论文研究-带负授权RBAC模型的OWL表示及冲突检测.pdf

所需积分/C币:6 2019-09-10 23:13:53 565KB .PDF
收藏 收藏
举报

提出带负授权和权限层次的扩展RBAC模型并分析模型中由负授权引起的冲突。用OWL-DL表示该扩展模型并说明如何使用OWL-DL推理引擎检测扩展模型中潜在的冲突。
2010,46(30) Computer Engineering and Applications计算机工程与应用 是,当rle'(m)∩mole(p)≠⑦时,将产生冲突。类型(1)、(2)、指派(p,n)∈P4,权限角色指派公理的形式为 PARole。 (3)和(4)均属于这种情况。其他的仅涉及到角色和权限的冲对于每个直接和间接负权限角色指派(p,n)∈NPA,权限角色 突都简化为类型(1)、(2)、(3)和(4)。 指派公理的形式为 RCRole 同样,定义函数er:Pems→2s,sert(p)表示拥有 K的ABox包含了下面的三种公理 权限p的用户的集合以及函数 er. Perms→2,user(p)表 角色概念断言将每个角色声明为相应概念的实例,它的 示不能拥有权限p的用户的集合。于是,当er(p)∩"er(P)≠2形式为R()和R(r)。用户概念断言声明了用户,它的形式 时,也将产生冲突。类型(5)、(6)、(7)和(8)均属于这种情为UNe(x)。用户角色指派断言的形式为asgu,r),说明用 况。其他不仅涉及到权限、角色还要涉及到用户的冲突简化 户u被指派了角色r。 为类型(5)、(6)、(7)和(8) 构造一个OWL知识库之后,就可以对其执行一些推理 因此,为了检查模型中是否存在冲突,只需对每个权限 操作,可以使用如下的查询语句向κ询问用户u是否貝有权限 p∈ Perms检杳集合role'(p)∩ole(p)以及user(p)∩user(p) p:AsK{ser(u)}或是否被禁止拥有权限p:ASK{sern(ul)}。 是否为空。 如果同时得到λUser()和炸User(u),那么说明模型 3使用OWL-DL表示RBAC(M模型并冲突检测 中存在矛盾。 OWL-DL是基于语义Web的很好的安全策略表示语言1 正如在上节讨论过的,RBAC(M模型中的任何冲突将导 的优势在于具有定义明确的语义和清晰的屈性,有助于致,存在某些p∈Pems,使得ol(pnro(p)和 user(p))∩ Web实体更好地理解和共享安全策略。 tser(p)均不为空集。增加下面的两条公理。 本章将阐述如何对RBAC(M模型进行概念化,并构造 定义6角色冲突检测公理:对每个权限p∈Pems,角色 个OWL知识库。不妨设角色集和权限集都是有限的。 冲突检测公理为: Role n role,匚⊥ 给定一个RBAC(A模型,按照如下的方法构造一个 定义7用户冲突检测公理:对每个权限p∈Pems,用户 OWL知识库 冲突检测公理为: UserUser.C⊥。 定义2K的字母表包括下面的类和属性: 在TBox中加入这两条公理后,一且冲突发生,这两条公 (1)原子类Uer,表示用户; 理中至少有一条无法满足,知识库将不一致。 (2)原子类 CRole和 CRole; 实现了一个简单的原型系统,如图3所示,使用OWL编 (3)每个角色r∈ Roles,定义两个原子类:R和R 写RB∧C(策略,使用 Protege-OWL插件构造一个OWL本 (4)为每个权限p∈Pems,定义两个原子类:P和P; 体。使用一个描述逻辑实现组DG规范的推理机对Puge4 无需声明权限的具体实例,在推理中主要依靠权限概念 OwWL中的本体进行推理。采用的推理机是 Racerpro1.9,它 (5)原子属性asig",表示用户角色指派关系 提供对 OWL-DL的绝大部分支持。 (6)为每个权限p∈ Perms,定义两个原子类: crole和 策略管理模块推理模块HTP应答执行模块 CRole Protege-OWL iDr推理切江上下文 为每个权限p∈ Perms,定义两个复杂类: User= RACER AsK+处理器 彐 assign. CRole,和User,≡彐 assign crole 增删、改DG 接 HTP策略执造求 TELL 点PFP应 用 接口 在形式化过程中,每个角色r∈ roles既是概念R的实 例,也是R的实例。对每个权限p∈ Perms,概念CRol描 WL文件 DL知识车 应用系 统报务 述的是直接和间接指派正权限p的角色集合,概念 cRole描 图3原型系统框架 述的是直接和间接指派负权限的角色集合。概念 彐 assign. CRole描述的是至少被指派了 CRole中一个角色的 为了评价原型系统的执行效果,对请求从DIG推理机得 用户集合。于是,概念Ue描述的是拥有权限p的用户集到的响应(例如,用户Ale是否具有 sign-Order-A权限〕时l 合。同样,概念User描述的是不能拥有权限p的用户集合。 进行了测试。系统的运行环境为 Intel Core2 Duo merom T730020GHz的PC机,内存为2GB.操作系统为 Windows 人的TBx包括三和类型的公理:角色内含公理、权限内xP专业版。测试在局域网内举行测试结果如图4所示。 含公理和权限指派公理。 在知认库里创建了不同数量的用户,200角色和不同数 定义3角色内含公理:对于RH中的听有角色继承关系 量的杈限。每个角色随机地被指派10个用户、每个权限随机 n1≥r2,r,n2∈R,相应的角色内含公理的形式为:RR2,地被指派10个角色。 Protege-OWL编写的知识库中如果 R2匚R TBox不一致,则说明模型中存在图2中的前四类冲突中的某 定义4权限内含公理:对于PH中的所有权限层次关系 个, RacerPro通过对知识库的类进行分类( classify)能够定 P1≥P2P1,p2∈Pems,相应的权限内含公理的形式为:P2CP,位出现不一致的角色类。如果ABox不一致,则说明模型中存 PIEP2 在图2中的后四类冲突中的某一个, Racerpru通过对知识库的 定义5权限指派公理:对于每个直接和间接正权限角色类进行实例化( Realize)能够定位出现不一致的用户类。出现 Protegee-owlplugin(http://protege.stanfordedu/plugins/owl Dl Implementers Group( Dig)(hTtp: //dl. kr. org/dig/) Racerpro(http://www.racer-systems.com?) 努尔买买提·黑力力,开依沙尔·熟合曼:带负授权RBAC模型的OWL表示及冲突检测2010,46(30) 0000 ple access control policies[J]. ACM Transactions on Database Sys 9000 8000 tems,2001.26:214-260 500个用户 [4] Bertino E, Samarati P, Jajodia S.An extended authorization mod a6000 000个用户 el for relational databases[J].IEEE Transactions on Know ledge 5000 1500个用户 起4000 00个用户 and Data Engineering, 1997,9: 85-101 3000 2500个用户 [5 Al-Kahtani M A, Sandhu R Rule-based RBAC with negative au 2000 thorization[C]//Proceedings of the 20th Annual Computer Securi- 1000 ty Applications Conference, ACSAC 04, December 06-10 2004 500⊥000150020002500 405-415. 权限个数 [6 Heilili n, Chen Y, Zhao C, et al. An OWL-based approach for 图4DlG推理机的RBAC策略推理测试结果 RBAC with negative authorization[C]/LNAI 4092: First Interna 不一致时,通过 Protege-OWL模块对知识库进行修正,保证知 tional Conference on Knowledge Science, Engineering and Man 识库的一致性。以上测试结果是知识库C刚创建后进行的 agement, KSEM06, Guilin, China, 2006: 164-175 (对知识库中的类进行分类和实例化之前,即最坏的情况)。[7] Moses T eXtensible access control markup language( XACML 对知识库中的知识进行分类和实例化之后进行测试,结果显示 version2.0[s/ol].2005.http://docs.oasis-open.org/xacml/2.0/access 平均响应时间低于100ms,测试结果表明系统的效率很客观 control-xacml-2.0-core-spec-os pdf [8 Damianou N, Dulay N, Lupu E, et al. The ponder policy specifi 4小结 cation language[C]/Proceedings of Workshop on Policies for 首先提出了RBAC()模型,该模型在 ANSI RBAC模型 Distributed Systems and Networks, POLICY 2001, Bristol, UK 2001 的基础上引入了负授权和权限层次关系,同时讨论了由负授 权引起的各种类型的冲突。其次,使用 OWL-DL语言对 [9] Kagal L, Finin T, Joshi A. A policy based approach to security RBAC(∧模型进行形式化。给定一个RBAC(模型,可以 for the semantic web[C]/Proceedings of the 2nd International Scmantic Web Conference. ISWC 2003. 2003: 402-418 构造出一个OWL知识库,在这个知识库中,可以进行各种推 [10 Tonti G, Bradshaw J M, Jeffers R, et al. Semantic Web languag- 理操作,使用 RACER来检测RBAC()模型中的冲突。 es for policy representation and reasoning: A comparison of KAoS. Rei, and ponder[c]/Proceedings of the 2nd Internation 参考文献 l Semantic Web Con ference ISwc 2003, 2003: 419-437 9 [1] Sandhu R S, Coynck E J, Feinsteink H L, ct al. Role-based ac- [11 McGuinness D L, Harmelen F VOWL Web Ontology Lan cess control models[J].IEEE Computer, 1996, 29(2): 38-47 [2 American National Standards Institute. American national standard lleguageovervicw[s/olj.2004.http://www.w3.org/tr/owl-fcaturcs/ [12] Finin T, Joshi A, Kagal L,et al. ROWLBAC: Representing role for information technology-role based access controlLS/OL. 2004 based access control in Owl[CV/Proceedings of the 13th ACM http://csrc.nistgov/rbac Symposium on Access Control Models and Technologies, Es [3] Jajodia S, Samarati P, Sapino M, et al. Flexible support for multi tes Park, CO. USA: ACM, 2008 上接64页) cation of pointer analysis to the behavioral synthcsis from C[C]/ Proceedings of the 1998 IEEE/ACM International Conference on 5结论 Computer-Aided Design, San Jose, California, United States, 1998 基于以LLVM为前端的 ASCRA编译架构,设计实现了 340-346 种支持各种嵌套格式的非计数类循环的C2ⅤHDL编译方法。[4 YankovaY D, Kuzmanov g K, BartelS K L m, et al. WARV 基于控制流图,利用一个周期的高电平信号驱动非计数类循 Delftworkbench automated reconfigurable VHDL generator[C]// 环体组成模块,完成循环转换。该算法生成的控制结构简单 Proceedings of the 17th International Conference on Field Pro 能够处理各种格式的非计数类循环,具有较好的灵活性和可 grammable Logic and Applications( FPL2007), 27-29 Aug, 2007 扩展性。但是,目前还没有实现对非计数类循环转换的优化 697-701 处理,如循环流水。随着以后工作的进一步开展,将继续完成15 Callahan T, Hauser J, Wawrzynek J The garp architecture and C 对非计数类循环转换的优化处理。 compiler[J].IEEE Computer, 2000, 33(4): 62-69 致谢:感谢 Xilinx公司的支持,为课题组提供了很好的实验 [6 Tripp J L, Peterson K D, Gokhale M B Trident: From high-level 平台 language to hardware circuity [J].IEEE Computer, 2007, 40(3) 28-37 参考文献 [7] Lattner C, Adve VLLVM: A compilation framework for lifelong [1] Guo Zhi, Buyukkurt B, Naijar W, et al. Optimized generation of program analysis transformation[C]//International Symposium data-path from C codes for FPGAs[C]/Proceedings of the Con on Code Generation and Optimization, 2004: 75-86 ference on Design, Automation and Test in Europe, 2005: 112-117 8] Lattner C, Adve VThe LLVM compiler framework and infrastruc [2] Gupta S, Dutt N, Gupta R, et al. SPARK: A high-level synthesis ture tutorialleb/olj.(2004-09-22)[2009-10-08.htTp: //llvm. org/pubs/ framework for applying parallelizing compiler transformations[C]// 2004-09-22-LCPCLLVMTutorialhtmI Proceedings of l6th International Conference on VLSI Design 9] Lattner CLLVM: An infrastructure for multi-stage optimization 2003:461466 「EBOL.(2002-12)「2009-10-081htto:/llm.org/pubs/2002-12 [3] Semeria L, De Micheli G SpC: Synthesis of pointers in C appli- LattnerMsThes-is html

...展开详情
试读 4P 论文研究-带负授权RBAC模型的OWL表示及冲突检测.pdf
立即下载 低至0.43元/次 身份认证VIP会员低至7折
    抢沙发
    一个资源只可评论一次,评论内容不能少于5个字
    img
    • 至尊王者

      成功上传501个资源即可获取

    关注 私信 TA的资源

    上传资源赚积分,得勋章
    最新推荐
    论文研究-带负授权RBAC模型的OWL表示及冲突检测.pdf 6积分/C币 立即下载
    1/4
    论文研究-带负授权RBAC模型的OWL表示及冲突检测.pdf第1页
    论文研究-带负授权RBAC模型的OWL表示及冲突检测.pdf第2页

    试读已结束,剩余2页未读...

    6积分/C币 立即下载 >