论文部分内容阅读
基于Web的资源共享和系统互操作是组织间进行合作的重要形式,确保合作组织信息系统的安全是保证共享资源安全性的重要方面。访问控制是确保信息系统安全的关键技术,通过约束访问主体对被访问客体的行为以保护共享信息和资源。在实际应用中,访问控制依托安全策略来实施。安全策略是组织根据安全需求和业务目标制定的一系列涉及系统访问的许可或禁止的规定。在面向多域合作的应用中,如何有效地分析和整合不同组织的安全策略,在确保组织信息系统安全的同时,提高协同工作的效率,是一个至关重要的问题。安全策略相似度是不同组织的安全策略,在访问主体、被访问客体或访问行为等安全约束上的相似程度,它比较的是不同安全策略之间权限分配的共同点和不同点。将策略相似度分析作为策略比较的前期步骤,能过滤掉相似度低的安全策略,返回高相似度值的策略集合,以便于细粒度的策略分析或提高安全策略复合的效率。在多域合作环境中,不同组织的资源受各自访问控制系统的保护,这就要求各组织在保护本地资源的同时,遵守其它组织的安全约束。策略复合的目的,就是有机地集成不同组织的安全策略,从而构建一个安全互信的协同工作环境,提高组织之间权限分配的效率。在策略复合领域中,合作策略是不同安全策略中,相应属性的相同属性值构成的共性安全策略。合作策略关注的是策略的属性复合,表达了合作组织之间共同的安全需求。对合作组织进行安全策略共性特征的抽取,以形成合作策略,能够保证组织合作的公平性,使合作组织在更大程度上共享资源,从而提高合作的效率。在多域合作环境中,每个合作组织隶属于不同的管理机构,独立管理自己的资源和访问控制,并依据本地的安全需求和业务目标来定义安全策略,从而导致了安全策略的异构性。基于Web的多域合作环境通常使用XACML策略语言表示异构的访问控制策略。XACML是国际标准化组织制定的基于Web的安全策略描述语言标准之一,提供了完整的访问控制和授权系统标准,被广泛应用于Web环境中的安全策略表达,本文所做工作都基于XACML语言描述。当前对策略相似度的研究主要基于相同的概念层次结构,并使用相同的概念进行策略表达,没有考虑概念层次结构的异构性,不能处理更为普遍的策略异构情况。在策略复合领域,现有的安全策略复合方法大多关注于决策方案的复合,较少关注策略属性的复合,没有从合作策略共性特征抽取的角度强调合作组织之间的公平性,提高组织合作的效率。针对这两个问题,本文提出了异构安全策略相似度算法和安全策略共性特征抽取算法。本文主要工作和创新点如下:在策略相似度分析方面,提出了异构安全策略相似度计算方法。算法首先通过语义映射技术,判断出不同安全策略中语义异构概念间的语义关系,并基于语义关系对异构概念层次结构进行结点合并。基于合并后的概念层次结构,通过概念的语义层次距离和合并前后的语义位置变化来计算安全策略的相似度值。算法对概念层次结构的合并,不仅能消除概念之间的语义异构,计算更为普遍的异构安全策略相似度值,而且基于语义层次距离和语义位置的变化计算相似度值更符合概念之间的语义差异,能够提高计算结果的准确性。在算法实验中,本文选取不同的概念层次结构和安全策略实例进行相似度计算,从而证明算法在运行效率上是可行的,在计算效果上能避免当前策略相似度研究中可能出现的相似度值相同的不准确现象。在合作策略生成方面,提出了安全策略共性特征抽取算法。算法基于逻辑代数的形式进行安全策略表达,通过对安全规则的进一步范式分解和概念层次分解,获得每个属性只有单一属性值的原子规则。安全策略的共性特征依据原子规则中相应属性的属性值交集进行抽取。对安全规则进行范式分解和概念层次分解不仅能实现策略的属性复合,确保没有遗漏地抽取出不同安全策略的共同部分,而且对安全策略进行先分解再抽取的方法能有效提高策略共性特征抽取的效率。在算法实验中,通过构造不同数量级别的策略属性值和不同规模的概念层次结构,本文依次分析了安全策略规则个数、规则中属性值个数、数值约束中区域个数和概念层次结构结点个数对算法运行效率的影响,从而证明算法在运行效率上是可行的。