网络安全教程 田园 第7章 分布式系统中的安全策略

(28页)

'网络安全教程 田园 第7章 分布式系统中的安全策略'
7.1 基本概念与P模型7.2 LGI模型7.3* 策略的组织结构:隶属关系模型7.4* 处理证书失效 从本质上讲,策略就是使一组对象为协同完成某项任务或达到某个目标,而必须共同遵循的行为规范(behavioral specification)。 对象指分布式系统中的任何功能实体:进程、线程、STREAMS模块、内核组件、运行时库、Java类/EJB组件等。 什么是分布式系统中的安全策略问题? 它不是要分别研究各个特定安全策略本身(特定安全策略的研究当然也是一个有重要意义的领域),而是研究在分布式系统中集成、实现、验证、维护安全策略的方法和技术。 这些方法和技术并非针对任何特定的安全策略,而是与策略无关的,或者说应追求最大限度的策略独立性。 需要实现策略独立性或称通用性的根本原因在于: (1)没有哪一种特定的安全策略可以满足所有情况,因此通用的方法研究和系统设计不应该也不可能依赖于任何一种特定的安全策略; (2)在系统的整个生命周期内,威胁形势是变化的,安全策略因此也必须是可变化、调整的,即安全策略集成到系统中的方式,必须是可更换和重用的; (3)一种或多种安全策略集成到系统中,能否达到系统的安全目标必须是可证实的,而这种正确性的证明既依赖于策略本身,也依赖于该策略与系统中其他组件的关系,包括静态的结构的关系和动态的相互作用的关系。 我们将分布式系统中集成安全策略的最重要的基本原则陈述如下。 (1)强制性原则,即策略的实施是不可绕过的。 (2)分布性原则。 (3)策略与其实施的机制相分离原则。 (4)渐进性原则。 定义7-1 一个P模型是一个5元组(P, A, S, M, E)。 P是策略集合,即一组显式表达的行为规范。 A是参与的对象的集合,每个对象有全局唯一的标识。 S是状态空间的族,即对每个对象x∈A, Sx是x的状态空间。 M是一组消息的集合。 E是一组事件。 P中的每项规范是一个映射πx:(e, s)→(s′,ψ), e是一个事件,s、s′∈Sx是状态,ψ=(a1,…,an)是一个有序组,每个aj是作用于状态空间Sx上的一个事务。πx的意义是:当事件e在对象x上发生、且x处于状态s时,其状态转移到s′,随后从状态s′出发,依序施行事务a1,…,an,最终转移到状态an…a1(s′),简记为ψ(s′)。ψ可以为空,这时候ψ(s′)=s′。7.2.1 基本概念与体系结构7.2.2 应用实例:中国长城策略7.2.3 应用实例:竞标审计策略 LGI是Law-Governed Interaction的英文缩写,即“策略制导的相互作用”。 7.2.1 基本概念与体系结构 我们在7.1节建立的P模型框架下讨论LGI模型。 除定义7-1中的元素外,LGI模型的对P模型的扩展由以下特殊元素描述。 状态空间上的原子操作(t表示构成谓词公式的一个项,如状态变量、一个命题表达式等)+ 将 加入状态空间。 t t 将 从状态空间中删除。?t t 用 代替 ,若 不存在则没有动作。t1←t2 t2 t1 t1 将项 的参量 的值增加 , 和 是整数类型。incr(t(v), d) t v d v d 将项 的参量 的值减少 , 和 是整数类型。dcr(t(v), d) t v d v d作用在消息上的操作 对象 向对象 转发消息 ,与下面的事件 不forward( x, m, y) x y m sent 同,这里x并非m的始发者,而称为m的名义发送 者。 对象 向本地的接收进程提交消息 , 是 的名deliver( x, m, y ) y m x m 义发送者。 从 当 前 时 刻 开 始 秒 后 在 本 地 触 发 由imposeObligation(<oper d e l t ( )定义的动ation>(*), delt ) obligationDue <operation> 作 。 因 此 在 一 个 策 略 中 , 对 每 个 带 不 同 参数的 子句, <operation> imposeObligation 都应该有一个带相应参数的 规 obligationDue 则存在。 撤销由 ( )定repealObligation(<oper obligationDue <operation>ation>) 义的未决的动作。事 件 对象 向对象 发送消息 ,为指明对sent(h, m, y) h y m 象y的直辖策略是Ly(直辖策略的概念 见 小节),也用 7.3.2 sent(h, m, 表示,这时也称 属于策略 [y, Ly]) y 域Ly或y的策略域是Ly。sent(h, m, [y, Ly]) 对 象 发 出 的 消 息 到 达 对 象 ,arrived(x, m, h) x m h 的含义与 arrived([x,Lx], m, h) 上面的 相同。 sent(h, m, [y, Ly]) arrived([x, Lx], m, h)obligationDue(<operat 本 地 定 时 事 件 , 见 上 面 关 于 的说明。ion>) imposeObligation()exception(<operation>, 本 地 异 常 事 件 , 若 本 地 对 象 在 执 行 操 作 时 发 生<failureCause>) < o p e r a t i o n > 所表示的错误,则 <failureCause> 该事件被触发。7.2.2 应用实例:中国长城策略 中国长城策略(Chinese-Wall Policy, CW策略)源自于金融交易。 /* 策略定义 */Preamble: policy CW_policy; /* 全局唯一的策略名*/ authority(admin, pubkey); /* 本策略认可的合法签名以admin持有的公钥pubkey验证 */ initialCS([]); /* 初始状态(空) *//* 事件响应规则 */Rules:R1: sent( U, request(C), S) :- ( companyPermit(C)@CS | belongsTo(C, Q), cliquePermit(Q)@CS ), do( forward );/* 若用户U被公司C或C所属的集团Q允许查询其交易信息,则允许发送该消息。*/ R2: arrived( U, request(C), S ) :- do( deliver ), do( +requested(C, U));/* 当访问请求到达时,向应用程序转交该消息,同时在本地空间中记录状态 requested(C, U),表示用户U已请求查询公司C的财务信息。*/R3: sent( S, response(C, Data), U) :- requested(C, U)@CS, do( -requested(C, U)), do( forward );/* 若用户U确实已发出对C的查询请求,则向U发送响应。*/R4: arrived( S, response(C, Data), U ) :- CompanyPermit(C)@CS, do(delivery);
关 键 词:
网络安全教程田园第7章分布式系统中的安全策略
 剑锋文库所有资源均是用户自行上传分享,仅供网友学习交流,未经上传用户书面授权,请勿作他用。
关于本文
本文标题:网络安全教程 田园 第7章 分布式系统中的安全策略
链接地址: //www.wenku365.com/p-43767712.html
关于我们 - 网站声明 - 网站地图 - 资源地图 - 友情链接 - 网站客服点击这里,给剑锋文库发消息,QQ:1290478887 - 联系我们

本站为“文档C2C交易模式”,即用户上传的文档直接卖给(下载)用户,本站只是中间服务平台,本站所有文档下载所得的收益归上传人(含作者)所有【成交的100%(原创)】。本站是网络服务平台方,若您的权利被侵害,侵权客服QQ:1290478887 欢迎举报。

1290478887@qq.com 2017-2027 //www.wenku365.com 网站版权所有

粤ICP备19057495号 

收起
展开