周加根，葉春曉，羅 娟

重慶大學(xué) 計(jì)算機(jī)學(xué)院，重慶 400044

ABAC策略語義表示和決策方法

周加根，葉春曉，羅 娟

重慶大學(xué) 計(jì)算機(jī)學(xué)院，重慶 400044

1 引言

隨著新型網(wǎng)絡(luò)技術(shù)和計(jì)算技術(shù)的出現(xiàn)，信息系統(tǒng)已由傳統(tǒng)的集中封閉式模式演化為開放分布式模式。開放分布式環(huán)境具備的分布性、自治性、動(dòng)態(tài)性和異構(gòu)性等特征，給信息系統(tǒng)安全研究帶來新的要求：一方面，開放式環(huán)境中資源提供者與資源訪問請求者處于對等地位，相互之間無法預(yù)知對方的身份信息，集中封閉式環(huán)境中普遍采用的基于身份的訪問控制方法（IBAC）完全失效；另一方面，不同資源提供者在制定資源訪問策略時(shí)依賴的系統(tǒng)安全屬性存在術(shù)語表示和解釋上的不同，這種不一致性往往導(dǎo)致安全策略被不恰當(dāng)?shù)貙?shí)施。

前者對訪問控制方法（模型）在表達(dá)系統(tǒng)安全需求方面的抽象能力提出了要求，基于屬性的訪問控制（ABAC）[1-3]，訪問決策是基于請求者和資源的屬性做出的，與IBAC基于身份的授權(quán)方式相比，具有足夠的靈活性和可擴(kuò)展性。ABAC采用屬性對系統(tǒng)內(nèi)部實(shí)體安全特征統(tǒng)一建模，通過屬性間關(guān)系的定義來描述授權(quán)和訪問控制約束，具備強(qiáng)大的抽象能力，能夠支持細(xì)粒度和大規(guī)模的訪問控制，成為開放式環(huán)境中主流的訪問控制方法。

后者對安全策略在語義層次上的描述、定義和實(shí)施方法提出了要求。安全策略是一組由管理需求產(chǎn)生的、相對持久的說明性規(guī)則，這些規(guī)則作為系統(tǒng)做出決策的依據(jù)[4]。在開放式環(huán)境中，采用安全策略描述系統(tǒng)高層安全需求是實(shí)施訪問控制授權(quán)的主要方法。研究者們針對特定的應(yīng)用場景，采用不同的形式化方法，提出了多種安全策略定義和使用方法[5-14]。在諸多策略定義規(guī)范中，基于語義Web和本體技術(shù)的訪問控制策略定義方法已經(jīng)體現(xiàn)出了在策略理解、共享和集成等方面的優(yōu)勢。

本文在研究已有ABAC模型定義上，采用屬性表達(dá)式方式定義ABAC策略模型。在此基礎(chǔ)上，提出了一種ABAC策略的本體表示方法，和一種基于實(shí)例實(shí)現(xiàn)的ABAC策略決策方法，在語義層次上支持ABAC策略的表示和決策。

2 相關(guān)工作

安全策略的描述和定義方法在信息安全研究中一直受到廣泛關(guān)注，目前主要的安全策略語言大致可以分為聲明式語言和基于邏輯的形式化語言。OASIS開發(fā)的可擴(kuò)展訪問控制標(biāo)記語言（XACML）[5]是一類典型的聲明式策略描述語言，它以屬性匹配機(jī)制定義訪問控制策略，同時(shí)提供了策略實(shí)施框架，是描述和實(shí)施ABAC策略的理想選擇。在此基礎(chǔ)上，Ye等[6]提出了擴(kuò)展的XACML語言A-XACML，以數(shù)據(jù)類型、函數(shù)和邏輯組合等構(gòu)造支持簡單或復(fù)雜的屬性訪問控制策略定義。因XACML中策略元素和元素之間的關(guān)系較為復(fù)雜，造成用戶在實(shí)體屬性和策略管理上極大的不便。Priebe等[7]在基本的XACML策略描述構(gòu)造基礎(chǔ)上，采用本體刻畫ABAC模型中的用戶、資源和環(huán)境等實(shí)體屬性，以基于本體的推理引擎實(shí)現(xiàn)屬性之間的語義關(guān)聯(lián)推理，簡化了實(shí)體屬性和策略的管理。此外，XACML這類基于XML的策略描述語言保證了策略具有表示良好的語法結(jié)構(gòu)，但缺乏相關(guān)的策略和屬性語義信息表達(dá)能力，在處理策略語義異構(gòu)問題上存在一定的局限性。

與聲明式策略語言不同，基于邏輯的形式化策略語言在保證良好組織的語法結(jié)構(gòu)基礎(chǔ)上，利用邏輯推理建立完整的策略授權(quán)視圖，為策略和安全屬性管理提供了便利。Barker等[8]以受限邏輯程序形式定義基于角色的訪問控制（RBAC）策略，通過邏輯程序中定理證明評估訪問請求，同時(shí)支持策略選項(xiàng)、約束檢查和管理查詢等操作。Zhao等[9]以描述邏輯語言形式化定義RBAC策略，在描述邏輯推理機(jī)的支持下，支持訪問請求評估、RBAC功能實(shí)現(xiàn)以及策略一致性檢測。此外，基于語義Web和本體技術(shù)的安全策略描述方法，借助本體在清晰表達(dá)信息語義方面的優(yōu)勢，在策略描述中融入語義，能夠有效地解決安全屬性術(shù)語定義不一致問題。這類策略語言的典型代表是Rei[13]和KAoS[14]，兩者在表達(dá)安全需求時(shí)有足夠的描述靈活性，但缺乏對訪問控制模型抽象的支持。Finin等[10]使用OWL本體建立RBAC策略模型，并提供了基于規(guī)則的策略實(shí)施方法，從語義層次上支持RBAC策略的描述和實(shí)施，同時(shí)探討了OWL在表達(dá)基于屬性的RBAC和ABAC策略時(shí)的適用性。努爾買買提·黑力力等[11]提出了帶負(fù)向權(quán)限擴(kuò)展的RBAC策略的OWL表示方法。Beimel等[12]對基于場景的訪問控制策略的本體描述和推理進(jìn)行了研究。胡殿友等[15]針對實(shí)際應(yīng)用中ABAC模型中實(shí)體屬性多樣性和二義性等特點(diǎn)，構(gòu)建通用的屬性本體，在語義層次上為使用屬性語義信息輔助策略的表示奠定了基礎(chǔ)，但沒有提供策略定義和實(shí)施方法。這些工作關(guān)注于特定訪問控制模型策略和安全屬性的描述，因模型自身抽象能力的不足，無法支持細(xì)粒度訪問控制策略的表達(dá)。本文工作重點(diǎn)在于結(jié)合語義Web技術(shù)，在ABAC安全策略描述中融入語義信息，同時(shí)利用語義推理提供一種策略決策實(shí)現(xiàn)方法。

3 基于本體的ABAC策略模型

本體作為共享概念模型的明確的形式化規(guī)格說明，本身是一種可共享重用的知識(shí)表達(dá)方法。以本體方式對ABAC模型元素和關(guān)系進(jìn)行知識(shí)建模，建立策略本體模型，為策略語義表示和決策奠定基礎(chǔ)。本章首先以屬性表達(dá)式對ABAC策略模型進(jìn)行定義，然后給出該模型定義到策略本體模型的映射方法。

3.1 ABAC策略模型

定義1（實(shí)體、屬性和關(guān)系）信息系統(tǒng)內(nèi)有四類實(shí)體對象：資源R、主體S、訪問操作A和環(huán)境E。屬性ATTR是對實(shí)體特征的刻畫，實(shí)體屬性由屬性名稱和屬性取值構(gòu)成。

根據(jù)屬性取值類型的不同，將屬性分為兩類：字面型和數(shù)值型。字面型屬性（如職位、角色等）取值是離散的，不同取值之間可以存在優(yōu)先于、高于等偏序關(guān)系。系統(tǒng)內(nèi)有三類關(guān)系REL：實(shí)體與屬性值間關(guān)系、實(shí)體與實(shí)體間關(guān)系和屬性值之間的關(guān)系。

定義2（屬性表達(dá)式和關(guān)系謂詞）原子屬性表達(dá)式ae=(attr，∝，val)，其中attr∈ATTR，val為屬性取值，操作符∝∈{＞，＜，?，?，=，≠}，?，?標(biāo)記字面型屬性值間的偏序關(guān)系，＞，＜標(biāo)記數(shù)值型屬性值間比較關(guān)系。一般的屬性表達(dá)式 AE=∨iCAEi=(ae1，1∧ae1，2∧…∧ae1，m)∨…∨(aek，1∧aek，2∧…∧aek，n)，其中aei，j為原子屬性表達(dá)式。

有兩類關(guān)系謂詞 rp=(rel，e1，e2)，rp′=(rel，e1.val，∝，attr2，e2.val)，rp刻畫實(shí)體之間的關(guān)系，rp′刻畫具有同種屬性值域的不同實(shí)體屬性取值關(guān)系；其中關(guān)系名稱rel∈REL，e1，e2∈{R，S，E}，ei.val表示實(shí)體ei的屬性attri取值為val。

定義3（策略和策略集）ABAC策略P=(Pid，SAE，A′，RAE，EAE，RP，Sign)，其中Pid為策略標(biāo)識(shí)，SAE、RAE、EAE分別為主體、資源和環(huán)境的屬性表達(dá)式，A′={a1，a2，…，aq}?A為訪問操作，RP=RP1∪RP2為系統(tǒng)內(nèi)部關(guān)系謂詞集合，RP1、RP2分別為兩類關(guān)系謂詞集合，Sign∈{permit，deny}為授權(quán)標(biāo)識(shí)。策略集PS=(PSid，{P1，P2，…，Pn})。

定義4（屬性訪問請求）稱操作符∝限定為=的原子屬性表達(dá)式為屬性名值對(avp)。主體發(fā)出的原始資源訪問請求NAR僅帶有實(shí)體標(biāo)識(shí)信息，添加實(shí)體屬性取值（實(shí)體與屬性值間的關(guān)系）和滿足的關(guān)系謂詞，構(gòu)成基于屬性的訪問請求 AAR={avp1，avp2，…，avpp，a1，a2，…，aq，rp1，rp2，…，rpr}，其中ai∈A′，rpi為第一類關(guān)系謂詞。

定義5（屬性表達(dá)式評估和關(guān)系謂詞評估）

3.2 策略本體表示方法

本文以本體方法對系統(tǒng)內(nèi)實(shí)體屬性、關(guān)系和安全策略建模，基于如下假設(shè)：

（1）實(shí)體屬性、關(guān)系在安全策略中均有所體現(xiàn)，且數(shù)量是有限的。

（2）字面型屬性值域是固定不變的有限集合，屬性取值之間的偏序關(guān)系已確定。

（3）系統(tǒng)內(nèi)部已經(jīng)存在有限的實(shí)體關(guān)系謂詞抽象。

（4）添加到屬性訪問請求中的實(shí)體安全屬性取值是完備和可信的。

使用Web本體語言O(shè)WL[16]構(gòu)建的策略本體結(jié)構(gòu)如圖1所示，策略本體引用實(shí)體、資源和環(huán)境本體。鑒于OWL語言是一類基于描述邏輯的本體描述語言，而OWL的XML語法相對繁復(fù)，文中選用了其對應(yīng)的描述邏輯AL族語言的語法，其具體語法參見文獻(xiàn)[17]。

通常各組織和團(tuán)體已經(jīng)建立了一些應(yīng)用本體，共享和重用這些應(yīng)用本體能夠加快策略本體的構(gòu)建過程，為保持討論的一致性，本文做如下約定：

（1）若attr是關(guān)于實(shí)體 X的數(shù)值屬性，X∈{R，S，E}，在實(shí)體本體中定義數(shù)值關(guān)系hasXAttr。

（2）若attr是關(guān)于實(shí)體 X的字面型屬性，在實(shí)體本體中添加概念CXAttr和對象關(guān)系hasXAttr，各屬性取值定義為CXAttr的實(shí)例，實(shí)例名稱序以前綴I。

（3）若attr是關(guān)于實(shí)體 X的字面型屬性，且屬性取值之間存在偏序關(guān)系，在（2）基礎(chǔ)上添加對象關(guān)系seniorXAttrOf和 juniorXAttrOf，分別對應(yīng)于定義2中的操作符?，?。

在實(shí)體本體的基礎(chǔ)上，策略本體的定義基于3.1節(jié)中策略模型的數(shù)學(xué)定義到描述邏輯定義的映射π，見表1。

稱策略定義中主體、訪問操作和資源元素均具備的策略為具體策略，其他策略元素稱為輔助策略。輔助策略依賴于具體策略而存在，按是否具有授權(quán)標(biāo)識(shí)，劃分為兩類：一類將對某一屬性具有一致的取值約束的具體策略組織在一起，這類輔助策略不帶有授權(quán)標(biāo)識(shí)；另一類輔助策略是前一類輔助策略中所有具體策略的補(bǔ)集，對具體策略對屬性取值和關(guān)系未做約束的情況提供默認(rèn)的授權(quán)標(biāo)識(shí)。

策略概念CPid是具體策略概念，策略集概念CPSid是存在共性的策略概念的父概念，共性可以是對某一實(shí)體屬性有相同的屬性值約束，策略集本身不帶有授權(quán)標(biāo)識(shí)。CPSid可定義為?subject.CSAE、?resource.CRAE、?environment.CEAE或 ?relation.{Irel}，或者這些概念的與、并組合。對應(yīng)于每個(gè)策略集概念，定義一個(gè)策略集中所有策略概念的補(bǔ)集概念CPSidComplement，聲明策略授權(quán)標(biāo)識(shí)蘊(yùn)涵公理CPSidComplement??effect.{IDeny}，其含義是策略集中未定義的訪問策略默認(rèn)授權(quán)標(biāo)識(shí)為deny。

圖1 ABAC策略本體結(jié)構(gòu)

用概念CPS代表整體策略空間，蘊(yùn)涵所有定義的策略集概念。以同樣的方式，在策略空間內(nèi)定義所有策略集概念的補(bǔ)集CPSComplement。屬性訪問請求定義為概念CPS的實(shí)例，關(guān)系謂詞均定義為關(guān)系概念Relation的實(shí)例。

表1 策略模型數(shù)學(xué)定義到描述邏輯定義的映射π

3.3 系統(tǒng)內(nèi)部關(guān)系處理

描述邏輯作為一類基于類別的推理系統(tǒng)，是一階邏輯（FOL）的可判定子集，可用于刻畫現(xiàn)實(shí)世界中的概念和概念間關(guān)系，系統(tǒng)內(nèi)部實(shí)體與屬性取值之間關(guān)系自然的可以通過對象關(guān)系和數(shù)值關(guān)系來表達(dá)。然而它的表達(dá)能力存在一定的不足，僅能描述一元和二元關(guān)系，在刻畫圖2中比較關(guān)系時(shí)存在一定的困難。盡管關(guān)系鏈（role chain）可用于表達(dá)這類高元關(guān)系，但不加約束的關(guān)系鏈極易造成推理的不可判定[17]。

本文將系統(tǒng)內(nèi)部其他關(guān)系統(tǒng)一定義為概念Relation的實(shí)例，引入語義Web規(guī)則語言SWRL[18]，這一結(jié)合了Horn子句和描述邏輯的規(guī)則描述語言，用于執(zhí)行屬性訪問請求與系統(tǒng)關(guān)系之間聯(lián)系的推理。建立的部分推理規(guī)則如下：

Rule1 CPS（?nar），Subject（?sub），Resource（?res），subject（?nar，?sub），resource（?nar，?res），ownerOf（?sub，?res），Relation（ISubjectOwnResource）→relation（?nar，ISubjectOwn-Resource）

規(guī)則Rule1說明了屬性訪問請求如何與實(shí)體間關(guān)系發(fā)生聯(lián)系，存在關(guān)系謂詞聲明屬性訪問請求中主體是資源的屬主（ownerOf）時(shí)，屬性訪問請求獲得關(guān)系ISubjectOwn-Resource。

圖2 復(fù)雜關(guān)系示例

Rule2 CPS（?nar），hasSBalance（?nar，?bal），hasRExpense（?nar，?exp），swrlb：greaterThanOrEqual（?bal，?exp），Relation（IEnoughBalance）→relation（?nar，IEnoughBalance）

swrlb：greaterThanOrEqual是SWRL的內(nèi)建數(shù)值比較謂詞，表示大于或等于關(guān)系，規(guī)則Rule2說明了屬性訪問請求如何與具有同種屬性值域的不同實(shí)體屬性取值關(guān)系關(guān)聯(lián)，屬性訪問請求中主體余額大于等于資源的費(fèi)用時(shí)，獲得關(guān)系IEnoughBalance。

Rule3 CPS（?nar），Position（?spos），Position（?rpos），hasSPosition（?nar，?spos），hasRPosition（?nar，?rpos），owl：sameAs（?spos，?rpos），Relation（ISubAndResInSamePos）→relation（?nar，ISubAndResInSamePos）

owl：sameAs是OWL實(shí)例一致性聲明關(guān)系，Rule3說明了屬性訪問請求中主體和資源位置相同時(shí)，獲得關(guān)系ISub-AndResInSamePos。

另外，字面型取值之間偏序關(guān)系以類似于規(guī)則Rule4的方式表達(dá)（這里以主體角色屬性繼承關(guān)系為例）：

Rule4 CPS（?nar），Role（?r1），Role（?r2），hasSRole（?nar，?p1），seniorSRoleOf（?r1，?r2）→hasSRole（?nar，?p1）

屬性訪問請求與實(shí)體屬性取值的關(guān)聯(lián)也以規(guī)則形式予以定義：

Rule5 CPS（?nar），subject（?nar，?sub），hasSAttr（?req，?val）→hasSAttr（?nar，?val）

規(guī)則Rule5說明屬性訪問請求獲得其主體的屬性取值，屬性訪問請求與資源和環(huán)境屬性取值的關(guān)聯(lián)規(guī)則以同樣的方式定義。

4 策略決策方法

4.1 策略本體實(shí)施框架

工業(yè)界標(biāo)準(zhǔn)XACML在提供屬性策略描述語言的同時(shí)，也開發(fā)出了面向策略實(shí)施的數(shù)據(jù)流模型，給出了一次訪問請求的策略實(shí)施過程，本文在這項(xiàng)工作基礎(chǔ)上，設(shè)計(jì)出適合策略本體的實(shí)施框架，如圖3所示。

框架中基本元素策略實(shí)施點(diǎn)（PEP）、策略決策點(diǎn)（PDP）和策略管理點(diǎn)（PAP）的含義與XAML策略實(shí)施數(shù)據(jù)流模型中對應(yīng)結(jié)構(gòu)相同。屬性權(quán)威（Attribute Authority）和環(huán)境監(jiān)視器（Environment Monitor）充當(dāng)了對應(yīng)的上下文處理器角色，同時(shí)刪除了數(shù)據(jù)流模型中策略信息點(diǎn)（PIP）結(jié)構(gòu)。與數(shù)據(jù)流模型最大的不同之處在于，PDP依賴于本體推理機(jī)和規(guī)則推理機(jī)，對用戶訪問請求的初步評估通過推理實(shí)現(xiàn)。在策略本體實(shí)施框架中，PAP在完成實(shí)體本體和策略本體的加載工作后，調(diào)用本體推理機(jī)檢驗(yàn)本體知識(shí)的有效性和一致性（步驟0）。用戶發(fā)出訪問請求，經(jīng)框架中各元件處理，獲得策略決策結(jié)果，需要經(jīng)過圖3中7個(gè)步驟。

（1）用戶向PEP發(fā)出原始的訪問請求NAR。

（2）PEP向?qū)傩詸?quán)威和環(huán)境監(jiān)視器查詢NAR中實(shí)體的屬性信息。

（3）屬性權(quán)威和環(huán)境監(jiān)視器返回PEP屬性信息查詢結(jié)果。

（4）PEP根據(jù)返回的實(shí)體屬性信息生成屬性訪問請求AAR，發(fā)送給PDP。

（5）PDP生成AAR實(shí)例，導(dǎo)入本體推理機(jī)中（步驟5.1），調(diào)用規(guī)則推理機(jī)推理出AAR滿足的新屬性和關(guān)系信息（步驟5.2），接著在AAR實(shí)例上添加必要的封閉世界約束（步驟5.3），最后將調(diào)用本體推理機(jī)獲得的AAR實(shí)例effect對象屬性值返回給PDP（步驟5.4）。

（6）PDP根據(jù)本體推理機(jī)返回的AAR實(shí)例effect對象屬性值結(jié)果，存在多個(gè)屬性值時(shí)執(zhí)行策略沖突消解方法，生成唯一的策略決策結(jié)果，返回給PEP。

（7）PEP將PDP返回的策略決策結(jié)果呈現(xiàn)給用戶。

4.2 封閉世界推理和實(shí)例實(shí)現(xiàn)推理

本節(jié)對策略本體實(shí)施步驟（5）中添加封閉世界約束、實(shí)例實(shí)現(xiàn)推理予以說明。

OWL本體在執(zhí)行知識(shí)推理時(shí)，遵循兩類假設(shè)：開放世界假設(shè)和命名不唯一假設(shè)。開放世界假設(shè)是指事實(shí)或稱述的真假與是否已知其真假無關(guān)。在策略本體實(shí)施框架中，經(jīng)推理后屬性訪問請求中實(shí)體屬性和關(guān)系，無法滿足策略概念定義的屬性和關(guān)系要求時(shí)，需要添加封閉世界約束，將其納入策略概念的補(bǔ)集中。添加封閉世界約束由兩個(gè)語義構(gòu)造組成：實(shí)例屬性斷言數(shù)量約束(((=n)R)(i))和實(shí)例不一致聲明(u?v)構(gòu)成；前者的含義是本體知識(shí)庫中關(guān)于實(shí)例i已有關(guān)系R斷言的數(shù)量為n，后者約束了命名不唯一假設(shè)，指實(shí)例u、v是不同的兩個(gè)實(shí)例。由于字面型屬性取值數(shù)量是有限的（見假設(shè)（2）），故實(shí)體本體中實(shí)例不一致性聲明的數(shù)量也是有限的。關(guān)于實(shí)例i已有關(guān)系R斷言的數(shù)量則可以通過RDF本體查詢語言SPARQL的SELECT查詢獲得，有關(guān)SPARQL語法參見文獻(xiàn)[19]。

圖3 策略本體實(shí)施框架

實(shí)例實(shí)現(xiàn)是一項(xiàng)描述邏輯推理服務(wù)[17]，對于給定的實(shí)例i，找到滿足概念斷言C(i)的最特殊概念，這里最特殊概念是相對于概念蘊(yùn)涵層次上定義的。在策略本體定義中，具體的策略以概念的形式予以定義，屬性訪問請求以策略空間概念CPS的實(shí)例IAAR定義，由于策略補(bǔ)集概念和封閉世界約束的存在，調(diào)用本體推理機(jī)推理服務(wù)后，總能找到IAAR隸屬的策略概念，這一點(diǎn)在下一章中予以說明。根據(jù)策略授權(quán)標(biāo)識(shí)蘊(yùn)涵公理，可以推理獲得屬性訪問請求的effect關(guān)系斷言effect(IAAR，IPermit/IDeny)。若只有唯一的effect關(guān)系斷言，則最終策略決策結(jié)果為該屬性值對應(yīng)授權(quán)標(biāo)識(shí)；若不唯一，則存在策略沖突，需要參考策略沖突消解方法，經(jīng)二次決策給出唯一的策略決策結(jié)果，采用允許優(yōu)先或禁止優(yōu)先元策略是常見的方法。

5 方法驗(yàn)證

5.1 正確性驗(yàn)證

本節(jié)通過策略決策方法的完備性和可靠性驗(yàn)證來說明策略決策方法的正確性。這里，完備性是指于對于任一訪問請求，策略決策方法總能給出決策結(jié)果，可靠性指決策結(jié)果是正確的。

首先說明對于給定的訪問請求，總存在策略元素給出決策結(jié)果。

這里C、D為概念，R為對象關(guān)系，RD為數(shù)值關(guān)系RD，a、d為個(gè)體實(shí)例。

證明（1）根據(jù)概念?R.C的語義[17]，情況（1）成立。

（2）若情況（2）不成立，即KB存在(﹁C)(a)的模型，由C≡﹁?R.{d1}有(?R.{d1})(a)，從而存在關(guān)系斷言 R(a，d1)，又有R(a，d2)且d1?d2，與((=1)R)(a)產(chǎn)生矛盾，故情況（2）成立。

（3）根據(jù)具體域關(guān)系RD和概念?RD.CD的語義，情況（3）成立。

（4）若情況（4）不成立，即存在(﹁C)(a)的模型，由C≡﹁?RD.[=Ivalue1]有(?RD.[=Ivalue1])(a)，從而存在關(guān)系斷言RD(a，Ivalue1)，因((=1)RD)(a)，從而Ivalue1=Ivalue2，與Ivalue2≠Ivalue1矛盾，故情況（4）成立。

（5）根據(jù)概念C?D的語義，情況（5）成立。

命題1策略本體知識(shí)庫KB(T，A)中，總能在策略空間概念CPS的所有子概念中找到屬性訪問請求IAAR能夠滿足的概念。

證明 根據(jù)3.2節(jié)中策略本體定義，CPS的子概念包括所有策略集概念CPSid和輔助策略集概念CPSComplement。不失一般性，令CPSid≡?subject.CSAE，將Csae視為邏輯命題，根據(jù)范式存在定理[20]，CSAE≡CSAE1?CSAE2?…?CSAEn≡(Csae1，1?Csae1，2?… ?Csae1，p)?… ?(Csaen，1?Csaen，2?…?Csaen，q)。注意到經(jīng)SWRL規(guī)則推理和添加封閉世界約束后，KB中關(guān)于某一IAAR及其主體的概念實(shí)例斷言公理和關(guān)系斷言公理有：

這里t≤s，s為主體安全屬性數(shù)量。

綜上所述，命題成立。

采用類似的方法可以證明下述命題：

命題2策略本體知識(shí)庫KB(T，A)中，總能在策略集空間概念CPSid的所有子概念中找到屬性訪問請求IAAR能夠滿足的概念。

注意到IAAR滿足這些概念均出現(xiàn)在授權(quán)標(biāo)識(shí)蘊(yùn)涵公理左端，故總能獲得策略決策結(jié)果，可以保證策略決策方法的完備性。

從策略決策方法完備性的證明過程可以看出，只有屬性訪問請求實(shí)例中實(shí)體屬性取值滿足具體策略中屬性取值約束，訪問操作隸屬于具體策略中定義的操作集合，滿足的系統(tǒng)內(nèi)部關(guān)系包含了具體策略定義中關(guān)系時(shí)，即策略評估結(jié)果為真時(shí)才會(huì)成為該具體策略的實(shí)例（定義6）。再經(jīng)授權(quán)標(biāo)識(shí)蘊(yùn)涵公理獲得的授權(quán)標(biāo)識(shí)實(shí)例，從而獲得策略決策結(jié)果。在此意義上，策略決策方法是可靠的。盡管對于給定的屬性訪問請求，總存在策略決策結(jié)果，但存在策略決策結(jié)果不唯一的情況。若屬性訪問請求的策略決策結(jié)果中同時(shí)包含 permit和deny，此時(shí)存在策略沖突，根據(jù)元策略信息消解策略沖突（策略本體實(shí)施框架步驟（6）），保證獲得唯一的策略決策結(jié)果。因此對于給定的屬性訪問請求，總存在唯一的策略決策結(jié)果。

綜上所述，本文提出的策略決策方法是完備和可靠的。

5.2 策略決策性能

面向不同應(yīng)用的組織和團(tuán)體間安全需求差異相對較大，制定策略時(shí)往往采用不同的安全屬性，為驗(yàn)證本文提出的策略本體定義和實(shí)施框架的正確性，使用protégé 4.2建立策略本體的概念驗(yàn)證原型（見圖4），策略數(shù)據(jù)來源于Continue[21]。概念驗(yàn)證原型策略本體中包含89個(gè)類（55個(gè)具體策略概念）、9個(gè)對象屬性、11個(gè)數(shù)據(jù)屬性和94個(gè)實(shí)例（55個(gè)訪問請求實(shí)例），對應(yīng)的描述邏輯表達(dá)能力為ALCOQ(D)。

圖4 策略本體驗(yàn)證原型示例

含通用TBox的ALCOQ中概念可滿足性和ABox一致性理論上的時(shí)間復(fù)雜度均是ExpTime-完備的[18]。ExpTime-完備時(shí)間復(fù)雜度是較高的，鑒于執(zhí)行SPARQL SELECT查詢和添加封閉世界約束的時(shí)間相對恒定，同時(shí)策略決策依賴于規(guī)則推理和實(shí)例實(shí)現(xiàn)推理，將策略本體中策略概念數(shù)量對OWL推理機(jī)實(shí)際推理時(shí)間造成的影響作為策略決策性能的度量（見圖5），實(shí)驗(yàn)機(jī)器配置為Intel Core i3 2.2 GHz、4 GB內(nèi)存，推理機(jī)選用了Pellet。

圖5 推理時(shí)間與策略概念數(shù)量關(guān)系

對單個(gè)訪問請求進(jìn)行評估的推理時(shí)間與策略概念數(shù)量成近線性關(guān)系，從具體策略數(shù)量（55）、單個(gè)訪問請求的策略決策推理時(shí)間（約1 s）上看，該策略決策方法能夠應(yīng)用于中小規(guī)模應(yīng)用環(huán)境。對多個(gè)訪問請求同時(shí)進(jìn)行評估的推理時(shí)間較不穩(wěn)定，但總體上小于對各訪問請求分別進(jìn)行評估的推理時(shí)間總和，表明該策略決策方法在處理多訪問請求同時(shí)評估方面具備一定的適用性。

6 結(jié)束語

ABAC采用屬性的方式刻畫實(shí)體，可以有效地解決開放式系統(tǒng)環(huán)境中細(xì)粒度的授權(quán)和訪問控制問題。針對不同應(yīng)用域中實(shí)施的安全策略依賴的屬性語義存在差異，缺乏有效的策略表示和決策方法，建立ABAC策略本體模型，準(zhǔn)確地表達(dá)模型中的實(shí)體及相關(guān)屬性語義信息。然后給出了ABAC策略本體的策略決策方法，該方法借助SWRL規(guī)則給屬性訪問請求添加滿足的系統(tǒng)關(guān)系，使用實(shí)例實(shí)現(xiàn)的描述邏輯推理對訪問請求做訪問控制決策，為從語義層次上表達(dá)和實(shí)施ABAC策略提供有效的支持。

后續(xù)的工作包括改進(jìn)策略定義方法，以合理地利用描述邏輯推理，提高策略決策的性能。此外，結(jié)合現(xiàn)有語義Web信任研究和信息安全研究中信任管理的相關(guān)成果，消除實(shí)體安全屬性信息總是完備和可信的假設(shè)（3.2節(jié)中假設(shè)（4））也是一項(xiàng)重要的工作。

[1]Wang L Y，Wijesekera D，Jajodia S.A logic-based framework for attribute based access control[C]//Proceedings of the 2004 ACM Workshop on Formal Methods in Security Engineering.New York：ACM，2004：45-55.

[2]李曉峰，馮登國，陳朝武，等.基于屬性的訪問控制模型[J].通信學(xué)報(bào)，2008，29（4）：90-98.

[3]Lang B，F(xiàn)osterI，SiebenlistF，etal.A flexible attribute based access control method for grid computing[J].Journal of Grid Computing，2009，7（2）：169-180.

[4]Sloman M.Policy driven management for distribution systems[J].Journal of Network and Systems Management，1994，2（4）：336-360.

[5]Moses T.eXtensible Access Control Markup Language（XACML）version 2.0[EB/OL].（2005-02-01）.http：//docs.oasis-open.org/xacml/ 2.0/access_control-xacml-2.0-core-spec-os.pdf.

[6]Ye C，Zhong J，F(xiàn)en Y.Attribute-based access control policy specification language[J].Journal of Southeast University，2008，24（3）：206-263.

[7]Priebe T，Dobmeier W，Schlager C，et al.Supporting attributebased access control in authorization and authentication infrastructures with ontologies[J].Journal of Software，2007，2（1）：27-38.

[8]Barker S，Stuckey P J.Flexible access control policy specification with constraint logic programming[J].ACM Transactions on Information and System Security（TISSEC），2003，6（4）：501-546.

[9]Zhao C，Liu S P，Lin Z Q.Representation and reasoning on RBAC：adescriptionlogicapproach[C]//LNCS 3722：Proceedings of the International Colloquium on Theoretical Aspects of Computing.Berlin：Springer-Verlag，2005：394-406.

[10]Finin T，Joshi A，Kagal L，et al.ROWLBAC：representing role based access control in OWL[C]//Proceedings of 13th ACM Symposium on Access Control Models and Technologies.New York：ACM Press，2008：73-82.

[11]努爾買買提·黑力力，開依沙爾·熱合曼.帶負(fù)授權(quán)RBAC模型的OWL表示及沖突檢測[J].計(jì)算機(jī)工程與應(yīng)用，2010，46（30）：82-85.

[12]Beimel D，Peleg M.Using OWL and SWRL to represent and reason with situation-based access control policies[J]. Data&Knowledge Engineering，2011，70：595-615.

[13]Kagal L，F(xiàn)inin T，Joshi A.A policy language for a pervasive computing environment[C]//Proceedings of IEEE 4th International Workshop on Policies.Washington，DC：IEEE Computer Society Press，2003：63-76.

[14]Uszok A，Bradshaw J M，Jeffers R，et al.KAoS policy and domain services：toward a description-logic approach to policy representation，deconfliction，and enforcement[C]//Proceedings of IEEE 4th International Workshop on Policies for DistributedSystemsandNetworks.Washington，DC：IEEE Computer Society Press，2003：93-96.

[15]胡殿友，張斌.網(wǎng)格環(huán)境中基于語義的ABAC屬性研究[J].計(jì)算工程與設(shè)計(jì)，2010，31（14）：3174-3176.

[16]Mcguinness D L，Harmelen F.OWL web ontology language overview[EB/OL].（2004-02-10）[2012-01-10].http：//www.w3. org/TR/owl-features.

[17]Baader F，Calvanese D，McGuinness D，et al.The description logichandbook：theory，implementation，and applications[M].Cambridge：Cambridge University Press，2002.

[18]Horrocks I，Patel-Schneider P F，Boley H，et al.SWRL：asemanticWebrulelanguagecombiningOWL and RuleML[EB/OL].（2011-05-26）.http：//www.w3.org/Submission/ SWRL/.

[19]Prud E，Seaborne A.SPARQL query language for RDF[EB/OL].（2008-01-15）.http：//www.w3.org/TR/rdf-sparql-query/.

[20]Davis M D，Sigal R，Weyuker E J.Computability，complexity，and languages，fundamentals of theoretical computer science[M].2nd ed.[S.l.]：Posts&Telecom Press，2009：353-359.

[21]Fisler K，Krishnamurthi S，Meyerovich L A，et al.Verification and change-impact analysis of access-control policies[C]// Proceedings of the 27th International Conference on Software Engineering.New York：ACM Press，2005：196-205.

ZHOU Jiagen,YE Chunxiao,LUO Juan

School of Computer Science,Chongqing University,Chongqing 400044,China

To solve the semantic presentation and enforcement problems of ABAC policies in the open system environment,a method using ontology to define policies is proposed.This method is defined on the basis of a map from ABAC policy model to description logic definitions.Also,it uses SWRL rules to define relations in the system.Based on the policy ontology,a framework utilizing close world reasoning and individual realization reasoning service to generate decisions of access request is proposed.The correctness of policy enforcement method is proved through its soundness and completeness,and an experiment is showed to verify the feasibility of these methods in a real application.

Attribute-Based Access Control（ABAC）;policy representation;policy enforcement;ontology;Semantic Web Rule Language（SWRL）;reasoning

為解決開放式系統(tǒng)環(huán)境中基于屬性的訪問控制（Attribute-Based Access Control，ABAC）策略語義層次上的表示和決策問題，提出了ABAC策略的本體表示方法。該方法基于ABAC策略模型到描述邏輯定義的映射，使用語義Web規(guī)則語言（SWRL）處理系統(tǒng)內(nèi)部關(guān)系定義。在此基礎(chǔ)上，提出了基于封閉世界和實(shí)例實(shí)現(xiàn)推理的策略決策框架。最后從可靠性和完備性兩方面說明了決策方法的正確性，驗(yàn)證實(shí)驗(yàn)表明了方法在實(shí)際應(yīng)用中的適用性。

基于屬性的訪問控制；策略表示；策略決策；本體；語義Web規(guī)則語言；推理

A

TP309

10.3778/j.issn.1002-8331.1109-0593

ZHOU Jiagen,YE Chunxiao,LUO Juan.Semantic representation and enforcement methods of ABAC policies.Computer Engineering and Applications,2013,49（23）：56-62.

國家自然科學(xué)基金（No.60503027）；重慶大學(xué)研究生科技創(chuàng)新基金項(xiàng)目（No.CDJXS11180022）。

周加根，男，碩士研究生，研究領(lǐng)域：訪問控制、本體建模；葉春曉，男，博士，教授，研究領(lǐng)域：本體技術(shù)、訪問控制；羅娟，女，碩士研究生，研究領(lǐng)域：網(wǎng)格技術(shù)、訪問控制。E-mail：zhoujiagen@gmail.com

2011-09-29

2013-05-07

1002-8331（2013）23-0056-07

CNKI出版日期：2013-07-09 http://www.cnki.net/kcms/detail/11.2127.TP.20130709.1015.005.html