資源描述:
《基于動態(tài)規(guī)則的訪問控制型》由會員上傳分享,免費在線閱讀�����,更多相關(guān)內(nèi)容在教育資源-天天文庫�����。
1����、第28卷第11A期2007年11月通信學(xué)報JournalOilCommunications、b1.28No.1IANovember200r7基于動態(tài)規(guī)則的訪問控制模型黃河��,姚淑珍(北京航空航天大學(xué)軟件學(xué)院��,北京100083)‘摘要:提出一種適合內(nèi)部網(wǎng)絡(luò)環(huán)境下文檔安全防護的訪問控制模型����,引入動態(tài)規(guī)則以解決隱性信息泄露問題。模型的系統(tǒng)原型利用XACML(eXtensibleaccesscontrolmarkuplanguage)框架實現(xiàn)對機密文件的細粒度訪問控制�����,并通過動態(tài)規(guī)則實現(xiàn)對內(nèi)部人員主動泄密的防范�����。算法分析和場景模擬表明
2、模型可有效增強傳統(tǒng)訪問控制機制在防止內(nèi)部信息泄露方面的安全性��。關(guān)鍵詞:計算機網(wǎng)絡(luò)���;訪問控制�;安全系統(tǒng)�;XACML中圖分類號:TP393.08文獻標(biāo)識碼:A文章編號:1000-436X(2007)11A-0014-04AccesscontrolmodelbasedondynamicrulesHUANGHe,YAOSu-zhen(CoHcgeofSoftware��,BeijingUniversityofAeronauticsandAstronautics.Beijing100083���。China)Abstract:InordertO
3�����、counteracttheimplicitinformationleakageproblemscausedbyinegalinformationflowsininternalnetworkenvironment,anewaccesscontrolmodelsuitableforinsidedocumentprotectionWaSproposed��,whichintro-ducoddynamicrulesintotraditionalaCCeSScontrolandauthorizationmechanisms.Theimpl
4����、ementationoftheproposedmodelWaSbasedonXACML(eXtensibleaccesscontrolmarkuplanguage)anditsobligationcondition��,andthusthein-formationleakageprobleminmultipleusersenvironmentCanbeaddressed.Thealgorithmanalysisanditsscenariosimulationshowthatthesecuritycapabilityofthetr
5����、aditionalaccesscontrolmodelisenhancedthroughthetreatments.Keywords:computernetwork���;accesscontrol��;securitysystems�����;XACML1引言內(nèi)部機密信息泄露是危害國家安全的內(nèi)部威脅111的主要來源�,內(nèi)部機密文檔的安全控制近年來成為網(wǎng)絡(luò)安全領(lǐng)域的研究熱點之一���。在一個內(nèi)部網(wǎng)絡(luò)中���,往往存在多個用戶,他們具有存取各種不同機密文件的權(quán)限���。因此�,為了保證內(nèi)部信息的機密性和可用性�����,可以為機密文件建立文檔受控域,對機密度高的內(nèi)部文檔實行集中
6�����、管理��。這種情形下�����,多個用戶對多個文檔的交互操作可能引起“隱性信息泄露問題”�����。同時�,如果在內(nèi)部環(huán)境中建立了內(nèi)部威脅檢測機制,已檢測的內(nèi)部威脅應(yīng)該影響用戶對某些機密文檔的訪問控制能力���。即內(nèi)部網(wǎng)絡(luò)環(huán)境中,機密文檔的安全控制策略應(yīng)該具有一定的附加規(guī)則�,僅依靠傳統(tǒng)訪問控制模型[2-51中的訪問控制列表或訪問控制矩陣進行授權(quán)不足于保證內(nèi)部機密信息的安全性。針對內(nèi)部文檔的安全控制問題�����,文中提出一種基于動態(tài)規(guī)則的內(nèi)部文檔控制模型,在傳統(tǒng)的訪問控制和授權(quán)機制中引入動態(tài)規(guī)則��,防止多用戶環(huán)境下非法信息流產(chǎn)生的隱性信息泄露問題�,從而增強傳統(tǒng)訪問控制
7、機制的安全性����。收稿日期:2007.09.20基金項目:國防“十一五”基礎(chǔ)研究基金資助項目(A2120061061)FoundationItem:BasicResearchProjectSponsoredbyCommissionofScienceTechnologyandIndustry(A2120061061)第11A期黃河等:基于動態(tài)規(guī)則的訪問控制模型·15·2隱性信息泄露問題在描述基于動態(tài)規(guī)則的訪問控制模型之前,首先分析內(nèi)部網(wǎng)絡(luò)中由于多個用戶對多個文檔的操作而產(chǎn)生的隱性信息泄露問題���,它由多用戶環(huán)境下多個文檔之間的非法信息
8��、流引起��。假設(shè)某內(nèi)部網(wǎng)絡(luò)環(huán)境下有2個用戶S1和s2�����,3個文檔dl���、d2、d3,用戶對文檔的訪問權(quán)限通過訪問控制矩陣實現(xiàn)�,如表1所示。表1訪問控制矩陣訪問控制矩陣中���,用戶S1對文檔d3沒有訪問權(quán)限�����,S2對d2沒用訪問權(quán)限����。如圖1所示��,假設(shè)S1和S2按照以下順序?qū)ξ臋nd1�、d2、d3進行操作:1
