基于多维属性的网络管控方法和技巧论文
【 摘 要 】 对网络上的各种访问行为进行有效管控的关键是网络访问管控策略。文章基于主体与客体的多维属性,建立了网络管控策略模型,并对网络环境中的访问行为进行实例分析,提出了策略生成通道方法,给出了冲突与冗余的检测方法。
【 关键词 】 访问行为;管控策略;多维属性;通道
【 Abstract 】 The key to the behavior of a variety of access on the network for effective management and control of network access control policies. Based on the multidimensional subject and object attributes, established a network control policies model, and carries on the example analysis aim at the access behavior of network environment,proposed the method of policies generating enterclose, gives the conflict and redundancy detection methods.
【 Keywords 】 access behavior; control policies; multidimensional attributes;enterclose
1 引言
随着网络信息技术的飞速发展,网络信息传播的速度呈几何方式增长,但与此同时,网络双刃剑似的影响正在不断凸显,在各种各样的意图背后,大量不健康、不安全的信息也被刻意地散播在网络世界中,要想保证在自由、平等地共享与交互网络信息的前提下,创造一个安全、健康的网络环境,对网络两端,即用户和服务的网络行为进行管控是一个关键性问题,其核心便是定义一系列策略,通过策略产生允许或拒绝某级别的用户对指定的服务进行访问的行为准则。
本文基于多维属性的网络行为建立管控模型及策略描述方法,并将其在具体应用中进行实例化分析。
2 基于多维属性的管控策略建模
为更加严谨地描述网络访问行为,本文将用户和服务分别表述为主体和客体,管控判定是基于主客体具有的属性,通过属性来区分和标识不同类型的主体集合和客体集合,并基于主体、客体、时间约束和执行行为的统一建模,描述网络管控策略,使其具有灵活、可扩展的特点。
2.1 相关定义
为进行建模,首先对网络管控策略的各相关概念进行符号化定义。
定义 1(主体Subject) 是网络访问行为的发起者,由主体标识和主体属性组成。
S = {s1,s2,···,sn}
s =
主体标识(ID),它是一个字符串,使用“TYPE_DETAIL”的格式构造,不超过128个字节。包括主体的IP地址、ADSL账号、MAC地址、身份证号以及定义的标签。根据优先级体系,选择已有主体信息中优先级最高的生成主体标识(ID)。例如根据主体MAC生成的主体标识(ID)格式为“MAC_00:11:22:33:44:55:90”。
定义 2(客体Object) 是网络服务和资源的提供者,由客体标识和客体属性组成。
O = {o1,o2,···,on}
o =
客体标识(ID),格式同主体标识。包括客体的URL、MAC地址和服务端IP地址以及定义的客体标签。根据优先级体系,选择已有客体信息中优先级最高的生成客体标识(ID)。例如根据客体URL生成的客体标识(ID)格式“URL_www.sina.com.cn/game.html”。
定义 3(属性Attribute) 每个互联网的主体和客体都具有若干属性,每个属性对应若干可枚举的属性值组成的,这些若干属性组成的元组构成了管控策略的基础。
只具有一个属性值的属性称为单值属性,例如某个主体的地址只可能固定在一个地方,同时具有两个及两个以上属性值的属性成为多值属性,例如某网页服务的语言属性包含简体中文、英文、维文、哈文等值。
对于一个特定的属性的取值除了数量上的分类外,还有一个层次上的划分,比如某个主体的所在地区是一个树形的层次,它由不同级别的行政划分组成。属性的不同取值具有内在的树形层次关系的属性称为树形取值,一个取值内的层次关系同过“.”进行分隔和表示,在层次关系上,“.”左侧的部分时右侧的父节点。相应的,属性取值内部各字段间没有层次关系的取值称为平面取值。
对于主体和客体属性,可以添加直接干预,也就是高级的领导,直接指定特定主体和客体的黑白名单,以此生成的管控策略具有最高优先级。
定义 4(管控策略Control Policies) 是对具有多维属性的主体集合与多维属性的客体集合之间的网络行为的管控描述,包括主体属性、客体属性、时间约束和执行行为。规定相同的主体和客体属性元组值只能有一种控制行为,即pass,reject或delay。
CP = {cp1,cp2,···,cpn}
cp = [,< o_att1,o_att2,···,o_attj >,,]
定义 5(通道Enterclose) 是由管控策略生成的规则,是对具有多维属性的主体与的客体之间的网络行为的具体描述,当主体对客体发起访问时,系统根据对应的通道执行相应行动。
E = {e1,e2,···,en}
e = [s_id,o_id,,act]
2.2 网络管控策略模型设计
管控者在制定管控策略时,首先配置的是自然语言,即管理哪些主体“who”,在什么时候“when”,对特定的客体“where”的访问可以执行什么操作“action”,而模型需要实现的是将这些自然语言集的关键元素,转换成管控系统可执行的规则。
本文在设计管控策略模型的时候,将执行过程分为四个步骤:第一步,将管控者输入到模型的每一条自然语言策略生成对应的模型语言策略形式;第二步,将模型中存储的策略分解成为“主体属性”、“客体属性”、“时间约束”和“执行行为”的各自集合;第三步,当模型确定好主体属性和客体属性的取值后,利用属性关联到主、客体集合的映射,投影出主、客体标识(ID)集合;第四步,将“主体标识(ID)集合”、“客体标识(ID)集合”、“时间约束”和“执行行为”四个元组组合成系统可明确执行的通道,从而实现管控的目的。根据以上执行过程,设定网络管控策略模型如图1所示。
3 策略执行
策略本身并不能被系统所执行,为了实现访问管控,生成最终的通道并被 系统所执行才能达到管控的目的。因此,将策略转换成通道的过程显得尤为重要。
3.1 通道的生成
在确定主体标识时,利用策略中设定的主体属性对主体集合的映射,即在主体集合中选择满足策略属性限制的诸元组,记作
σa∧b∧...∧f (S)={t|t∈S∧a(t)=' true '∧b(t)='true'...∧f(t)='true'}
缺省的属性默认为空值?,得到新的符合要求的主体集合S’,再对S’中的主体标识进行投影获得符合设定需求的主体ID集合
Ds' =πID (S')
同理,可得符合设定需求的客体ID集合
Bo' =πID (O')
将主体ID集合Ds' 、客体ID集合Bo' 、时间约束T以及执行行为act做笛卡儿积,若T没有设置,则默认为永久生效,act的三个取值,pass,reject,delay分别表示允许访问、拒绝访问和延迟(将访问请求交由专家模块进行人工判定),最后得到系统可执行的通道集合。
E=Ds' ×Bo' ×T ×act
值得注意的是,当设定的属性在树形结构中拥有子节点时,子节点映射的集合也应该包含在内,比如,当管控策略设置主体属性location为“长沙”时,那么“长沙”的.子节点“岳麓区”、“开福区”、“芙蓉区”、“天心区”、“雨花区”、“望城区”、“浏阳市”、“长沙县”、“宁乡县”及其全部子节点都应计算在内。
1)实际应用
设有两个主客体集合分别为表5、表6所示。其中,S_Location和O_Location的单值树形的层级结构为图2所示。
假设管控配置设定为,Location在Φ地区、信誉Credit取值为low的主体,对Location在?地区、语言为english、交互性为strong、主题归类为sensitive的客体,在2015年3月4日0时至2015年3月7日0时的时间区间内,采取reject的访问策略。
即CP = [,,<‘2015\3\24\0:0’ to="">,act = ‘reject’],那么由策略中主客体设定属性与数据库中主客体集合进行映射,投影出符合条件的新的主客体ID集合Ds' = {b,c}, Bo' = {i},从而获得最终的通道规则
E=Ds' ×Bo' ×T ×act =
[b,i,<‘2015 to="">, reject]
[c,i,<‘2015 to="">, reject]
2)树形结构的数据存储
在所有属性的取值及存储方式中,树形结构是最为特殊的,因为涉及到包含与被包含关系,所以当策略设定好以后,如何更有效率地查找下层节点和传递策略是十分需要研究的一个问题。
本文在结合当前比较普遍的数据存储结构,兼顾系统需要实现快速上下查找以便传递策略和冲突检测的特点,采用树的三叉链表表示法,即链表中节点的三个链域分别指向该节点的父亲节点、第一个孩子节点和下一个兄弟节点,命名为parent域、firstchilid域和nextsibling域,其树形图如图3所示,由此生成的存储结构表如表7所示。
此链表的特点是,任意定位一个节点,可根据三个链域快速寻找其父亲节点和所有子节点的生成树。
3.2 冲突与冗余检测
策略的复杂性限制了管控执行的效果,策略库中多条过滤策略以及生成的通道可能会导致策略或通道之间出现冲突或者冗余现象。随着通道数量的不断增多,添加或者修改一条已经存在的策略,该策略生成通道后,出现冲突或者冗余的概率便会增加。一个大型的管控系统可能包括很多条管控策略,这些策略是在不同时间由不同的管理员写入,很可能出现冲突或者冗余,那么就需要管控者及时调整管控策略,而系统的任务就是迅速地检测出存在的通道冲突,并反馈给管控者。
本文主要关注动态冲突,即考虑两条通道em和en,如果两者的主体与客体相同,执行行为不同,那么通道em和en是冲突的;如果通道em的每一个域均与en的相应域相同,那么通道em和en中存在冗余。基于此,可对规则集合中的冲突与冗余进行检测与消解。
在E集合中,对em∈E,en∈E,如果{sm_id = sn_id}∧{om_id = on_id}∧{actionm ≠ actionn}∧{tm∧tn ≠?}成立,则通道em与通道en有冲突;如果{sm_id = sn_id}∧{om_id = on_id}∧{actionm = actionn}{tm∧tn ≠?}成立,则通道em与通道en存在冗余。
4 实验测试
为检验系统效果,在服务器端设置一定数量的虚拟主客体ID,并赋予适当的多维属性,根据事先设定的管控策略(在没有通道匹配的情况下,默认数据访问为通过),可以得到如图4中的访问记录,可知管控系统正确执行了预设策略。
5 结束语
本文主要讨论了在大规模网络中,基于多维属性的网络管控策略模型,并通过以此生成的管控通道执行对网络访问的管控。以网络访问管控系统为应用背景,针对访问者访问Web服务,对多维属性网络行为管控模型进行了实例化应用。以主体区域、主体信誉等级描述用户属性;客体区域、客体使用语言、客体的交互性、使用主题描述Web服务属性,基于属性定义了策略与通道。提出了通过管控策略,生成系统可以快速执行的通道集合的方法,把这种面向应用与逻辑的高层抽象策略生成管控系统可执行的通道,根据用户数据库和服务数据库信息,管控系统依据每条通道处理与之相匹配的数据包,同时给出了冲突与冗余检测方法。
依据本文提出的模型与策略可以实现基于多维属性的网络访问行为的管控,还可以对获取的主体属性与客体属性作进一步扩展,因此该模型与策略具有良好的扩展性。下一步的工作,一是将对主客体属性中的干预属性机制进行完善,并在由此生成的通道中设置优先级,从而达到更高级管理者进行干预管控的目的;二是对冲突检测进行更深入的研究,应用到管控系统中来,并提出有效的系统消解的方法,以减少系统不必要的处理消耗。
参考文献
[1] Agarwal S,Sprick B.Access control for semantic Web services [C]//Proceedings of the 1st International Conference on Web Services.Washington DC,USA:IEEE Conputer Society,2004:770-773
【基于多维属性的网络管控方法和技巧论文】相关文章: