基于策略的安全模型研究

摘要：設計了一個基于策略的安全模型PMA(Policy Middleware Application)。PMA將安全管理目標及需求用形式化策略語言描述，實現了安全管理目標與應用技術的結合：借助中間件實施對安全模塊的管理，將系統業務邏輯與安全行為分離。增強了安全防護的靈活性和擴展性：借助基于事件狀態驅動的形式化分析方法，實現了基于策略的安全行為和狀態的控制。

關鍵詞：策略 安全模型 中間件 形式化描述 事件狀態管理

中圖分類號：TP393.08 文獻標識碼：A 文章編號：1002-2422(2010)02-0005-03

1 基于策略的安全應用現狀分析

1，1 P2DR模型

研究人員首先提出的安全策略模型是P2DR模型，即可適應網絡安全理論模型。P2DR模型在整體安全策略的控制和指導下，綜合運用防護工具的同時，利用檢測工具了解和評估系統的安全狀態，將系統調整到“最安全”和“風險最低”的狀態。從應用的角度看，P2DR只是一個安全的概念模型。提出了一個基于策略的安全框架，強調了策略的核心作用及策略與防護、檢測、響應的協調與配合。但P2DR并沒有明確策略的形式化描述和管理方法，作為一種自然語言描述的規則，策略不具有可計算性。同時，由于沒有明確防護、檢測和響應與系統運行狀態特征的關系，模型本身的可計算性不強。

1，2基于形式語言的安全策略應用

當前國外許多研究機構正致力于形式化策略語言和應用模型的研究。比較有代表性的是英國皇家學院的ponder策略語言、惠普研制的Rei等策略語言、微軟和IBM等聯合制定的security policy語言規范等。這些語言的應用模型基本上都是以IETF定義的策略管理框架為基礎，這個框架由策略管理工具(PMT)、策略存儲器(PR)、策略決策點(PDP)和策略執行點(PEP)組成。但IETF并沒有定義具體的策略應用方式和方法。

2 基于策略的安全防護模型的基本要求

針對安全策略應用研究中存在的問題，論文提出了基于策略的安全防護模型的基本要求。首先是要用形式化語言描述策略，實現管理與技術結合。其次，在一個合適的抽象層次上實現對系統對象的統一管理。最后，系統還必須將安全行為與應用邏輯分離，并及時監控系統運行狀態，使系統安全行為根據策略動態調整成為可能。

2，1管理與技術結合

盡管安全技術已發展很多年，但安全問題依然層出不窮。由于安全管理規范和方法作為一種自然語言，具有很高的抽象性，難以在系統中應用。因此，如何用技術手段來保證管理方法的有效實施是安全研究人員的夢想。作為一種行為規范，安全策略恰好解決了這個問題。根據IETF定義，安全策略是一組條件和行為的集合，如“if condition then action”。因此，將安全管理方法和安全需求等轉化為一組策略規則，用形式化方法描述策略，提高策略的可執行性是保證基于策略安全應用的一個重要前提。

2，2系統對象和行為的統一管理

在大型復雜分布式系統中，保持系統的配置、對象及行為等的一致性是確保系統安全的一個重要環節。但由于分布式環境中不同系統的實體、行為等各不相同，系統難以統一進行管理。同時，系統中實體對象在運行環境中的不確定性等因素也嚴重影響了系統行為的管理。采用基于策略的安全管理，通過形式化方法規范分布式環境中的實體和對象，可以方便的在分布式系統各個抽象層面上實施統一管理，保證了系統對象和行為管理的一致性。

2，3安全行為的動態管理

首先要明確安全行為與2，2節的系統行為是有一定區別的，2，2節的行為側重系統應用邏輯行為，本節的安全行為是保證系統應用邏輯正常實施的行為。實施安全策略的目標在于改變系統的安全行為，使系統在運行時從不安全狀態轉化為安全狀態。當前，大多數系統中的安全模塊與應用邏輯統一設計、統一編碼，系統的安全行為在設計編碼時就已固定，在運行時難以改變，這樣，即使良好的策略也不能發揮控制系統安全行為的效能。因此應用安全策略必須將安全行為與應用邏輯分開，實現安全行為的動態管理。

2，4基于策略的安全狀態控制

從狀態轉換模型的觀點來看，傳統的安全防護中安全行為狀態是固定的。安全研究和設計人員在確定安全目標后，圍繞這個目標組織安全行為和配置。如BLP模型是圍繞多級安全策略規范制定的重要模型，主要實現不同安全級別的對象間的訪問控制，但BLP模型的策略是固定不變的。基于策略的安全防護模型以策略為指南，按策略規范指導系統的安全行為。研究人員只要改變了策略，就能調整系統的安全狀態，使安全防護具有更大的靈活性和適應性。

3 PMA模型

針對安全策略應用要求，設計了基于策略的安全模型，如圖1所示。模型借助策略管理工具，實現了策略的形式化管理，保證了策略的可執行性。為了實現系統安全配置和行為的動態管理，模型引入了基于中間件的安全管理方法，借助組件技術將安全防護模塊與系統應用分離，使系統在運行時實施策略成為可能。同時，為了實現對系統實體、狀態和行為等的統一管理，模型引入了基于事件狀態驅動的系統管理方法。

模型的基本結構是以IETF定義的框架為基礎，除了策略管理工具、策略決策點、策略存儲器、策略執行點外，模型還增加了安全中間件管理單元，負責安全行為管理。

3，1策略管理

應用安全策略首先要制定相應的策略語言，對策略進行形式化描述。當前國外對策略描述語言進行了大量的研究，取得了相當的成果。如ponder策略描述語言、Rei策略語言等。由于XML語言的發展，當前很多研究人員傾向于利用XML語言描述策略。論文后面對策略的描述都采用XML語言描述。

策略的創建由PMT完成，并交給PDP，PDP根據系統運行環境特征進行決策，生成具體的行為規則，包括策略應用對象、執行條件、行為、觸發條件等。

在IETF策略定義的基礎上，將安全策略形式化描述如下：

Pohcy(name，target，condition，action，trigger)

其中，name是策略名，target是策略應用對象，condition是策略執行條件，action是策略執行動作，trigger是策略觸發事件。其中target、condition、trigger等對象在生成時以系統應用邏輯事件狀態對象為參考標準，action以安全中間件提供的安全行為模塊為標準，關于中間件的管理見3.2節。用XML描述策略如表1所示。

3，2基于中間件的安全模塊管理

模型采用中間件將安全防護模塊與系統應用分開如圖1所示，實現了安全防護行為的獨立管理，使系統能夠根據策略要求靈活裁剪安全應用防護功能模塊。同時將安全防護行為劃分成不同的模塊，為安全行為細粒度控制打下基礎。

由于網絡的安全防護服務通常由如下幾種組成：認證服務、訪問控制服務、數據機密性服務、網絡安全檢測服務、攻擊監控和報警響應服務等。因此在中間件中的組件模塊也按安全服務類別來劃分，實現不同的安全防護功能。例如加密服務分解為加密算法模塊、密鑰生成模塊、密鑰傳輸模塊、密鑰保存模塊。

中間件還維護一個資源管理器，負責對安全中間件的服務模塊和行為模塊進行管理，為安全策略管理提供配置和狀態信息支持。在形式化描述中模型將安全服務和安全行為分解為如下的三元組：

SecurltyService(serviceName，aetion，goals)

SecurityAction(actionName，target，effects)

其中ServlceName是服務的名稱，Aciton是實現服務的操作集合，Goals是服務實現的目標；ActionName是行為名稱，Target是行為應用對象，Effects是行為的目標或效果集合。

4 結束語

分析了基于策略的安全模型的研究現狀，提出了安全策略模型應達到的目標：(1)以策略為基礎，實現管理與技術的結合。(2)確保系統安全行為可根據策略要求進行動態調整。根據這些要求，設計了基于策略的安全模型PMA，提出了將安全策略、應用邏輯、安全中間件相互獨立又有機結合的構想。