基于EPAL的隐私与访问控制方案
开篇:润墨网以专业的文秘视角,为您筛选了一篇基于EPAL的隐私与访问控制方案范文,如需获取更多写作素材,在线客服老师一对一协助。欢迎您的阅读与分享!
摘要:企业内容管理系统(ECMS)已应用于互联网上客户的互动,而ECMS载有很多敏感而机密的资料,针对这一网络服务环境下有关隐私数据保护的问题 ,该文结合银行系统展开研究,说明主要的隐私和访问控制策略,以及如何利用企业隐私授权语言(EPAL)实现其控制。
关键词:访问控制;隐私保护;企业内容管理;EPAL
中图分类号:TP393文献标识码:A 文章编号:1009-3044(2010)22-6217-03
Privacy and Access Control with EPAL
GONG Yong-gang, WANG Xiao-qing
(Beijing Technology and Business University, Beijing 100037,China)
Abstract: Enterprise Content Management Systems (ECMS) have been recently deployed over the Internet to interact with customers. As ECMS contains a lot of sensitive and confidential information, there is an urgent need for tackling data protection related to privacy issues in these systems. In this paper, we proceed with our case study in a banking enterprise on these issues. We demonstrate the key privacy and access control policies and illustrate how to specify privacy and access control policies in the system with the technology of Enterprise Privacy Authorization Language (EPAL).
Key words: Access Control; Privacy Protect; Enterprise Content Management; EPAL
企业内容管理系统现在已不仅应用于企业内部,还应用到互联网上与客户的互动 。计算机网络中存在着许多不同的资源,如XML文档、非XML文档、关系数据库和应用服务器等。计算机网络有效地实现了资源共享,但资源共享与信息安全从来就是一个矛盾体。随着Internet的迅速发展,对这些资源进行访问控制成为信息安全领域中的一个重要的基础性的核心问题。所谓访问控制,就是通过某种途径显式地准许或限制主体的访问能力及范围,从而限制对目标资源的访问,防止非法用户的侵入或合法用户的不慎操作所造成的破坏。如何构建准确有效的隐私策略来实现信息的安全传递,实现完善的访问控制管理,对于企业内容管理来说至关重要。IBM公司日前推出多款保密管理工具,帮助公司自动设置与管理用于控制对保存在企业应用和数据库中的敏感数据的访问的保密政策。这些新工具基于新的企业保密授权语言(epal) ,EPAL (enterprise privacy authorization language) 作为用于隐私保护的隐私策略方法,是一种细粒度表示企业隐私策略的标准语言,定义了标准的隐私授权规则。EPAL允许企业将表述明确的保密政策翻译为机器可以读懂并执行的语言,使开发人员可以直接将保密政策执行功能内置到企业应用中。
1 隐私和访问控制的技术问题
目前大多数ECMS主要用一个简单的权利和分层来实现,这往往不能满足日益复杂的访问控制的要求。因此,本文对隐私和访问控制问题进行了更深入的研究。主要采取以下措施:
1) 确定新的模式和技术要求;
2) 确定需要保护的信息实体;
3) 确定受保护的利益相关者的权利;
4) 通过跟踪信息流实体,使之受到保护,确保这个保护过程得到执行,并且详尽化现有系统的保护政策;
5) 查明现有内容流或内容管理过程中所做的任何改动。
首先,要克服简单的权利和分层的局限性,采用基于角色的访问控制(RBAC)范例来分析 。RBAC对系统用户进行角色分配,对角色授予访问不同类别的内容的权限,与用户相比角色是相对稳定的。 RBAC的主要优点就是能准确指定访问控制策略并且易于授权管理。
对基于角色的访问控制技术,之所以选择企业隐私授权语言(EPAL),是因为EPAL既能实现企业内部或企业间的企业对企业的隐私控制的实际授权,也支持隐私授权。此外,EPAL能进行细粒度的访问控制,是一种互操作性的企业隐私政策语言。
另外,为便于以后的系统维护,可以简化措施2和3,为信息实体和利益相关者提出一个全面的本体论。这是一个有效的方法,只有这样,访问控制规则和隐私策略才能实现系统化。特别地,受保护的信息实体的情况如下:
1) 一个ECMS主要关心的当然是大量的数据内容;
2) 同样重要的还有有价证券投资利益和资源拥有者(特别是客户)的概况;
3) 由于保密需求,用户活动记录也应受到保护,现有系统对于这个通常不能有效处理;
4) 尽管在内容管理软件系统中,内容和用户分类法大多是可见的,但它事实上应该只能由专家才能获得。
对于措施4和5,不同方面的信息/内容流,可以在一个框架中建立模型。信息流作为任何信息系统中不可或缺的部分 ,是信息系统和用户活动之间的桥梁。隐私和访问控制的一个威胁则构成一个事件。这些威胁可能来自各组织的内部或外部 。基于工作流程管理的相关研究 ,内容流可能存在以下几个方面的威胁:
1) 未经授权的信息泄露、修改和销毁;
2) 未经授权的资源使用和滥用;
3) 内容访问时的中断、未知状态和禁止;
4) 对利益相关者或资源的拒绝服务;
5) 利益相关者的腐败。
本文着重分析内容的访问控制,以及关于用户的个人信息和用户的内容访问活动的记录的隐私保护。通过分析,制定了以下关于隐私和访问控制的策略:
1)ECMS中内容的接收应得到充分的监测和控制;
2)为了保持项目内容的隐私和完整性,内容创建者和监管者(如编辑,审批者,审计员和管理人员),应该在‘请求-响应’的基础上分析内容流需求,并以此为原则进行内容访问控制;
3)利用基于角色的访问控制技术对用户的内容访问进行管理,通过匹配用户角色和项目内容的类别来授权。同时,标记的推理应使匹配简单化柔性化(例如,规定亚洲=>中国及日本,股票=>认股权证);
4)由于隐私问题,用户的个人资料信息以及他们的活动记录应受到保护,访问控制权应该严格限制在用户本人和用户管理者手中;
5)对于分类法的保护,目前仅限专家访问的严格控制法已经可以做到,因此这个问题留给以后研究。
规则本身没有任何的访问控制能力,必须把它或与其他规则一起包含在策略当中。每一个规则均属于一个策略或一个策略集,或一个隶属于某个策略集的策略。通过执行相应的访问控制决策算法,将各个单独的规则评测结果值绑定到一起,最后返回一个最终决策值,决定是否允许或拒绝访问者对资源的访问。
为了保证系统提供用户有价值的内容和服务,可以建立内容规则引擎,对某些内容可定义策略管理的规则算法,在处理各种信息流的多个控制模块协作下,大部分工作是由系统根据规则自动完成。对于用户来说,他所做的工作只是将内容及内容处理策略进行定义,系统会根据定义的规则自动执行并管理内容流程。
2 EPAL的规则和策略
目前,在金融业,人们已经认识到ECMS的价值,对于ECM系统内部发展的研究也已出现。但是,个别企业提出的一些宝贵的解决方案,被视为商业秘密,很少公布。现有的研究论文都没有详细讨论如何充分支持一个完整的企业级内容流的架构,企业内部和企业间的内容管理系统集成的问题也几乎未开发。这些系统的隐私权和访问控制的研究尚未,因此,本文对这方面的相关理论进行了详细的研究。
为了解决隐私和访问控制不断增长的需求,许多公司在过去几年已经开始向市场提供不同的隐私保护工具,一般情况下,隐私权授权语言应包含下列属性:
互操作:一个隐私授权模式应能够解释任何其他发行机构签发的全权证书。
表达力:全权证书不仅要包含个人身份,还应包括其他有用的信息:
可扩展:认证系统应能够足够灵活,以适应任何具有新的信息类型的个人和组织的注册。
匿名性:在任何情况下,都不应该显示个人标识符。
可伸缩:为了处理越来越多的用户、服务提供商和发行机构,认证系统应足够强健。
因为EPAL可以满足上述要求,因此我们建议RBAC模型采用它来实现基于隐私的可扩展的访问控制。在EPAL中,有两个主要组成部分:词汇和策略。EPAL词汇包括数据类别、用户类别、用途类别的等级列表,以及可执行的动作、义务和条件的集合。数据分类是用来定义收集到的数据的不同类别,从而利用不同手段处理隐私数据,如健康数据。用户类别用来描述对采集数据进行评估的用户或小组,如政策制定者。用途类别是用来模拟数据预期实现的服务,如流行病学统计研究。动作是用来模拟数据是如何作用的,如整合和链接。义务是一种对访问请求进行决策之后访问者必须要执行的一些责任性的动作,如“30天之后,删除所有的健康数据”。条件是指规则执行时的约束条件,是布尔表达式,如“所有的政策制定者必须签署保密协议”。一个词汇可以被很多企业共享。另一方面,EPAL的隐私策略定义授权规则,通过用户类别以及特定条件下的某些用途,允许或禁止规则中描述的动作,同时规定某些责任。最后,隐私授权规则根据EPAL策略的优先级来分类。
3 访问控制与ECMS的分析
ECMS的主要目标是管理、成本、法律问题以及其价值,为了实现这些目标,本文着重分析了加强隐私和访问控制的解决方法。由于未授权内容的泄露的灾难性后果以及隐私行为的法律问题,隐私和访问控制成为信息管理的一个重要方面。我们提出的追踪所有系统组件内容流的方法保证了企业内容的隐私和访问控制策略的覆盖率。此外,内容管理系统的审查程序不仅存在可能的漏洞,在这过程中还有其他缺陷。特别是,内容创建和编辑过程复杂,敏感,并且难以管理。在这种情况下,这些策略的研究可以为解决方案提供建议,同时也能加强人员处理的相关内容的正确执行。
一个复杂的内容管理系统可以分解成一系列子系统,它们高度一致而又松散耦合,物理分散于企业内部。这种分解,进一步促进了对系统中隐私和访问控制策略的规范。根据中央的政策,子公司和各区域办事处可以根据个人需要定制策略。EPAL是一个文本形式,容易被人理解。因此,我们在全球性企业本体的基础上制定EPAL时,这些策略的交流和定制可以得到进一步简化。
由于隐私和访问控制的建立、定制和维护较简单,因此其相关成本也可以减少。而且由于EPAL是一项标准技术,而不是某企业专有的,因此,投资也有了保障。由于巨大的经济因素和可能造成的名誉损害,法律问题也是一项重要的考虑因素。为了符合法律规定,隐私和访问控制成为世界各企业的必需。不过,由于不同国家有不同的要求,因此建立促进这些策略定制的机制也是必不可少的。访问控制可确保只有合法的项目内容,仅通过官方分销渠道(而不是通过个人通讯组列表),被授予正确的用户群。不过,应用EPAL只是加强隐私和访问控制的解决方案中的一部分,如何使利益相关者之间具有法律约束力也是一项重要研究内容。
一个安全系统由于其强大的信息完整性,通常具有更高的价值。就像内容服务在客户关系管理中扮演重要角色一样,一个具有强大隐私保密功能的安全门户网站,可以很好地增加客户的信任度。这不仅有助于改善客户关系,同时还吸引了各企业的定制,尤其是对于涉及敏感个人信息的金融企业,这就显得更为重要。
4 结束语
我们考虑的隐私和访问控制需求的策略方法,对于其他行业也具有可行性。内容管理目前广泛应用于网站、出版、医疗、保险、金融以及各种信息密集型的企事业单位。同时,内容管理还广泛应用于数字资产管理、电子政务、数字图书馆、企业信息门户 (EIP) 等领域。
目前,对于如何搭建高扩展性的体系架构,如何在系统的各个组成部分利用EPAL系统地实现规范化的隐私和控制策略,仍是研究中的难点,也是本人以后研究的重点。
参考文献:
[1] McNay H E.Enterprise Content Management: an Overview[C]. Proc. IEEE Intl. Professional Communication Conf., (IPCC 2002), 2002:396-402.
[2] IBM.Enterprise Privacy Authorization Language (EPAL 1.1)[R].IBM Research Report,2003.
[3] Sandhu R S,Bhamidipati V,MunawerQ.The ARBAC97 model for role-based administration of roles[J].ACM Transactions on Information and Systems Security (TISSEC),1999,1(2):105-135.
[4] Hung P C K.Secure Workflow Model[D].PhD Thesis,Department of Computer Science,The Hong Kong University of Science and Technology,Hong Kong,2001.
[5] Fischer-Hubner S.IT-Security and Privacy[Z].LNCS 1958,2001.