中小型網(wǎng)絡(luò)的網(wǎng)絡(luò)訪問控制與安全管理的應(yīng)用設(shè)計(jì)

◆李會(huì)會(huì)

（江蘇建筑職業(yè)技術(shù)學(xué)院 徐州博泉科技有限公司 江蘇 221116）

中小型網(wǎng)絡(luò)的網(wǎng)絡(luò)訪問控制與安全管理的應(yīng)用設(shè)計(jì)

◆李會(huì)會(huì)

（江蘇建筑職業(yè)技術(shù)學(xué)院 徐州博泉科技有限公司 江蘇 221116）

伴隨著網(wǎng)絡(luò)技術(shù)的快速發(fā)展，其應(yīng)用也在逐漸擴(kuò)大，但由于不同領(lǐng)域之間的協(xié)作逐漸增加，使得域間的資源共享越來越多，且安全性也在受到人們的廣泛關(guān)注。通過訪問控制技術(shù)能夠?qū)Ψ欠ㄓ脩暨M(jìn)行限制，從而降低用戶資源的泄漏，保證系統(tǒng)的安全性。對于訪問控制，其主要分為角色訪問控制、自主訪問控制和強(qiáng)制訪問控制等，對于中小型網(wǎng)絡(luò)訪問控制，當(dāng)前比較合適的是RBAC多域網(wǎng)絡(luò)訪問控制技術(shù)，通過這種安全管理設(shè)計(jì)的應(yīng)用能夠滿足不同層次間的網(wǎng)絡(luò)訪問需求，保證域間合作的安全性。

安全域；角色系統(tǒng)；安全策略

0 引言

伴隨著網(wǎng)絡(luò)技術(shù)的快速發(fā)展，不同領(lǐng)域和部門之間的合作也在逐漸增加，特別是電子商務(wù)和供應(yīng)鏈技術(shù)的發(fā)展，使得域間資源共享成為合作的主要模式，同時(shí)促進(jìn)了網(wǎng)絡(luò)系統(tǒng)的發(fā)展。對于多自治域，其是一種開放獨(dú)立的分布式系統(tǒng)，其制定的管理策略是根據(jù)自身的特點(diǎn)而選擇的，因此，能夠?qū)崿F(xiàn)不同域之間的最大程度資源共享。但該技術(shù)的發(fā)展使得資源共享的危險(xiǎn)性增加，為了保證系統(tǒng)的安全運(yùn)行，需要加強(qiáng)網(wǎng)絡(luò)安全管理。

1 網(wǎng)絡(luò)訪問控制技術(shù)

1.1 網(wǎng)絡(luò)訪問控制技術(shù)內(nèi)容

對于訪問控制技術(shù)，其是網(wǎng)絡(luò)安全防范的重要內(nèi)容，同時(shí)也是保證信息安全的重要技術(shù)。采用訪問控制技術(shù)能夠從主體角度出發(fā)，對需要訪問的資源進(jìn)行約束和限制，從而決定是否對獲得的資源進(jìn)行操作，一般情況下，訪問控制主要有四部分內(nèi)容組成，首先是主體，其指的是訪問行動(dòng)的發(fā)起者，同時(shí)也是引起信息流動(dòng)和系統(tǒng)狀態(tài)發(fā)生變化的起點(diǎn)，一般情況下指的是用戶或者設(shè)備等。然后是客體，其指的是信息或者接受信息的被動(dòng)型實(shí)體，主要內(nèi)容為文件或者網(wǎng)絡(luò)節(jié)點(diǎn)等。然后是訪問模式，其指的是主體對客體的一種操作模式，比較常見的有讀、寫和執(zhí)行等。最后是安全訪問策略，通過制定對應(yīng)的范文控制安全規(guī)則，對主體的訪問行為進(jìn)行控制，保證主體能夠?qū)腕w進(jìn)行訪問，但不會(huì)受到客體的安全性威脅。

1.2 訪問控制的策略

對于系統(tǒng)的安全策略，其視為對系統(tǒng)的安全進(jìn)行描述，從而制定能夠保證主體安全性的約束規(guī)則，對于這些規(guī)則，其能夠最大程度上對系統(tǒng)的安全性和機(jī)密性等進(jìn)行保護(hù)，比較常見的訪問控制策略為自主訪問控制和強(qiáng)制訪問控制等，對于不同的訪問控制策略，其應(yīng)用范圍具有較大的限制。

首先是自主訪問控制，其指的是系統(tǒng)中的主體能夠通過自身的身份等對用戶滿足的客體進(jìn)行訪問，像讀寫等操作形式的訪問，在這種控制策略中，主體具有去哪兒的自主權(quán)，能夠?qū)腕w的訪問權(quán)限進(jìn)行決定。

然后是強(qiáng)制訪問控制，對于這一種訪問控制，其對主體和客體分別進(jìn)行了安全屬性的分配，當(dāng)主體要對客體進(jìn)行訪問時(shí)，系統(tǒng)會(huì)對兩者之間的安全屬性進(jìn)行對比，若兩者之間不合適，則主體無法對客體進(jìn)行訪問。

最后則是基于角色的訪問控制，伴隨著網(wǎng)絡(luò)技術(shù)的快速發(fā)展，系統(tǒng)的規(guī)模也在逐漸增大，前兩種模式已經(jīng)無法滿足實(shí)際需求，為此衍生了一種基于角色的訪問控制技術(shù)，這種技術(shù)將權(quán)限分配各不同的使用角色，通過這些角色，用戶能夠得到對應(yīng)角色的權(quán)限，這種模式使得用戶的安全性得到了提高。

2 安全策略管理

對于系統(tǒng)安全策略，其對系統(tǒng)運(yùn)行期間的各種行為進(jìn)行授權(quán)和非授權(quán)管理，也就是對允許和不允許發(fā)生的行為進(jìn)行判斷和處理。對于網(wǎng)絡(luò)訪問控制新系統(tǒng)，其能夠通過該機(jī)制對安全域中的PDP和PEP進(jìn)行分開，因此，這一種模式能夠有效提高系統(tǒng)的管理效率。對于安全策略管理來說，其主要對以下幾點(diǎn)內(nèi)容進(jìn)行研究，分別是策略的描述和存儲(chǔ)。

2.1 安全策略的描述語言

對于中小型網(wǎng)絡(luò)訪問控制，其主要是為了實(shí)現(xiàn)機(jī)密性和完整性等效果，為了實(shí)現(xiàn)這三種效果，需要通過認(rèn)證和訪問控制等三種技術(shù)相互支撐。下面對比較常見的策略描述語言進(jìn)行了簡單的介紹：

首先是SPL，這是一種事件驅(qū)動(dòng)，能夠支持訪問控制和基于歷史等的策略。通過SPL將策略定義成類，對于一條策略實(shí)例，其生成就代表著策略已經(jīng)被激活，因此，在SPL中對策略的生存周期沒有進(jìn)行控制，在SPL中，通過繼承機(jī)制對策略的重要性進(jìn)行了強(qiáng)化，通過這種策略的構(gòu)造方法能夠?qū)诮巧脑L問控制進(jìn)行構(gòu)建和使用。

然后則是Ponder語言，其是一種說明性的語言，主要是面向?qū)ο螅谶@種語言中，其能夠?qū)Ψ植际江h(huán)境下的安全策略等進(jìn)行描述。對于Ponder原因，其在使用時(shí)具有較強(qiáng)的擴(kuò)展性，能夠根據(jù)用戶的需求進(jìn)行相關(guān)策略類型的擴(kuò)展，此外還能夠?qū)?yīng)用該策略的對象進(jìn)行分組處理，滿足人們的大規(guī)模策略規(guī)范需求。

2.2 安全策略的存儲(chǔ)

對于安全策略的存儲(chǔ)，其是中小型網(wǎng)絡(luò)訪問控制中的重要內(nèi)容，對于中小型網(wǎng)絡(luò)，所有的安全域管理系統(tǒng)都具有一個(gè)單獨(dú)的數(shù)據(jù)存儲(chǔ)單元，另外，對于成管理之間的數(shù)據(jù)交換，使得數(shù)據(jù)存儲(chǔ)方式具有較高的要求，包括檢索能力和能夠提供對應(yīng)的數(shù)據(jù)安全訪問機(jī)制等。

對于小型的訪問控制域，其一般采用的是XML文件對其進(jìn)行存儲(chǔ)，同時(shí)通過提前存儲(chǔ)的策略文件對其進(jìn)行邏輯排序，而對于中性的訪問控制系統(tǒng)，其復(fù)雜性有了明顯的提高，因此，其安全策略存儲(chǔ)方式往往采用的是目錄服務(wù)模式，這種模式的靈活性較強(qiáng)，且安全性較高。

3 中小型網(wǎng)絡(luò)的網(wǎng)絡(luò)訪問控制系統(tǒng)設(shè)計(jì)