基于有向圖覆蓋關(guān)系的安全策略沖突檢測(cè)模型.pdf

1、目前基于策略的網(wǎng)絡(luò)安全管理應(yīng)用不斷深入，信息系統(tǒng)的信息安全及可信計(jì)算環(huán)境都依靠安全策略來(lái)管理、控制。聯(lián)網(wǎng)的信息系統(tǒng)一般是多域(稱(chēng)為自治域)的，每個(gè)域里要部署多種安全設(shè)施保障其安全。其中，保證作為其核心的安全策略的協(xié)同工作和一致性是實(shí)現(xiàn)多域信息的安全管理需要首先解決的問(wèn)題。因此，對(duì)安全策略的表示和對(duì)策略之間沖突的檢測(cè)和消解是實(shí)現(xiàn)統(tǒng)一的安全管理的首要目標(biāo)，也是基于策略的網(wǎng)絡(luò)安全應(yīng)用中的難點(diǎn)之一。 一般的，安全策略沖突產(chǎn)生的原因有兩方

2、面：一方面可能是人為造成的；一方面是其應(yīng)用必然產(chǎn)生的。對(duì)沖突的分析有兩個(gè)步驟：首先需要進(jìn)行沖突檢測(cè)，發(fā)現(xiàn)策略間的沖突點(diǎn)；然后對(duì)檢測(cè)出的沖突策略進(jìn)行沖突消解。本文重點(diǎn)是對(duì)安全策略沖突進(jìn)行檢測(cè)。 本文首先對(duì)已有的策略描述語(yǔ)言和基于其中兩種較典型的語(yǔ)言的策略處理框架進(jìn)行了介紹。然后討論了安全策略及其沖突的分類(lèi)。對(duì)已有典型的沖突檢測(cè)方法進(jìn)行了深入分析，比較了它們的處理過(guò)程中存在的優(yōu)勢(shì)和局限性。在此基礎(chǔ)上，定義了安全策略和策略沖突。

3、 本文在基于有向圖的沖突檢測(cè)模型的基礎(chǔ)上進(jìn)行了擴(kuò)展。通過(guò)定義了有向圖節(jié)點(diǎn)的覆蓋關(guān)系來(lái)表示策略對(duì)象間的關(guān)系，并對(duì)策略操作部分進(jìn)行有向圖關(guān)系的建模。又根據(jù)策略描述語(yǔ)言的表示結(jié)構(gòu)，將策略三元組的關(guān)系判斷擴(kuò)展到加入條件約束的四元組關(guān)系判斷。在進(jìn)行模態(tài)沖突判斷的時(shí)候，先判斷策略條件關(guān)系得到策略作用范圍的關(guān)系，然后再進(jìn)行三元組關(guān)系判斷。通過(guò)將策略三元組判斷擴(kuò)展到四元組后，雖然對(duì)策略的表達(dá)增加了一些限制，卻在一定程度上提高了策略沖突檢測(cè)的正確性和有