Upload
yury-katkov
View
626
Download
1
Embed Size (px)
Citation preview
Докладчик: Ломов Павел Андреевич
Авторы: Ломов П. А., Шишаев М. Г.
Учреждение РАН Институт информатики и математического моделирования технологических процессов КНЦ РАН
Разработка онтологии для семантического управления доступом
13.04.23 22
Задача управления доступом
Задача управления доступом (УД):
Определить для пары «субъект-объект» множество допустимых операций и контролировать выполнение установленного порядка.
Понятия «субъект», «объект» и «операция» могут иметь различное значение;
УД реализуется на различных уровнях информационной системы: аппаратном, программном, телекоммуникационном.
13.04.23 3
Общий порядок определения правил доступа
Правила в терминах предметной области
(Служебные инструкции, регламенты, описания процессов и т.д.)
Специалистпредметной
области
Сетевой администратор
Правила на специализированном языке(Таблица брандмауэра, права файловой системы,
права в СУБД и д.р)
Администратор баз данных
Системныйадминистратор
Веб программист
Специалистпредметной
области
Специалистпредметной
области
Управление доступом при интеграции информационных ресурсов
• Владельцы должны сохранять контроль над ресурсами + предоставлять санкционированных доступ;
• Это требует интероперабельности систем УД для каждого ресурса.
Владелец
Информационныйресурс
Владелец
Информационныйресурс
Владелец
Информационныйресурс
Информационное пространство
Преимущества использования онтологии для решения задачи управления доступом
Онтология – формальная спецификация разделяемой концептуализации.
Использование онтологии позволяет:– представить понятийную систему управления доступом; – определить формальную семантику понятий;– формулировать правила доступа в терминах предметной
области.
13.04.23 7
Использование онтологии Descriptions & Situations
Онтология DnS (Descriptions and Situations - A. Gangemi, P. Mika) - направленная на овеществление нематериальных социальных объектов, процессов и явлений.
ЧеловекФизический
носитель
Организация КвартираАвтомобиль
Физическоелицо
Документ
СредствопередвиженияНедвижимость
Юридическоелицо
Ситуация
Описание
ОнтологияD&S
Базисная онтология(Ground ontology)
удов
лет
воря
ет
Использование онтологии Descriptions & Situations
Роль базисной онтологии в случае D&S играет онтология DOLCE
Descriptive Ontology for Linguistic and Cognitive Engineering - DOLCE (C. Masolo, S. Borgo, A. Gangemi, N. Guarino, A. Oltramari) - определяет семантический базис для описания понятий различных предметным областям;
Политика доступа - совокупность правил оперирования объектами предметной области;
Правила - представления агентными сущностями корректных действий субъекта по отношению к объекту доступа;
Таким образом, политика доступа – описание некоторой ситуации доступа.
13.04.23 9
Повторное использование существующих онтологий
Выбор онтологии для повторного использования производилась с учетом требований:
– представление основных элементов ситуации доступа к ресурсу;
– представление персональной информации, а также различных аспектов работы с нею;
– возможность рассмотрения понятий и отношений онтологии в контексте DnS.
Была выбрана General Privacy OntologyGeneral Privacy Ontology (Hecker A., Dillon T., Elizabeth C.);
Также рассматривались:
– NRL Security Ontology - средства, сущности, протоколы и алгоритмы, применяемые на уровне средств передачи в информационной системе.
– Security Ontology, - представление угроз (Threat), уязвимостей (Vulnerability) и определения требуемого уровня безопасности (Security attribute).
Основные концепты онтологии
Policy-description
Modification-resourceReading-of-resource Personal-resource
Owner-of-resourceAuthorizer-of-resourceTransfer-of-resource
Action
Safeguard
Action-permissionResourceEntity
Acces-pers-data-situationAccess-situation
d-uses
modality for
Пример - определении политики доступа
Политика доступа «Policy-read-resourse» - чтение данных идентифицированным субъектом:
Class: Policy-read-resource
EquivalentTo:
d-uses some Reading-of-resource
and (modal-target-of some Ident-entity)
and (modal-target-of some Resourсe)
SubClassOf:
Policy-description
Policy-read-resource
Readind-of-resource
Resource
Ident-entity
d-us
es
modality for
Пример – компонент описания «Ident-entity»
Концепт-роль «Ident-entity» выполняется физическим лицом (Natural person), играющим роль идентифицированной персоны.
Class: Ident-entity
EquivalentTo:
played-by some (natural-person and (plays some
Ident- person))
SubClassOf:
modal-target some Action
DisjointWith:
Resourse
playsIdent-entity
Natural-person
Ident-person
play
s
Онтология ПО
Пример - определении ситуации доступа
Концепт «Situation-read-resource» - ситуация доступа, удовлетворяющая политике.
Class: Situation-read-resource
EquivalentTo:
setting-for some (participant some (plays some Ident-entity)
and participant some (plays some Resourсe)
and sequenced-by some Reading- of-resource))
SubClassOf:
Access-situation,
and satisfies only Policy-read- resource
Document
Event-read-doc
Natural-person
Situation-read-resource
setti
ng fo
r
participant-in
Пример использования – принятие решение о доступе
Создаются экземпляры описания, удовлетворяющей ей ситуации, и отношения с составляющими их экземплярами-компонентами;
Если в результате вывода экземпляр описания попадает в класс «Policy-read-resourse» - доступ разрешается.
Описание_654
Ситуация_654
Роль-ресурс_56
Роль-субъект_7 Действ_56
Докумен_46 Просмотр_46
Персона_46
Policy-read-resource Readind-of-resourceResource Ident-entity
satis
fies
d-uses
Положительные особенности управлением доступом на основе представленной онтологии• определение права доступа требуемой сложности в терминах
предметной области;• использование формальной онтологии позволяет проводить
логический вывод для выработки решения о предоставлении или отказе в доступе;
• возможность построения интероперабельных систем управления доступом.
Спасибо за внимание!
Ломов П. А., Шишаев М. Г.{lomov,shishaev}@iimm.kolasc.net.ru
Учреждение РАН Институт информатики и математического моделирования технологических процессов КНЦ РАНМурманская. обл., г.Апатиты, ул.Ферсмана, 24а., Россияhttp://www.iimm.ru
Сообщество «Semantic Web»:
http://semanticfuture.net
Симпозиум «Онтологическое моделирование»:
http://ontology.ipi.ac.ru/
13.04.23 17
Применение онтологий в сфере информационной безопасности
Онтология (по Н. Гуарино) - это явное частичное представление моделей логического языка, подразумеваемых в соответствии с некоторым онтологическим соглашением (ontological commitment).
Онтологическое соглашение – отображение символов логического языка на элементы концептуализации (объекты реального мира и концептуальные отношения на них).
Модель логического языка – отображение символов логического языка на элементы структуры некоторого возможного мира.