多級環境下基于角色和本體的訪問控制方法

王智輝，艾中良，王祥根，唐 穩

(華北計算技術研究所，北京100083)

0 引言

商業世界的任務具有多級的安全特性［1］，出于保護商業秘密的動機，商業活動必須根據雇員的工作等級等條件限制其對資源的訪問，以保護多等級多類別的數據。多級環境中數據、人員都具有安全級別，在用戶訪問數據時依據這些等級進行不同的處理。

訪問控制技術是一種對資源訪問進行限制的安全方法，它根據一定的安全策略限制用戶對關鍵資源的訪問。其中基于角色的訪問控制RBAC(role based access control)是一種強制訪問控制，一般應用于用戶分級的環境［2］。但是它與多級環境下傳統的強制訪問控制不同，并不是針對多級安全專門提出的，在商業多級環境中可能造成敏感信息的泄露。

為了解決多級環境中的信息安全的問題，安全研究者提出了一些多級安全模型，其中最經典的是1973年由David Elliott Bell和 Len LaPadula為美國國防部提出的 BLP(Bell-LaPadula)模型。它是第一個可以用數學方法證明系統安全性的模型［3］，嚴格依賴密級進行授權判決。在大型的商業機構中，很難嚴格按照BLP模型為用戶劃分安全等級，因此BLP的可用性受到了限制。

語義技術是一種新興的知識表示技術，允許信息的意義及其之間的關聯能夠在運行期間被獲得和處理［4］，使得軟件理解商業系統中用戶、資源的等級關系，使用用戶、資源的信息進行推理成為可能。隨著語義技術的興起，國內外都有安全研究者提出采用語義技術進行訪問控制的方法［5］［6］。但是這些方法并不是針對多級環境的特點提出的，不具有多級安全的特性。本文所解決的問題，就是利用語義技術的描述和推理能力，根據系統中用戶隸屬關系、資源擁有關系等已有信息，結合RBAC模型和BLP模型的安全特性，在不損失系統安全性的前提下，實現多級環境中用戶權限的自動分配，并按照這種權限進行訪問控制。

1 基于角色和本體的多級安全模型

1.1 商業多級環境的抽象

商業多級環境最大的特點之一便是系統中的用戶存在上下級隸屬關系，這種隸屬關系隱式地表達了用戶安全級別的高低關系。因此，在商業系統中可以采用多級環境中已經存在的業務角色間的上下級關系作為訪問控制的依據，實現安全級別的動態判定。具體方法是為用戶指定角色，為文件等資源指定所有者。利用角色間的上下級關系作為安全級別判斷的依據，使得角色在角色繼承關系中的級別可以代表用戶在多級系統中的安全級別;資源的所有者的安全級別代表資源在多級系統中的安全級別。在訪問控制時，將角色繼承關系作為判斷安全級別關系的依據，對環境中的用戶進行符合*-特性和簡單安全特性的基于角色的授權。

實際的商業環境十分復雜，不同環境中用戶的角色等級具有動態性，同一等級的角色可能有不同的描述。為了對商業環境中的多級安全問題更有針對性，本文對商業多級環境進行了抽象，如圖1所示。

圖1 抽象的多級環境

環境中的每個用戶都分配了一個角色，角色間具有繼承關系。需要為環境中的資源顯式的指定其所有者和所有者對資源的可以進行的操作。為了保證系統的安全性，本文選取BLP模型中可能造成敏感信息泄露的讀和寫操作來研究。

抽象后的多級環境具有以下特性:

(1)每個資源屬于且只屬于一個所有者，不存在多個用戶共同擁有一個資源的情況;

(2)每個用戶屬于且只屬于一個角色，不存在一個用戶屬于多個角色的情況;

第一個特性避免了資源屬于多個用戶，資源的安全級別無法確定的情況;第二個特性避免了用戶屬于多個角色，用戶的權限無法確定的情況，這也是對RBAC做出的靜態職權分離的約束。

1.2 RBAC模型的本體描述

本體 (ontology)是一種構建知識模型的技術，它提供對某領域知識的共同理解，確定該領域內共同認可的術語，明確地給出這些術語和術語之間相互關系的定義［7］，可以用它形式化的描述RBAC模型［8］。

基于OWL DL(web ontology language with description logics)語言的強表達能力和可計算性［9］，本文選擇OWL DL作為本體描述語言，對基于角色的訪問控制方法進行建模。RBAC模型的本體描述如圖2所示。

圖2 RBAC的本體描述

該模型中各類的定義如下:

類定義1 Subject:主體，訪問控制請求的發起方，一般為系統中的用戶;

類定義2 Object:客體，訪問控制請求的被訪問方，一般為系統中的資源;

類定義3 Role:角色，RBAC中系統會給每個用戶分配角色，角色具有繼承關系;

類定義4 Action:行為，表示訪問控制請求中主體請求對客體進行的操作;

類定義5 Request:請求，一個請求會關聯一個形如＜Object，Action＞的二元組，表示對客體Object進行操作Action的某次訪問控制請求。

其中角色既可以定義為本體中的類，也可以定義為本體中的值。我們選擇了將角色定義為類的方式創建RBAC的模型。將角色定義為值，雖然比較簡單精確，但是失去了類之間繼承、互斥等復雜關系，因此不能充分利用本體的可計算性［10］。在該本體模型中還通過屬性定義了RBAC中各個概念之間的關系，定義如下:

屬性定義1 subRoleOf(R1，R2):定義域為Subject，值域為Subject，含義是定義域的角色R1繼承了低等級的角色R2的權限，該屬性是一個傳遞性屬性，即subRoleOf(R1，R2)成立且subRoleOf(R2，R3)成立，可以推出subRoleOf(R1，R3)成立;

屬性定義2 hasRole(S，R):定義域為Subject，值域為Role，含義是給主體S分配了角色R;

屬性定義3 hasObject(R’，O):定義域為Request，值域為Object，表示某次訪問控制的客體是O;

屬性定義4 hasAction(R’，A):定義域為 Request，值域為Action，表示某次訪問控制的主體對客體要進行的操作是A;

屬性定義5/6 hasPermission(R，R’)/denyPermission(R，R’):定義域為Role，值域為Request，hasPermission表示了某次訪問控制中允許角色R對Request中的客體O進行行為為A的操作，denyPermission表示了某次訪問控制中禁止角色R對Request中的客體O進行行為為A的操作;

屬性定義 7/8 hasPrevilege(S，R’)/denyPrevilege(S，R’):定義域為 S，值域為 Request，hasPrevilege表示了某次訪問控制中允許主體S對Request中的客體O進行行為為A的操作，denyPrevilege表示了某次訪問控制中禁止主體S對Request中的客體O進行行為為A的操作;

屬性定義9 hasOwner(O，S):定義域為Object，值域為Subject，含義為資源O的所有者為主體S;

屬性定義10 hasHierarchy(O，R):定義域為Object，值域為Role，含義為資源O的所有者對應的角色為R，R的等級可以代表資源O的等級。

1.3 RBAC本體的推理規則

為了能夠利用本體的可計算性，實現角色繼承的自動推理，達到對多級環境下的資源進行訪問控制的目的，本文創建了適用于1.2小節中建立的本體模型的6條推理規則，如表1所示。

表1 規則描述

規則a對文件安全級別的推理規則進行描述:如果給文件x的所有者y分配了角色z，則文件y就具有z對應的安全級別;

在對角色分配權限時，分配權限的方法必須符合BLP模型的簡單安全特性和*-安全特性，規則b的含義是高層次的角色對低層次角色的用戶所有的文件沒有可寫的權限，規則c的含義是低層次的角色對高層次角色的用戶所有的文件沒有可讀的權限;

規則d描述了基于角色的訪問控制中角色繼承的推理規則:高層次的角色繼承了低層次的角色具有的所有權限;

角色會向主體傳播權限，規則e的含義是如果禁止角色x對某個資源進行某種操作，則進行授權時禁止具有角色x的用戶z對該資源進行這種操作;規則f含義是如果允許角色x對某個資源進行某種操作，則進行授權時允許具有角色x的用戶z對該資源進行這種操作。

雖然本體語言OWL能支持推理系統實現其計算性能，但是無法表達很多基于事實的推理關系。因此，本文選擇SWRL(semantic web rule language)［11］作為規則描述語言。

1.4 語義沖突

使用1.2小節中的訪問控制本體模型對1.1小節中描述的商業環境進行描述后，使用本體推理工具Racer按照1.3小節中提到的規則進行推理，得到語義沖突。

沖突1 Manager角色對Staff和Director角色的文件既允許寫操作又禁止寫操作;

沖突2 Director角色對Staff角色的文件既允許寫操作又禁止寫操作。

產生語義沖突的原因是因為由于RBAC中低等級角色的所有權限都會向高等級的角色傳播，因此高等級的角色會繼承低等級角色用戶對屬于自己的文件具有的寫權限;而BLP中高等級的角色對低等級的角色用戶的文件不具有寫權限。因此如果文件的所有者為擁有低等級角色的用戶，當擁有高等級角色的用戶請求對其進行寫操作的時候，推理引擎會得到語義沖突。

2 基于角色和本體的多級訪問控制系統

2.1 系統設計概述

本文使用protégé軟件進行本體的開發，使用Jena語義工具包進行編程，實現了基于角色和本體的訪問控制系統，系統設計如圖3所示。

圖3 基于語義和本體的訪問控制系統設計

(1)語義描述層包括實體數據層和RBAC本體規則描述文件兩部分。實體數據層包含了記錄環境中所有實體的基本信息的數據庫，這些數據庫記錄了資源和用戶、用戶和角色等這些訪問控制實體間的映射關系和角色間的繼承關系等，是系統進行訪問控制的依據;RBAC本體規則描述文件包含了由protégé生成的用OWL DL描述的RBAC本體模型和用SWRL語言描述的RBAC本體模型的推理規則;

(2)本體推理層中rdf-數據記錄轉換模塊完成數據記錄RBAC本體中類的實例的轉化，這些實例用rdf來描述，形成描述多級環境中所有實體的一個完整的本體文件;規則轉化模塊完成SWRL語言描述的規則到Jena支持的規則之間的格式轉換。這兩個模塊的輸出作為訪問控制矩陣生成模塊的輸入，使用Jena的本體推理引擎對多級環境的本體文件進行推理，得到訪問控制矩陣;

(3)訪問控制調用層包含策略判決接口，策略判決接口輸入為形如＜Subject，Resource，Action＞的三元組，查詢訪問控制矩陣后，輸出為授權斷言，斷言中包含了本次判決的結果，策略判決的流程如圖4所示。

圖4 策略判決接口調用流程

2.2 沖突消解和訪問控制矩陣生成

系統中的每個角色對應一個訪問控制矩陣，矩陣中的兩個維度分別表示訪問控制的客體和行為，矩陣中每個＜Object，Action＞坐標位置都有值表示角色對資源的操作是允許 (permit)還是拒絕 (deny)。

1.4 小節中提到BLP模型在和RBAC模型結合的時候會產生語義沖突，為了保證敏感信息的安全性，規定denyPermission的優先級高于hasPermission，并根據這個規則設計訪問控制矩陣的生成流程如圖5所示。使用圖中描述的訪問控制矩陣的生成流程，可以保證denyPermission的推理結果會覆蓋hasPermission的推理結果，最終denyPermission會起效，消除語義沖突。

2.3 實驗結果分析

實體信息數據庫中存儲的用戶和資源的詳細信息清單如表2所示，用戶對資源具有的初始操作權限如表3所示。用戶Manager_Sun調用策略判決接口，輸入判決請求＜Manager_Sun，Object_Staff，Write＞。

圖5 訪問控制矩陣生成

系統運行過程中會形成中間文件，記錄訪問控制矩陣推導的過程。推導結束后訪問控制矩陣形式如圖6所示，比較圖6與表2的權限，可以發現高等級的角色在不違反BLP的簡單安全特性和*-安全特性的前提下，自動繼承了低等級角色的權限，系統安全地實現了權限的自動分配。

系統查詢生成的訪問控制矩陣后，會返回判決斷言，斷言中包括了本次判決的結果:Deny。這個結果符合BLP的*-特性，保證可敏感信息的安全性，是一個合法的判決。

綜上所述，本系統初步實現了了訪問控制權限的自動分配，且分配的結果符合BLP模型的安全特性，是符合多級環境下安全要求的訪問控制系統。

3 結束語

本文提出了多級環境下基于角色和本體的訪問控制的方法，通過對商業多級環境進行抽象，提出了一種多級環境下的新的訪問控制方法。該方法結合了RBAC模型角色權限繼承的特點和BLP模型的安全特性，實現了在多級環境中自動利用現有信息對敏感資源進行訪問控制。

表2 系統實體信息清單

表3 初始訪問權限列表

雖然本文中提出的多級環境的模型可以滿足當前工作的需要，但真實環境下的角色分配仍存在很多特殊情況，該模型不能滿足角色間存在復雜的繼承關系或者用戶和角色存在一對多映射或多對多映射等情況，下一步工作中需要對多級環境模型作進一步完善。另外，系統運行時語義推理的時間較長，訪問控制矩陣生成模塊的效率問題也將是下一步研究工作的重點。今后將通過研究推理算法，改進訪問控制的本體模型和策略判決的流程，并且引入并行化技術，以解決系統中存在的效率問題。

圖6 訪問控制矩陣輸出結果

［1］MENG Xiangyi.Research of multilevel security network ［D］.Xi'an:Xi'an Electronic And Technology University，2008(in Chinese).［孟祥義.多級安全網絡研究 ［D］.西安:西安電子科技大學，2008.］

［2］LI Dongdong，TANG Jianlong.Research and implementation of an ontology-based privilege management system［J］.Computer Engineering，2005，31(13):43-45(in Chinese).［李棟棟，譚建龍.基于本體的權限管理系統的研究與實現 ［J］.計算機工程，2005，31(13):43-45.］

［3］YU Sheng，ZHU Lu，SHENG Changxiang.Multilevel security model［J］.Computer Engineering and Design，2012，31(13):2939-2950(in Chinese).［余昇，祝璐，沈昌祥.多級安全模型 ［J］.計算機工程與設計，2012，31(13):2939-2950.］

［4］CHEN JIanwei.Research on access control technology based on semantic in integration of information［D］.Beijing:North China E-lectric Power University，2011(in Chinese).［陳建偉.基于語義的訪問控制技術在信息整合中的研究 ［D］.北京:華北電力大學，2011.］

［5］Amirreza Masoumzadeh，James Joshi.OSNAC:An ontology-based access control model for social networking systems［C］.IEEE International Conference on Privacy，Security，Risk and Trust:SACMAT，2010:751-759.

［6］ZHANG Lei.Research and application on ontology and rule based RBACmodel［D］.Chongqing:Chongqing University，2010(in Chinese).［張雷.基于本體和規則的RBAC模型研究與應用［D］.重慶:重慶大學，2010.］

［7］LIRuixuan，ZHAOZhanxi，WENKunmei，et al.Ontology-based Integration of Multi-domain Access Control Policies［J］.Micro Computer System，2007，28(9):1710-1714(in Chinese).［李瑞軒，趙戰西，文坤梅，等.基于本體的多域訪問控制策略集成研究 ［J］.小型微型計算機系統，2007，28(9):1710-1714.］

［8］LU Yang，XIAOJunmo，LIU Jing.Role-based access control model for OWL ontology［J］.Computer Engineering and Application，2008，44(30):121-124(in Chinese).［陸陽，肖軍模，劉晶.基于角色的OWL本體的訪問控制模型［J］.計算機工程與應用，2008，44(30):121-124.］

［9］Dean M，Schreiber G.OWL web ontology language guide［EB/OL］.［2009-11-12］.http://www.w3.org/TR/owl-guide.

［10］Finin T，Joshi A，Kagal L，et al.ROWLBAC-representing role based access control in OWL［C］//Estes Park，Colorado，USA:SACMAT，2008:73-82.

［11］SWRL:A semantic rule language［EB/OL］.［2004-05-21］.http://wwww3.org/Submission/SWRL.