ComputerEngineering andApplications计算机工程与应用 ABAC策略语义表示和决策方法 周加根,叶春晓,罗 娟 ZHOU Jiagen,YE Chunxiao,LUO Juan 重庆大学计算机学院,重庆400044 School of Computer Science,Chongqing University,Chongqing 400044,China ZHOU Jiagen,YE Chunxiao,LUO Juan.Semantic representati0n and enforcement methods of ABAC policies.Computer Engineering and Applications,2013,49(23):56—62. Abstract:To solve the semantic presentation and enforcement problems of ABAC policies in the open system environment,a method using ontology to define policies is proposed.This method is defined on the basis of a map from ABAC policy model to description logic definitions.Also.it uses SWRL rules to define relations in the system.Based on the policy ontology,a flame— work utilizing close world reasoning and individual realization reasoning service to generate decisions of access request is pro・ posed.The correctness of policy enforcement method is proved through its soundness and completeness,and an experiment is showed to verify the feasibility of these methods in a real application. Key words:Attribute—Based Access Control(ABAC):policy representation;policy enforcement;ontology;Semantic Web Rule Language(SWRL):reasoning 摘要:为解决开放式系统环境中基于属性的访问控制(Attribute—Based Access Control,ABAC)策略语义层次上的表示 和决策问题,提出了ABAC策略的本体表示方法。该方法基于ABAC策略模型到描述逻辑定义的映射,使用语义Web规 则语言(SWRL)处理系统内部关系定义。在此基础上,提出了基于封闭世界和实例实现推理的策略决策框架。最后从可 靠性和完备性两方面说明了决策方法的正确性,验证实验表明了方法在实际应用中的适用性。 笑键 :基于属性的访问控制;策略表示;策略决策;本体;语义Web规则语言;推理 文献标志码:A 巾I矧分类号:TP309 doi:10.3778 ̄.issn.1002—8331.1109—0593 1 引青 随着新型网络技术和汁算技术的出现,信息系统已由 传统的集中封闭式模式演化为开放分布式模式。开放分 布式环境具备的分布性、自治性、动态性和异构性等特征, 给信息系统安全研究带来新的要求:一方面,开放式环境 中资源提供者与资源访问请求者处于对等地位,相互之间 无法预知对方的身份信息,集中封闭式环境中普遍采用的 基于身份的访问控制方法(IBAC)完令失效;另一方面,不 同资源提供者在制定资源访问策略时依赖的系统安全属 性存在术语表示和解释上的不同,这种不一致性往往导致 安全策略被不恰当地实施 前者对访问控制方法(模型)在表达系统安全需求方 面的抽象能力提出了要求,基于属性的访问控制(ABAC) 。 , 访问决策是基于请求者和资源的属性做出的,与IBAC基 于身份的授权方式相比,具有足够的灵活性和可扩展性 、 ABAC采用属性对系统内部实体安全特征统一建模,通过 属性问关系的定义来描述授权和访问控制约束,具备强大 的抽象能力,能够支持细粒度和大规模的访问控制,成为 开放式环境中主流的访问控制方法。 后者对安全策略在语义层次上的描述、定义和实施方 法提出了要求。安全策略是一组由管理需求产生的、卡日对 持久的说明性规则,这些规则作为系统做出决策的依据 在开放式环境中,采用安全策略描述系统高层安全需求是 实施访问控制授权的主要方法。研究者们针对特定的应 用场景,采用不同的形式化方法。提出了多种安全策略定 义和使用方法 。在诸多策略定义规范中,基于语义Web 和本体技术的访问控制策略定义方法已经体现出了在策 略理解、共享和集成等方面的优势。 本文在研究已有ABAC模型定义上,采用属性表达式 方式定义ABAC策略模型。在此基础上,提出了一种 膳会项II:国家自然科学基金(No.60503027);重庆大学研究生科技创新基金项目(No.CDJXS111 80022) 作者简介:周加根,男.硕士研究生,研究领域:访问控制、本体建模;叶春晓,男,博士,教授.研究领域:本体技术、访 控制;罗娟,女,硕士 研究生,研究领域:网格技术、访问控制。E—mail:zhoujiagen@gmail.tom 收稿订期:20ll—O9.29 修回日期:2013-05—07 文章编号:1002.8331(2013)23—0056—07 CNKI{I{版¨期:20l3-O7—09 http://www.cnki.net/kcms/detail/11.2127.TR20】30709 101 5.005.html 周加根,叶春晓,罗娟:ABAC策略语义表示和决策方法 义推理提供一种策略决策实现方法。 ABAC策略的本体表示方法,和一种基于实例实现的 ABAC策略决策方法,在语义层次上支持ABAC策略的表 示和决策。 3基于本体的ABAC策略模型 本体作为共享概念模型的明确的形式化规格说明,本 身是一种可共享重用的知识表达方法。以本体方式对 ABAC模型元素和关系进行知识建模,建立策略本体模型, 2相关工作 安全策略的描述和定义方法在信息安全研究中一直 受到广泛关注,目前主要的安全策略语言大致可以分为声 明式语言和基于逻辑的形式化语言。OASIS开发的可扩 为策略语义表示和决策奠定基础。本章首先以属性表达 式对ABAC策略模型进行定义,然后给出该模型定义到策 展访问控制标记语言(XACML) 是一类典型的声明式策 略描述语言,它以属性匹配机制定义访问控制策略,同时 提供了策略实施框架,是描述和实施ABAC策略的理想选 择。在此基础上,Ye等 提出了扩展的XACML语言 A.XACML,以数据类型、函数和逻辑组合等构造支持简单 或复杂的属性访问控制策略定义。因XACML中策略元素 和元素之间的关系较为复杂,造成用户在实体属性和策略 管理上极大的不便。Priebe等 在基本的XACML策略描 述构造基础上,采用本体刻画ABAC模型中的用户、资源 和环境等实体属性,以基于本体的推理引擎实现属性之间 的语义关联推理,简化了实体属性和策略的管理。此外, XACML这类基于XML的策略描述语言保证了策略具有 表示良好的语法结构,但缺乏相关的策略和属性语义信息 表达能力,在处理策略语义异构问题上存在一定的局限性。 与声明式策略语言不同,基于逻辑的形式化策略语言 在保证良好组织的语法结构基础上,利用逻辑推理建立完 整的策略授权视图,为策略和安全属性管理提供了便利。 Barker等 以受限逻辑程序形式定义基于角色的访问控制 (RBAC)策略,通过逻辑程序中定理证明评估访问请求,同 时支持策略选项、约束检查和管理查询等操作。Zhao等 以描述逻辑语言形式化定义RBAC策略,在描述逻辑推理 机的支持下,支持访问请求评估、RBAC功能实现以及策略 一致性检测。此外,基于语义Web和本体技术的安全策略 描述方法,借助本体在清晰表达信息语义方面的优势,在 策略描述中融入语义,能够有效地解决安全属性术语定义 不一致问题。这类策略语言的典型代表是Reit” 和KAoS , 两者在表达安全需求时有足够的描述灵活性,但缺乏对访 问控制模型抽象的支持。Finin等 使用OWL本体建立 RBAC策略模型,并提供了基于规则的策略实施方法,从语 义层次上支持RBAC策略的描述和实施,同时探讨了OWL 在表达基于属性的RBAC和ABAC策略时的适用性。努 尔买买提・黑力力等… 提出了带负向权限扩展的RBAC策 略的OWL表示方法。Beimel等 对基于场景的访问控制 策略的本体描述和推理进行了研究。胡殿友等 针对实际 应用中ABAC模型中实体属性多样性和二义性等特点,构 建通用的属性本体,在语义层次上为使用属性语义信息辅 助策略的表示奠定了基础,但没有提供策略定义和实施方 法。这些工作关注于特定访问控制模型策略和安全属性 的描述,因模型自身抽象能力的不足,无法支持细粒度访 问控制策略的表达。本文工作重点在于结合语义Web技 术,在ABAC安全策略描述中融入语义信息,同时利用语 略本体模型的映射方法。 3.1 ABAC策略模型 定义1(实体、属性和关系)信息系统内有四类实体对 象:资源 、主体 、访问操作 和环境E。属性 是对 实体特征的刻画,实体属性由属性名称和属性取值构成。 根据属性取值类型的不同,将属性分为两类:字面型 和数值型。字面型属性(如职位、角色等)取值是离散的, 不同取值之间可以存在优先于、高于等偏序关系。系统内 有三类关系REL:实体与属性值间关系、实体与实体问关 系和属性值之间的关系。 定义2(属性表达式和关系谓词)原子属性表达式 ae=(attr,。C,va1),其中attr∈ATTR,val为属性取值,操作 符。C∈{>,<,>-,_<,=,≠},>_,_<标记字面型属性值间的偏 序关系,>,<标记数值型属性值间比较关系。一般的属性表 达式AE=VICAE z=(ae】l^ae12 A…^ae1,.)V…V(ae 1 A . .ae 2 A…/X ae ),其中 f为原子属性表达式。 有两类关系渭词rp=(rel, ,C2),rp =(re1.attr ,e1 ̄val, oC,attr e2 ̄va1),rp刻画实体之间的关系,rp 刻画具有同种 属性值域的不同实体属性取值关系;其中关系名称rel REL,e1,e,∈{R,S,E},ei.val表示实体e,的属性attr 取值 为val。 定义3(策略和策略集)ABAC策略P=(Pid,SAE,A , RAE,EAE,尺P,Sign),其中Pid为策略标识,SAE、RAE、EAE 分别为主体、资源和环境的属性表达式,A = ,a 一, a } A为访问操作,RP=尺P URP,为系统内部关系谓词 集合, p 、 P,分别为两类关系谓词集合,Sign ̄{permit, deny}为授权标识。策略集PS=(PSid,{P1,P 一,P })。 定义4(属性访问请求)称操作符 限定为=的原子 属性表达式为属性名值对(avp)。主体发出的原始资源访 问请求NAR仅带有实体标识信息,添加实体属性取值(实 体与属性值间的关系)和满足的关系谓词,构成基于属 性的访问请求AAR={avp1,avp2,…,avp ,a1,Ⅱ2,…, ,rp1, rp 一, },其中 ∈A ,rp 为第一类关系谓词。 定义5(属性表达式评估和关系谓词评估) (1)原子属性表达式ae对属性名值对avp的评估结果 『。 ae1一avp 为真,当且仅当口P.attr=avp.attr,且avp.val。C ae.val。 (2)属性表达式CAE对属性访问请求AAR的评估结 果『CAE]…为真,当且仅当V CAE中出现的ae,3avp∈ AAR,满足『ae]为真。 Computer Engineering and Applications计算机工程与应用 (3)属性表达式AE对属性访问清求AAR的评估结果 通常各组织和团体已经建立了一些应用本体,共享和 重用这些应用本体能够加快策略本体的构建过程,为保持 讨论的一致性,本文做如下约定: [AE] 为真.当且仅当 AE中出现的CAE,满足[CAE] 为真。 (4)关系谓词RP= P U P,,RP 对属性访问请求 (1)若attr是关于实体 的数值属性, ∈{R,S,E}, 在实体本体中定义数值关系hasXAttr。 (2)若attr是关于实体 的字面型属性,在实体本体 中添加概念CXAttr和对象关系hasXAttr,各属性取值定义 (3)若attr是关于实体 的字面型属性,且属性取值 之间存在偏序关系 在(2)基础上添加对象关系seniorXAttrOf AAR的评估结果[JR|p ] 为真,当且仅当Vrp ∈尺P ,j ,∈ AAR,满足 、 ,对应项相同; P,对AAR的评估结果 『L ‘RP,1J 为真, A 当且仅当Vrp ,∈ P,, 实体e l,e,关于属性 为CXAttr的实例,实例名称序以前缀,。 attr1.attr2的属性名值对“ ,,avp ∈AAR,且g】.v口,oC e2.val; RP对AAR的评估结果[RP] 为真,当且仅当[RP,] 为 真,且『RP,].为真 定义6(策略评估)给定ABAC策略P,其对某一属性 和juniorXAttrOf,分别对应于定义2中的操作符 ,.<。 在实体本体的基础上,策略本体的定义基于3.1节中 策略模型的数学定义到描述逻辑定义的映射 ,见表1。 称策略定义中主体、访问操作和资源元素均具备的策 访问请求AAR的评估结果【P] 为真,当且仅当【SAE] 、 [RAE]AAR,[EAE]aAR,[R尸] 月均为真,且Va ∈AAR,口 ∈P. 。 3.2策略本体表示方法 本文以本体方法对系统内实体属性、关系和安全策略 建模,基于如下假设: 略为具体策略,其他策略元素称为辅助策略。辅助策略依 赖于具体策略而存在,按是否具有授权标识,划分为两类: 一类将对某一属性具有一致的取值约束的具体策略组织 在一起,这类辅助策略不带有授权标识;另一类辅助策略 是前一类辅助策略中所有具体策略的补集,对具体策略对 (1)实体属性、关系在安全策略中均有所体现,且数量 是有限的。 属性取值和关系未做约束的情况提供默认的授权标I}{。 策略概念CPid是具体策略概念,策略集概念CPSid 是存在共性的策略概念的父概念,共性可以是对某一 (2)字面型属性值域是固定不变的有限集合,属性取 值之间的偏序关系已确定。 (3)系统内部已经存在有限的实体关系谓词抽象 (4)添加到属性访问请求中的实体安全属性取值是完 备和可信的。 使用Web本体语言OWL 构建的策略本体结构如图1 所示,策略本体引用实体、资源和环境本体。鉴于OWL语 言是一类基于描述逻辑的本体描述语言,而OWL的XML 语法相对繁复,文中选用了其对应的描述逻辑AL族语言 的语法,其具体语法参见文献[17]。 实体属性有相同的属性值约束,策略集本身不带有授权 标识。CPSid可定义为3subjeer.CSAE、FCS0blrce.CRAE、 3environment.CEAE或3relation.{ P『}.或者这些概念的 与、并组合。对应于每个策略集概念,定义一个策略集中 所有策略概念的补集概念CPSidComplement,声明策略授 权标识蕴涵公理CPSidComplementE3e[1ect.{IDeny},其含 义是策略集中未定义的访问策略默认授权标识为 n 。 用概念CPS代表整体策略空间,蕴涵所有定义的策略 口— ClassIs—a 口~一 >individual Individual—of— ObjectProperty DataProperty 图1 ABAC策略本体结构 周加根,叶春晓,罗娟:ABAC策略语义表示和决策方法 表1 策略模型数学定义到描述逻辑定义的映射 集概念。以同样的方式,在策略空间内定义所有策略集概 念的补集CPSComplement。属性访问请求定义为概念CPS 的实例,关系谓词均定义为关系概念Relation的实例。 3.3系统内部关系处理 描述逻辑作为一类基于类别的推理系统,是一阶逻辑 (FOL)的可判定子集,可用于刻画现实世界中的概念和概 念间关系,系统内部实体与属性取值之间关系自然的可以 (a)主体余额与资源费用数值比较关系 通过对象关系和数值关系来表达。然而它的表达能力存 在一定的不足,仅能描述一元和二元关系,在刻画图2中比 较关系时存在一定的困难。尽管关系链(role chain)可用 于表达这类高元关系,但不加约束的关系链极易造成推理 的不可判定 。 本文将系统内部其他关系统一定义为概念Relation的 实例,引入语义Web规则语言SWRLt ],这一结合了Hom 子句和描述逻辑的规则描述语言,用于执行属性访问请求 与系统关系之间联系的推理。建立的部分推理规则如下: Rulel CPS(?nar),Subject(?sub),Resource(?res),sub— ject(?nar,?sub),resource(?nar,?res),ownerOf(?sub,?res), Relation(ISubjectOwnResource)--*relation(?nar,ISubjectOwn— Resource) (b)主体位置与资源位置比较关系 图2复杂关系示例 Rule2 CPS(?nar),hasSBalance(?nar,?ba1),hasREx— pense(?nar,?exp),swrlb:greaterThan0rEqual(?bal,?exp), Relation(IEnoughBalance)--- ̄relation(?nar,IEnou曲Ba1ance) swrlb:greaterThanOrEqual是SWRL的内建数值比较 谓词,表示大于或等于关系,规则Rule2说明了属性访问请 规则Rule1说明了属性访问请求如何与实体间关系发 生联系,存在关系谓词声明属性访问请求中主体是资源的 求如何与具有同种属性值域的不同实体属性取值关系关 属主(ownerOf)时,属性访问请求获得关系ISubjectOwn— Resource。 联,属性访问请求中主体余额大于等于资源的费用时,获 得关系IEnoughBalance。 Compuwr Engineering and Applications计算机工程与应用 Rule3 CPS(?nar),Position(?spos),Position(?rpos), 理实现。在策略本体实施框架中,PAP在完成实体本体和 策略本体的加载工作后,调用本体推理机检验本体知识的 有效性和一致性(步骤0)。用户发出访问清求。经框架中 hasSPosition(‘?nar,?spos),hasRPosition(?nar,?rpos),owl: sameAs(?spos,?rpos),Relation(ISubAndResInSamePos)__+ relation(?nar.1SubAndResInSamePos) 各元件处理,获得策略决策结果,需要经过图3中7个步骤。 (1)用户向PEP发出原始的访问请求NAR。 owl:sameAs是OWL实例一致性声明关系,Rule3 i兑明 了属性访问请求中主体和资源位置相同时,获得关系ISub— AndResInSamePos。 (2)PEP向属性权威和环境监视器查询NAR中实体的 属性信息。 (3)属.}生权威和环境监视器返回PEP詹}生信息查询结果。 另外,字面型取值之间偏序关系以类似于规则Rule4 的方式表达(这里以主体角色属性继承关系为例): Rule4 CPS(?nat),Role(?r1),Role(?r2),hasSRole(?nar, ?p1),seniorSRoleOf(?rl,?r2)-+hasSRole(?nar,?p1) (4)PEP根据返回的实体属性信息生成属性访问请求 AAR,发送给PDP。 (5)PDP生成AAR实例,导入本体推理机中(步骤5.1), 属性访问请求与实体属性取值的关联也以规则形式 予以定义: Rule5 CPS(?nar),subject(?nat,?sub),hasSAttr(?req, ?va1)— asSAttr(?nar。?va1) 调用规则推理机推理出AAR满足的新属性和关系信息(步 骤5.2),接着在AAR实例上添加必要的封闭世界约束(步 骤5-3),最后将调用本体推理机获得的AAR实例effect对 象属性值返回给PDP(步骤5.4)。 规则Rule5说明属性访问清求获得其主体的属性取 值,属性访问请求与资源和环境属性取值的关联规则以同 样的方式定义。 (6)PDP根据本体推理机返回的AAR实例effect对象 属性值结果,存在多个属性值时执行策略冲突消解方法, 生成唯一的策略决策结果,返回给PEP。 (7)PEP将PDP返回的策略决策结果呈现给用户。 4策略决策方法 4.1策略本体实施框架 工业界标准XACML在提供属性策略描述语言的同 时,也开发出了面向策略实施的数据流模型,给出了一次 访问清求的策略实施过程,本文在这项工作基础上,设计 4.2封闭世界推理和实例实现推理 本节对策略本体实施步骤(5)中添加封闭世界约束、 实例实现推理予以说明。 OWL本体在执行知识推理时,遵循两类假设:开放世 界假设和命名不唯一假设。开放世界假设是指事实或称 述的真假与是否已知其真假无关。在策略本体实施框架 出适合策略本体的实施框架,如图3所示。 框架中基本元素策略实施点(PEP)、策略决策点 (PDP)和策略管理点(PAP)的含义与XAML策略实施数据 流模型中对应结构相同。属性权威(Attribute Authority)和 环境监视器(Environment Monitor)充当了对应的上下文 中,经推理后属性访问请求中实体属性和关系,无法满足 策略概念定义的属性和关系要求时,需要添加封闭世界约 束,将其纳入策略概念的补集中。添加封闭世界约束由两 个语义构造组成:实例属性断言数量约束(((= ) )( ))和实 处理器角色,同时删除了数据流模型中策略信息点(PiP)结 构。与数据流模型最大的不同之处在于,PDP依赖于本体 推理机和规则推理机,对用户访问请求的初步评估通过推 例不一致声明(“每v)构成;前者的含义是本体知识库中关 于实例i已有关系 断言的数量为 ,后者约束了命名不 唯一假设,指实例“、v是不同的两个实例。由于字面型属 图3策略本体实施框架 周加根,叶春晓,罗娟:ABAC策略语义表示和决策方法 概念CPS的所有子概念中找到属性访问请求MAR能够满 足的概念。 性取值数量是有限的(见假设(2)),故实体本体中实例不 一致性声明的数量也是有限的。关于实例i已有关系R断 言的数量则可以通过RDF本体查询语言SPARQL的SELECT 证明根据3.2节中策略本体定义,CPS的子概念包括 所有策略集概念CPSid和辅助策略集概念CPSComplement。 查询获得,有关SPARQL语法参见文献[19]。 实例实现是一项描述逻辑推理服务 ,对于给定的实 例i,找到满足概念断言C(i)的最特殊概念,这里最特殊概 念是相对于概念蕴涵层次上定义的。在策略本体定义中, 不失一般性,令CPSid=-3subject.CSAE,将Csae视为逻辑 命题,根据范式存在定理 ,CSAE;CSAE U CSAE,U…U nCsae12 r]・一nCsae1)U・_・U(Csae 1 r] CSAE i(Csae11... .具体的策略以概念的形式予以定义,属性访问请求以策略 空间概念CPS的实例IAAR定义,由于策略补集概念和封闭 Csae r]…r]Csae…)。注意到经SWRL规则推理和添加 世界约束的存在,调用本体推理机推理服务后,总能找到 IAAR隶属的策略概念,这一点在下一章中予以说明。根据 策略授权标识蕴涵公理,可以推理获得属性访问清求的 effect关系断言effect(IAAR,IPermit/IDeny)o若只有唯一的 effect关系断言,则最终策略决策结果为该属性值对应授权 标识;若不唯一,则存在策略冲突,需要参考策略冲突消解 方法,经二次决策给出唯一的策略决策结果,采用允许优 先或禁止优先元策略是常见的方法。 5方法验证 5.1正确性验证 本节通过策略决策方法的完备性和可靠性验证来说 明策略决策方法的正确性。这里,完备性是指于对于任一 访问请求,策略决策方法总能给出决策结果,可靠性指决 策结果是正确的。 首先说明对于给定的访问请求,总存在策略元素给出 决策结果。 引理1本体知识库KB(T, ) C(a)在这些情况中成立: (1)C;3R.{ },D( ),R(a, )。 (2)C;_1j .{ l},R(a,d2),((=1)R)(n),dl雾d2。 (3)c i 3RD.[~Ivalue1],RD(口,Ivalue2),1value2 ̄Ivalue1,其 中~∈{=,>,≥,<,≤}。 (4)C=- RD.【=Ivalue1】,RD(口,Ivalue2),((=1)RD)( ),Ivalue2≠ Ivaluel。 (5)C D1几D2n…几D ,D (口),i=1,2,‘。。, 。 这里c、D为概念,尺为对象关系, 。为数值关系R ,a、d 为个体实例。 证明(1)根据概念3R.C的语义 ,情况(1)成立。 (2)若情况(2)不成立,即KB存在(1c)(n)的模型,由 c 一3R.{ }有(|R. })(口),从而存在关系断言R(a,d1),又 有R(a,d )且d d:,与((=1) )(a)产生矛盾,故l青况(2)成立。 (3)根据具体域关系 。和概念 。.c。的语义,情况(3) 成立。 (4)若情况(4)不成立,即存在(_c)(a)的模型,由c --,3R,J.[=Ivalue1]有(3R。_[=Ivalue1])(口),从而存在关系断言 RD ,Ivalue1),因((=ORD)( ),从而Ivaluel=Ivalue2,与Ivalue2≠ Ivalue,矛盾,故情况(4)成立。 (5)根据概念C r]D的语义,情况(5)成立。 命题1策略本体知识库KB(T,A)中,总能在策略空间 封闭世界约束后,KB中关于某一MAR及其主体的概念实 例断言公理和关系断言公理有: CPS(IAAR),SUbject(IAAR,ISub),((=1)subject)(IAAR), hasSAttr1(ISub,ISAttr1Val1 ),…, hasSAttr (ISub,ISAt tr, ,¨)’((=?/1)hasSAttG)(ISub),…, ((=n s)hasSAttr )( “6) 这里t≤S, 为主体安全属性数量。 由引理1(1)~(4),对于任一Csae…总可以判定KB _l Csae f(ISub)和KB (一Csae )(ISub)。根据引理1(5),若 对于每个在CSAE 中出现的Csae¨,总有KB F=Csae ,(ISub), 贝0 KB CSAE (ISub);若存在(一Csae )(ISub),贝0 KB l匕 ( CSAE )ffSub),这是因为若KB存在CSAE (ISub)的模型, 则Csae. USub),从而上(ISub)产生矛盾。 若存在CSAE 满足KB CSAE,(ISub),根据概念CUD 的语义,有KB CSAE(ISub),根据cP 3subject.CSAE 及SRbject(IAAR,ISub),从而KB CPSid(IAAR)。 存在c5 E 浞KB ̄CSAE (ISub),即 B}( CSAE )(ISub), 则KB F=(一CSAE1厂]_1C E,n…广]一C跚E )(ISub),从而 B ( CPSid)(IAAR)。若对CPSi ̄ B}=(一CPS,)(IAAR),贝0KB ( (cl尸 u CPS u…u CPS ))( ),因概念实例断言CPS(IAAR) 存在,故瑚 (cP 几- ̄(CPS LJ CPS2 U…LJ CPS))( R),从 而KBl匕CPSComplement(IAAR)。 综上所述,命题成立。 采用类似的方法可以证明下述命题: 命题2策略本体知识库KB(T,A)中,总能在策略集空 间概念CPSid的所有子概念中找到属性访问请求MAR能 够满足的概念。 注意到MAR满足这些概念均出现在授权标识蕴涵公 理左端,故总能获得策略决策结果,可以保证策略决策方 法的完备性。 从策略决策方法完备性的证明过程可以看出,只有属 性访问请求实例中实体属性取值满足具体策略中属性取 值约束,访问操作隶属于具体策略中定义的操作集合,满 足的系统内部关系包含了具体策略定义中关系时,即策略 评估结果为真时才会成为该具体策略的实例(定义6)。再 经授权标识蕴涵公理获得的授权标识实例,从而获得策略 决策结果。在此意义上,策略决策方法是可靠的。尽管对 于给定的属性访问请求,总存在策略决策结果,但存在策 Computer Engineering andApplications计算机工程与应用 略决策结果不唯一的情况。若属性访问请求的策略决策 结果中同时包含permit和deny,此时存在策略冲突,根据 元策略信息消解策略冲突(策略本体实施框架步骤(6)), 保证获得唯一的策略决策结果。因此对于给定的属性访 问请求,总存在唯一的策略决策结果。 综上所述,本文提出的策略决策方法是完备和可靠的。 5.2策略决策性能 面向不同应用的组织和团体问安全需求差异相对较 大,制定策略时往往采用不同的安全属性,为验证本文提 出的策略本体定义和实施框架的正确性,使用prot6g6 4.2 建立策略本体的概念验证原型(见图4),策略数据来源于 Continue ”。概念验汪原型策略本体中包含89个类(55个 具体策略概念)、9个对象属性、¨个数据属性和94个实例 (55个访『廿j请求实例),埘应的描述逻辑表i 邕力为ALCOQ(D)。 I: : 三 一 一 。 - 螂 … 蜥 一 … 鲫 蚺 口 艚 * …一 _ m 一一 ¨ N 《 锄 |≯ | 1 hM ‘ n】} ・c P I‘v lc……t ,c0n’…¨l… ’ s c0nf…J_ ”,‘… ’ PP3 conf●…●re2 PPt c……●rc P: :: …~ … Il ∞ ∞ PP r ‘●。…ntt r ~” o … {‘ D…‘m●●q wn‘‘jH ”p… mn Jn ●‘。…l,… {…f‘…T Pr…‘r r-v}…。nt●n …t 。 {h ;R… … ) P……● }●w{0n,oo E…nt_P【 "… v・w一¨m…- …0■f …… l rc P ●F…一 ~Ec 。 '。…●亡l l p●p……1……●}…● ● h-~ I~ …t t… …_…0 ,…r… :誊: : : 嚣 .善 曼墨 : 竺 , … 一 图4策略本体验证原型示例 含通用TBox的ALCOQ中概念可满足性和ABox一 致性理沦上的时间复杂度均是ExpTime.完备的 。ExpTime一 完备时问复杂度是较高的,鉴于执行SPARQL SELECT查 询和添加封闭世界约束的时间相对恒定,同时策略决策依 赖于规则推理和实例实现推理,将策略本体中策略概念数 量对OWL推理机实际推理时问造成的影响作为策略决策 性能的度量(见图5),实验机器配置为Intel Core i3 2.2 GHz、 4 GB内存,推理机选用了Pellet。 策略数量 图5推理时问与策略概念数量关系 对单个访问请求进行评估的推理时间与策略概念数 量成近线性关系,从具体策略数量(55)、单个访问清求的 策略决策推理时问(约1 S)上看,该策略决策方法能够应用 于中小规模应用环境。对多个访问请求同时进行评估的 推理时间较不稳定,但总体上小于对各访问请求分别进行 评估的推理时间总和,表明该策略决策方法在处理多访问 请求同时评估方面具备一定的适用性。 6结束语 ABAC采用属性的方式刻画实体,可以有效地解决开 放式系统环境中细粒度的授权和访问控制问题。针对不 同应用域中实施的安全策略依赖的属性语义存在差异,缺 乏有效的策略表示和决策方法,建立ABAC策略本体模 型,准确地表达模型中的实体及相关属性语义信息。然后 给出了ABAC策略本体的策略决策方法,该方法借助 SWRL规则给属性访问请求添加满足的系统关系,使用实 例实现的描述逻辑推理对访问请求做访问控制决策,为从 语义层次上表达和实施ABAC策略提供有效的支持。 后续的工作包括改进策略定义方法,以合理地利用描 述逻辑推理,提高策略决策的性能。此外,结合现有语义 Web信任研究和信息安全研究中信任管理的相关成果,消 除实体安全属性信息总是完备和可信的假设(3.2节中假没 (4))也是一项重要的工作。 参考文献: [1】Wang L Y,Wijesekera D,Jajodia s.A logic—based frame— work for attribute based access control【C】//Proceedings of the 2004 ACM Workshop on Formal Methods in Security Engineering.New York:ACM,2004:45—5 5. [2】李晓峰,冯登国,陈朝武,等.基于属性的访 控制模型【J]l通信 学报,2008,29(4):90—98. [3】Lang B,Foster I,Siebenlist F,et a1.A flexible attribute based access control method for grid computing[J].Journal of Grid Computing,2009,7(2):169—180. 【41 Sloman M.Policy driven management for distribution sys— tems[J].Journal of Network and Systems Management,1 994, 2(4):336—360. [5]Moses T.eXlensible Access Con ̄ol Markup Language(XACML) version 2.O[EB/OL].(2005—02一O1)http://docs.oasis—open.org/xacml/ 2.O/accesscontrol—xacml一2.0一core-spec—OS.pdf. [6】Ye C,Zhong J,Fen Y.Attribute—based access control policy speciifcation language[J].Journal of Southeast University,2008, 24(3):206.263. 【7j Priebe T,Dobmeier W,Schlager C,et al Supporting attribute— based access control in authorization and authentication infra, structures with ontologies[J].Journal of Software,2007,2(1): 27—38. [8]Barker S,Stuckey P J,Flexible access control policy speciif— cation with constraint logic programming[J].ACM Transac— tions on Information and System Security(TISSEC),2003,6 (4):5O1.546. [9]Zhao C,Liu S P,Lin Z Q.Representation and reasoning on RBAC:a description logic approach[C]//LNCS 3722:Pro— ceedings of"the International Colloquium on Theoretical Aspects of Computing.Berlin:Springer-Verlag,2005:394—406. (下转66页) 8 66 2013,49(23) ComputerEngineering andApplications计算机工程与应用 less sensor networks[C]//ISCC,2004. 解决ZigBee网络时间同步问题的新思路,该研究引入不应 期的方法解决了延迟节点重复激发的问题。ZigBee测试 [7] van Greunen J,Rabaey J.Lightweight time synchronization orf sensor networks[C]//WSNA’03,2003. 平台的结果显示,算法使得ZigBee网络在物理层的传输精 度相对于经典算法有较大的提高,提高了系统的时间精度 使得整个ZigBee网络趋向同步,准确地记录各种任务请 [81徐朝农,徐勇军,李晓维.无线传感器网络时 计算机研究与发展,2008,45(1):138—145 步新技术fJ] 求、到达和完成的时间。在实验过程发现影响算法精度的 主要原因是,在算法趋向于同步的时候,各个节点几乎在 【9]Smith H M.Synchronous flashing of fireflies[J]Science,1935, 82(2120):151—152. [10]Buck J,Buck E.Mechanism of rhythmic synchronous flash- ing of fireflies[J].Science,1968,l59(3821):1319—1 327. [11]Blair K G.Luminous insects[J].Namre,1915,96(2406):411-415. 同一时间发送数据包,导致通信的效率低下。如何找到一 个机制可以避免此种情况的发生是今后要做的工作。 参考文献: [1]郑威.基于能量高效的传感器网络路由算法研究[D].杭州:浙 江大学,2006. [2]Elson J,Romer K.Wireless sensor networks:a new regime [12]Richmond C A.Fireflies flashing in unison[J].Science,1930, 71(1847):537.538. [13]Buck J B.Synchronous rhythmic flashing of fireflies[J].The Quarterly Review of Biology,1938,13【3):301—314 [14】Buck J.Synchronous rhythmic flashing of fireflies lI[J]. The Quarterly Review of Biology,l 988,63(3):265—289. for time synchronization[J].SIGCOMM Comput Commun Rev,2003. [3]Karl H.Protocols and architectures for wireless sensor net— work[M].Hoboken:Wiley,2005. [15]Peskin C S.Self-synchronization of the cardiac pacemaker[M]// Mathematical aspects of heart physiology.New York:New York University,1975:268—278. 【4]孙利民,李建中,陈渝,等.无线传感器网络[M】.北京:清华大学 出版社,2005. [16]安竹林,徐勇军.基于jE漏电脉冲耦合振荡器模型的无线传 感器网络时间I—J步算法[J Jl高技术通汛,2011,21(11). [17】朱冠男,徐宁.基于线性脉冲耦合振荡器模型的WSN时『日J同 [5]李虹.无线传感器网络中节能相关若干关键问题研究[D].合 肥:中国科学技术大学,2007. [6]Voigt T,Dunkels A,Alonso J.Solar—aware clustering in wire- 步[J].武汉理工大学学报,2009,31(19). (上接62页) [1 0]Finin T,Joshi A,Kagal L,et a1.ROWLBAC:representing [15]胡殿友,张斌.网格环境中基于语义的ABAC属性研究[J1l计 算工程与设计,2010,31(14):3174 3176. [1 6]Mcguinness D L,Harmelen F.OWL web ontology language overview[EB/OL].(2004—02-10)[2O12-01一lO].http://www w3 org/TR/owl—features. role based access control in OWL[C]//Proceedings of 1 3th ACM Symposium on Access Control Models and Technol- ogles.New York:ACM Press,2008:73—82. [11】努尔买买提・黑力力,开依沙尔・热合曼.带负授权RBAC模型 的OWL表示及冲突检测[J].计算机工程与应用,2010,46 (30):82—85. [1 7]Baader F,Calvanese D,McGuinness D,et a1.The descrip— tion logic handbook:theory,implementation,and applica— tions[M].Cambridge:Cambridge University Press,2002. [18】Horrocks I,Patel—Schneider P F,Boley H,et al SWRL: a semantic Web rule language combining O W L and [12】Beimel D,Peleg M.Using OWL and SWRL to represent and reason with situation-based access control policies[J]. Data&Knowledge Engineering,2011。70:595—615. RuleML[EB/OL].(20 1 1-05—26).http://www.w3 org/Submission/ SWRL/. [13]Kagal L,Finin T,Joshi A.A policy language for a perva- sive computing environment[C]//Proceedings of IEEE 4th International Workshop on Policies.Washington,DC:IEEE Computer Society Press,2003:63—76. [19】Prud E,Seabome A.SPARQL query language for RDF口B/OL] (2008—0 1-1 5).http://www.w3.org/TR/rdf-sparql—query/. [20]Davis M D,Sigal R,Weyuker E J.Computability,complexity, and languages,fundamentals of theoretical computer sci— [14]Uszok A,Bradshaw J M,Jeffers R,et a1.KAoS policy and domain services:toward a description—logic approach to policy ence[M].2nd ed.IS.1.]:Posts&Telecom Press,2009:353—359. [21]Fisler K,Krishnamurthi S,Meyerovich L A,et alVeriifcation and change--impact analysis of access・・control policies[C]// Proceedings of the 27th International Conference on Soft— ware Engineering.New York:ACM Press,2005:1 96—205. representation,deconfliction,and enforcement[C]//Proceed— ings of IEEE 4th International Workshop on Policies for Distributed Systems and Networks.Washington,DC:IEEE Computer Society Press,2003:93.96
