基于描述逻辑的访问控制策略冲突检测方法研究

访问控制作为信息保护的被动防护技术被普遍用于阻止非法用户对资源信息的访问,一方面,访问控制模型以及访问控制策略语言需要协同的发展以满足开放和动态环境下应用系统的安全需求,然而,当前已有的访问控制策略描述语言对模型的支持都或多或少的存在不足;另一方面策略语言或者模型本身都不包含对策略的分析,而在复杂的应用环境下,表达了系统安全需求的策略库中可能存在影响策略决策性能的冗余策略,以及导致误判的冲突策略。针对以上问题,本文对访问控制策略的表示以及策略的冗余和冲突进行了研究。 首先,提出了一种使用Web本体语言OWL对可扩展访问控制标记语言XACML进行扩展的方法。论文针对当前被认为工业界和学术界标准的访问控制策略描述语言XACML对基于角色的访问控制(RBAC)模型的支持存在的缺点,引入OWL语言来表达RBAC中的角色约束。设计了集成了XACML和OWL的策略管理框架,并将策略的授权以及实施与角色约束解耦,使得策略管理更加灵活。 其次,提出了基于描述逻辑DL的策略分析方法。分析了由于角色和资源层次关系引起的授权传播,给出传播规则,并进一步分析了由于规则传播引起的规则冲突。从知识表示功能的角度,分析了如何使用DL对访问控制策略进行知识表示,设计并构建了访问控制领域知识库,提出了利用知识库领域本体的一致性检测来进行约束管理和冲突检测的方法。 最后,结合一个具体的实例以及描述逻辑推理系统Racer,演示从知识库构建到角色约束管理以及冲突检测的过程,验证了基于描述逻辑的冲突检测方法的有效性。