Докладчик: Ломов Павел Андреевич

Авторы: Ломов П. А., Шишаев М. Г.

Учреждение РАН Институт информатики и математического моделирования технологических процессов КНЦ РАН

Разработка онтологии для семантического управления доступом

13.04.23 22

Задача управления доступом

Задача управления доступом (УД):

Определить для пары «субъект-объект» множество допустимых операций и контролировать выполнение установленного порядка.

Понятия «субъект», «объект» и «операция» могут иметь различное значение;

УД реализуется на различных уровнях информационной системы: аппаратном, программном, телекоммуникационном.

13.04.23 3

Общий порядок определения правил доступа

Правила в терминах предметной области

(Служебные инструкции, регламенты, описания процессов и т.д.)

Специалистпредметной

области

Сетевой администратор

Правила на специализированном языке(Таблица брандмауэра, права файловой системы,

права в СУБД и д.р)

Администратор баз данных

Системныйадминистратор

Веб программист

Специалистпредметной

области

Специалистпредметной

области

Управление доступом при интеграции информационных ресурсов

• Владельцы должны сохранять контроль над ресурсами + предоставлять санкционированных доступ;

• Это требует интероперабельности систем УД для каждого ресурса.

Владелец

Информационныйресурс

Владелец

Информационныйресурс

Владелец

Информационныйресурс

Информационное пространство

Преимущества использования онтологии для решения задачи управления доступом

Онтология – формальная спецификация разделяемой концептуализации.

Использование онтологии позволяет:– представить понятийную систему управления доступом; – определить формальную семантику понятий;– формулировать правила доступа в терминах предметной

области.

13.04.23 7

Использование онтологии Descriptions & Situations

Онтология DnS (Descriptions and Situations - A. Gangemi, P. Mika) - направленная на овеществление нематериальных социальных объектов, процессов и явлений.

ЧеловекФизический

носитель

Организация КвартираАвтомобиль

Физическоелицо

Документ

СредствопередвиженияНедвижимость

Юридическоелицо

Ситуация

Описание

ОнтологияD&S

Базисная онтология(Ground ontology)

удов

лет

воря

ет

Использование онтологии Descriptions & Situations

Роль базисной онтологии в случае D&S играет онтология DOLCE

Descriptive Ontology for Linguistic and Cognitive Engineering - DOLCE (C. Masolo, S. Borgo, A. Gangemi, N. Guarino, A. Oltramari) - определяет семантический базис для описания понятий различных предметным областям;

Политика доступа - совокупность правил оперирования объектами предметной области;

Правила - представления агентными сущностями корректных действий субъекта по отношению к объекту доступа;

Таким образом, политика доступа – описание некоторой ситуации доступа.

13.04.23 9

Повторное использование существующих онтологий

Выбор онтологии для повторного использования производилась с учетом требований:

– представление основных элементов ситуации доступа к ресурсу;

– представление персональной информации, а также различных аспектов работы с нею;

– возможность рассмотрения понятий и отношений онтологии в контексте DnS.

Была выбрана General Privacy OntologyGeneral Privacy Ontology (Hecker A., Dillon T., Elizabeth C.);

Также рассматривались:

– NRL Security Ontology - средства, сущности, протоколы и алгоритмы, применяемые на уровне средств передачи в информационной системе.

– Security Ontology, - представление угроз (Threat), уязвимостей (Vulnerability) и определения требуемого уровня безопасности (Security attribute).

Основные концепты онтологии

Policy-description

Modification-resourceReading-of-resource Personal-resource

Owner-of-resourceAuthorizer-of-resourceTransfer-of-resource

Action

Safeguard

Action-permissionResourceEntity

Acces-pers-data-situationAccess-situation

d-uses

modality for

Пример - определении политики доступа

Политика доступа «Policy-read-resourse» - чтение данных идентифицированным субъектом:

Class: Policy-read-resource

EquivalentTo:

d-uses some Reading-of-resource

and (modal-target-of some Ident-entity)

and (modal-target-of some Resourсe)

SubClassOf:

Policy-description

Policy-read-resource

Readind-of-resource

Resource

Ident-entity

d-us

es

modality for

Пример – компонент описания «Ident-entity»

Концепт-роль «Ident-entity» выполняется физическим лицом (Natural person), играющим роль идентифицированной персоны.

Class: Ident-entity

EquivalentTo:

played-by some (natural-person and (plays some

Ident- person))

SubClassOf:

modal-target some Action

DisjointWith:

Resourse

playsIdent-entity

Natural-person

Ident-person

play

s

Онтология ПО

Пример - определении ситуации доступа

Концепт «Situation-read-resource» - ситуация доступа, удовлетворяющая политике.

Class: Situation-read-resource

EquivalentTo:

setting-for some (participant some (plays some Ident-entity)

and participant some (plays some Resourсe)

and sequenced-by some Reading- of-resource))

SubClassOf:

Access-situation,

and satisfies only Policy-read- resource

Document

Event-read-doc

Natural-person

Situation-read-resource

setti

ng fo

r

participant-in

Пример использования – принятие решение о доступе

Создаются экземпляры описания, удовлетворяющей ей ситуации, и отношения с составляющими их экземплярами-компонентами;

Если в результате вывода экземпляр описания попадает в класс «Policy-read-resourse» - доступ разрешается.

Описание_654

Ситуация_654

Роль-ресурс_56

Роль-субъект_7 Действ_56

Докумен_46 Просмотр_46

Персона_46

Policy-read-resource Readind-of-resourceResource Ident-entity

satis

fies

d-uses

Положительные особенности управлением доступом на основе представленной онтологии• определение права доступа требуемой сложности в терминах

предметной области;• использование формальной онтологии позволяет проводить

логический вывод для выработки решения о предоставлении или отказе в доступе;

• возможность построения интероперабельных систем управления доступом.

Спасибо за внимание!

Ломов П. А., Шишаев М. Г.{lomov,shishaev}@iimm.kolasc.net.ru

Учреждение РАН Институт информатики и математического моделирования технологических процессов КНЦ РАНМурманская. обл., г.Апатиты, ул.Ферсмана, 24а., Россияhttp://www.iimm.ru

Сообщество «Semantic Web»:

http://semanticfuture.net

Симпозиум «Онтологическое моделирование»:

http://ontology.ipi.ac.ru/

13.04.23 17

Применение онтологий в сфере информационной безопасности

Онтология (по Н. Гуарино) - это явное частичное представление моделей логического языка, подразумеваемых в соответствии с некоторым онтологическим соглашением (ontological commitment).

Онтологическое соглашение – отображение символов логического языка на элементы концептуализации (объекты реального мира и концептуальные отношения на них).

Модель логического языка – отображение символов логического языка на элементы структуры некоторого возможного мира.