中小型網(wǎng)絡(luò)的網(wǎng)絡(luò)訪(fǎng)問(wèn)控制與安全管理的應(yīng)用設(shè)計(jì)

◆李會(huì)會(huì)

（江蘇建筑職業(yè)技術(shù)學(xué)院 徐州博泉科技有限公司 江蘇 221116）

中小型網(wǎng)絡(luò)的網(wǎng)絡(luò)訪(fǎng)問(wèn)控制與安全管理的應(yīng)用設(shè)計(jì)

◆李會(huì)會(huì)

（江蘇建筑職業(yè)技術(shù)學(xué)院 徐州博泉科技有限公司 江蘇 221116）

伴隨著網(wǎng)絡(luò)技術(shù)的快速發(fā)展，其應(yīng)用也在逐漸擴(kuò)大，但由于不同領(lǐng)域之間的協(xié)作逐漸增加，使得域間的資源共享越來(lái)越多，且安全性也在受到人們的廣泛關(guān)注。通過(guò)訪(fǎng)問(wèn)控制技術(shù)能夠?qū)Ψ欠ㄓ脩?hù)進(jìn)行限制，從而降低用戶(hù)資源的泄漏，保證系統(tǒng)的安全性。對(duì)于訪(fǎng)問(wèn)控制，其主要分為角色訪(fǎng)問(wèn)控制、自主訪(fǎng)問(wèn)控制和強(qiáng)制訪(fǎng)問(wèn)控制等，對(duì)于中小型網(wǎng)絡(luò)訪(fǎng)問(wèn)控制，當(dāng)前比較合適的是RBAC多域網(wǎng)絡(luò)訪(fǎng)問(wèn)控制技術(shù)，通過(guò)這種安全管理設(shè)計(jì)的應(yīng)用能夠滿(mǎn)足不同層次間的網(wǎng)絡(luò)訪(fǎng)問(wèn)需求，保證域間合作的安全性。

安全域；角色系統(tǒng)；安全策略

0 引言

伴隨著網(wǎng)絡(luò)技術(shù)的快速發(fā)展，不同領(lǐng)域和部門(mén)之間的合作也在逐漸增加，特別是電子商務(wù)和供應(yīng)鏈技術(shù)的發(fā)展，使得域間資源共享成為合作的主要模式，同時(shí)促進(jìn)了網(wǎng)絡(luò)系統(tǒng)的發(fā)展。對(duì)于多自治域，其是一種開(kāi)放獨(dú)立的分布式系統(tǒng)，其制定的管理策略是根據(jù)自身的特點(diǎn)而選擇的，因此，能夠?qū)崿F(xiàn)不同域之間的最大程度資源共享。但該技術(shù)的發(fā)展使得資源共享的危險(xiǎn)性增加，為了保證系統(tǒng)的安全運(yùn)行，需要加強(qiáng)網(wǎng)絡(luò)安全管理。

1 網(wǎng)絡(luò)訪(fǎng)問(wèn)控制技術(shù)

1.1 網(wǎng)絡(luò)訪(fǎng)問(wèn)控制技術(shù)內(nèi)容

對(duì)于訪(fǎng)問(wèn)控制技術(shù)，其是網(wǎng)絡(luò)安全防范的重要內(nèi)容，同時(shí)也是保證信息安全的重要技術(shù)。采用訪(fǎng)問(wèn)控制技術(shù)能夠從主體角度出發(fā)，對(duì)需要訪(fǎng)問(wèn)的資源進(jìn)行約束和限制，從而決定是否對(duì)獲得的資源進(jìn)行操作，一般情況下，訪(fǎng)問(wèn)控制主要有四部分內(nèi)容組成，首先是主體，其指的是訪(fǎng)問(wèn)行動(dòng)的發(fā)起者，同時(shí)也是引起信息流動(dòng)和系統(tǒng)狀態(tài)發(fā)生變化的起點(diǎn)，一般情況下指的是用戶(hù)或者設(shè)備等。然后是客體，其指的是信息或者接受信息的被動(dòng)型實(shí)體，主要內(nèi)容為文件或者網(wǎng)絡(luò)節(jié)點(diǎn)等。然后是訪(fǎng)問(wèn)模式，其指的是主體對(duì)客體的一種操作模式，比較常見(jiàn)的有讀、寫(xiě)和執(zhí)行等。最后是安全訪(fǎng)問(wèn)策略，通過(guò)制定對(duì)應(yīng)的范文控制安全規(guī)則，對(duì)主體的訪(fǎng)問(wèn)行為進(jìn)行控制，保證主體能夠?qū)腕w進(jìn)行訪(fǎng)問(wèn)，但不會(huì)受到客體的安全性威脅。

1.2 訪(fǎng)問(wèn)控制的策略

對(duì)于系統(tǒng)的安全策略，其視為對(duì)系統(tǒng)的安全進(jìn)行描述，從而制定能夠保證主體安全性的約束規(guī)則，對(duì)于這些規(guī)則，其能夠最大程度上對(duì)系統(tǒng)的安全性和機(jī)密性等進(jìn)行保護(hù)，比較常見(jiàn)的訪(fǎng)問(wèn)控制策略為自主訪(fǎng)問(wèn)控制和強(qiáng)制訪(fǎng)問(wèn)控制等，對(duì)于不同的訪(fǎng)問(wèn)控制策略，其應(yīng)用范圍具有較大的限制。

首先是自主訪(fǎng)問(wèn)控制，其指的是系統(tǒng)中的主體能夠通過(guò)自身的身份等對(duì)用戶(hù)滿(mǎn)足的客體進(jìn)行訪(fǎng)問(wèn)，像讀寫(xiě)等操作形式的訪(fǎng)問(wèn)，在這種控制策略中，主體具有去哪兒的自主權(quán)，能夠?qū)腕w的訪(fǎng)問(wèn)權(quán)限進(jìn)行決定。

然后是強(qiáng)制訪(fǎng)問(wèn)控制，對(duì)于這一種訪(fǎng)問(wèn)控制，其對(duì)主體和客體分別進(jìn)行了安全屬性的分配，當(dāng)主體要對(duì)客體進(jìn)行訪(fǎng)問(wèn)時(shí)，系統(tǒng)會(huì)對(duì)兩者之間的安全屬性進(jìn)行對(duì)比，若兩者之間不合適，則主體無(wú)法對(duì)客體進(jìn)行訪(fǎng)問(wèn)。

最后則是基于角色的訪(fǎng)問(wèn)控制，伴隨著網(wǎng)絡(luò)技術(shù)的快速發(fā)展，系統(tǒng)的規(guī)模也在逐漸增大，前兩種模式已經(jīng)無(wú)法滿(mǎn)足實(shí)際需求，為此衍生了一種基于角色的訪(fǎng)問(wèn)控制技術(shù)，這種技術(shù)將權(quán)限分配各不同的使用角色，通過(guò)這些角色，用戶(hù)能夠得到對(duì)應(yīng)角色的權(quán)限，這種模式使得用戶(hù)的安全性得到了提高。

2 安全策略管理

對(duì)于系統(tǒng)安全策略，其對(duì)系統(tǒng)運(yùn)行期間的各種行為進(jìn)行授權(quán)和非授權(quán)管理，也就是對(duì)允許和不允許發(fā)生的行為進(jìn)行判斷和處理。對(duì)于網(wǎng)絡(luò)訪(fǎng)問(wèn)控制新系統(tǒng)，其能夠通過(guò)該機(jī)制對(duì)安全域中的PDP和PEP進(jìn)行分開(kāi)，因此，這一種模式能夠有效提高系統(tǒng)的管理效率。對(duì)于安全策略管理來(lái)說(shuō)，其主要對(duì)以下幾點(diǎn)內(nèi)容進(jìn)行研究，分別是策略的描述和存儲(chǔ)。

2.1 安全策略的描述語(yǔ)言

對(duì)于中小型網(wǎng)絡(luò)訪(fǎng)問(wèn)控制，其主要是為了實(shí)現(xiàn)機(jī)密性和完整性等效果，為了實(shí)現(xiàn)這三種效果，需要通過(guò)認(rèn)證和訪(fǎng)問(wèn)控制等三種技術(shù)相互支撐。下面對(duì)比較常見(jiàn)的策略描述語(yǔ)言進(jìn)行了簡(jiǎn)單的介紹：

首先是SPL，這是一種事件驅(qū)動(dòng)，能夠支持訪(fǎng)問(wèn)控制和基于歷史等的策略。通過(guò)SPL將策略定義成類(lèi)，對(duì)于一條策略實(shí)例，其生成就代表著策略已經(jīng)被激活，因此，在SPL中對(duì)策略的生存周期沒(méi)有進(jìn)行控制，在SPL中，通過(guò)繼承機(jī)制對(duì)策略的重要性進(jìn)行了強(qiáng)化，通過(guò)這種策略的構(gòu)造方法能夠?qū)诮巧脑L(fǎng)問(wèn)控制進(jìn)行構(gòu)建和使用。

然后則是Ponder語(yǔ)言，其是一種說(shuō)明性的語(yǔ)言，主要是面向?qū)ο螅谶@種語(yǔ)言中，其能夠?qū)Ψ植际江h(huán)境下的安全策略等進(jìn)行描述。對(duì)于Ponder原因，其在使用時(shí)具有較強(qiáng)的擴(kuò)展性，能夠根據(jù)用戶(hù)的需求進(jìn)行相關(guān)策略類(lèi)型的擴(kuò)展，此外還能夠?qū)?yīng)用該策略的對(duì)象進(jìn)行分組處理，滿(mǎn)足人們的大規(guī)模策略規(guī)范需求。

2.2 安全策略的存儲(chǔ)

對(duì)于安全策略的存儲(chǔ)，其是中小型網(wǎng)絡(luò)訪(fǎng)問(wèn)控制中的重要內(nèi)容，對(duì)于中小型網(wǎng)絡(luò)，所有的安全域管理系統(tǒng)都具有一個(gè)單獨(dú)的數(shù)據(jù)存儲(chǔ)單元，另外，對(duì)于成管理之間的數(shù)據(jù)交換，使得數(shù)據(jù)存儲(chǔ)方式具有較高的要求，包括檢索能力和能夠提供對(duì)應(yīng)的數(shù)據(jù)安全訪(fǎng)問(wèn)機(jī)制等。

對(duì)于小型的訪(fǎng)問(wèn)控制域，其一般采用的是XML文件對(duì)其進(jìn)行存儲(chǔ)，同時(shí)通過(guò)提前存儲(chǔ)的策略文件對(duì)其進(jìn)行邏輯排序，而對(duì)于中性的訪(fǎng)問(wèn)控制系統(tǒng)，其復(fù)雜性有了明顯的提高，因此，其安全策略存儲(chǔ)方式往往采用的是目錄服務(wù)模式，這種模式的靈活性較強(qiáng)，且安全性較高。

3 中小型網(wǎng)絡(luò)的網(wǎng)絡(luò)訪(fǎng)問(wèn)控制系統(tǒng)設(shè)計(jì)