基于Or―BAC 模型的计算机网络防御策略模型构建
开篇:润墨网以专业的文秘视角,为您筛选了一篇基于Or―BAC 模型的计算机网络防御策略模型构建范文,如需获取更多写作素材,在线客服老师一对一协助。欢迎您的阅读与分享!
摘 要:本文拓展了Or-BAC模型,克服了原有的缺陷,并构建了不同实体类型间的关系,根据自动分配方法,构建了CNDPM 模型。
关键词:Or-BAC CNDPM 计算机网络 防御
近几年来,由于计算机技术的快速发展,网络信息的安全变得更加重要,计算机网络防御策略与技术必须不断进行完善。计算机网络防御是计算机攻防演练阶段以及对抗阶段中较重要的构成部分。根据现阶段的研究与实践,目前还没有可以对计算机网络防御策略模型的构造方法进行具体实施的方法。所以,计算机网络防御策略模型进行具体研究的作用与现实意义重大。
一、计算机网络防御策略概述
计算机网络防御主要是指为了实施某个具体网络与系统的安全目标,计算机网络或信息系统根据具体条件应用的相应防御措施的规则。计算机网络防御将采取大量合适的措施对来自网络的攻击进行化解。当计算机系统处在网络环境或是大规模的网络环境下时,其网络防御策略也相对更复杂。若是通过人工对这些措施进行配置则较复杂,出现错误与配置的几率均较低。要是将防御策略使用计算机进行配置,便可以准确、自动、高效的对其实施配置与部署,还可以在多种模式下的计算机系统应用,均具有较高的延展性与灵活性。
网络防御的关键与核心主要是采取策略进行计算机防御,策略能够高效的对计算机的多种信息与网络安全进行开展、实施,这便是PPDR的模型思想。PPDR模型中的策略力度若是太大,便很难建立以策略为基础的防御体系。根据这个特点,策略模型将通过目标与措施的方式进行展现,但目前还没有创建较具体的实施措施与体制,还具有兼容性不强与层次不清晰的缺点。所以,计算机网络防御策略模型的实施、分析与研究均较重要。
本文将拓展Or-BAC模型( Organization Based Access Control mode l),克服Or-BAC模型存在的缺陷,构建基于Or-bac模型的计算机网络防御策略模型( CNDPM, Computer Net work Defense Policy Model)。通过扩展可以对策略的统一建模进行保护、响应与检测,还可以详细到具体的规则,例如防火墙的ACL列表、IDS检测规则等为计算机网络防御提供使用的配置等等。
二、计算机网络防御策略
1.组织
CNDPM模型中,组织是最基本的概念。组织是将组成部分或者不同组成部分有序联系在一起的各个部分的集合。例如机房、计算机网络等均属于组织范畴。
2.主客体、角色及视图关系
主体可直接对客体进行相关操作,是引起计算机中信息流动或者使不同主客体之间系统状态发生变化的实体,主体具有主动特性。
主体可表示为:
SUBJECT::= {e| e∈ENTITY,Operational(e)∧Active(e)}(1)
表达式(1)中,Active(e)表征实体的主被动性特征;Operational(e)则表示实体则表示实体e 是否可操作。
主体的两种基本形式是用户和节点。用户名和口令是用户最明显的特征,而节点则包含节点名、掩码与IP等组成部分。
角色是具有某些共同特征的主体集合,不同角色与不同程度的权限及职责之间挂钩,形成有机联系。本文为表示角色的特性,采用如下表达式表征:
ROLE::={s|Own(s,ch)∧(Relate(ch,obligation)∨Relate(ch,right)),ch∈CHARSCTER,s∈SUBJECT,right∈RIGHT,obligation∈OBLIGATION} (2)
表达式(2)中,Own(s,ch)表示主体(s)具有的特征(ch);Relate(ch,right)表示角色特征(ch)与角色权限(right)之间的关系;Relate(ch,obligation)表示角色特征(ch)与角色职责(obligation)之间的关系。
由于角色r是组织org中的基本组成部分,所以为表示两者之间的关系,本文采用如下表达式,记为:
Relate(r,org) (3)
从上述表达式(1)(2)(3)可知,主体和角色之间的关系是成员关系,主体在角色中的主要分配方式可分为隐式定义和显式分配两种。但是,主体在org模型中通常仅只有显式分配一种。笔者现对显式分配进行详细阐述。
显式分配过程中,主体归属角色类型的方式主要为列举法。组织org支配主体s,并建立角色r与主体s之间的关系。组织org,主体s以及角色r之间的显式分配记为:
Employ(org,s)∧ As(s,r) (4)
由于在显式分配过程中,组织org和主体s之间的雇佣关系(Employ),主体s和角色r之间的匹配关系(As),两种关系同时出现的频率极高,所以通常情况可将表达式(4)调整为如下表达式:
EmployAs(org,s,r) (5)
表达式(5)枚举时,需手动传入枚举值域,不仅有较高的误差范围,而且比较麻烦。为了解决表达式(5)存在的缺陷,本文直接引入角色类型,实现角色和主体间的主动分配。
客体包含的对象很多,如服务、文件、操作系统、节点等。客体受主体直接调配,是信息的接收者,具有被动性特征。若具有相同特征的客体集合在一起,则组成视图。视图表达式记为:
VIEW::={o|ch∈CHARACTER,Own(o,ch),o∈OBJECT} (6)
网络节点既可以是主体,也可以是客体。如果采用R表示视图的自动分配规则,那么Use(org,o)∧ Define(v,ch)Own(o ,ch)∧UseAs(org,o ,v)。
三、 拓展Or-BAC策略模型
为克服Or-BAC模型现有缺陷,本文以Or-BAC模型为基础,将策略形式描述为6元组,记为:
POLICY: : = < org, r, a, v, c, m > (7)
表达式(7)中,org∈ORG;r∈ROLE;a∈ACTIVITY;v∈VIEW;c∈CONTEXT;m∈MEASURE。其中F:OBG×R×A×V×CM 表示策略里各个实体之间的偏函数关系。
主体直接或者间接判断客体动作的响应声明,即为具体规则。所以,将规则形式化描述为与策略形式类似的5元组,记为:
RULE::= (8)
表达式(8)中,m是组织org中客体o所接受的动作应用。
在上述策略形式化中,若上下文CONTEXT拥有主体s,s来自受雇用作角色r,客体o用作视图v。
因此,整个活动过程中基于Or-BAC模型的计算机网络防御策略措施m可用RD表示,记为:
p(p=
从上述分析可知,尽管CNDPM模型存在多种实体类型及关系,但是实现防御策略主要途径是建立规则实体与策略间的联系。
参考文献:
[1]夏春和,魏玉娣,李肖坚,等.计算机网络防御策略模型.北京航空航天大学学报,2008(8)
[2]程相然,陈性元,张斌,等.基于属性的访问控制策略模型.计算机工程,2010(15)
[3]汪靖,林植.基于策略的安全模型研究.电脑学习,2010(2)
[4]熊群毓.计算机网络防御策略模型探析.信息通信,2012(4)