面向多域合作的安全策略分析與復合研究.pdf

1、基于Web的資源共享和系統(tǒng)互操作是組織間進行合作的重要形式，確保合作組織信息系統(tǒng)的安全是保證共享資源安全性的重要方面。訪問控制是確保信息系統(tǒng)安全的關鍵技術，通過約束訪問主體對被訪問客體的行為以保護共享信息和資源。在實際應用中，訪問控制依托安全策略來實施。安全策略是組織根據(jù)安全需求和業(yè)務目標制定的一系列涉及系統(tǒng)訪問的許可或禁止的規(guī)定。在面向多域合作的應用中，如何有效地分析和整合不同組織的安全策略，在確保組織信息系統(tǒng)安全的同時，提高協(xié)同工作

2、的效率，是一個至關重要的問題。 安全策略相似度是不同組織的安全策略，在訪問主體、被訪問客體或訪問行為等安全約束上的相似程度，它比較的是不同安全策略之間權限分配的共同點和不同點。將策略相似度分析作為策略比較的前期步驟，能過濾掉相似度低的安全策略，返回高相似度值的策略集合，以便于細粒度的策略分析或提高安全策略復合的效率。在多域合作環(huán)境中，不同組織的資源受各自訪問控制系統(tǒng)的保護，這就要求各組織在保護本地資源的同時，遵守其它組織的安全約

3、束。策略復合的目的，就是有機地集成不同組織的安全策略，從而構建一個安全互信的協(xié)同工作環(huán)境，提高組織之間權限分配的效率。在策略復合領域中，合作策略是不同安全策略中，相應屬性的相同屬性值構成的共性安全策略。合作策略關注的是策略的屬性復合，表達了合作組織之間共同的安全需求。對合作組織進行安全策略共性特征的抽取，以形成合作策略，能夠保證組織合作的公平性，使合作組織在更大程度上共享資源，從而提高合作的效率。 在多域合作環(huán)境中，每個合作組織

4、隸屬于不同的管理機構，獨立管理自己的資源和訪問控制，并依據(jù)本地的安全需求和業(yè)務目標來定義安全策略，從而導致了安全策略的異構性?；赪eb的多域合作環(huán)境通常使用XACML策略語言表示異構的訪問控制策略。XACML是國際標準化組織制定的基于Web的安全策略描述語言標準之一，提供了完整的訪問控制和授權系統(tǒng)標準，被廣泛應用于Web環(huán)境中的安全策略表達，本文所做工作都基于XACML語言描述。當前對策略相似度的研究主要基于相同的概念層次結構，并使用

5、相同的概念進行策略表達，沒有考慮概念層次結構的異構性，不能處理更為普遍的策略異構情況。在策略復合領域，現(xiàn)有的安全策略復合方法大多關注于決策方案的復合，較少關注策略屬性的復合，沒有從合作策略共性特征抽取的角度強調(diào)合作組織之間的公平性，提高組織合作的效率。針對這兩個問題，本文提出了異構安全策略相似度算法和安全策略共性特征抽取算法。本文主要工作和創(chuàng)新點如下： 在策略相似度分析方面，提出了異構安全策略相似度計算方法。算法首先通過語義映射

6、技術，判斷出不同安全策略中語義異構概念間的語義關系，并基于語義關系對異構概念層次結構進行結點合并?；诤喜⒑蟮母拍顚哟谓Y構，通過概念的語義層次距離和合并前后的語義位置變化來計算安全策略的相似度值。算法對概念層次結構的合并，不僅能消除概念之間的語義異構，計算更為普遍的異構安全策略相似度值，而且基于語義層次距離和語義位置的變化計算相似度值更符合概念之間的語義差異，能夠提高計算結果的準確性。在算法實驗中，本文選取不同的概念層次結構和安全策略實

7、例進行相似度計算，從而證明算法在運行效率上是可行的，在計算效果上能避免當前策略相似度研究中可能出現(xiàn)的相似度值相同的不準確現(xiàn)象。 在合作策略生成方面，提出了安全策略共性特征抽取算法。算法基于邏輯代數(shù)的形式進行安全策略表達，通過對安全規(guī)則的進一步范式分解和概念層次分解，獲得每個屬性只有單一屬性值的原子規(guī)則。安全策略的共性特征依據(jù)原子規(guī)則中相應屬性的屬性值交集進行抽取。對安全規(guī)則進行范式分解和概念層次分解不僅能實現(xiàn)策略的屬性復合，確保