基于RIF的鏈接數(shù)據(jù)訪問控制機制研究

陳 磊

(淮南師范學院 計算機學院，安徽 淮南 232001)

基于RIF的鏈接數(shù)據(jù)訪問控制機制研究

陳 磊

(淮南師范學院 計算機學院，安徽 淮南 232001)

隨著Web上數(shù)據(jù)量的不斷增加，利用RDF組織數(shù)據(jù)并形成鏈接數(shù)據(jù)已經(jīng)成為一種有效的應用方式。目前，鏈接數(shù)據(jù)的訪問控制仍然沒有形成規(guī)范，極大地阻礙了人們對鏈接數(shù)據(jù)的發(fā)布。傳統(tǒng)的數(shù)據(jù)訪問控制技術(shù)不能滿足鏈接數(shù)據(jù)的開放環(huán)境要求，需要尋求新的控制模式以對鏈接數(shù)據(jù)進行有效保護。RIF是W3C推出的規(guī)則交換語言，適合于鏈接數(shù)據(jù)環(huán)境下的規(guī)則描述；基于屬性的訪問控制模型將是網(wǎng)絡訪問控制的一種趨勢，將RIF與基于屬性的訪問控制結(jié)合起來是鏈接數(shù)據(jù)的訪問控制的有益嘗試。通過對鏈接數(shù)據(jù)的特點分析，給出了RIF+ABAC訪問控制的定義，描述了關(guān)鍵的控制算法。實驗表明，基于RIF+ABAC的訪問控制機制非常適合鏈接數(shù)據(jù)的應用環(huán)境。

訪問控制；鏈接數(shù)據(jù)；RIF；基于屬性的訪問控制

語義Web技術(shù)的興起改變了傳統(tǒng)Web資源的描述方法和組織形式。在語義Web中，Web上的任何資源將被標以一個URI，對資源的描述不再是傳統(tǒng)的HTML文檔的形式，取而代之的是用一組RDF三元組來描述資源及其各種屬性，以及資源與資源之間的關(guān)系。RDF是一種圖模式的數(shù)據(jù)結(jié)構(gòu)，它的基本形式為（s，p，o），其中，s代表著三元組的主語，p代表著三元組的謂語，也稱為s的屬性，o代表著三元組的賓語。利用RDF三元組可以將Web上的RDF數(shù)據(jù)關(guān)聯(lián)起來，形成關(guān)聯(lián)數(shù)據(jù)（linked data）。當前，以DBpedia為核心的關(guān)聯(lián)數(shù)據(jù)已經(jīng)擁有了300多億條三元組的規(guī)模，且三元組的數(shù)量仍然在不斷地上升。這些關(guān)聯(lián)數(shù)據(jù)分布在互聯(lián)網(wǎng)上的各個數(shù)據(jù)服務器上，用戶訪問這些數(shù)據(jù)時，常見的形式是訪問各個關(guān)聯(lián)數(shù)據(jù)的查詢終端（如 SPARQL endpoint）。

訪問控制機制是傳統(tǒng)數(shù)據(jù)管理領(lǐng)域中的研究重點，它對保護數(shù)據(jù)的安全、保護用戶的隱私信息等有著重要的作用。常見的訪問控制機制主要有自主訪問控制(discretionary access control，DAC)、強制訪問控制 (mandatory access control，MAC)以及基于角色的訪問控制（role-based access control，RBAC）等。其中，DAC 是由數(shù)據(jù)配置中心針對每個資源統(tǒng)一地為所有需要訪問數(shù)據(jù)的用戶確定相應的訪問權(quán)限；MAC是一種基于標簽關(guān)系的、由系統(tǒng)強制執(zhí)行的訪問控制機制。系統(tǒng)將敏感標簽與創(chuàng)建用來執(zhí)行程序的所有進程關(guān)聯(lián)起來。為了方便數(shù)據(jù)的管理，RBAC將所有的用戶按角色進行劃分，數(shù)據(jù)服務器為每個角色分配相應的訪問權(quán)限，RBAC通過角色實現(xiàn)用戶到權(quán)限間的授權(quán)，簡化了授權(quán)管理，但是，單純的基于角色的訪問控制不能完全適用于網(wǎng)絡環(huán)境下支持移動計算的信息存取管理。上述傳統(tǒng)的訪問控制機制的控制決策都由服務系統(tǒng)統(tǒng)一地通過訪問主體與客體的標識進行識別，屬于集中的訪問控制體制[1]。語義Web環(huán)境中，數(shù)據(jù)資源是面向整個Web開放的，對于一個數(shù)據(jù)服務而言，它無法提前預知訪問者的身份，因而不可能對每個訪問者制定相應的訪問控制策略，也不可能將所有的訪問者劃分到相應的角色中去，因此，傳統(tǒng)的訪問控制機制不適用于語義Web環(huán)境下的資源訪問控制。針對語義Web和linked data的特點，適合的訪問控制機制應該具備以下特點：

(1)賬戶開放管理（decentralized accounts）；

(2)基于屬性的權(quán)限認定（potential for attribute-based authorization）；

(3)用戶賬戶的認定時效（authentication speed）；

(4)易于維護（ease of maintenance）。

1 研究現(xiàn)狀

近年來，關(guān)于對語義Web和linked data的訪問控制研究成為語義Web社區(qū)的一個重要內(nèi)容，研究涉及的問題主要集中在訪問控制的機制和對用戶身份的識別模式上。

文獻[2]利用一組RDF元數(shù)據(jù)描述了對整個RDF文檔進行訪問控制，提供一個訪問控制列表（access control list，ACL），但無法對具體的 RDF元組（或命名圖）進行訪問控制，訪問控制粒度不細。

文獻[3]利用規(guī)則的方式對每個受控的RDF圖進行標注，并為相關(guān)的用戶指定相應的訪問權(quán)限。所使用的規(guī)則描述缺乏相應的通用性，復雜度高。

文獻[4]和[5]各自定義了一組訪問控制描述詞匯（本體），分別是S4AC和PPO，采用先進的基于屬性的訪問控制機制，可以對受控的資源（RDF元組、RDF圖）進行比較全面的訪問控制。但描述規(guī)則仍自成一體，不能與其他系統(tǒng)進行規(guī)則交換。

文獻[6]將RDF數(shù)據(jù)當作一種數(shù)據(jù)結(jié)構(gòu)，將DAC機制應用到這種新的數(shù)據(jù)結(jié)構(gòu)上，然后支持了受標注的RDF數(shù)據(jù)在RDF數(shù)據(jù)訪問控制中所起到的作用。如前所述，DAC訪問控制機制不適應在一個開放的資源管理系統(tǒng)中應用。

到目前為止，國內(nèi)對基于屬性的訪問控制研究中[7-10]，還沒有涉及將ABAC應用到鏈接數(shù)據(jù)的訪問控制領(lǐng)域。

上述研究表明，當前對于LD的訪問控制機制仍然不成熟，技術(shù)方案更沒有得到廣泛的認可。研究中我們發(fā)現(xiàn)，當前的研究有兩個缺陷：一是沒有一個廣泛認可的訪問控制模型；二是各訪問控制策略的描述語言不一致，制約了各個系統(tǒng)之間的訪問控制規(guī)則的復用。

2 基于屬性的訪問控制

基于屬性的訪問控制能夠解決復雜信息系統(tǒng)中的細粒度訪問控制和大規(guī)模用戶動態(tài)擴展問題，為開放網(wǎng)絡環(huán)境提供了較理想的訪問控制方案。近年來，由于社交網(wǎng)絡的興起，將ABAC應用到Web環(huán)境下已經(jīng)成為Web數(shù)據(jù)訪問控制研究的熱點。ABAC的主要思想是使用實體屬性對參與訪問控制過程的主體、客體、權(quán)限及授權(quán)約束進行統(tǒng)一的描述，用屬性或?qū)傩越M來區(qū)分不同的實體，用實體屬性之間的關(guān)系對安全需求進行形式化建模。

定義 1ABAC 是一個四元組（S，O，P，E），其中S、O、P和E分別是由主體屬性、客體屬性、權(quán)限屬性和環(huán)境屬性確定的主體、客體、權(quán)限和環(huán)境的集合。

定義2實體模式是對實體屬性的描述，可表示為 X（U，D，dom，F(xiàn)），其中 X 是實體名，U 為刻畫該類實體的屬性變量集合，D為U中屬性變量的域，dom為屬性變量到屬性變量域的指派（assign）dom：U-＞D，F(xiàn) 為屬性變量值之間的依賴關(guān)系，用來對屬性之間的復雜關(guān)系進行描述。

定義3實體是實體模式的實例，對實體模式X（x.a1，x.a2，…，x.an），其屬性元組形式為＜x.v1，x.v2，…，x.vn＞，表示各屬性值分別為 v1，v2，…，vn的x類實體集合。

3 規(guī)則交換框架

早在20世紀90年代RDF引入語義Web的時候，人們就已經(jīng)考慮到語義Web及其相關(guān)應用需要對基于規(guī)則的信息加以處理。規(guī)則交換格式的提出，使語義Web中對規(guī)則的表示有了一個統(tǒng)一的標準。

RIF是為了方便集成不同語言的規(guī)則集而制定的一個標準，是由W3C組織中的RIF工作組開發(fā)和制定的。RIF的目標是在各個規(guī)則系統(tǒng)之間建立可交換格式的標準。不同各類的規(guī)則可以和它適合的RIF方言建立相互轉(zhuǎn)換。如果兩種不同的規(guī)則語言可以找到彼此都共同適合的RIF方言，則這兩種規(guī)則語言就可以通過該RIF術(shù)語集進行規(guī)則交換了。

RIF定義了兩種方言，即基于邏輯的方言（logic-based dialect）和帶動作的規(guī)則（rule with action）。而基于邏輯的方言又可以分為RIF核心（core）和 RIF 基本邏輯方言（basic logic dialect，BLD）。其中RIF-BLD本質(zhì)上對應于帶等式的Horn邏輯。RIF-BLD和其他的RIF變體一樣，支持一個通用的常用數(shù)據(jù)類型、謂詞和函數(shù)的集合。這個集合包括數(shù)據(jù)類型（如整數(shù)、布爾類型、字符串和日期等）、“內(nèi)置”謂詞（如大于、前綴、小于）和取值為這些數(shù)據(jù)類型的函數(shù)（如數(shù)值加減法、替換、時間中的取值）。在RIF中，通過使用謂詞來表示一個事實。即謂詞是表示一個事實的，而函數(shù)可以用于求值。

基于屬性的訪問控制策略是典型的通過對條件的判斷來決定對指定的用戶授予何種訪問權(quán)限的訪問控制機制，而一條典型的RIF規(guī)則正是通過對條件和結(jié)論的描述而組成的，即只有滿足了所有條件的情況下，結(jié)論才能夠成立。

總之，使用RIF方言表達訪問控制策略具有以下優(yōu)勢：

（1）RIF在語法上便于描述基于屬性的訪問控制規(guī)則；

（2）RIF在語義上能夠表示基于屬性的訪問控制策略；

（3）RIF便于跨領(lǐng)域的不同系統(tǒng)之間的訪問控制規(guī)則交換與集成。

4 基于RIF+ABAC的訪問控制策略

定義4一個基于RIF+ABAC（R-ABAC）的控制模型定義為以下一個三元組，即：

其中，AC是指用戶的訪問條件；AP是指用戶的訪問權(quán)限，由4個選項，分別是Create、Read、Update和Delete；RG是指要保住資源的命名圖。

圖1 基于RIF+ABAC的訪問控制模型

模型架構(gòu)圖如圖1。模型基于對用戶屬性（特征）的判斷來控制用戶對特定資源的訪問，因此需要用戶提供包含其身份特征的相應信息。在語義社會網(wǎng)絡中，用戶一般采用FOAF文件包含用戶的社會語義信息。訪問控制器通過對FOAF數(shù)據(jù)進行分析，匹配訪問策略中的訪問條件以判斷該訪問是否被許可；若查詢被許可，則允許用戶所提供的相應操作，否則，拒絕該訪問。例如，下文描述文檔的訪問策略定義了只有屬于“www.hnnu.edu.cn”的成員可以訪問（Read權(quán)限）相應的資源：

在訪問決策過程中，通過將用戶FOAF信息相應的語義社會屬性和訪問策略中的訪問條件進行匹配是處理過程的關(guān)鍵。算法以用戶的查詢請求和用戶的FOAF信息為輸入，經(jīng)過訪問策略的分析，最終輸出用戶的查詢請求結(jié)果，或者返回相應的拒絕狀態(tài)。

根據(jù)SPARQL查詢語法結(jié)構(gòu)，可以將用戶的SPARQL查詢封裝成一個查詢對象。對象主要的成員有sparql.operator，表示用戶的查詢類型；sparql.graph，表示用戶的查詢目標，它是一個標識命名圖的URI；sparql.where，表示用戶在指定的RDF命名圖上的查詢條件。在進行訪問控制的分析時，首先判斷用戶的SPARQL查詢中是否指定了具體的查詢命名圖，如果指定了，則直接分析服務器端的訪問控制策略表中將對應的命名圖的訪問控制策略，否則，需要通過用戶的SPARQL查詢中的where子句來查找到符合條件的命名圖，再進行訪問控制的分析。算法描述如圖2。

圖2 一個R-ABAC的訪問控制策略

5 總結(jié)

原型系統(tǒng)為用戶提供了一個SPARQL查詢終端，由用戶指定相應的查詢操作（包括瀏覽、插入、刪除、更改等），指定查詢的目標RDF命名圖，指定相應的查詢或者其他操作語句；查詢提交后，由服務端返回查詢結(jié)果，或者其他相關(guān)的操作狀態(tài)。圖3表示了命名圖“http://www.hnnu.edu.cn/newslist/1/2017-3-25/”提交了一條Insert命令，即，向該圖插入了四條元組。服務端根據(jù)用戶提交的FOAF文件，對查詢條件和用戶的權(quán)限進行審核，返回查詢操作結(jié)果和狀態(tài)。

由于系統(tǒng)是對一種基于RIF+ABAC的訪問控制策略的驗證，所以在進行SPARQL查詢時，只考慮簡單的SPARQL查詢，即，只實現(xiàn)了SPARQL的基本圖模式匹配，其他如SPARQL的可選圖模式等復雜運算將在后期的系統(tǒng)功能中擴充。通過實驗可以發(fā)現(xiàn)，利用RIF和ABAC的訪問策略是可行的，模型是開放的，發(fā)揮了RIF的規(guī)則交換優(yōu)勢，也保證了ABAC的訪問控制策略的可靠性。

圖3 基于RIF+ABAC的查詢實例

[1]Zjang X W,Li Y J,Nalla D.An attribute-based access matrix model[C].Pro.of ACM symposium on Applied computing,2005.

[2]Hollenbach J,Presbrey J,Berners-Lee T.Using RDF Metadata to Enable Access Control on the Social Semantic Web.http://dig.csail.mit.edu,January 2009.

[3]Flouris G,Fundulaki I,Michou M,Antoniou G.Controlling Access to RDF Graphs[J].Lecture Notes in Computer Science,Springer,2010,6369:107-117.

[4]Villata S,Delaforge N,Gandon F,Gyrard A.An Access Control Model for Linked Data[J].Lecture Notes in Computer Science,Springer,2011,7046:83-92.

[5]Owen S,Alexandre P.A Privacy Preference Ontology(PPO)for Linked Data[C].Pro.of LDOW 2011,http://ceur-ws.org,2011.

[6]Kirrane S,Mileo A,Decker S.Applying DAC Principles to the RDF Graph Data Model[J].Springer,2013,405:69-82.

[7]程相然,陳性元,張 斌等.基于屬性的訪問控制策略模型[J].計算機工程,2013,15(期):131-133.

[8]王小明,付 紅,張立臣.基于屬性的訪問控制研究進展[J].電子學報,2010,38(期):1660-1667.

[9]令狐雄展.云計算中基于屬性的訪問控制技術(shù)研究[D].西安：西安電子科技大學,2014.

[10]王 謙.云存儲系統(tǒng)基于屬性的數(shù)據(jù)訪問控制研究[D].鎮(zhèn)江：江蘇大學,2016.

RIF-based access control mechanism for linked data

CHEN Lei

(School of Computer Science,Huainan Normal University,Huainan Anhui,232001,China)

With the constant increment of the data on the Web,it is an effective application to organize the data with RDF and result in the Linked Data.Presently,the access control of Linked Data has not get a normalization,which has prevented the publication of the Linked Data.As the traditional methods are incompetent in the open circumstance of the social semantic web,there is a requirement for the access control model to protect the Linked Data.RIF,a W3C recommendation,can be applied in the Linked Data,and the attribute-based access control will be a trend of social network access control.Combining both will be a beneficial attempt for access control of Linked Data.By analyzing the characteristics of Linked Data,this paper gives the definition of the RIF+ABAC and describes the key algorithm of the control model.The experiment implements the RIF+ABAC control model is suitable for the Linked Data.

access control;linked data;RIF;ABAC

TP309

A

1004-4329（2017）02-069-05

10.14096/j.cnki.cn34-1069/n/1004-4329（2017）02-069-05

2017-03-20

安徽高校自然科學重點研究項目（KJ2016A664）資助。

陳 磊（1980－ ），男，博士研究生，副教授，研究方向：語義Web技術(shù)。