一種基于本體的權(quán)限管理模型

一種基于本體的權(quán)限管理模型李棟棟基金項目：國家863高技術(shù)研究發(fā)展計劃資助項目（編號863-306-ZD02-01-3）基金項目：國家863高技術(shù)研究發(fā)展計劃資助項目（編號863-306-ZD02-01-3）作者簡介：李棟棟，女，1972年生，博士研究生，主要研究方向為信息安全技術(shù)、企業(yè)建模、業(yè)務(wù)集成等。白碩，男，1956年生，研究員，博士生導(dǎo)師，主要研究方向為自然語言處理、信息安全等。1（中國科學(xué)院計算技術(shù)研究所軟件室,北京100080）2（中國科學(xué)院研究生院，北京100039）3（上海證券交易所，上海200120）E-mail:lidongdong@摘要：權(quán)限管理是系統(tǒng)應(yīng)用層安全的核心問題之一，通過權(quán)限的設(shè)置和維護，來阻止對計算機系統(tǒng)和資源的非授權(quán)訪問?，F(xiàn)代應(yīng)用環(huán)境下，權(quán)限管理面臨著信息資源類型多、訪問控制粒度細、多策略共存、跨應(yīng)用的安全策略和應(yīng)用專用的安全策略等一系列問題。目前，許多應(yīng)用開發(fā)者都采用在應(yīng)用系統(tǒng)中嵌入訪問控制的方法來解決上述問題。本文提出了一種新型的廣義權(quán)限管理模型，該模型通過引入本體來對企業(yè)業(yè)務(wù)層面上與操作相關(guān)的信息進行概念建模，實現(xiàn)了一個對具有業(yè)務(wù)內(nèi)涵的、范圍相當(dāng)廣泛的一類廣義操作進行權(quán)限定義和管理的合適的表達框架和管理機制，并建立了相應(yīng)的形式化模型。本體的使用將傳統(tǒng)的訪問控制對象擴展為帶參數(shù)的、參數(shù)論域通過領(lǐng)域本體呈現(xiàn)出結(jié)構(gòu)性關(guān)聯(lián)的、并且具有業(yè)務(wù)語義的服務(wù)，這樣，擴大了訪問控制的對象范圍，豐富了相應(yīng)的訪問控制機制。關(guān)鍵詞：權(quán)限管理模型，授權(quán)，訪問控制，本體，參考監(jiān)控器背景及相關(guān)工作權(quán)限管理是系統(tǒng)應(yīng)用層安全的核心問題之一，它通過對主體訪問權(quán)限的設(shè)置和維護，來阻止對計算機系統(tǒng)和資源的非授權(quán)訪問，確保只有適當(dāng)?shù)娜藛T才能獲得適當(dāng)?shù)姆?wù)和數(shù)據(jù)?，F(xiàn)代企業(yè)集成環(huán)境中存在大量分布的、異構(gòu)的應(yīng)用系統(tǒng)，這些應(yīng)用所基于的設(shè)計和技術(shù)都可能不同，其內(nèi)部信息資源類型多、粒度細，對資源的操作往往具有業(yè)務(wù)內(nèi)涵且操作的范圍相當(dāng)廣泛【1】。因此，如何解決對企業(yè)應(yīng)用內(nèi)部帶有語義信息操作的訪問控制以及跨應(yīng)用安全策略的設(shè)置，已經(jīng)成為一個越來越復(fù)雜和困難的挑戰(zhàn)，成為每個企業(yè)都必須關(guān)注的問題。目前企業(yè)應(yīng)用的權(quán)限管理大都采用了傳統(tǒng)的參考監(jiān)控器這樣的訪問控制機制（見圖1）【2】。一個參考監(jiān)控器是安全系統(tǒng)的一部分，負責(zé)調(diào)解主體對系統(tǒng)資源（即客體）的訪問，通過檢測授權(quán)庫中的授權(quán)規(guī)則來進行訪問請求判斷，然后進行執(zhí)行。傳統(tǒng)上，通過“主體動作客體”結(jié)構(gòu)，授權(quán)規(guī)則設(shè)置了什么主體可以對什么客體執(zhí)行什么操作。所有的授權(quán)規(guī)則都可以用訪問矩陣來表示【3】，行表示主體，列表示客體，每個元素表示主體對相應(yīng)客體的訪問權(quán)限。為了進行授權(quán)決策，一個參考監(jiān)控器將授權(quán)規(guī)則和三組信息，即訪問請求信息、提出訪問請求的主體、被訪問的客體信息，作為輸入【4】。在傳統(tǒng)的權(quán)限管理模型中，訪問請求信息通常就是操作請求類型，例如“讀”操作類型。在MAC、DAC【5】【6】中，操作通常為簡單的讀、寫、執(zhí)行、追加等，RBAC【7】將操作請求擴展到在應(yīng)用級上的一些操作，如審批、申請等。主體的信息分為兩類：安全相關(guān)信息和安全不相關(guān)。安全相關(guān)的信息由安全管理員或用戶管理員來控制，描述了主體的身份、組成員、允許的權(quán)限等安全屬性。在傳統(tǒng)的權(quán)限管理模型中，主體中只有安全相關(guān)的信息才能用于訪問控制決策。同樣，被訪問客體的信息也被分為安全相關(guān)信息的和安全不相關(guān)信息。類似于主體，在傳統(tǒng)的權(quán)限管理模型中，客體中只有安全相關(guān)的信息才被用在訪問控制決策中，如客體名稱、安全標(biāo)簽等。參考監(jiān)控器將上面三組信息代入授權(quán)規(guī)則進行計算，計算的最終結(jié)果是對訪問的“允許（allow）”或“禁止（deny）”。從圖1可以看出，在傳統(tǒng)的權(quán)限管理模型中，主體和客體是相互獨立的，它們之間或者互不牽連，或者只通過一些共同的標(biāo)記來進行聯(lián)系（如安全標(biāo)簽）【6】。主體有主體的結(jié)構(gòu)和標(biāo)記，客體有客體的結(jié)構(gòu)和標(biāo)記，中間滿足什么關(guān)系，就放行，否則就攔截。參考監(jiān)控器所使用的主客體的信息是受限的，只有主客體的安全相關(guān)屬性才能用于授權(quán)決策中。但是，現(xiàn)代應(yīng)用環(huán)境下的權(quán)限管理不同于傳統(tǒng)的權(quán)限管理，需要面對若干新問題【8】：在現(xiàn)代應(yīng)用環(huán)境下，主客體營壘不甚分明，一個實體可能既是主體，又是客體。這樣的主客體在傳統(tǒng)的權(quán)限管理模型中無法表示。現(xiàn)代企業(yè)應(yīng)用中，操作不僅僅是對文件和目錄的簡單的讀、寫和執(zhí)行，而是一種廣義的操作，通常都具有業(yè)務(wù)領(lǐng)域的內(nèi)涵。例如對企業(yè)內(nèi)部請假審批操作來說，必須要考慮主體的職位、客體的職位，請假的類型、天數(shù)，權(quán)限規(guī)定可審批的假期的類型、天數(shù)…等等。傳統(tǒng)的權(quán)限管理模型無法對這種帶有語義信息的操作進行控制。現(xiàn)代應(yīng)用的訪問控制有時需要考慮主客體的安全無關(guān)信息。比如，對公共圖書館中某些材料的訪問要根據(jù)訪問用戶的年齡來授予相應(yīng)權(quán)限；另一個例子是從組織的工作流執(zhí)行過程中獲得的信息。這些信息不是由安全管理員或用戶管理員控制的，也不是以主客體安全屬性的形式提供給參考監(jiān)視器的，因此傳統(tǒng)的權(quán)限管理無法實現(xiàn)這種需求?，F(xiàn)代應(yīng)用環(huán)境下，安全策略的表述有可能是跨應(yīng)用的，策略的表達中涉及到一些公用的信息和結(jié)構(gòu)，比如：時間、安全級別、職位等等。傳統(tǒng)的權(quán)限管理模型沒有提供這樣的一種公共結(jié)構(gòu)來表述這些共享信息。此外，現(xiàn)代應(yīng)用環(huán)境下還需要控制多種粒度的操作（包括基于用戶的域名或IP地址、基于訪問控制列表、基于規(guī)則的操作等），這樣，必須需要多種權(quán)限管理層次，以實現(xiàn)各種粒度的權(quán)限控制。傳統(tǒng)的權(quán)限管理模型同樣無法解決這一問題。從上面分析可見，傳統(tǒng)的基于參考監(jiān)控器的主客體獨立的權(quán)限管理模型已經(jīng)不能滿足現(xiàn)代應(yīng)用環(huán)境下權(quán)限管理的需要。為了解決權(quán)限管理所面臨的上述新問題，很有必要提出一種新型的廣義權(quán)限管理模型，用以解決對企業(yè)內(nèi)部帶有語義信息操作的控制以及跨應(yīng)用復(fù)雜安全策略的設(shè)置問題?；诒倔w的權(quán)限管理模型企業(yè)應(yīng)用內(nèi)部帶有語義信息的廣義操作要求現(xiàn)代企業(yè)的權(quán)限管理模型必須具有對這種語義信息的描述功能，同時，還能將這種語義信息用于操作執(zhí)行時的權(quán)限判斷。本體是共享概念模型的明確的形式化規(guī)范說明，它具有良好的概念層次結(jié)構(gòu)和領(lǐng)域知識的共享性以及對邏輯推理的支持【9】【10】，因而我們考慮在權(quán)限管理模型中引入本體的概念，即使用本體這種工具為企業(yè)應(yīng)用領(lǐng)域與操作相關(guān)的信息進行概念建模，借此反映操作的一些語義信息。當(dāng)具體操作實現(xiàn)時，再將操作轉(zhuǎn)化為對技術(shù)層面上帶參數(shù)的服務(wù)的訪問，并利用應(yīng)用領(lǐng)域中的語義信息來進行訪問控制。圖2是基于本體的權(quán)限管理模型。從上圖可以看出，在基于本體的權(quán)限模型中，主體和客體都是本體的一部分，且它們都包含若干屬性和屬性值集合。此外，本體中還包含若干實體關(guān)系及約束。當(dāng)主體對客體發(fā)出的操作請求被截獲后，權(quán)限引擎根據(jù)相關(guān)規(guī)則以及這個操作所涉及的本體要素（包含操作所帶的所有參數(shù)）之間是否滿足策略所指定的約束條件，來決定該操作是被允許還是禁止。2.1 與傳統(tǒng)的權(quán)限管理模型的比較傳統(tǒng)的權(quán)限模型中，主客體間只是單純的訪問關(guān)系，不能表示它們之間的一些非訪問關(guān)系，如報告關(guān)系、撤職關(guān)系等等，即傳統(tǒng)的權(quán)限模型不能表示帶業(yè)務(wù)語義信息的操作；傳統(tǒng)的權(quán)限模型中，安全策略也只是規(guī)定了哪個主體可以訪問哪個客體，訪問粒度粗。為了細化訪問粒度，有些模型增加了類似BLP模型【11】中的安全標(biāo)簽這樣的公共安全屬性，來加強主體對客體訪問的約束，但這種安全屬性并不能涵蓋所有的與策略表達相關(guān)的因素；另外，對于跨應(yīng)用的策略來說，由于各個應(yīng)用中所采用的信息的表示概念和術(shù)語并不相同，傳統(tǒng)的權(quán)限模型很難對跨應(yīng)用的安全策略進行表述?；诒倔w的權(quán)限管理模型則把所有主體和客體都納入本體體系中，主客體結(jié)構(gòu)以及它們之間的關(guān)系都是領(lǐng)域共享的，從而使得利用這種共享結(jié)構(gòu)來統(tǒng)一表述各種復(fù)雜的帶語義信息的操作以及跨應(yīng)用的安全策略就成為可能；在基于本體的權(quán)限管理模型中，由于主體對客體的操作可以附帶各種參數(shù)，且參數(shù)可以引用主客體的所有屬性，因此基于本體的權(quán)限管理模型可以實現(xiàn)主體對客體細粒度的操作控制，即只有當(dāng)操作所帶的參數(shù)滿足策略的約束條件時，才可允許操作的執(zhí)行。2.2基于本體的權(quán)限管理模型的表達力我們所提出的權(quán)限管理模型依然是一種“訪問控制”模型，但已經(jīng)突破了傳統(tǒng)的“訪問控制”的范疇：——從技術(shù)層面看，控制的依然是“訪問”。但是被訪問的資源除了傳統(tǒng)的網(wǎng)址、文件和目錄，還有更細粒度的數(shù)據(jù)單元，以及帶有復(fù)雜參數(shù)的服務(wù)。我們將其統(tǒng)一地看為是對“服務(wù)”的訪問?！獜臉I(yè)務(wù)層面看，控制的是廣義的“操作”，這種操作具有業(yè)務(wù)領(lǐng)域的內(nèi)涵（比如請假）?；蛘哒f，這種廣義的操作賦予對“服務(wù)”的訪問以業(yè)務(wù)語義。業(yè)務(wù)層面上廣義的操作和技術(shù)層面上對服務(wù)的訪問具有一一對應(yīng)的關(guān)系。因此出于表述上的方便，后面我們對二者等同對待。在我們所提出的基于本體的權(quán)限管理模型中，本體模型是建立在業(yè)務(wù)層面上的。因此，在本體模型中的權(quán)限管理，實際上是在業(yè)務(wù)層面上對廣義操作的控制，而不是技術(shù)層面上對服務(wù)的訪問控制。被控制的廣義操作只有借助技術(shù)系統(tǒng)中的服務(wù)來實現(xiàn)的時候，才存在訪問控制的問題，或者說權(quán)限管理（對廣義操作的控制）才被映射為對服務(wù)的訪問控制。因此，這種主客體交融的、細粒度的、帶參數(shù)的、參數(shù)論域呈結(jié)構(gòu)性關(guān)聯(lián)的權(quán)限管理模型在“表達能力”方面的創(chuàng)新點有：（1）在業(yè)務(wù)層面，通過引入本體，得到了一個對具有業(yè)務(wù)內(nèi)涵的、范圍相當(dāng)廣泛的一類廣義操作進行權(quán)限定義和管理的合適表達框架和管理機制，建立了相應(yīng)的形式化模型。（2）在技術(shù)層面，通過把控制對象擴展為帶參數(shù)的、參數(shù)論域通過領(lǐng)域本體呈現(xiàn)出結(jié)構(gòu)性關(guān)聯(lián)（如偏序結(jié)構(gòu)）的、并且具有業(yè)務(wù)語義的服務(wù)，擴大了訪問控制的對象范圍，豐富了相應(yīng)的訪問控制機制。（3）在兩個層面的結(jié)合上，通過建立本體，業(yè)務(wù)層面為技術(shù)層面提供了語義清晰的形式化模型和用戶友好的結(jié)構(gòu)化界面。權(quán)限本體描述框架為了解決企業(yè)內(nèi)部知識共享以及海量信息的組織、管理和維護的問題，許多企業(yè)都開始使用本體這種能在語義和知識層次上描述信息系統(tǒng)的概念模型建模工具，用以描述企業(yè)內(nèi)部的概念以及概念和概念之間的關(guān)系，并通過概念之間的關(guān)系來描述概念的語義。由于現(xiàn)在信息系統(tǒng)建設(shè)的現(xiàn)狀是：先有應(yīng)用，少部分本體尚在建設(shè)或規(guī)劃之中，大部分沒有本體。應(yīng)用在本體層面還遠沒有打通?？紤]到上述情況，我們設(shè)計了一個簡單的本體描述框架，用來為每個企業(yè)建立自己的本體，然后在該本體的基礎(chǔ)上實現(xiàn)企業(yè)的權(quán)限管理。由于我們所關(guān)心的只是企業(yè)內(nèi)部用于權(quán)限推理和決策的共享知識，因此，我們所設(shè)計的本體描述框架，也只考慮了企業(yè)內(nèi)部和權(quán)限及權(quán)限推理有關(guān)的概念和概念間的關(guān)系。這個本體描述框架不能作為描述整個企業(yè)概念模型的工具，它是非常簡單的，它只用于企業(yè)內(nèi)部與權(quán)限有關(guān)的概念建模（如企業(yè)組織結(jié)構(gòu)、資源、操作、約束等）。下面將給出我們所提出的本體描述框架。為了區(qū)別于為整個企業(yè)概念建模的本體，我們稱與企業(yè)權(quán)限管理相關(guān)的概念建模的本體為權(quán)限本體。一般，一個權(quán)限本體被形式化描述為：1）元素：實體、操作、屬性、條件、類、實例；2）關(guān)系：存在于實體間；3）約束：對關(guān)系的約束。權(quán)限本體描述框架如圖3所示。3.1實體 實體的概念很廣泛，可以指領(lǐng)域內(nèi)任何主體或客體，比如：文件、用戶、設(shè)備等等。每個實體都包含若干屬性。定義3.1（實體）：實體可以表示為一個三元組：entity(Name,attributeList,attribValues)。Name指明了實體的名稱；attributeList是實體包含的屬性列表；attribValues是實體的各個屬性所對應(yīng)的具體值。實體包含實體的類和實例。由于實體的類之間存在繼承關(guān)系且實體的實例和實體的類之間存在實例化的關(guān)系，因此整個實體可以按層次結(jié)構(gòu)進行組織，實體間的這種層次關(guān)系可用于權(quán)限的傳播計算。3.2屬性 屬性都是和實體相關(guān)的，用來存儲實體的信息。定義3.2（屬性）：一個屬性是一個二元組：attribute(Name,Type)。Name為屬性名稱；Type定義了屬性所存儲的值的類型。在系統(tǒng)中，屬性類型可以為一些簡單的數(shù)據(jù)類型，如：字符串、整數(shù)、浮點數(shù)和日期等等，也可以為實體這樣復(fù)雜的類型，如：商品中包含供應(yīng)商、庫存等屬性，這些屬性本身就是一個實體。實體屬性可以沿實體間的層次關(guān)系進行傳播，一般，子類包含其父類的全部屬性；實體的實例包含其相應(yīng)類的全部屬性。屬性分為兩種：一種是不可改變的屬性，如：實體的安全級別，其值只能由系統(tǒng)管理員來設(shè)置；另外一種是可以改變的屬性，它所存儲的值可以動態(tài)改變，如：用戶消費的數(shù)額，這個值隨著每次用戶的消費而改變。3.3類和實例類是實體中的抽象節(jié)點，類似于面向?qū)ο笾蓄惖母拍?，例如：用戶、角色、文件、目錄等等；實例是實體中的一些具體節(jié)點，是類實例化后的結(jié)果，類似與面向?qū)ο罄锩鎸ο蟮母拍睿纾耗硞€具體的用戶“Tom”，某個具體的文件“paper.doc”等都是一些實例。類可以從一個已存在的類繼承而來，并繼承了該類的所有屬性，用戶也可以對其屬性進行增加和刪除。實例只能是一個類實例化的結(jié)果，它繼承了該類的所有屬性。3.4操作實體間的操作不僅僅包含傳統(tǒng)的讀、寫、執(zhí)行等簡單的訪問操作，還包括一些非訪問操作（帶語義信息的操作），是對傳統(tǒng)訪問操作的一個擴充。定義3.3（操作）：操作是一個四元組：operation(subject,object,activity,constraints)。subject和object分別表述操作的主客體類型，activity是操作名稱，constraints表示了該操作的約束條件。 操作可以具有層次結(jié)構(gòu)，即一種操作可以包含另一種操作，例如：一般情況下，寫操作包含讀操作（如對某個文件進行寫操作，同樣也就意味著可對其進行讀操作）。操作間的這種層次關(guān)系可以用于權(quán)限管理中，若主體對客體擁有某個權(quán)限，則他對該客體也擁有該權(quán)限所包含的的所有權(quán)限。3.5條件 條件用于限制操作的執(zhí)行，約束條件定義如下：定義3.4（條件）：條件是一個二元組Condition(predicateName,predicateValue)，predicateName表示了條件中使用的謂詞名稱；predicateValue表示謂詞的參數(shù)值。使用約束條件，可以實現(xiàn)細粒度的操作控制，比如：為了實現(xiàn)對某種特定類型文件的讀操作，我們可以通過對Read操作增加約束條件的方法（如限定客體只能是doc文件類型）。這樣，主體和客體的類型進一步被細化。一般，一個特定的操作可以有零個、一個或多個約束條件（或者約束條件的非）來共同完成對它的限定，這些約束條件之間是邏輯與的關(guān)系。3.6實體間的基本關(guān)系關(guān)系表示了在領(lǐng)域中概念和概念之間的交互作用，形式上定義為n維笛卡兒乘積的子集：R：E1E2…En。關(guān)系的種類有多種，歸納起來可以分為兩類：一類是具有傳播性的關(guān)系，另一類是不具有傳播性的關(guān)系。實體間典型的具有傳播性的關(guān)系有下面幾種：部分（part_of）關(guān)系：表示一個實體是另一個實體的組成部分，用于表達概念之間部分與整體的關(guān)系。如：人力資源部是企業(yè)組織的一部分。類包含（kind_of）關(guān)系：表示子類和父類之間的包含關(guān)系。如C-languageProgrammer和Programmer、File和Resource的關(guān)系等。實例化（inst_of）關(guān)系：表示實例和類之間實例化的關(guān)系。如“l(fā)dd”和CommonUser的關(guān)系等。定義3.5（實體偏序關(guān)系）：是實體集合E上的一種偏序關(guān)系￡E。給定兩個實體e和e，若e￡Ee，我們稱e小于或等于e?？梢宰C明part_of，kind_of，inst_of關(guān)系是實體偏序關(guān)系。證明略。實體間不具有傳播性的關(guān)系可用于授權(quán)規(guī)則的約束條件表述中，比如“夫妻關(guān)系”不具有傳播性，有這樣一條規(guī)則：規(guī)定有夫妻關(guān)系的，一方不能向另一方請假。3.7約束約束來設(shè)置實體之間必須滿足的類子類關(guān)系的公理，約束可以用在權(quán)限的計算推理中。例如：下面圖4中描述了一個本體內(nèi)實體間的約束?；诒倔w的權(quán)限管理我們將基于本體的權(quán)限管理的基本步驟總結(jié)如下：根據(jù)上面提出的權(quán)限本體描述框架，建立相關(guān)領(lǐng)域的權(quán)限本體，包括創(chuàng)建實體的屬性集合、創(chuàng)建應(yīng)用域中的基本實體類、創(chuàng)建實體實例、設(shè)置實體關(guān)系、建立實體間的約束、創(chuàng)建操作集合、設(shè)置操作關(guān)系、創(chuàng)建條件謂詞等。使用授權(quán)策略設(shè)置工具，進行權(quán)限的設(shè)置。這里包括授權(quán)規(guī)則和授權(quán)策略的制定、沖突解決方式的選擇等等。將授權(quán)規(guī)則和策略存入規(guī)則庫。對截獲的用戶操作請求，請求轉(zhuǎn)換器按照權(quán)限本體把操作請求（及所帶的參數(shù)）轉(zhuǎn)換成規(guī)定的格式，將請求傳遞給權(quán)限引擎。權(quán)限引擎利用權(quán)限本體中的相關(guān)實體信息和實體間的關(guān)系，對規(guī)則庫中的規(guī)則進行匹配及推理，得出決策結(jié)果，返回給用戶。結(jié)論為了解決企業(yè)應(yīng)用內(nèi)帶語義信息的操作以及跨應(yīng)用安全策略的設(shè)置和訪問控制的問題，我們提出了一種基于本體結(jié)構(gòu)的權(quán)限管理模型。我們使用本體來對業(yè)務(wù)層面上與操作相關(guān)的信息進行概念建模，實現(xiàn)了一個對具有業(yè)務(wù)內(nèi)涵的、范圍相當(dāng)廣泛的一類廣義操作進行權(quán)限定義和管理的合適的表達框架和管理機制，并建立了相應(yīng)的形式化模型；另一方面，本體的使用將傳統(tǒng)的訪問控制對象擴展為帶參數(shù)的、參數(shù)論域通過領(lǐng)域本體呈現(xiàn)出結(jié)構(gòu)性關(guān)聯(lián)（偏序結(jié)構(gòu)）的、并且具有業(yè)務(wù)語義的服務(wù)，這樣，擴大了訪問控制的對象范圍，豐富了相應(yīng)的訪問控制機制。在本文中我們主要給出了一種基于本體的權(quán)限管理模型，分析了這種新型廣義權(quán)限管理模型的表達力；并給出了一種簡單的本體描述框架，在該描述框架的基礎(chǔ)上，用戶可以構(gòu)建自己領(lǐng)域內(nèi)與權(quán)限相關(guān)信息的本體，從而利用該本體進行企業(yè)應(yīng)用級的權(quán)限管理。我們的模型仍然存在著許多值得研究的問題，例如：該模型的一致性和完整性證明上；該權(quán)限本體如何更好地設(shè)計完善上，這些我們將在以后的工作中逐步進行解決?！緟⒖嘉墨I】【1】K.Beznosov.EngineeringAccessControlforDistributedEnterpriseApplications.PhDthesis,FloridaInternationalUniversity,Miami,FL,2000.127【2】J.Anderson.ComputerSecurityTechnologyPlanningStudy.AirForceElectronicSystemsDivisionESD-TR-73-51.Vols.IandII,1972.【3】LampsonB.W.Protection.InProceedingsofthe5thAnnualPrincetonConferenceonInformationSciencesandSystems.1971.【4】WooT.,LamS.AuthorizationsinDistributedSystems:ANewApproach.JournalofComputerSecurity.2(2&3):107-136,1993.【5】NationalComputerSecurityCenter(NCSC).AGuidetoUnderstandingDiscretionaryAccessControlinTrustedSystem,ReportNSCD-TG-003Version1,30September1987.【6】D.E.Denning.Alatticemodelofsecureinformationflow.CommunicationsoftheACM,19(5):236-243,May1976.【7】R.Sandhu,D.Ferraiolo,andR.Kuhn.TheNISTmodelforrole-basedaccesscontrol:Towardsaunifiedstandard.InProc.OfthefifthACMWorkshoponRole-basedAccessControl,pages47-63,BerlinGermany,July2000.【8】DongdongLi,SonglinHu,ShuoBai.AUniformModelforAuthorizationandAccessControlinEnterpriseInformationPlatform.EDCIS2002,180-192【9】Borst.W.N.ConstructionofEngineeringOntologiesforKnowledgeSharingandReuse.PhDthesis,UniversityofTwenter,Enschede,1997.【10】StuderR,BenjaminsV.R,FenselD.KnowledgeEngineering,PrinciplesandMethods.DataandKnowledgeEngineering,1998,25(1-2):161-197【11】D.E.BellandL.J.LaPadula.Securecomputersystems:Mathematicalfoundations.TechnicalReportESD-TR-278,vol.1,TheMitreCorp.,Bedford,MA,1973AnOntology-basedPrivilegeManagementModelLiDong-dong,BaiShuoSoftwareDivision,InstituteofComputingTechnology,TheChineseAcademyofSciences,Beijing100080,ChinaE-mail:lidongdong@Privilegemanagementisthecoreofsystemsecurity,whichcanpreventcomputersystemandresourcefrombeingunauthorizedaccessedandmakesurethatdifferentpeoplecangetdifferentservicesanddata.Underthemodernapplicationcircumstances,privilegemanagementisfacedwithmanyproble