王宏宇

摘要：随着计算机信息技术的发展，信息安全的问题越来越突出，在大型计算机应用系统行为安全控制的方法中，安全策略的应用研究受到高度重视。在计算机应用安全策略中本体方法已经成为计算机应用安全策略领域研究的重要方法，基于本体的应用安全策略实现了大规模应用系统对安全策略的需要。该文结合internet环境下的访问控制技术对计算机应用安全领域进行了安全策略本体研究，基于本体的计算机应用安全策略研究具有一定的应用价值。

关键词：访问控制；安全策略；本体；规則；冲突检测

随着信息安全技术的发展，计算应用安全授权策略和本体的研究取得了一定的进展，但是在应用安全方面的研究的成果比较少，我们对应用安全策略的研究要从保护应用数据的角度进行研究。在计算机应用安全领域中关于应用安全授权问题，要结合本体方面的研究工作才可以得到很好的解决。随着语义Web在应用安全领域中的发展和应用，在应用安全领域中本体方法的研究受到高度的重视。

1计算机应用安全策略中的访问控制研究

访问控制方法是计算机网络内部安全保护的一种机制，访问控制的目标是保证授权实体对资源进行合法访问，访问控制决定了授权策略的表达能力。计算机信息系统的访问控制技术最早出现的两种技术是自主访问控制技术和强制访问控制技术。近几年来基于角色的访问控制技术应用的越来越广泛，目前随着信息技术的发展和大型应用系统的不断使用，对访问控制模型提出了新的挑战。自主访问控制技术是随着分时系统的产生而出现的，自主访问控制是基于本体的限制访问方法，自主访问控制中的主体可以根据个人的意愿对访问权限进行授权或者撤销。强制访问控制技术重视对信息机密性的保护，强制访问控制经常和自主放访问控制一起使用.强制访问控制技术在系统中设置多个安全级别，对主体和客体进行安全级别的划分，强制访问控制的规则是信息的流向只能从低安全级别向高安全级别流动，禁止所有违反非循环信息流的行为。

2计算机应用安全策略本体研究

在计算机科学领域的研究中，本体是对特定领域共享概念化的说明，Web语义通过本体方法进行定义与外部协议方法相比更加灵活。本文对Web本体语言的研究主要是针对OWL，OWL是基于W3C的Web本体表示语言。在应用安全策略本体研究中OWL本体语言作为策略架构的语言。

2.1安全域本体建模研究

2.1.1实体本体和属性

在应用安全域建模环境信息研究中，通过本体对应用安全域进行建模，在实体之间建立统一的表示结构，其中环境信息被定义为实体。在应用安全域研究中，实体是访问控制中最基本的概念，环境信息具有非常复杂并且具有多种定义的特点，环境信息可以把环境抽象为描述实体信息的属性。在应用安全域中实体与实体之间的差异很大，但是每个实体都有授权的属性，应用安全域内的环境信息主要是靠实体和属性进行描述的，实体和属性可以反映安全域的状态。为了更好地对动态环境的变化进行处理，应该使用属性条件直接构建策略，其中定义策略的主要元素我们以环境信息为主。在现实世界中存在的实体除了主体和客体是物理实体外，其他的实体都是逻辑实体，这些逻辑实体主要是为定义访问控制策略而产生的。实体分为物理实体和逻辑实体，而属性则是逻辑实体中的之类，实体通过hsSatbibutc与属性进行关联，实体本体如图1所示，在实体本体结构图中圆角矩形表示类，实线箭头表示类与类之间的层次关系，虚线箭头表示对象属性，Physicalentity表示物理实体，logicalent如表示逻辑实体。

2.1.2用户本体

用户本体中的主体在不同的安全级别中具有不同的定义，用户实体具有特定的权限可以对客体进行操作，用户主体可以被其他主体访问，就像进程可以被其他进程唤醒一样。用户是使用系统的人员，用户需要提供身份验證才可以进入系统。在应用策略安全中，我们主要是对大量的用户进行访问控制，所以我们对主体表示是通过用户来表示的。用户属性类型有一般标准的用户属性，主要是描述用户基本身份信息的；一些机构相关的用户属性表示工作单位等信息的，应用系统为用户分配那些权限都是取决于用户在机构内的位置等，与用户的身份关系比较少；一些特定用户的属性可以对权限分配的条件进行限制，比如银行贷款的最大额度等。在策略定义的架构中，用户本体结构图如图2所示，在用户本体图中orguser代表机构用户，person代表个人，process代表进程。

2.1.3客体本体

在应用系统中被保护的系统资源都是客体，客体包括数据文件和数据库表等，客体的属性包括安全级别和等级等，通过客体的属性可以对客体进行有效的管理，还有一些客体的属性是在访问控制中的得到的抽象属性，客体的属性主要是对客体和授权相关的信息进行描述的。在策略定义的框架中，授权的客体类都给出来了，其他的客体类在不影响客体语义的前提下从客体属性本体上进行定制。OWL对数据类型进行定义是通过不同方式进行的，这样可以保证数据类型在客体属性上的语义，如果客体对语义有特殊的要求，那么我们可以为其定义新的客体子类。客体属性构建按照客体本体图进行构建，如图2客体本体图所示，在客体本体图中file代表文件，record代表记录，dataobject代表数据对象。

2.2策略定义和表示

策略定义方式是在较高的抽象层次上描述实体的结构和实体的属性，策略建模可以在较高的层次上改进系统的分析能力。通过安全域本体建模的分析我们可以看出OWL语义可以对应用安全中的实体和属性进行描述，但是对于授权规则的隐式权限分配来说并不适合描述。我们可以使用OWL对策略授权规则的语法形式进行定义，应用策略定义方式不需要环境推理机，只需要通过本体推理的能力就可以完成对规则的分析工作。策略本体图如图4所示。

其中userpermission policy作为类，对用户授权的策略直接进行定义；user role policy对角色分配策略进行定义，role pemissionpoilcy对角色授权的策略进行定义，userrolepolicy和rolepemission poilcy两种策略对用户的授权方式是通过角色进行间接授权的。角色分配策略具有两种形式分别是肯定形式和否定形式。授权策略的所有行为的定义都是按照规则进行的，并且策略本体的策略属性信息中对策略本体的优先级的属性进行了定义.为了保证策略本体框架的简洁，在角色授权策略中避免出现用户授权策略的权限分配。在对策略本体规则进行使用的时候，不对全域内的授权规则进行定义，被授权的概念不使用全称概念，而且授权策略要指定一个用户角色并对角色进行授权，这样的策略本体定义可以保证策略所定义的规则具有确定的语义。

在策略本体定义的框架中，通过OWL语言对安全域内的领域知识进行描述，通过域实体对环境信息进行抽象的定义。使用属性和实体之间的结构关系来描述框架中的实体结构关系，这在对属性和实体进行细粒度划分方面是非常有效的，可以更好地适应授权要求的动态变化。策略本体的定义不仅为环境信息的定义建立了属性建模，而且还可以对用户、动作和权限等实体进行了有效的描述。在安全域中的实体组织规则中提出了本体属性定义方法，并通过本体方法对非数值属性之间的关系进行描述。基于策略定义的规则和本体方法的策略定义框架，可以提高语言的定义能力，在大型应用安全系统中建立可管理的语义策略定义方法。策略定义框架是在OWL语言基础上进行定义的，策略定义框架进行策略的推理是通过推理服务执行的，推理服务是通过逻辑推理机来描述的，策略定义框架可以建立统一的授权实体，构建组织内的授权策略是在明确语义策略定义的基础之上建立的。

3总结

基于本体的应用安全策略研究提出了基于本体策略定义框架，可以有效地对大型应用安全系统进行管理。基于本体的应用安全策略研究是策略定义方法研究中的主要发展方向，计算机应用安全策略本体研究在计算机应用安全领域中具有一定的应用价值。