lèi)型。在系統(tǒng)中，屬性類(lèi)型可以為一些簡(jiǎn)單的數(shù)據(jù)類(lèi)型，如：字符串、整數(shù)、浮點(diǎn)數(shù)和日期等等，也可以為實(shí)體這樣復(fù)雜的類(lèi)型，如：商品中包含供應(yīng)商、庫(kù)存等屬性，這些屬性本身就是一個(gè)實(shí)體。實(shí)體屬性可以沿實(shí)體間的層次關(guān)系進(jìn)行傳播，一般，子類(lèi)包含其父類(lèi)的全部屬性；實(shí)體的實(shí)例包含其相應(yīng)類(lèi)的全部屬性。屬性分為兩種：一種是不可改變的屬性，如：實(shí)體的安全級(jí)別，其值只能由系統(tǒng)管理員來(lái)設(shè)置；另外一種是可以改變的屬性，它所存儲(chǔ)的值可以動(dòng)態(tài)改變，如：用戶(hù)消費(fèi)的數(shù)額，這個(gè)值隨著每次用戶(hù)的消費(fèi)而改變。3.3類(lèi)和實(shí)例類(lèi)是實(shí)體中的抽象節(jié)點(diǎn)，類(lèi)似于面向?qū)ο笾蓄?lèi)的概念，例如：用戶(hù)、角色、文件、目錄等等；實(shí)例是實(shí)體中的一些具體節(jié)點(diǎn)，是類(lèi)實(shí)例化后的結(jié)果，類(lèi)似與面向?qū)ο罄锩鎸?duì)象的概念，例如：某個(gè)具體的用戶(hù)“Tom”，某個(gè)具體的文件“paper.doc”等都是一些實(shí)例。類(lèi)可以從一個(gè)已存在的類(lèi)繼承而來(lái)，并繼承了該類(lèi)的所有屬性，用戶(hù)也可以對(duì)其屬性進(jìn)行增加和刪除。實(shí)例只能是一個(gè)類(lèi)實(shí)例化的結(jié)果，它繼承了該類(lèi)的所有屬性。3.4操作實(shí)體間的操作不僅僅包含傳統(tǒng)的讀、寫(xiě)、執(zhí)行等簡(jiǎn)單的訪(fǎng)問(wèn)操作，還包括一些非訪(fǎng)問(wèn)操作（帶語(yǔ)義信息的操作），是對(duì)傳統(tǒng)訪(fǎng)問(wèn)操作的一個(gè)擴(kuò)充。定義3.3（操作）：操作是一個(gè)四元組：operation(subject,object,activity,constraints)。subject和object分別表述操作的主客體類(lèi)型，activity是操作名稱(chēng)，constraints表示了該操作的約束條件。 操作可以具有層次結(jié)構(gòu)，即一種操作可以包含另一種操作，例如：一般情況下，寫(xiě)操作包含讀操作（如對(duì)某個(gè)文件進(jìn)行寫(xiě)操作，同樣也就意味著可對(duì)其進(jìn)行讀操作）。操作間的這種層次關(guān)系可以用于權(quán)限管理中，若主體對(duì)客體擁有某個(gè)權(quán)限，則他對(duì)該客體也擁有該權(quán)限所包含的的所有權(quán)限。3.5條件 條件用于限制操作的執(zhí)行，約束條件定義如下：定義3.4（條件）：條件是一個(gè)二元組Condition(predicateName,predicateValue)，predicateName表示了條件中使用的謂詞名稱(chēng)；predicateValue表示謂詞的參數(shù)值。使用約束條件，可以實(shí)現(xiàn)細(xì)粒度的操作控制，比如：為了實(shí)現(xiàn)對(duì)某種特定類(lèi)型文件的讀操作，我們可以通過(guò)對(duì)Read操作增加約束條件的方法（如限定客體只能是doc文件類(lèi)型）。這樣，主體和客體的類(lèi)型進(jìn)一步被細(xì)化。一般，一個(gè)特定的操作可以有零個(gè)、一個(gè)或多個(gè)約束條件（或者約束條件的非）來(lái)共同完成對(duì)它的限定，這些約束條件之間是邏輯與的關(guān)系。3.6實(shí)體間的基本關(guān)系關(guān)系表示了在領(lǐng)域中概念和概念之間的交互作用，形式上定義為n維笛卡兒乘積的子集：R：E1E2…En。關(guān)系的種類(lèi)有多種，歸納起來(lái)可以分為兩類(lèi)：一類(lèi)是具有傳播性的關(guān)系，另一類(lèi)是不具有傳播性的關(guān)系。實(shí)體間典型的具有傳播性的關(guān)系有下面幾種：部分（part_of）關(guān)系：表示一個(gè)實(shí)體是另一個(gè)實(shí)體的組成部分，用于表達(dá)概念之間部分與整體的關(guān)系。如：人力資源部是企業(yè)組織的一部分。類(lèi)包含（kind_of）關(guān)系：表示子類(lèi)和父類(lèi)之間的包含關(guān)系。如C-languageProgrammer和Programmer、File和Resource的關(guān)系等。實(shí)例化（inst_of）關(guān)系：表示實(shí)例和類(lèi)之間實(shí)例化的關(guān)系。如“l(fā)dd”和CommonUser的關(guān)系等。定義3.5（實(shí)體偏序關(guān)系）：是實(shí)體集合E上的一種偏序關(guān)系￡E。給定兩個(gè)實(shí)體e和e，若e￡Ee，我們稱(chēng)e小于或等于e?？梢宰C明part_of，kind_of，inst_of關(guān)系是實(shí)體偏序關(guān)系。證明略。實(shí)體間不具有傳播性的關(guān)系可用于授權(quán)規(guī)則的約束條件表述中，比如“夫妻關(guān)系”不具有傳播性，有這樣一條規(guī)則：規(guī)定有夫妻關(guān)系的，一方不能向另一方請(qǐng)假。3.7約束約束來(lái)設(shè)置實(shí)體之間必須滿(mǎn)足的類(lèi)子類(lèi)關(guān)系的公理，約束可以用在權(quán)限的計(jì)算推理中。例如：下面圖4中描述了一個(gè)本體內(nèi)實(shí)體間的約束?；诒倔w的權(quán)限管理我們將基于本體的權(quán)限管理的基本步驟總結(jié)如下：根據(jù)上面提出的權(quán)限本體描述框架，建立相關(guān)領(lǐng)域的權(quán)限本體，包括創(chuàng)建實(shí)體的屬性集合、創(chuàng)建應(yīng)用域中的基本實(shí)體類(lèi)、創(chuàng)建實(shí)體實(shí)例、設(shè)置實(shí)體關(guān)系、建立實(shí)體間的約束、創(chuàng)建操作集合、設(shè)置操作關(guān)系、創(chuàng)建條件謂詞等。使用授權(quán)策略設(shè)置工具，進(jìn)行權(quán)限的設(shè)置。這里包括授權(quán)規(guī)則和授權(quán)策略的制定、沖突解決方式的選擇等等。將授權(quán)規(guī)則和策略存入規(guī)則庫(kù)。對(duì)截獲的用戶(hù)操作請(qǐng)求，請(qǐng)求轉(zhuǎn)換器按照權(quán)限本體把操作請(qǐng)求（及所帶的參數(shù)）轉(zhuǎn)換成規(guī)定的格式，將請(qǐng)求傳遞給權(quán)限引擎。權(quán)限引擎利用權(quán)限本體中的相關(guān)實(shí)體信息和實(shí)體間的關(guān)系，對(duì)規(guī)則庫(kù)中的規(guī)則進(jìn)行匹配及推理，得出決策結(jié)果，返回給用戶(hù)。結(jié)論為了解決企業(yè)應(yīng)用內(nèi)帶語(yǔ)義信息的操作以及跨應(yīng)用安全策略的設(shè)置和訪(fǎng)問(wèn)控制的問(wèn)題，我們提出了一種基于本體結(jié)構(gòu)的權(quán)限管理模型。我們使用本體來(lái)對(duì)業(yè)務(wù)層面上與操作相關(guān)的信息進(jìn)行概念建模，實(shí)現(xiàn)了一個(gè)對(duì)具有業(yè)務(wù)內(nèi)涵的、范圍相當(dāng)廣泛的一類(lèi)廣義操作進(jìn)行權(quán)限定義和管理的合適的表達(dá)框架和管理機(jī)制，并建立了相應(yīng)的形式化模型；另一方面，本體的使用將傳統(tǒng)的訪(fǎng)問(wèn)控制對(duì)象擴(kuò)展為帶參數(shù)的、參數(shù)論域通過(guò)領(lǐng)域本體呈現(xiàn)出結(jié)構(gòu)性關(guān)聯(lián)（偏序結(jié)構(gòu)）的、并且具有業(yè)務(wù)語(yǔ)義的服務(wù)，這樣，擴(kuò)大了訪(fǎng)問(wèn)控制的對(duì)象范圍，豐富了相應(yīng)的訪(fǎng)問(wèn)控制機(jī)制。在本文中我們主要給出了一種基于本體的權(quán)限管理模型，分析了這種新型廣義權(quán)限管理模型的表達(dá)力；并給出了一種簡(jiǎn)單的本體描述框架，在該描述框架的基礎(chǔ)上，用戶(hù)可以構(gòu)建自己領(lǐng)域內(nèi)與權(quán)限相關(guān)信息的本體，從而利用該本體進(jìn)行企業(yè)應(yīng)用級(jí)的權(quán)限管理。我們的模型仍然存在著許多值得研究的問(wèn)題，例如：該模型的一致性和完整性證明上；該權(quán)限本體如何更好地設(shè)計(jì)完善上，這些我們將在以后的工作中逐步進(jìn)行解決?！緟⒖嘉墨I(xiàn)】【1】K.Beznosov.EngineeringAccessControlforDistributedEnterpriseApplications.PhDthesis,FloridaInternationalUniversity,Miami,FL,2000.127【2】J.Anderson.ComputerSecurityTechnologyPlanningStudy.AirForceElectronicSystemsDivisionESD-TR-73-51.Vols.IandII,1972.【3】LampsonB.W.Protection.InProceedingsofthe5thAnnualPrincetonConferenceonInformationSciencesandSystems.1971.【4】WooT.,LamS.AuthorizationsinDistributedSystems:ANewApproach.JournalofComputerSecurity.2(2&3):107-136,1993.【5】NationalComputerSecurityCenter(NCSC).AGuidetoUnderstandingDiscretionaryAccessControlinTrustedSystem,ReportNSCD-TG-003Version1,30September1987.【6】D.E.Denning.Alatticemodelofsecureinformationflow.CommunicationsoftheACM,19(5):236-243,May1976.【7】R.Sandhu,D.Ferraiolo,andR.Kuhn.TheNISTmodelforrole-basedaccesscontrol:Towardsaunifiedstandard.InProc.OfthefifthACMWorkshoponRole-basedAccessControl,pages47-63,BerlinGermany,July2000.【8】DongdongLi,SonglinHu,ShuoBai.AUniformModelforAuthorizationandAccessControlinEnterpriseInformationPlatform.EDCIS2002,180-192【9】Borst.W.N.ConstructionofEngineeringOntologiesforKnowledgeSharingandReuse.PhDthesis,UniversityofTwenter,Enschede,1997.【10】StuderR,BenjaminsV.R,FenselD.KnowledgeEngineering,PrinciplesandMethods.DataandKnowledgeEngineering,1998,25(1-2):161-197【11】D.E.BellandL.J.LaPadula.Securecomputersystems:Mathematicalfoundations.TechnicalReportESD-TR-278,vol.1,TheMitreCorp.,Bedford,MA,1973AnOntology-basedPrivilegeManagementModelLiDong-dong,BaiShuoSoftwareDivision,InstituteofComputingTechnology,TheChineseAcademyofSciences,Beijing100080,ChinaE-mail:lidongdong@Privilegemanagementisthecoreofsystemsecurity,whichcanpreventcomputersystemandresourcefrombeingunauthorizedaccessedandmakesurethatdifferentpeoplecangetdifferentservicesanddata.Underthemodernapplicationcircumstances,privilegemanagementisfacedwithmanyproble