（计算机软件与理论专业论文）基于资源描述框架的安全性研究.pdf

摘要 摘要 全球化时代人类追求沟通的便利，信息的表示与处理方式都在发生极大的变迁。继可扩 展标记语言之后，资源描述框架作为一种可以为机器所理解的新型知识表达语言，日益广泛 地被应用于w e b 2 0 、语义w e b 以及其他一些领域。 作为万维网联盟拟定的用来定义数据语义的标准数据格式，资源描述框架通过将资源与 特性、值相关联，实现了对于w e b 上资源的描述；语义w e b 的更高层次则借助着资源描述 框架作为语法格式，支持应用程序的逻辑与推理能力。资源描述框架对于语义的支持，使得 人们能够从知识库出发进行演绎，进而提高了w e b 上的软件主体决策的能力这一切在提高 着各种应用程序与服务之间互操作与无缝数据交换等能力的同时，也涉及了众多的敏感信息， 产生着新的安全隐患现有的针对关系数据模型以及处于纯语法层面的可扩展标记语言的安 全性机制的研究，并不足以为资源描述框架提供完善的数据安全性事务方面的支撑。贴近资 源描述框架的特点，展开对于资源描述框架安全性问题是促进信息社会稳定的需要。 本文针对资源描述框架数据模型定义的数据组织形式，基于资源描述框架数据语义与形 式化推理规则，总结这一新型数据格式对于安全性的需求，研究相应的安全性机制。在符合 资源描述框架应用场合的安全模型支持下，灵活地反映安全性需求，并对于可以由现有语句 推导出的非显性资源描述框架数据提供自动控制，在此基础上，进一步研讨面对安全性需求 的变化，安全性机制的维护方法。本工作也是语义w e b 安全问题研究的一个初始研究。 关键词：资源描述框架，安全性，语义w e b i l i 东南大学硕士学位论文 a b s t r a c t i n f o r m a t i o n sr e p r e s e n t a t i o na n dp r o c e s s i n ga r eb e i n gt r a n s f o r m e di nt h eg l o b a le r a r e s o u r c e d e s c r i p t i o nf r a m e w o r k ，ak i n do f m a c h i n e - u n d e r s t a n d a b l ek n o w l e d g er e p r e s e n t a t i o nl a n g u a g e ，i s w i d e l yu s e di nw e b2 0 ，s e m a n t i cw e ba n do t h e rd o m a i n s ，j u s t a 8w h a th a p p e n st oe x t e n s i b l e m a r k u pl a n g u a g es e v e r a ly e a r sa g o w h i l eb o o s t e db yw o r l dw i d ew e bc o n s o r t i u mt od e f i n e d a t as e m a n t i c sa st h es t a n d a r dd a t af o r m a t ，r e s o u r c ed e s c r i p t i o nf r a m e w o r ki sd e s c r i b i n gt h e r e s o u r c eo nt h ew e bb ya s s o c i a t i n gr e s o u r c e ，p r o p e r t y , a n dv a l u e ；o nt h eo t h e rh a n d ，t h eh i g h e r l a y e r so fs e m a n t i cw e ba r eb u i l to ut h eb a s eo fr e s o u r c ed e s c r i p t i o nf r a m e w o r k t oe n h a n c et h e a b i l i t yo fi n t e l l e c t u a la g e n tt om a k ed e c i s i o n a l la b o v ei si m p r o v i n gt h ei n t e r o p e r a t i o na n d s e a m l e s sd a t ae x c h a n g i n gw i t hu n e x p e c t e ds e c u r i t yv i o l a t i o ni n t r o d u c e d e x i s t i n gs e c u r i t y m e c h a n i s md e s i g n e df o rr e l a t i o n a ld a t am o d e la n de x t e n s i b l em a r k u pl a n g u a g ea tp u r e s y n t a c t i c a ll a y e ri si n s u f f i c i e n tt oc o m p r e h e n s i v e l ys o l v et h es e c u r i t yc h a l l e n g ei nf r o n to f r e s o u r c ed e s c r i p t i o nf r a m e w o r k ，i ti sn e c e s s a r yt os t u d yt h es e c u r i t yi s s u eo fr e s o u r c e d e s c r i p t i o nf r a m e w o r ka c c o r d i n gt oi t sd a t am o d e l sc h a r a c t e r i s t i c a c c o r d i n gt od a t a so r g a n i z a t i o no fr e s o u r c ed e s c r i p t i o nf r a m e w o r k ，t h em a i nr e s e a r c ho f t h i sp a p e rf o c u s e so nt h es e c u r i t yr e q u i r e m e n ta n ds e c u r i t ym e c h a n i s mo ft h i sn e wd a t af o r m a t ， w h i c ha r eb a s e do nt h ei n n e rs e m a n t i c sa n df o r m a li n f e r e n c er u l e s w h i l ew i t ht h es u p p o r to f s e c u r i t ym o d e la p p r o p r i a t ef o r r e s o u r c ed e s c r i p t i o nf r a m e w o r k t h ea u t o m a t i cc o n t r o lo n i m p l i c i ts t a t e m e n t sd e r i v e df r o me x p l i c i t o n e si sa l s og i v e n a f t e rt h a t ，s e c u r i t ym e c h a n i s m m a i n t e n a n c ei sf u r t h e rd i s c u s s e df a c i n gt h ee v o l v e m e n to f r e q u i r e m e n t t h i sw o r ki sa l s oa ni n i t i a l r e s e a r c ho nt h es e m a n t i cw e bs e c u r i t y k e y w o r d s ：r e s o u r c ed e s c r i p t i o nf r a m e w o r k ，s e c u r i t y , s e m a n t i cw e b i v 东南大学学位论文独创性声明 本人声明所呈交的学位论文是我个人在导师指导下进行的研究工作及取得的研究成果。尽我 所知，除了文中特别加以标注和致谢的地方外，论文中不包含其他人已经发表或撰写过的研究成 果，也不包含为获得东南大学或其它教育机构的学位或证书而使用过的材料。与我一同工作的同 志对本研究所做的任何贡献均已在论文中作了明确的说明并表示了谢意。 研究生签名：丛磕日期：翌z 丝z ! 鲤 东南大学学位论文使用授权声明 东南大学、中国科学技术信息研究所、国家图书馆有权保留本人所送交学位论文的复印件和 电子文档，可以采用影印、缩印或其他复制手段保存论文。本人电子文档的内容和纸质论文的内 容相一致。除在保密期内的保密论文外，允许论文被查阅和借阅，可以公布( 包括刊登) 论文的 全部或部分内容。论文的公布( 包括刊登) 授权东南大学研究生院办理。 研究生签名：缢丝导师签名： 日期：翌趁兰么豳 第一章引言 第一章引言 1 1 选题依据 随着计算机和网络的逐渐普及，w e b 已不再局限于表达信息，而开始作为新型数据库， 日益成为人们获取信息的重要来源。随着w e b 上信息的爆炸性增长，w e b 正向以资源描述框 架r d f 为基础的w e b 2 0 和语义w e b 的方向发展，信息的表示与处理方式都在发生极大的变 迁。信息安全性是w e b 最重要的基本机制之一，但现在常用的信息安全性技术不能利用文档 中的语义知识，难以表达更复杂的保护对象。并且，现有安全性技术的表达能力与维护机制 不能满足用户的要求，容易在遗漏一些重要的保护对象的同时却变得臃肿繁琐。因此需要基 于新的数据格式的安全性技术l lj 。 作为现有w e b 的扩展，新一代的语义w e b 对w e b 上的信息赋予机器可理解的语义。实 现基于语义的自动处理。r d f 是语义w e b 中的关键技术，作为万维网联盟w 3 c 规定用来定 义数据语义的标准数据格式，它通过将资源与特性一值对相关联来实现对w e b 上资源的描述， 其语义能力使得人们能够从知识库出发进行演绎，提高了w e b 上的软件主体决策的能力。在 r d f 的基础上，语义w e b 的其它更高层次得以进一步提供逻辑与推理能力。 从早期的文件系统、操作系统到数据库，从基于名的文件粒度到基于内容的细粒度的保 护对象，信息安全性的研究在关系数据的安全性与基于可扩展标记语言x m l 的w e b 安全性 等方面得到了开展。近年来，x m l 作为w e b 上数据编码和文档传播的标准，其安全性与隐 私性吸引了包括i b m 和普渡大学等计算机安全业界领袖在内的广泛重视。但基于x m l 的安 全性停留在纯粹的语法层面，尚少涉及语义。 传统的信息安全性需求可以分为二类：限制用户对于数据集合中部分信息的获取。以及 限制用户对数据进行的推理。由于r d f 数据在语义w e b 以及其他许多潜在应用领域的关键 性角色，其业务逻辑正在逐步产生各自基于r d f 的安全性的需求。这种需求尤其提出了对于 r d f 数据的形式化推理的限制。 由于数据模型差异过大，关系数据库与x m l 文件这两种目前支持实际应用的r d f 文档 的持久性存储( p e r s i s t e n ts t o r e ) 方式虽然各自有其相应的安全性机制，却无法为r d f 数据提供 恰当的保护。另一方面，r d f 数据的形式化推理不同于关系数据与基于树状模型的x m l 的 推理，不加控制会导致经常性的隐私泄漏，所以必须在安全性机制中直面这个问题，而不再 是像关系数据库安全性与基于x m l 的安全性研究那样将推理作为一个附属的研究对象。 1 2 研究现状 上世纪9 0 年代以来，基于x m l 的网上数据交换得到了广泛应用，有力地推动着w e b 服务的持续增长。在简单对象访问协议s o a p 口j 这种x m l 消息发送方式下，进程正以前所未 有的便利互相通信；x m l 格式的统一描述、发现和集成u d d i p l 扮演着w e b 服务供应商和用 户的整合准标准的角色：w e b 服务是以基于x m l 句法的w e b 服务描述语言w s d l t 4 描述的。 在h t m l 时代，w e b 无法具有这样的灵活性和能力 由于x m l 的成功，基于x m l 的安全性研究正在成为一个成长性的领域开放的网络环 东南大学硕士学位论文 境向计算机安全界提出了以数据访问非居问$ e ( d i s i n t e r m e d i a t i o n ) h 】为代表的挑战。直接用 x m l 文档直接传递与提交信息是危险的，不同团体间建立信任的传统方法在网络上已经不合 适。在这样的情况下。基于非对称密码技术的信任机制是一种可能的方法，然而实际上当前 部署和管理密钥的便利程度和安全性远不如各公钥基础设施p k i 哺1 供应商所描绘的那样出 色。虽然以整个x m l 文档为单位进行保护已经相对简单，但业界越来越期待的是在更细粒 度上为局部信息提供保护，以便灵活地满足不同的需要。 迄今为止各界开展了许多基于x m l 的安全性研究工作，包括w 3 c 的x m l 加密“1 标准 与x m l 签名【8 】标准，结构化信息标准促进组织o a s i s 的x a c m l 【9 】等。这些研究工作尚未充 分利用x m l 的树状结构模型的数据组织形式，不能方便地实现对于x m l 文档的局部保护。 当前进一步的x m l 安全性研究致力于充分利用x m l 数据发达的嵌套结构和半结构特性，借 助x p a t h t ”1 这一w 3 c 推荐的用来标识x m l 文档内部对象的方法，从路径入手来对x m l 文 档内部各层次对象及其组合进行定位，以便支持灵活而较通用的细粒度的安全性机制。“。 随着语义w e b 构想的进展，w e b 面对的安全性需求将会越来越复杂，其安全性研究需要 突破较少涉及语义与推理的x m l 这一研究对象。r e d d i v a r ip 等研究r d f 数据可能的运用， 构想基于策略语言的控制【”】但工作不基于对r d f 数据模型的深入考察，未按照现代信息 安全的基本要素来研究符合r d f 数据组织特点的安全性授权，未能对语义w e b 的不良推理 加以控制，因而不能满足需要。本文从分析数据模型入手，提出基于r d f 语义的安全性机制 以应对安全性需求；并对安全性机制探讨维护方法。 国内在w e b 安全性的理论和应用方面也开展了研究。如中科院软件所李斓等关于x m l 文档的保护【1 4 l ，探讨了不同的安全模型对于x m l 文档的安全性的意义；以及复旦大学谈子 敬等对x m l 上函数依赖这类非形式化推理 l 列的总结。x uj 等在强制访问控制背景下，研究 了r d f 安全机制的安全性授权与形式化推理的处理以及授权冲突的处理【l ”，本文是在此基 础上的进一步工作。总而言之，w e b 安全性研究还有待在x m l 和r d f 两个方面进一步开展。 1 3 主要研究内容 在考察基于x m l 和关系数据库的安全性方面的研究成果与发展动态的基础上，本文根 据r d f 数据模型的数据组织形式以及推理规则。研究r d f 数据对于安全性的需求和相应的 安全性机制；并在此基础上，进一步研讨了面向r d f 数据与安全性需求变化的安全性机制的 维护方法。具体而言，主要在以下几个方面展开探索 ( 1 ) 资源描述框架的安全性需求 r d f 安全性研究与数据库及w e b 有着密切的联系。一方面，在操作系统和关系数据库的 安全性研究趋向成熟的过程中，安全模型应运而生，标志着关于安全性事务认识的全面与深 入，对于r d f 而言，这些关于访问权限的理论各有利弊；另一方面，数据库与x m l 、r d f 安全性研究的核心与操作系统不同，在于安全性授权这一基本机制的设计。此外，与x m l 以及传统关系数据库相比，除了非形式化的推理，r d f 数据特有形式化推理能力，往往蕴涵 着额外的语句。这些数据不便用基本机制直接加以控制，需要对安全性机制加以扩展与补充。 ( 2 ) 资源描述框架的基本安全性机制 探索符合r d f 数据模型内在规律的基本安全性机制，设计基于强制访问控制安全模型的 关于r d f 数据的保护对象选取与安全性授权，便利安全性策略的部署 2 第一苹引言 ( 3 ) 资源描述框架安全性机制的拓展 分析r d f 以及r d fs c h e m a ( 合称r d f ( s ) ) 的推理规则【1 7 1 ，根据导致隐性语句的推理 前件的安全性授权，自动确定适当的安全性级别，完整地保护r d f 数据。 “) 资源描述框架安全性机制的维护 随着时间的推移，r d f 的安全性需求与数据本身都可能发生变化。需要研究安全性机制 的维护。区别r d f ( s ) 推理各个规则在安全性方面的意义，进一步促进维护。 ( 5 ) 资源描述框架安全性的补充机制 除了形式化推理，非形式化的传统数据推理依旧存在。本文探讨其控制。 1 4 论文主要成果 本文是关于r d f 这一新型数据格式的安全性问题的研究，成果主要表现在以下方面： 总结r d f 对于安全性的需求。 分析r d f 安全性机制的特点，探讨不同安全模型对于r d f 安全性机制的适用性。 研究r d f 安全性的基本机制。在强制访问控制这一适应r d f 数据的安全模型下设 计r d f 安全性授权，方便对于安全性需求的表达。 研究r d f 数据的形式化推理带来的不良推理，得出相应的安全性扩展机制。 结合r d f 数据的形式化推理及授权冲突问题，研究得出安全性机制的维护方式。 研究r d f 非形式化推理，提出基本的控制途径作为r d f 安全性机制的补充。 1 5 论文结构 论文的第一章综述全文，介绍了基于r d f 的安全性研究的选题依据、相关研究的现状和 本文工作，指出r d f 安全性研究的必要性，明确本文目标是关于新型数据格式的安全性研究 第二章介绍相关概念。第三章得出r d f 对于安全性的需求。第四章和第五章探讨符合r d f 需要的安全性授权；在此基础上，研究r d f 安全性研究特有的本质一一导出数据授权问豚， 以及新背景下的授权冲突与安全性机制的维护。最后讨论r d f 非形式化推理的控制。 论文各章节摘要如下： 第一章是引言。从选题背景开始，简述r d f 安全性研究提出的背景和意义，国内外研究 现状，提出研究对象、思路和论文的主要内容，概要举出论文的研究成果，阐述论文结构 第二章介绍语义w e b 、r d f 的语义与推理。以及安全性等相关概念 第三章在语义w e b 安全性问题的背景下，探讨r d f 的安全性需求，提出本文的任务。 第四章探讨安全性的基本机制。研究r d f 数据安全性授权的理念及其方法。 第五章研究r d f 形式化推出数据的授权机制、推理安全性问题及安全性机制的维护。 第六章对论文进行总结，探讨潜在问题，展望今后研究。综述本文在r d f 安全性问题上 所作的工作及取得的成果，指出现有工作的局限性和需要改进的方面。 3 东南大学硕士学位论文 第二章相关概念 本章主要介绍语义w e b 和资源描述框架，综述信息安全性的相关概念、方法及其发展， 并简述安全性的授权问题以及推理安全问题。 2 1 语义w e b w w w 的全球化和快速发展使得w e b 上的数据和信息日益丰富，成为人类生产生活中重 要的信息来源。w e b 信息的有效访问、处理和共享有着重大的社会价值。但目前w e b 上的信 息检索能力无法跟上w e b 信息的爆炸式增长，制约了对w e b 数据的有效利用。网络上的大 部分内容是设计给人阅读的，不是让计算杌按其意义进行操作的。同时网络上的数据通常分 布在不同站点上，表达方式不一，没有一个全局的表示，不利于进行集成和处理。随着网络 信息内容的急剧增长，用人工来处理其中的大量信息越来越不可能，而机器又很难正确处理 这些供人阅读的信息：计算机无法理解用户给出的关键词的含义，也无法理解w e b 文档的含 义，更不知道两者之间的语义联系。因此，提高w e b 信息检索的质量是当前迫切要解决的问 题。目前主要有两种不同的解决思想：一是在现有w e b 的基础上开发新的高效检索技术；二 是改变现有w e b 的形式，为w e b 信息附加计算机可理解的内容，称为w e b 信息的语义，便 于计算机更好地处理。而后者较更易实现。 基于为w e b 信息附加计算机可理解语义的思想，w w w 的发明者b e r n e r s l e et 提出了 作为下一代w w w 雏形的语义w e b ，是一个功能逐层增强的7 层体系结构( 图2 1 ) 。语义 w e b 扩展了当前w w w 的功能，提供了形式化的知识和数据表示，使得网络中尽可能多的信 息都具有计算机可理解处理的语义，从而极大便利人和计算机之间的交互与合作。在w 3 c 进行改进、扩展和标准化语义w e b 的工作以外，很多不同学科和行业的研究机构和企业也都 参与到语义w e b 及其相关技术和标准的研究、开发和制定中来。 语义w e b 的最底层是使得不同地区和平台的程序可以交换和定位网络信息的两种标准： u n i e o d e 和u r i ，分别处理信息的编码和标识信息的位置。不同的地区和国家使用不同的语言 文字，不同的系统也常常采用不同的编码标准，在交换数据时需要进行翻译和转换。u n i e o d c 是一个字符编码系统标准，支持世界上所有主要语言文本的混合。不同地区和国家都可以使 用u n i c o d e 来对字符编码，而不会产生冲突。统一资源标识( u n i v e r s a lr e s o u r c ei d e n t i f i e r , u r i ) 是一个表示网络资源的字符串，它能够确保自身表示的资源与人人都能在网络上找到的一个 唯一定义相联系。任何人只要通过在网络上定义一个u r i ，就定义了一个唯一的资源。 x m l 、r d f 和本体( o n t o l o g y ) 这三层是语义w e b 的核心，语义w e b 中信息的语义由 这三层负责表达。x m l 让每个人都能创建自己的标签来对网页进行注释，也就是允许用户在 文档中加入任意的结构，但无须说明这些结构的含义，这些含义由r d f 来表达。本体用于知 识表达、知识共享和重用。 x m l 是一个易用的网络数据的语法，对计算机可理解和处理的一切数据编码，用x m l s c h e m a 来指示数据结构，是语义w e b 的一种基础语言。它可以在不同地区和不同系统之闻 进行信息交流，是语义w e b 上数据和文档交换的标准机制。 4 第二章相关概念 r d f 则是描述w e b 资源的数据模型， r d fs c h e m a 更扩展了这个功能，提供了 lt l i , 1l 信任 定义r d f 模型的方法。r d f 模型把w e b 数据 j 验证 资源看作实体，描述实体和实体间的二元 数据 逻辑 擎 关系，以及实体自身的属性，在一定程度 签 上为资源提供语义信息。该模型由统一的 自描述一 本体词汇名 文档 r o f + r d f 模式 ( 资源，特性，属性值) 三元组形式构成， 提供了一种在网络上对元数据进行编码、 ) 札+ 名空问+ x 模式 交换和重用的基本结构。r d f 模型支持对 u n i c o d ei慷l 网络信自派和腽落叫碍翘能廊田的鱼靠翔 统一的访问，并用标准的机制去交换数据 图2 - 1语义w e b 体系结构 和处理不同的数据语义。它通常用于表示 其他网络资源如x m l 文件的元数据，作为网络数据交换的通用框架，来描述各种w e b 信息 资源及它们之间关系。 r d f 和r d fs c h e m a 有一定的语义表达能力，但对表达w e b 知识来说，这些能力是不够 的。本体在此基础上为语义w e b 提供了更强的表达能力，可以描述更为丰富的语义信息。 图2 一l 中的第5 7 层在下面四层提供的语义和规则的基础上进行逻辑推理、证明和信任 等操作，从而完成智能化的网络服务和应用。逻辑层利用语义w e b 上分布的断言导出新知识， 包括对信息语义的逻辑推理规则。证明层用一种普遍性的语言来表达逻辑推理过程和交换证 明。通过复杂逻辑和交换证明建立信任关系；利用数字签名等技术，使一个团体在一定范围 内可信任。 总之，语义w e b 是一种新兴的网络形式，是未来网络发展的方向之一。它将极大地改善 蹰络的功能，使网络更易于访问、更便于管理。但同时将面嵇着更复杂的安全性问题。 2 2 资源描述框架的语义与推理 语义w e b 的核心是揭示与表达语义，而语义又隐藏于一定的网络资源之中，因此语义 w e b 需要解决资源描述与语义揭示两大问题。x m l 作为w e b 上数据表示的标准，具有清晰 的结构以及强大、灵活的标签定义和数据描述机制，但与语义w e b 的要求相比还存在着明显 的不足“8 】：在揭示语义方面，由于数据语义隐藏于其结构与标签之中，需要通过标签之间的 并列和嵌套来隐含地表达语义。如一段简单的有关公司及其官方网站的x g l 数据： i n t e l w w w , i n t e l c o r n 公司 为了理解这段数据的语义，机器需要：通过标签对 来“理解”文本“i n t e l ”的 含义为“名称”。通过标签 和 之间的嵌套来“理解”文本“i n t e l ”和“公司” 之间的关系。但文本“i n t e l ”和“w w w i n t e l c o m ”之间的关系却无法通过上述文档片段加以 获得。此外，不同的x m l 文档片段也可以表达同一个事实。因此x m l 这种由标签及层次嵌 套所表达出来的语义不确定而隐晦，从语义揭示的角度讲，x m l 只描述数据的语法而不能确 5 东南大学硕士学位论文 定地表达数据的语义，机器进行处理时容易产生歧义，很难达成共识。 因此。元数据语言r d f 被提出来描述资源：为语义w e b 提供一种更为简单有效的资源 描述的框架和一种在网络上对元数据进行编码、交换和重用的基本结构，以通用地描述不特 定领域的资源。为了方便定义元数据，r d fs c h e m a 在r d f 上建立了一个便于共享和扩展的 类型系统。在r d f ( s ) 中，数据有了明确的语义，可以被机器自动处理：其形式化的语义和可 证明的推论，为r d f 数据含义的推理提供可靠的逻辑基础，机器可以据此理解它所表达的语 义信息；具有好的开放性，适用于w e b 环境。这一切引起了r d f 的形式化推理。r d f 语义 给出了一系列原语：r d f s ：r e s o u r c e ，r d f ：t y p e ，r d f i p r o p e r t y r d f s ：c l a s s ，r d f s ：l i t e r a l ， r d f s ：s u b c l a s s o f , r d f s ：s u b p r o p e r t y o f , r d f s ：d o m a i n 和r d f s ：r a n g e 。在此基础上，r d f 语义通过一 系列推理规则( 表2 1 ) 提供了严格定义的蕴涵概念，为定义可靠的推理规则奠定基础。有 形式化的推理规则是r d f 数据模型与关系数据模型、x m l 数据模型的重大区别：由于这些 规则，r d f 语句的集合可能蕴含着其他一些并不在原来的r d f 语句集合中存在，但可以由 其推理得出的新的语句。r d f 的模型论语义定义了这样一个基于r d f 语句集合的可能世界： 当r d f 语句集合为真的时候，其所蕴含的语句也为真。当没有更多的语句可以通过运用 r d f ( s ) 推理规则而被推得的时候，r d f 数据集被称作r d f ( s ) 闭包。 表2 1r d f ( s ) 推理规则 规则名规则 r d f l ( u u ua a ay y y ) ( a a ar d f t y p er d f p r o p e r t y ) r d t 2 ( u u ua f l al i d - ) c ：l l n nr d f ：t y p er d f x m l l i t e r a l ) 其中l l l 是x m l 文字，一：n n n 标识配给1 1 1 的空节点 r d f s l ( u u ua a ai i i ) - ( ：n n nr d f t y p er d f s ：l i t e r a l ) 其中1 l l 是平凡文字，一：n n n 标识配给1 1 l 的空节点 r d f s 2 ( a a ar d f s ：d o m a i nx x x ) a ( u u ua a ay y y ) - - ( u u ur d f t y p ex x x ) r d f s 3 ( a a ar d f s ：r a n g ex x x ) a ( u u ua a av v v ) ( v wr d f t y p ex x x ) r d f s 4 a ( u u ua a ax x x ) - - ) ( u u ur d f t y p er d f s ：r e s o u r e e ) r d f s 4 b ( u u ua a av v v ) - ) ( v v vr d f t y p er d f s ：r e s o u r e e ) r d f s 5 ( u u ur d f s ：s u b p r o p e r t y o f v v v ) a ( v v vr d f s ：s u b p r o p e r t y o f x x x ) 专( u u ur d f i ：a u b p r o p e r t y o f x x x ) r d f s 6 ( u u ur d f t y p er d f p r o p e r t y ) - ) ( u u ur d f s ：s u b p r o p e r t y o f u u u ) r d f s 7 ( a a ar d f s ：s u b p r o p e r t y o f b b b ) a ( u u ua a ay y y ) - - ) ( u u ub b by y y ) r d f s 8 ( u u ur d f t y p er d f s ：c l a s s ) - ) ( u u ur d f s ：s u b c l a s s o f r d f s ：r e s o u r e e ) r d f s 9 ( u u ur d f s ：s u b c l a s s o f x x x ) a ( v v vr d f t y p eu u u ) ( w vr d f t y p ex n ) r d f s l o ( u u ur d f t y p er d f s ：c l a s s ) - - ) “u ur d f s ：s u b c l a s s o f u u u ) r d f s l l ( u b ur d f j ：s u b c l a s s o f v v v ) a ( v v v r d f s ：s u b c l a s s o f x x x ) - u u ur d f i ：s u b c l a s s o f x x x ) r d f s l 2 ( u u ut a l l t y p er d f s ：c o n t a i n e r m e m b e r s h i p p r o p e r t y ) - - ( u u ur d f s ：s u b p r o p e r t y o f r d f s ：m e m b e r ) r d f s l 3 ( u u t lr d f t y p er d f s ：d a t a t y p e ) ( u u ur d f s ：s u b c l a s s o f r d f s ：l i t e r a l ) 2 3 安全性的基本概念 反映着各类机构组织核心能力的数据作为重大资产，对于安全性有三大需求：( 1 ) 机密性， 保护数据免予未被授权的观察；( 2 ) 完整性，防止未被授权与不恰当的数据修改；( 3 ) 可用性， 防止合法用户无法正常使用数据。全面的数据保护措施的基础在于按照用户的访问权限对数 6 苎三兰塑叁堡垒 据进行逻辑上的分割，即当用户作为访问主体试图访问数据对象的时候，安全性机制依据规 定的授权检查用户的权限，确定主体能够访问与否、如何访闯，以及是否有权传播其权限等 一系列权利，从而阻止未经允许的用户有意或无意地获取不被授权的信息。 在安全性的基本概念中，首先是安全策略。一般地，安全策略是正式、全面而清晰地表 达着用户对安全性的需求的规则，其本质是为高层权威认可的、对整个机构组织内部的权限 架构的阐述。为了支持安全策略，需要有合适的安全模型来反映机构组织关于权限的理念。 作为信息安全性的核心，安全模型的发展代表着安全性技术发展的各个阶段。 自主访问控制d a c 伴随着u n i x 的提出而诞生，它允许访问主体将其访问权限传播给其 他主体的d a c ，是面向用户具体需要的权限管理极其分散的模型，可以让主体在没有安全管 理员介入的情况下自由设定其他用户访问其所控制信息资源的能力。这种相对放任的做法在 需要动态控制数据的民用颁域应用广泛。例如操作系统的一般文件管理，以及角色扮演游戏 r p g 中“宝物”的使用。但是d a c 没有对已经具有权限的用户如何使用和传播信息施加限制， 某用户一旦被授权，就对于这种权限的使用及其传播拥有完全的能力，可以做到把访问权限 转发给其他原本没有这一权限的人，因此入侵者有很多方法来非法获得访问资源的能力，难 以完全确保信息安全性，极不适合安全性要求高的应用。例如电信的业务受理系统，就不能 采用d a c 模型，以避免营业员是其受理的业务对象的拥有者这样的情形发生。正确的做法 是作为业务所有者只有录入和提交前修改的权利，受理提交以后就只有查看的权利。 强制访闯控制m a c 最初作为美国军用标准，克服了d a c 的权限管理过于松散，难以实 现严格的安全性需求的缺陷。在m a c 的策略中，较高安全等级数据传播到较低安全等级受 到限制。美国国防部信息系统安全保护等级划分准则t c s e c t ”】定义强制访问控制如下：“一 种限制访问客体的手段，它以包含在这些客体中的信息敏感性和访问这些敏感性信息的主体 的正式授权信息( 如清除) 为基础”。m a c 作为一种不允许主体干涉的模型，根据信息敏感 性和用户权限将所有主体和客体分成多个安全等级来丰富对安全性需求的表达，通过比较资 源敏感性与主体权限这两者的级别来确定是否允许访问，从而平衡数据机密性与可用性。通 常有最高秘密级t s 、秘密级s 、机密级c 和无级别级u ，级别顺序为t s s c u 。每个安全 级别可以支配同一级别或低一级别的对象，当一个访问主体访问一个客体时必须符合各自的 级别需求：不能向上读，主体安全级别必须高于被读取对象的级别，不能读密级比自己高的 客体；不能向下写，主体安全级别必须低于被写入对象的级别，不能写密级比自己低的客体。 这种安全策略使得信息只能在同一层次传送或流向更高级别，可以防止高级别对象的信息传 播到低级别的对象中。 基于m a c 的安全性机制虽然可以支持严格的安全性需求，却和d a c 一样都难以满足那 些并不保密却较敏感的处理需求。这种环境下对于安全性对象的保护通常是为了支持来自于 现有的法律、道德准则、规章制度或者约定俗成的惯例的高端组织策略，其所需要的控制个 体行为的能力超越了个体依据那些基于信息敏感程度的等级访问信息的能力。举例而言，一 个机构内部有许多业务部分，某系统下的用户级别再高，也不应该由于级别高就自由访问其 他部门的数据。1 9 9 6 年提出的基于角色的访问控制r b a c 通过对合法的访问者进行角色认证 来确定访问者在系统中对哪类信息有什么样的访闯权限，只闯用户是什么角色，丽不管用户 是谁。其实指的是一类模型，其特点是：抽象出角色的概念，将主体和权限都指派到角色。 从而将m 乘n 条关系变成m 加n 条关系，降低安全管理上的负担。角色可以理解成为其工 作涉及相同行为和责任范围内的一组人，一个访问者可以扮演多个角色，一个角色也可以包 ， 东南大学硕士学位论文 含多个访问者。 2 。4 安全性授权 一般地，安全性授权是在某种安全模型关于权限的理念下对用户与数据之间的权限关系 的阐述。一方面，安全模型关于权限的理念表现为d a c 下允许访问数据还是拒绝，m a c 下 用户( 主体) 和数据( 客体) 双方的安全性等级。以及r b a c 下角色的权限及其对用户集合 的抽象：另一方面，从关系数据库开始，包括x m l 的安全性机制研究关注安全性授权的设 计，尽可能根据各个数据模型所特有的术语表达保护对象，从而系统、简洁并且完备地表述 安全性需求。这正是与文件系统及操作系统区别开来，数据安全性走向成熟的标志。 安全性授权妥善与否，既与安全模型的选择有关，更取决于保护对象的表达是否自然地 反映了数据模型中的数据组织形式的关键性层次。在关系数据库中，保护对象的基本粒度是 表、记录与属性。其中表类似于操作系统中文件粒度，最为宏观；属性则以表中的列为单位， 适合属性的个数少于记录的条数的情况；记录则适合需要保护的记录数比较少时。 x m l 的安全性机制是其更复杂的数据模型的反映，致力于充分利用x m l 半结构化数据 模型的层次树状模型，在各个层次的数据对象集合上授权，从而纲举目张地对从元素、子元 素层次和属性层次一直到整个文档的多粒度保护对象施以保护。一般地，针对x m l 文档树 状结构中较深层次的授权在权限冲突时优先，从而让更具体而有针对性的安全策略有效地覆 盖针对上层数据结构的较抽象的策略，实现符合人类认知规律的安全性部署。 2 5 推理安全性问题 一般地，如果安全策略制定完 备，m a c 能够保护较高安全性级 别的数据免于未被授权的直接访 问，却并不一定能够防止间接访问。 由闻接访问导致的安全性问题叫做 推理安全性问题。当用户可以从相 对不敏感( 低安全性级别) 的数据 与元数据出发推理出敏感数据，就 认为推理通道导致了间接数据暴露 ( 图2 2 ) 。通常。这种推理可以是 借助于无法穷尽的元数据的综合的 图2 2 基于推理通道的不良间接访问 思考，也就是没有一定之规的非形式化思考。 操作系统中用户不能通过读一个文件来推理其他文件的内容；但是关系数据库中的记录、 域和元素，x m l 数据中的元素和属性是相互联系的，可能通过读其它对象而推知他者，从已 获得数据推断而得更多的信息。信息安全中推理的发生比较复杂，主要有以下几类： ( 1 ) 利用多次访问所得结果闻的逻辑联系进行推理。一般先向对数据进行多个不同的合 法访问，然后利用返回的访问结果，在综合分析之后推断出较高安全性级别的数据信息。 ( 2 ) 利用不同级别数据间的函数依赖进行推理。依赖关系通常意昧着潜在的推理通道， 如与会人员的级别与与会机构的级别正相关等。 8 第二章相关概念 ( 3 ) 利用数据完整性约束进行推理。如数据库的实体完整性要求每一个元组必须有一个 唯一的键。当一个安全级别较低的用户想要在一个关系里插入一个记录时，如果这个关系中 已经存在一个具有相同键值的高安全级别组，为了维护实体的完整性，系统会采取相应的限 制措施，低级用户由此可以推出高级数据的存在，这就产生了一条推理通道。 ( 4 ) 利用分级约束进行推理。分级约束是一个描述数据分级标准的规则。如果这些分级 标准被用户获知的话，用户有可能从这些约束自身推导出敏感数据。 在安全性与可用性这一矛盾面前，从数据的安全性出发考虑的话，只可以透露一些不具 敏感性的数据，但是因此会拒绝了许多合理的并非泄漏隐患的访问。例如。研究人员打算访 问所有癌症病人年龄的数据，或统计员请求调阅分职位编排的薪水列表。这类访问并不会泄 露任何个人的身份；而从用户作为访问主体的角度考虑，则希望尽可能地开放数据以满足用 户的使用。一般地，安全与精确度的理想结合要求维护完善的机密制度和最大的可用性和精 确度，即揭示尽量多的数据，但只有非敏感数据。 一个机构组织实际拥有的数据的敏感 程度是有许多层次( 图2 3 ) ：最内圈的核 心数据必须严格保守：最外圈的数据可以 直接访问；在非此即彼的两者之间，还有 不太在意间接推理来访问与决不允许间接 推理的两个层次。但是这种尽可能兼顾机 密性与可用性的平衡，实际上非常困难。 对于基于x m l 的w e b 文档而言，推 理安全性问题的研究主要表现为数据关联 控制【2 。】，其任务是保护敏感的关联，而这 种敏感的关联植根于x m l 的树状模型的 嵌套层次所暗示的语义。由于x m l 的树 状层次结构，这种关联特别地表现为x m l 树中的某种模式。逐渐深入的x m l 关联 控制研究，有助于在未来满足更多的安全 图2 3 数据的安全性与精确度 性需求。比如，以x m l 格式保存的医疗信息，有必要在让某些用户了解所有病患者的姓名 与所有病患者的诊疗信息的同时，防止它们确定特定病患者的诊疗信息，从而保障病患者的 隐私。而这一切，需要合理地控制姓名与诊疗信息之间的关联。 数据安全的推理及其控制是一个公认的难题。外部与领域知识是非形式化推理安全问题 的首要原因。这些推理发生的根源在于领域知识这样的元数据，而基于元数据的推理所得及