基于多維屬性的網(wǎng)絡(luò)管控方法和技巧論文
【 摘 要 】 對網(wǎng)絡(luò)上的各種訪問行為進(jìn)行有效管控的關(guān)鍵是網(wǎng)絡(luò)訪問管控策略。文章基于主體與客體的多維屬性,建立了網(wǎng)絡(luò)管控策略模型,并對網(wǎng)絡(luò)環(huán)境中的訪問行為進(jìn)行實(shí)例分析,提出了策略生成通道方法,給出了沖突與冗余的檢測方法。
【 關(guān)鍵詞 】 訪問行為;管控策略;多維屬性;通道
【 Abstract 】 The key to the behavior of a variety of access on the network for effective management and control of network access control policies. Based on the multidimensional subject and object attributes, established a network control policies model, and carries on the example analysis aim at the access behavior of network environment,proposed the method of policies generating enterclose, gives the conflict and redundancy detection methods.
【 Keywords 】 access behavior; control policies; multidimensional attributes;enterclose
1 引言
隨著網(wǎng)絡(luò)信息技術(shù)的飛速發(fā)展,網(wǎng)絡(luò)信息傳播的速度呈幾何方式增長,但與此同時(shí),網(wǎng)絡(luò)雙刃劍似的影響正在不斷凸顯,在各種各樣的意圖背后,大量不健康、不安全的信息也被刻意地散播在網(wǎng)絡(luò)世界中,要想保證在自由、平等地共享與交互網(wǎng)絡(luò)信息的前提下,創(chuàng)造一個(gè)安全、健康的網(wǎng)絡(luò)環(huán)境,對網(wǎng)絡(luò)兩端,即用戶和服務(wù)的網(wǎng)絡(luò)行為進(jìn)行管控是一個(gè)關(guān)鍵性問題,其核心便是定義一系列策略,通過策略產(chǎn)生允許或拒絕某級別的用戶對指定的服務(wù)進(jìn)行訪問的行為準(zhǔn)則。
本文基于多維屬性的網(wǎng)絡(luò)行為建立管控模型及策略描述方法,并將其在具體應(yīng)用中進(jìn)行實(shí)例化分析。
2 基于多維屬性的管控策略建模
為更加嚴(yán)謹(jǐn)?shù)孛枋鼍W(wǎng)絡(luò)訪問行為,本文將用戶和服務(wù)分別表述為主體和客體,管控判定是基于主客體具有的屬性,通過屬性來區(qū)分和標(biāo)識不同類型的主體集合和客體集合,并基于主體、客體、時(shí)間約束和執(zhí)行行為的統(tǒng)一建模,描述網(wǎng)絡(luò)管控策略,使其具有靈活、可擴(kuò)展的特點(diǎn)。
2.1 相關(guān)定義
為進(jìn)行建模,首先對網(wǎng)絡(luò)管控策略的各相關(guān)概念進(jìn)行符號化定義。
定義 1(主體Subject) 是網(wǎng)絡(luò)訪問行為的發(fā)起者,由主體標(biāo)識和主體屬性組成。
S = {s1,s2,···,sn}
s =
主體標(biāo)識(ID),它是一個(gè)字符串,使用“TYPE_DETAIL”的格式構(gòu)造,不超過128個(gè)字節(jié)。包括主體的IP地址、ADSL賬號、MAC地址、身份證號以及定義的標(biāo)簽。根據(jù)優(yōu)先級體系,選擇已有主體信息中優(yōu)先級最高的生成主體標(biāo)識(ID)。例如根據(jù)主體MAC生成的主體標(biāo)識(ID)格式為“MAC_00:11:22:33:44:55:90”。
定義 2(客體Object) 是網(wǎng)絡(luò)服務(wù)和資源的提供者,由客體標(biāo)識和客體屬性組成。
O = {o1,o2,···,on}
o =
客體標(biāo)識(ID),格式同主體標(biāo)識。包括客體的URL、MAC地址和服務(wù)端IP地址以及定義的客體標(biāo)簽。根據(jù)優(yōu)先級體系,選擇已有客體信息中優(yōu)先級最高的生成客體標(biāo)識(ID)。例如根據(jù)客體URL生成的客體標(biāo)識(ID)格式“URL_www.sina.com.cn/game.html”。
定義 3(屬性Attribute) 每個(gè)互聯(lián)網(wǎng)的主體和客體都具有若干屬性,每個(gè)屬性對應(yīng)若干可枚舉的屬性值組成的,這些若干屬性組成的元組構(gòu)成了管控策略的基礎(chǔ)。
只具有一個(gè)屬性值的屬性稱為單值屬性,例如某個(gè)主體的地址只可能固定在一個(gè)地方,同時(shí)具有兩個(gè)及兩個(gè)以上屬性值的屬性成為多值屬性,例如某網(wǎng)頁服務(wù)的語言屬性包含簡體中文、英文、維文、哈文等值。
對于一個(gè)特定的屬性的取值除了數(shù)量上的分類外,還有一個(gè)層次上的劃分,比如某個(gè)主體的所在地區(qū)是一個(gè)樹形的層次,它由不同級別的行政劃分組成。屬性的不同取值具有內(nèi)在的樹形層次關(guān)系的屬性稱為樹形取值,一個(gè)取值內(nèi)的層次關(guān)系同過“.”進(jìn)行分隔和表示,在層次關(guān)系上,“.”左側(cè)的部分時(shí)右側(cè)的父節(jié)點(diǎn)。相應(yīng)的,屬性取值內(nèi)部各字段間沒有層次關(guān)系的取值稱為平面取值。
對于主體和客體屬性,可以添加直接干預(yù),也就是高級的領(lǐng)導(dǎo),直接指定特定主體和客體的黑白名單,以此生成的管控策略具有最高優(yōu)先級。
定義 4(管控策略Control Policies) 是對具有多維屬性的主體集合與多維屬性的客體集合之間的網(wǎng)絡(luò)行為的管控描述,包括主體屬性、客體屬性、時(shí)間約束和執(zhí)行行為。規(guī)定相同的主體和客體屬性元組值只能有一種控制行為,即pass,reject或delay。
CP = {cp1,cp2,···,cpn}
cp = [,< o_att1,o_att2,···,o_attj >,,]
定義 5(通道Enterclose) 是由管控策略生成的規(guī)則,是對具有多維屬性的主體與的客體之間的網(wǎng)絡(luò)行為的具體描述,當(dāng)主體對客體發(fā)起訪問時(shí),系統(tǒng)根據(jù)對應(yīng)的通道執(zhí)行相應(yīng)行動。
E = {e1,e2,···,en}
e = [s_id,o_id,,act]
2.2 網(wǎng)絡(luò)管控策略模型設(shè)計(jì)
管控者在制定管控策略時(shí),首先配置的是自然語言,即管理哪些主體“who”,在什么時(shí)候“when”,對特定的客體“where”的訪問可以執(zhí)行什么操作“action”,而模型需要實(shí)現(xiàn)的是將這些自然語言集的關(guān)鍵元素,轉(zhuǎn)換成管控系統(tǒng)可執(zhí)行的規(guī)則。
本文在設(shè)計(jì)管控策略模型的時(shí)候,將執(zhí)行過程分為四個(gè)步驟:第一步,將管控者輸入到模型的每一條自然語言策略生成對應(yīng)的模型語言策略形式;第二步,將模型中存儲的策略分解成為“主體屬性”、“客體屬性”、“時(shí)間約束”和“執(zhí)行行為”的各自集合;第三步,當(dāng)模型確定好主體屬性和客體屬性的取值后,利用屬性關(guān)聯(lián)到主、客體集合的映射,投影出主、客體標(biāo)識(ID)集合;第四步,將“主體標(biāo)識(ID)集合”、“客體標(biāo)識(ID)集合”、“時(shí)間約束”和“執(zhí)行行為”四個(gè)元組組合成系統(tǒng)可明確執(zhí)行的通道,從而實(shí)現(xiàn)管控的目的。根據(jù)以上執(zhí)行過程,設(shè)定網(wǎng)絡(luò)管控策略模型如圖1所示。
3 策略執(zhí)行
策略本身并不能被系統(tǒng)所執(zhí)行,為了實(shí)現(xiàn)訪問管控,生成最終的通道并被 系統(tǒng)所執(zhí)行才能達(dá)到管控的目的。因此,將策略轉(zhuǎn)換成通道的過程顯得尤為重要。
3.1 通道的生成
在確定主體標(biāo)識時(shí),利用策略中設(shè)定的主體屬性對主體集合的映射,即在主體集合中選擇滿足策略屬性限制的諸元組,記作
σa∧b∧...∧f (S)={t|t∈S∧a(t)=' true '∧b(t)='true'...∧f(t)='true'}
缺省的屬性默認(rèn)為空值?,得到新的符合要求的主體集合S’,再對S’中的主體標(biāo)識進(jìn)行投影獲得符合設(shè)定需求的主體ID集合
Ds' =πID (S')
同理,可得符合設(shè)定需求的客體ID集合
Bo' =πID (O')
將主體ID集合Ds' 、客體ID集合Bo' 、時(shí)間約束T以及執(zhí)行行為act做笛卡兒積,若T沒有設(shè)置,則默認(rèn)為永久生效,act的三個(gè)取值,pass,reject,delay分別表示允許訪問、拒絕訪問和延遲(將訪問請求交由專家模塊進(jìn)行人工判定),最后得到系統(tǒng)可執(zhí)行的通道集合。
E=Ds' ×Bo' ×T ×act
值得注意的是,當(dāng)設(shè)定的屬性在樹形結(jié)構(gòu)中擁有子節(jié)點(diǎn)時(shí),子節(jié)點(diǎn)映射的集合也應(yīng)該包含在內(nèi),比如,當(dāng)管控策略設(shè)置主體屬性location為“長沙”時(shí),那么“長沙”的.子節(jié)點(diǎn)“岳麓區(qū)”、“開福區(qū)”、“芙蓉區(qū)”、“天心區(qū)”、“雨花區(qū)”、“望城區(qū)”、“瀏陽市”、“長沙縣”、“寧鄉(xiāng)縣”及其全部子節(jié)點(diǎn)都應(yīng)計(jì)算在內(nèi)。
1)實(shí)際應(yīng)用
設(shè)有兩個(gè)主客體集合分別為表5、表6所示。其中,S_Location和O_Location的單值樹形的層級結(jié)構(gòu)為圖2所示。
假設(shè)管控配置設(shè)定為,Location在Φ地區(qū)、信譽(yù)Credit取值為low的主體,對Location在?地區(qū)、語言為english、交互性為strong、主題歸類為sensitive的客體,在2015年3月4日0時(shí)至2015年3月7日0時(shí)的時(shí)間區(qū)間內(nèi),采取reject的訪問策略。
即CP = [,,<‘2015\3\24\0:0’ to="">,act = ‘reject’],那么由策略中主客體設(shè)定屬性與數(shù)據(jù)庫中主客體集合進(jìn)行映射,投影出符合條件的新的主客體ID集合Ds' = {b,c}, Bo' = {i},從而獲得最終的通道規(guī)則
E=Ds' ×Bo' ×T ×act =
[b,i,<‘2015 to="">, reject]
[c,i,<‘2015 to="">, reject]
2)樹形結(jié)構(gòu)的數(shù)據(jù)存儲
在所有屬性的取值及存儲方式中,樹形結(jié)構(gòu)是最為特殊的,因?yàn)樯婕暗桨c被包含關(guān)系,所以當(dāng)策略設(shè)定好以后,如何更有效率地查找下層節(jié)點(diǎn)和傳遞策略是十分需要研究的一個(gè)問題。
本文在結(jié)合當(dāng)前比較普遍的數(shù)據(jù)存儲結(jié)構(gòu),兼顧系統(tǒng)需要實(shí)現(xiàn)快速上下查找以便傳遞策略和沖突檢測的特點(diǎn),采用樹的三叉鏈表表示法,即鏈表中節(jié)點(diǎn)的三個(gè)鏈域分別指向該節(jié)點(diǎn)的父親節(jié)點(diǎn)、第一個(gè)孩子節(jié)點(diǎn)和下一個(gè)兄弟節(jié)點(diǎn),命名為parent域、firstchilid域和nextsibling域,其樹形圖如圖3所示,由此生成的存儲結(jié)構(gòu)表如表7所示。
此鏈表的特點(diǎn)是,任意定位一個(gè)節(jié)點(diǎn),可根據(jù)三個(gè)鏈域快速尋找其父親節(jié)點(diǎn)和所有子節(jié)點(diǎn)的生成樹。
3.2 沖突與冗余檢測
策略的復(fù)雜性限制了管控執(zhí)行的效果,策略庫中多條過濾策略以及生成的通道可能會導(dǎo)致策略或通道之間出現(xiàn)沖突或者冗余現(xiàn)象。隨著通道數(shù)量的不斷增多,添加或者修改一條已經(jīng)存在的策略,該策略生成通道后,出現(xiàn)沖突或者冗余的概率便會增加。一個(gè)大型的管控系統(tǒng)可能包括很多條管控策略,這些策略是在不同時(shí)間由不同的管理員寫入,很可能出現(xiàn)沖突或者冗余,那么就需要管控者及時(shí)調(diào)整管控策略,而系統(tǒng)的任務(wù)就是迅速地檢測出存在的通道沖突,并反饋給管控者。
本文主要關(guān)注動態(tài)沖突,即考慮兩條通道em和en,如果兩者的主體與客體相同,執(zhí)行行為不同,那么通道em和en是沖突的;如果通道em的每一個(gè)域均與en的相應(yīng)域相同,那么通道em和en中存在冗余。基于此,可對規(guī)則集合中的沖突與冗余進(jìn)行檢測與消解。
在E集合中,對em∈E,en∈E,如果{sm_id = sn_id}∧{om_id = on_id}∧{actionm ≠ actionn}∧{tm∧tn ≠?}成立,則通道em與通道en有沖突;如果{sm_id = sn_id}∧{om_id = on_id}∧{actionm = actionn}{tm∧tn ≠?}成立,則通道em與通道en存在冗余。
4 實(shí)驗(yàn)測試
為檢驗(yàn)系統(tǒng)效果,在服務(wù)器端設(shè)置一定數(shù)量的虛擬主客體ID,并賦予適當(dāng)?shù)亩嗑S屬性,根據(jù)事先設(shè)定的管控策略(在沒有通道匹配的情況下,默認(rèn)數(shù)據(jù)訪問為通過),可以得到如圖4中的訪問記錄,可知管控系統(tǒng)正確執(zhí)行了預(yù)設(shè)策略。
5 結(jié)束語
本文主要討論了在大規(guī)模網(wǎng)絡(luò)中,基于多維屬性的網(wǎng)絡(luò)管控策略模型,并通過以此生成的管控通道執(zhí)行對網(wǎng)絡(luò)訪問的管控。以網(wǎng)絡(luò)訪問管控系統(tǒng)為應(yīng)用背景,針對訪問者訪問Web服務(wù),對多維屬性網(wǎng)絡(luò)行為管控模型進(jìn)行了實(shí)例化應(yīng)用。以主體區(qū)域、主體信譽(yù)等級描述用戶屬性;客體區(qū)域、客體使用語言、客體的交互性、使用主題描述Web服務(wù)屬性,基于屬性定義了策略與通道。提出了通過管控策略,生成系統(tǒng)可以快速執(zhí)行的通道集合的方法,把這種面向應(yīng)用與邏輯的高層抽象策略生成管控系統(tǒng)可執(zhí)行的通道,根據(jù)用戶數(shù)據(jù)庫和服務(wù)數(shù)據(jù)庫信息,管控系統(tǒng)依據(jù)每條通道處理與之相匹配的數(shù)據(jù)包,同時(shí)給出了沖突與冗余檢測方法。
依據(jù)本文提出的模型與策略可以實(shí)現(xiàn)基于多維屬性的網(wǎng)絡(luò)訪問行為的管控,還可以對獲取的主體屬性與客體屬性作進(jìn)一步擴(kuò)展,因此該模型與策略具有良好的擴(kuò)展性。下一步的工作,一是將對主客體屬性中的干預(yù)屬性機(jī)制進(jìn)行完善,并在由此生成的通道中設(shè)置優(yōu)先級,從而達(dá)到更高級管理者進(jìn)行干預(yù)管控的目的;二是對沖突檢測進(jìn)行更深入的研究,應(yīng)用到管控系統(tǒng)中來,并提出有效的系統(tǒng)消解的方法,以減少系統(tǒng)不必要的處理消耗。
參考文獻(xiàn)
[1] Agarwal S,Sprick B.Access control for semantic Web services [C]//Proceedings of the 1st International Conference on Web Services.Washington DC,USA:IEEE Conputer Society,2004:770-773
【基于多維屬性的網(wǎng)絡(luò)管控方法和技巧論文】相關(guān)文章:
1.網(wǎng)絡(luò)會計(jì)體系內(nèi)部管控思索論文
2.基于加強(qiáng)財(cái)務(wù)風(fēng)險(xiǎn)管控措施探究的分析探討論文