龙源期刊网 http://www.qikan.com.cn
基于多维属性的网络管控策略
作者:杨行等
来源:《信息安全与技术》2015年第05期
【 摘 要 】 对网络上的各种访问行为进行有效管控的关键是网络访问管控策略。文章基于主体与客体的多维属性,建立了网络管控策略模型,并对网络环境中的访问行为进行实例分析,提出了策略生成通道方法,给出了冲突与冗余的检测方法。 【 关键词 】 访问行为;管控策略;多维属性;通道
【 Abstract 】 The key to the behavior of a variety of access on the network for effective
management and control of network access control policies. Based on the multidimensional subject and object attributes, established a network control policies model, and carries on the example analysis aim at the access behavior of network environment,proposed the method of policies generating enterclose, gives the conflict and redundancy detection methods.
【 Keywords 】 access behavior; control policies; multidimensional attributes;enterclose 1 引言
随着网络信息技术的飞速发展,网络信息传播的速度呈几何方式增长,但与此同时,网络双刃剑似的影响正在不断凸显,在各种各样的意图背后,大量不健康、不安全的信息也被刻意地散播在网络世界中,要想保证在自由、平等地共享与交互网络信息的前提下,创造一个安全、健康的网络环境,对网络两端,即用户和服务的网络行为进行管控是一个关键性问题,其核心便是定义一系列策略,通过策略产生允许或拒绝某级别的用户对指定的服务进行访问的行为准则。
本文基于多维属性的网络行为建立管控模型及策略描述方法,并将其在具体应用中进行实例化分析。
2 基于多维属性的管控策略建模
为更加严谨地描述网络访问行为,本文将用户和服务分别表述为主体和客体,管控判定是基于主客体具有的属性,通过属性来区分和标识不同类型的主体集合和客体集合,并基于主体、客体、时间约束和执行行为的统一建模,描述网络管控策略,使其具有灵活、可扩展的特点。
2.1 相关定义
为进行建模,首先对网络管控策略的各相关概念进行符号化定义。
龙源期刊网 http://www.qikan.com.cn
定义 1(主体Subject) 是网络访问行为的发起者,由主体标识和主体属性组成。 S = {s1,s2,···,sn} s =
主体标识(ID),它是一个字符串,使用“TYPE_DETAIL”的格式构造,不超过128个字节。包括主体的IP地址、ADSL账号、MAC地址、身份证号以及定义的标签。根据优先级体系,选择已有主体信息中优先级最高的生成主体标识(ID)。例如根据主体MAC生成的主体标识(ID)格式为“MAC_00:11:22:33:44:55:90”。
定义 2(客体Object) 是网络服务和资源的提供者,由客体标识和客体属性组成。 O = {o1,o2,···,on} o =
客体标识(ID),格式同主体标识。包括客体的URL、MAC地址和服务端IP地址以及定义的客体标签。根据优先级体系,选择已有客体信息中优先级最高的生成客体标识(ID)。例如根据客体URL生成的客体标识(ID)格式“URL_www.sina.com.cn/game.html”。
定义 3(属性Attribute) 每个互联网的主体和客体都具有若干属性,每个属性对应若干可枚举的属性值组成的,这些若干属性组成的元组构成了管控策略的基础。
只具有一个属性值的属性称为单值属性,例如某个主体的地址只可能固定在一个地方,同时具有两个及两个以上属性值的属性成为多值属性,例如某网页服务的语言属性包含简体中文、英文、维文、哈文等值。
对于一个特定的属性的取值除了数量上的分类外,还有一个层次上的划分,比如某个主体的所在地区是一个树形的层次,它由不同级别的行政划分组成。属性的不同取值具有内在的树形层次关系的属性称为树形取值,一个取值内的层次关系同过“.”进行分隔和表示,在层次关系上,“.”左侧的部分时右侧的父节点。相应的,属性取值内部各字段间没有层次关系的取值称为平面取值。
对于主体和客体属性,可以添加直接干预,也就是高级的领导,直接指定特定主体和客体的黑白名单,以此生成的管控策略具有最高优先级。
定义 4(管控策略Control Policies) 是对具有多维属性的主体集合与多维属性的客体集合之间的网络行为的管控描述,包括主体属性、客体属性、时间约束和执行行为。规定相同的主体和客体属性元组值只能有一种控制行为,即pass,reject或delay。
龙源期刊网 http://www.qikan.com.cn
CP = {cp1,cp2,···,cpn}
cp = [,< o_att1,o_att2,···,o_attj >,,]
定义 5(通道Enterclose) 是由管控策略生成的规则,是对具有多维属性的主体与的客体之间的网络行为的具体描述,当主体对客体发起访问时,系统根据对应的通道执行相应行动。 E = {e1,e2,···,en} e = [s_id,o_id,,act] 2.2 网络管控策略模型设计
管控者在制定管控策略时,首先配置的是自然语言,即管理哪些主体“who”,在什么时候“when”,对特定的客体“where”的访问可以执行什么操作“action”,而模型需要实现的是将这些自然语言集的关键元素,转换成管控系统可执行的规则。
本文在设计管控策略模型的时候,将执行过程分为四个步骤:第一步,将管控者输入到模型的每一条自然语言策略生成对应的模型语言策略形式;第二步,将模型中存储的策略分解成为“主体属性”、“客体属性”、“时间约束”和“执行行为”的各自集合;第三步,当模型确定好主体属性和客体属性的取值后,利用属性关联到主、客体集合的映射,投影出主、客体标识(ID)集合;第四步,将“主体标识(ID)集合”、“客体标识(ID)集合”、“时间约束”和“执行行为”四个元组组合成系统可明确执行的通道,从而实现管控的目的。根据以上执行过程,设定网络管控策略模型如图1所示。 3 策略执行
策略本身并不能被系统所执行,为了实现访问管控,生成最终的通道并被系统所执行才能达到管控的目的。因此,将策略转换成通道的过程显得尤为重要。 3.1 通道的生成
在确定主体标识时,利用策略中设定的主体属性对主体集合的映射,即在主体集合中选择满足策略属性限制的诸元组,记作
σa∧b∧...∧f (S)={t|t∈S∧a(t)=' true '∧b(t)='true'...∧f(t)='true'}
缺省的属性默认为空值?,得到新的符合要求的主体集合S?,再对S?中的主体标识进行投影获得符合设定需求的主体ID集合 Ds' =πID (S')
基于多维属性的网络管控策略
