【 摘 要 】 對網路上的各種訪問行為進行有效管控的關鍵是網路訪問管控策略。文章基於主體與客體的多維屬性,建立了網路管控策略模型,並對網路環境中的訪問行為進行例項分析,提出了策略生成通道方法,給出了衝突與冗餘的檢測方法。
【 關鍵詞 】 訪問行為;管控策略;多維屬性;通道
【 Abstract 】 The key to the behavior of a variety of access on the network for effective management and control of network access control policies. Based on the multidimensional subject and object attributes, established a network control policies model, and carries on the example analysis aim at the access behavior of network environment,proposed the method of policies generating enterclose, gives the conflict and redundancy detection methods.
【 Keywords 】 access behavior; control policies; multidimensional attributes;enterclose
1 引言
隨著網路資訊技術的飛速發展,網路資訊傳播的速度呈幾何方式增長,但與此同時,網路雙刃劍似的影響正在不斷凸顯,在各種各樣的意圖背後,大量不健康、不安全的資訊也被刻意地散播在網路世界中,要想保證在自由、平等地共享與互動網路資訊的前提下,創造一個安全、健康的網路環境,對網路兩端,即使用者和服務的網路行為進行管控是一個關鍵性問題,其核心便是定義一系列策略,通過策略產生允許或拒絕某級別的使用者對指定的服務進行訪問的行為準則。
本文基於多維屬性的網路行為建立管控模型及策略描述方法,並將其在具體應用中進行例項化分析。
2 基於多維屬性的管控策略建模
為更加嚴謹地描述網路訪問行為,本文將使用者和服務分別表述為主體和客體,管控判定是基於主客體具有的屬性,通過屬性來區分和標識不同型別的主體集合和客體集合,並基於主體、客體、時間約束和執行行為的統一建模,描述網路管控策略,使其具有靈活、可擴充套件的特點。
2.1 相關定義
為進行建模,首先對網路管控策略的各相關概念進行符號化定義。
定義 1(主體Subject) 是網路訪問行為的發起者,由主體標識和主體屬性組成。
S = {s1,s2,···,sn}
s =
主體標識(ID),它是一個字串,使用“TYPE_DETAIL”的格式構造,不超過128個位元組。包括主體的IP地址、ADSL賬號、MAC地址、身份證號以及定義的標籤。根據優先順序體系,選擇已有主體資訊中優先順序最高的生成主體標識(ID)。例如根據主體MAC生成的主體標識(ID)格式為“MAC_00:11:22:33:44:55:90”。
定義 2(客體Object) 是網路服務和資源的提供者,由客體標識和客體屬性組成。
O = {o1,o2,···,on}
o =
客體標識(ID),格式同主體標識。包括客體的URL、MAC地址和服務端IP地址以及定義的客體標籤。根據優先順序體系,選擇已有客體資訊中優先順序最高的生成客體標識(ID)。例如根據客體URL生成的客體標識(ID)格式“URL_”。
定義 3(屬性Attribute) 每個網際網路的主體和客體都具有若干屬性,每個屬性對應若干可列舉的屬性值組成的,這些若干屬性組成的元組構成了管控策略的基礎。
只具有一個屬性值的屬性稱為單值屬性,例如某個主體的地址只可能固定在一個地方,同時具有兩個及兩個以上屬性值的屬性成為多值屬性,例如某網頁服務的語言屬性包含簡體中文、英文、維文、哈文等值。
對於一個特定的屬性的取值除了數量上的分類外,還有一個層次上的劃分,比如某個主體的所在地區是一個樹形的層次,它由不同級別的行政劃分組成。屬性的不同取值具有內在的樹形層次關係的屬性稱為樹形取值,一個取值內的層次關係同過“.”進行分隔和表示,在層次關係上,“.”左側的部分時右側的父節點。相應的,屬性取值內部各欄位間沒有層次關係的取值稱為平面取值。
對於主體和客體屬性,可以新增直接干預,也就是高階的領導,直接指定特定主體和客體的黑白名單,以此生成的管控策略具有最高優先順序。
定義 4(管控策略Control Policies) 是對具有多維屬性的主體集合與多維屬性的客體集合之間的網路行為的管控描述,包括主體屬性、客體屬性、時間約束和執行行為。規定相同的主體和客體屬性元組值只能有一種控制行為,即pass,reject或delay。
CP = {cp1,cp2,···,cpn}
cp = [,< o_att1,o_att2,···,o_attj >,,]
定義 5(通道Enterclose) 是由管控策略生成的規則,是對具有多維屬性的主體與的客體之間的網路行為的具體描述,當主體對客體發起訪問時,系統根據對應的通道執行相應行動。
E = {e1,e2,···,en}
e = [s_id,o_id,,act]
2.2 網路管控策略模型設計
管控者在制定管控策略時,首先配置的是自然語言,即管理哪些主體“who”,在什麼時候“when”,對特定的客體“where”的訪問可以執行什麼操作“action”,而模型需要實現的是將這些自然語言集的關鍵元素,轉換成管控系統可執行的規則。
本文在設計管控策略模型的時候,將執行過程分為四個步驟:第一步,將管控者輸入到模型的每一條自然語言策略生成對應的模型語言策略形式;第二步,將模型中儲存的策略分解成為“主體屬性”、“客體屬性”、“時間約束”和“執行行為”的各自集合;第三步,當模型確定好主體屬性和客體屬性的取值後,利用屬性關聯到主、客體集合的對映,投影出主、客體標識(ID)集合;第四步,將“主體標識(ID)集合”、“客體標識(ID)集合”、“時間約束”和“執行行為”四個元組組合成系統可明確執行的通道,從而實現管控的目的。根據以上執行過程,設定網路管控策略模型如圖1所示。
3 策略執行
策略本身並不能被系統所執行,為了實現訪問管控,生成最終的通道並被 系統所執行才能達到管控的目的。因此,將策略轉換成通道的過程顯得尤為重要。
3.1 通道的生成
在確定主體標識時,利用策略中設定的主體屬性對主體集合的對映,即在主體集合中選擇滿足策略屬性限制的諸元組,記作
σa∧b∧...∧f (S)={t|t∈S∧a(t)=' true '∧b(t)='true'...∧f(t)='true'}
預設的屬性預設為空值?,得到新的符合要求的主體集合S’,再對S’中的主體標識進行投影獲得符合設定需求的主體ID集合
Ds' =πID (S')
同理,可得符合設定需求的客體ID集合
Bo' =πID (O')
將主體ID集合Ds' 、客體ID集合Bo' 、時間約束T以及執行行為act做笛卡兒積,若T沒有設定,則預設為永久生效,act的三個取值,pass,reject,delay分別表示允許訪問、拒絕訪問和延遲(將訪問請求交由專家模組進行人工判定),最後得到系統可執行的通道集合。
E=Ds' ×Bo' ×T ×act
值得注意的是,當設定的屬性在樹形結構中擁有子節點時,子節點對映的集合也應該包含在內,比如,當管控策略設定主體屬性location為“長沙”時,那麼“長沙”的.子節點“嶽麓區”、“開福區”、“芙蓉區”、“天心區”、“雨花區”、“望城區”、“瀏陽市”、“長沙縣”、“寧鄉縣”及其全部子節點都應計算在內。
1)實際應用
設有兩個主客體集合分別為表5、表6所示。其中,S_Location和O_Location的單值樹形的層級結構為圖2所示。
假設管控配置設定為,Location在Φ地區、信譽Credit取值為low的主體,對Location在?地區、語言為english、互動性為strong、主題歸類為sensitive的客體,在2015年3月4日0時至2015年3月7日0時的時間區間內,採取reject的訪問策略。
即CP = [,,<‘2015\3\24\0:0’ to="">,act = ‘reject’],那麼由策略中主客體設定屬性與資料庫中主客體集合進行對映,投影出符合條件的新的主客體ID集合Ds' = {b,c}, Bo' = {i},從而獲得最終的通道規則
E=Ds' ×Bo' ×T ×act =
[b,i,<‘2015 to="">, reject]
[c,i,<‘2015 to="">, reject]
2)樹形結構的資料儲存
在所有屬性的取值及儲存方式中,樹形結構是最為特殊的,因為涉及到包含與被包含關係,所以當策略設定好以後,如何更有效率地查詢下層節點和傳遞策略是十分需要研究的一個問題。
本文在結合當前比較普遍的資料儲存結構,兼顧系統需要實現快速上下查詢以便傳遞策略和衝突檢測的特點,採用樹的三叉連結串列表示法,即連結串列中節點的三個鏈域分別指向該節點的父親節點、第一個孩子節點和下一個兄弟節點,命名為parent域、firstchilid域和nextsibling域,其樹形圖如圖3所示,由此生成的儲存結構表如表7所示。
此連結串列的特點是,任意定位一個節點,可根據三個鏈域快速尋找其父親節點和所有子節點的生成樹。
3.2 衝突與冗餘檢測
策略的複雜性限制了管控執行的效果,策略庫中多條過濾策略以及生成的通道可能會導致策略或通道之間出現衝突或者冗餘現象。隨著通道數量的不斷增多,新增或者修改一條已經存在的策略,該策略生成通道後,出現衝突或者冗餘的概率便會增加。一個大型的管控系統可能包括很多條管控策略,這些策略是在不同時間由不同的管理員寫入,很可能出現衝突或者冗餘,那麼就需要管控者及時調整管控策略,而系統的任務就是迅速地檢測出存在的通道衝突,並反饋給管控者。
本文主要關注動態衝突,即考慮兩條通道em和en,如果兩者的主體與客體相同,執行行為不同,那麼通道em和en是衝突的;如果通道em的每一個域均與en的相應域相同,那麼通道em和en中存在冗餘。基於此,可對規則集合中的衝突與冗餘進行檢測與消解。
在E集合中,對em∈E,en∈E,如果{sm_id = sn_id}∧{om_id = on_id}∧{actionm ≠ actionn}∧{tm∧tn ≠?}成立,則通道em與通道en有衝突;如果{sm_id = sn_id}∧{om_id = on_id}∧{actionm = actionn}{tm∧tn ≠?}成立,則通道em與通道en存在冗餘。
4 實驗測試
為檢驗系統效果,在伺服器端設定一定數量的虛擬主客體ID,並賦予適當的多維屬性,根據事先設定的管控策略(在沒有通道匹配的情況下,預設資料訪問為通過),可以得到如圖4中的訪問記錄,可知管控系統正確執行了預設策略。
5 結束語
本文主要討論了在大規模網路中,基於多維屬性的網路管控策略模型,並通過以此生成的管控通道執行對網路訪問的管控。以網路訪問管控系統為應用背景,針對訪問者訪問Web服務,對多維屬性網路行為管控模型進行了例項化應用。以主體區域、主體信譽等級描述使用者屬性;客體區域、客體使用語言、客體的互動性、使用主題描述Web服務屬性,基於屬性定義了策略與通道。提出了通過管控策略,生成系統可以快速執行的通道集合的方法,把這種面向應用與邏輯的高層抽象策略生成管控系統可執行的通道,根據使用者資料庫和服務資料庫資訊,管控系統依據每條通道處理與之相匹配的資料包,同時給出了衝突與冗餘檢測方法。
依據本文提出的模型與策略可以實現基於多維屬性的網路訪問行為的管控,還可以對獲取的主體屬性與客體屬性作進一步擴充套件,因此該模型與策略具有良好的擴充套件性。下一步的工作,一是將對主客體屬性中的干預屬性機制進行完善,並在由此生成的通道中設定優先順序,從而達到更高階管理者進行干預管控的目的;二是對衝突檢測進行更深入的研究,應用到管控系統中來,並提出有效的系統消解的方法,以減少系統不必要的處理消耗。
參考文獻
[1] Agarwal S,Sprick ss control for semantic Web services [C]//Proceedings of the 1st International Conference on Web ington DC,USA:IEEE Conputer Society,2004:770-773