張紅斌 馬鵬程 劉濱

摘 要：為實(shí)現(xiàn)對(duì)復(fù)雜訪問控制策略的統(tǒng)一管理，檢測(cè)并排除沖突和不完備的訪問控制策略，提出了利用訪問控制策略集合中的偏序信息構(gòu)造融合主體、客體層級(jí)結(jié)構(gòu)的有向無環(huán)圖模型。首先從理論上證明了構(gòu)建有向無環(huán)圖模型的可行性，并提出利用偏序關(guān)系構(gòu)建有向無環(huán)圖模型的實(shí)施算法，然后利用有向無環(huán)圖模型的節(jié)點(diǎn)集合設(shè)計(jì)了訪問控制策略一致性和完備性檢測(cè)算法，最后對(duì)模型構(gòu)建算法及訪問控制策略一致性和完備性檢測(cè)算法進(jìn)行實(shí)驗(yàn)驗(yàn)證。實(shí)驗(yàn)結(jié)果表明，融合主體、客體層級(jí)結(jié)構(gòu)的有向無環(huán)圖模型可以有效管理復(fù)雜系統(tǒng)中訪問控制策略中出現(xiàn)的沖突與策略不完備情況。相關(guān)算法可以有效地實(shí)現(xiàn)對(duì)復(fù)雜訪問控制策略的統(tǒng)一管理。

關(guān)鍵詞：算法理論； 訪問控制； 策略管理； 一致性； 完備性； 有向無環(huán)圖； 檢測(cè)

中圖分類號(hào)：TP309 文獻(xiàn)標(biāo)志碼：A

文章編號(hào)： 1008-1534（2018）05-0305-06

現(xiàn)代信息系統(tǒng)，尤其是政府、銀行、軍事等部門，一方面對(duì)信息安全要求較高，另一方面其信息環(huán)境往往用戶數(shù)量巨大、系統(tǒng)結(jié)構(gòu)復(fù)雜、參數(shù)動(dòng)態(tài)多變、安全策略異構(gòu)化現(xiàn)象嚴(yán)重，為信息安全策略的實(shí)施帶來了極大的困難[1]。訪問控制策略是信息系統(tǒng)安全策略的重要內(nèi)容，是系統(tǒng)執(zhí)行訪問控制行為的重要依據(jù)。如果訪問控制系統(tǒng)出現(xiàn)策略沖突或策略出現(xiàn)不完備的情況，將導(dǎo)致信息系統(tǒng)的重大安全問題。如何在大量復(fù)雜的訪問控制策略中檢測(cè)策略沖突和不完備等異常情況已成為當(dāng)前安全策略管理的重要問題。

1 相關(guān)工作

安全策略通過改變系統(tǒng)行為信息，描述影響系統(tǒng)管理行為的方法，制定策略規(guī)則集，保護(hù)系統(tǒng)的數(shù)據(jù)和資源免受未經(jīng)授權(quán)的訪問[2]。信息系統(tǒng)通過制定合理的訪問控制策略對(duì)網(wǎng)絡(luò)資源進(jìn)行合理的管理和控制[3-4]。常用的策略檢測(cè)算法主要基于4種技術(shù)，即描述語言、形式邏輯、本體推理和有向圖。

基于描述語言的檢測(cè)方法可以對(duì)多種模型的訪問控制策略問題進(jìn)行檢測(cè)，這是基于描述語言的策略沖突檢測(cè)方法的特點(diǎn)之一。文獻(xiàn)[5]基于XACML的策略描述語言，給出了基于時(shí)間屬性的策略沖突算法的適用性及正確性驗(yàn)證。文獻(xiàn)[6]提出一種沖突冗余檢測(cè)與消解算法，將訪問控制策略結(jié)構(gòu)映射為集合構(gòu)成偉恩圖，根據(jù)集合間交并關(guān)系去除沖突與冗余。文獻(xiàn)[7]提出了PonderFlow網(wǎng)絡(luò)中策略定義的可擴(kuò)展聲明式語言。基于描述語言的方法具有結(jié)構(gòu)簡(jiǎn)單、面向?qū)ο蟮忍匦?，因此在?shí)現(xiàn)過程中更易于被管理員掌握；但檢測(cè)方法只能對(duì)特定描述語言適用，應(yīng)用范圍有一定的局限性。

基于形式邏輯的檢測(cè)方法是通過邏輯推理檢測(cè)沖突策略是否存在，即在推理過程中進(jìn)行策略檢測(cè)。文獻(xiàn)[8]基于XML語言依據(jù)數(shù)據(jù)類型和邏輯表達(dá)式及選擇屬性指定訪問控制策略。 文獻(xiàn)[9]提出了一種基于混合邏輯的解決方案來解決協(xié)作網(wǎng)絡(luò)中的沖突。文獻(xiàn)[10]基于二進(jìn)制決策樹編碼執(zhí)行自動(dòng)化的反饋狀態(tài)變化信息，構(gòu)建由融合邏輯構(gòu)成的訪問控制策略。基于形式邏輯的沖突檢測(cè)方法通過對(duì)邏輯推理嚴(yán)密的展示，將檢測(cè)過程與推理過程緊密結(jié)合，進(jìn)而在推理過程中檢測(cè)相關(guān)策略沖突，但在實(shí)際實(shí)現(xiàn)過程中，策略管理員不僅要具備扎實(shí)的應(yīng)用數(shù)學(xué)邏輯基礎(chǔ)，還要具備開發(fā)相應(yīng)策略邏輯推理驗(yàn)證工具的能力，應(yīng)用基于形式的檢測(cè)方法進(jìn)行策略檢測(cè)，進(jìn)一步提高了對(duì)管理員的基礎(chǔ)知識(shí)要求，實(shí)現(xiàn)過程更為復(fù)雜。

基于本體推理的沖突檢測(cè)方法，其本體自身的描述和推理能力較為強(qiáng)大，更多的是在進(jìn)行異構(gòu)網(wǎng)絡(luò)互操作的過程中使用。文獻(xiàn)[11]提出了一種異常檢測(cè)方法，先對(duì)輸入數(shù)據(jù)進(jìn)行布爾表達(dá)式的屬性排序的格式化和規(guī)范化，依據(jù)提出的C4.5算法改進(jìn)生成決策樹，將異常檢測(cè)算法的結(jié)果呈現(xiàn)給將要采取補(bǔ)救措施的策略管理員。文獻(xiàn)[12]提出基于對(duì)立屬性推理的方法。文獻(xiàn)[13]由SWLR語義Web規(guī)則語言編寫，使用Racer推理引擎進(jìn)行基于DL的本體沖突檢測(cè)。該方法的局限性是在策略檢測(cè)過程中可能會(huì)過分依賴本體庫，而本體庫的構(gòu)建過程本身復(fù)雜且繁瑣，一旦在構(gòu)建本體庫的過程中出現(xiàn)問題，將會(huì)直接影響檢測(cè)結(jié)果。

基于有向圖的策略沖突檢測(cè)方法回避了復(fù)雜的形式化證明過程，將抽象的策略沖突轉(zhuǎn)化到可視化的圖結(jié)構(gòu)里面來解決。文獻(xiàn)[14]將系統(tǒng)中主體、客體及其之間的關(guān)系抽象構(gòu)成有向無環(huán)圖（directed acyclic gaph ，DAG）模型，利用DAG的節(jié)點(diǎn)連通性來檢測(cè)策略間的沖突。文獻(xiàn)[15]利用有向圖覆蓋關(guān)系檢測(cè)訪問控制策略沖突，將訪問控制模型中的主體、客體和操作的三元組檢測(cè)擴(kuò)展為包括約束條件的四元組進(jìn)行沖突檢測(cè)，增強(qiáng)了檢測(cè)效果，提高了檢測(cè)的準(zhǔn)確性。文獻(xiàn)[16]以綜合多項(xiàng)策略的檢測(cè)和消解為背景，依據(jù)主體、客體繼承關(guān)系和包含關(guān)系建立有向圖模型，將策略沖突檢測(cè)問題轉(zhuǎn)化為有向圖節(jié)點(diǎn)的連通性關(guān)系判斷。但其將訪問控制模型中主體、客體有向圖分離討論，客觀上否定了主體、客體存在的關(guān)聯(lián)性。并且，整體檢測(cè)流程基于假設(shè)的DAG模型，并沒有給出DAG的具體構(gòu)建方法，也沒有將策略完備性考慮在內(nèi)。而有效構(gòu)造DAG的前提是必須要保證策略的完備性，否則無法有效進(jìn)行策略沖突檢測(cè)。

本文將在上述研究的基礎(chǔ)上，通過構(gòu)建基于主體、客體融合的DAG模型，將復(fù)雜的訪問控制策略以DAG模型的形式展現(xiàn)出來，使用DAG模型對(duì)策略完備性和策略沖突檢測(cè)進(jìn)行測(cè)算，為訪問控制的正確實(shí)施提供有力保障。

2.2 DAG模型的構(gòu)建

傳統(tǒng)的訪問控制模型將主體、客體分離進(jìn)行策略檢測(cè)，沒有考慮訪問控制檢測(cè)中主體、客體的客觀聯(lián)系性。和主體、客體獨(dú)立的DAG相比，主體、客體融合的DAG不但易于檢測(cè)權(quán)限的層級(jí)關(guān)系，而且在DAG中直接體現(xiàn)了主體對(duì)象對(duì)客體對(duì)象的訪問關(guān)系，這將更有利于對(duì)訪問控制策略一致性和完備性的檢測(cè)。

4 實(shí)驗(yàn)及分析

根據(jù)所給出的策略完備性和策略環(huán)路沖突檢測(cè)算法具體流程進(jìn)行實(shí)驗(yàn)論證。實(shí)驗(yàn)假設(shè)某信息系統(tǒng)訪問控制策略無沖突且具有完備性，可用DAG描述，遍歷此DAG（如圖3所示）生成該系統(tǒng)訪問控制策略集合。

現(xiàn)構(gòu)造不完備策略和沖突策略如下：通過添加H節(jié)點(diǎn)和相關(guān)策略E→H造成策略的不完備，關(guān)于節(jié)點(diǎn)H的策略只添加了E→H，忽視了E上方的節(jié)點(diǎn)對(duì)H的訪問權(quán)限，構(gòu)造了不完備策略；添加G→D造成環(huán)路D→E→G，將此兩策略添加到策略集合中。

應(yīng)用本文提出的策略完備性檢測(cè)算法和策略沖突檢測(cè)算法對(duì)此策略集合進(jìn)行檢測(cè)，圖4給出策略完備性檢測(cè)結(jié)果。實(shí)驗(yàn)結(jié)果表明，提出的算法有效地檢測(cè)出了DAG模型中的不完備性策略，并給出了策略缺失的依據(jù)。

從圖4還可以明顯看出，添加的E→H訪問控制關(guān)系在節(jié)點(diǎn) H上方的節(jié)點(diǎn)還應(yīng)有A，1，B，2，C，D，算法檢測(cè)的結(jié)果顯示缺少的策略有：A→H，1→H，B→H，2→H，C→H，D→H，實(shí)驗(yàn)檢測(cè)結(jié)果和人工分析DAG模型顯示結(jié)果一致。

圖5為沖突算法檢測(cè)結(jié)果，依據(jù)環(huán)路判斷算法給出可能形成環(huán)路沖突的節(jié)點(diǎn)集合。

從實(shí)驗(yàn)數(shù)據(jù)可知，U（D）≡U（E）≡U（G），并且R（D）≡R（E）≡R（G），節(jié)點(diǎn)D，E，G之間構(gòu)成環(huán)路沖突，同時(shí)實(shí)驗(yàn)數(shù)據(jù)中給出了沖突檢測(cè)結(jié)果的判別依據(jù)，檢測(cè)結(jié)果和人工對(duì)DAG模型進(jìn)行分析顯示的結(jié)果一致。

實(shí)驗(yàn)數(shù)據(jù)同時(shí)表明，本文提出的相關(guān)算法不但檢測(cè)出不完備策略和沖突策略，并且最終構(gòu)造了策略完備且無沖突的DAG，其輸出結(jié)果及其鄰接表存儲(chǔ)結(jié)構(gòu)如圖6所示。

依據(jù)上述過程得到的鄰接表可得圖7所示的DAG。可以看出，該圖不但還原圖3基本結(jié)構(gòu)的基礎(chǔ)，還在圖3基礎(chǔ)上實(shí)現(xiàn)了等價(jià)節(jié)點(diǎn)的合并。圖7所示DAG中等價(jià)節(jié)點(diǎn)的合并將為策略的部署實(shí)施和進(jìn)一步策略管理帶來便利，是進(jìn)行訪問控制策略管理的重要基礎(chǔ)。

5 結(jié) 語

給出了基于主體、客體融合DAG模型的策略一致性和沖突檢測(cè)方法。首先證明了主體、客體融合的DAG的存在性，給出了主體、客體融合DAG的構(gòu)建方法，并給出基于DAG模型節(jié)點(diǎn)集合對(duì)策略完備性和策略沖突進(jìn)行檢測(cè)的相關(guān)算法。實(shí)驗(yàn)驗(yàn)證了主體、客體融合的DAG可以有效管理復(fù)雜系統(tǒng)中的大量訪問控制策略，并能夠?qū)Σ呗酝陚湫院筒呗詻_突進(jìn)行檢測(cè)。

相比于其他策略沖突檢測(cè)方法，本文提出的構(gòu)建主體、客體融合DAG的檢測(cè)算法，不僅具備了傳統(tǒng)DAG模型檢測(cè)方法的實(shí)用性和易實(shí)現(xiàn)的優(yōu)點(diǎn)，還完善了傳統(tǒng)訪問控制模型中能檢測(cè)常規(guī)策略沖突的作用，能夠檢測(cè)策略的完備性，為訪問控制行為的執(zhí)行提供了更完善的策略基礎(chǔ)。

但本文方法仍存在一定不足。通過分析訪問控制策略集合偏序關(guān)系建立了DAG模型，進(jìn)而對(duì)策略完備性和策略沖突進(jìn)行檢測(cè)，此方法適用于策略管理的初始化過程，特別適合在大規(guī)模系統(tǒng)中對(duì)數(shù)量眾多的訪問控制策略進(jìn)行管理，但當(dāng)系統(tǒng)的運(yùn)行過程中出現(xiàn)策略變更，比如添加或刪除訪問控制策略時(shí)，會(huì)導(dǎo)致訪問控制策略集合中主體集合和客體集合發(fā)生大量變更，并且這種變更同時(shí)還受到策略完備性和策略沖突的約束，使得策略完備性和策略沖突的檢測(cè)變得更為復(fù)雜。因此，在下一步研究工作中，將針對(duì)系統(tǒng)運(yùn)行過程中訪問控制策略變更時(shí)主體、客體加入、離開等動(dòng)態(tài)場(chǎng)景進(jìn)行深入研究，設(shè)計(jì)更適用于動(dòng)態(tài)場(chǎng)景的高效訪問控制策略一致性和完備性檢測(cè)方法。

參考文獻(xiàn)/References：

[1] AQIB M， SHAIKH R A. Analysis and comparison of access control policies validation mechanisms[J].International Journal of Computer Network and Information Secturity，2015（1）：54-69.

[2] IETFRFC 3198，Terminology for Policy based Management[S].

[3] 向華萍，付智輝，陳紅麗.具有時(shí)間約束的動(dòng)態(tài)角色的訪問控制策略[J].河北科技大學(xué)學(xué)報(bào)，2010，31（6）：558-563.

XIANG Huaping，F(xiàn)U Zhihui，CHEN Hongli. Dynamic time-constrained and role-based access control strategy[J]. Journal of Hebei University of Science and Technology，2010， 31（6）： 558-563.

[4] 張坤，周萬珍，孫秋紅.協(xié)同工作（CSCW）中的訪問控制模型[J].河北工業(yè)科技，2009，26（5）： 315-318.

ZHANG Kun， ZHOU Wanzhen， SUN Qiuhong. Research of access control model in CSCW[J]. Hebei Journal of Industrial Science and Technology，2009，26（5）： 315-318.

[5] St-MARTIN M， FELTY A P. A verified algorithm for detecting conflicts in XACML access control rules[J]. Acm Sigplan Conference on Certified Programs and Proofs， 2016，25（10）：166-175.

[6] 盧秋如，陳建平，馬海英，等.一種可擴(kuò)展訪問控制標(biāo)記語言的策略優(yōu)化算法[J].計(jì)算機(jī)科學(xué)，2017，44（12）：110-113.

LU Qiuru， CHEN Jianping， MA Haiying， et al.Optimization algorithm for extensible access control markup language policies[J].Computer Science， 2017，44（12）： 110-113.

[7] BATISTA B L A， FERNANDEZ M P. Ponder Flow： A new policy specification language to SDN openflow-based networks[J].International Journal on Advances in Networks and Services， 2014，7（3）： 163-172.

[8] OASIS. XACML Version 3.0[EB/OL]. http：//docs.oasisopen.org/ xacml/3.0/xacml-3.0-core-spec-os-en.html，2013-06-04.

[9] DAMEN S， den HARTOG J， ZANNONE N. CollAC： Collaborative access control[C]// International Conference on Collaboration Technologies and Systems.[S.l.]：[s.n.]，2014： 142-149.

[10]CAU A， JANICKE H， MOSZKOWSKI B.Verification and enforcement of access control policies[J].Formal Methods in System Design，2013，43（3）：450-492.

[11]SHAIKH R A， ADI K， LOGRIPPO L.A data classification method for inconsistency and incompleteness detection in access control policy sets[J].International Journal of Information Security， 2017，16（1）：91-113.

[12]CALERO J M A， PREZ J M M， BERNAB J B， et al. Detection of semantic conflicts in ontology and rule-based， information systems[J]. Data and Knowledge Engineering， 2010， 69 （11）： 1117-1137.

[13]NIHONG W， DAN L，HUA P， et al. Research and implementation of ontology conflict detection and reasoning based on description logic for forest disease and pest diagnosis[J]. Second International Workshop on Education Technology and Computer Science， 2010，2（1）：416-419.

[14]李添翼. 多策略支持下的策略沖突檢測(cè)與消解研究[D].武漢：華中科技大學(xué)，2011.

LI Tianyi. Research on Checking and Digesting Policy Conflicts under Multi-Policy Environments[D].Wuhan：Huazhong University of Science and Technology，2011.

[15]姚鍵，茅兵，謝立.一種基于有向圖模型的安全策略沖突檢測(cè)方法[J]. 計(jì)算機(jī)研究與發(fā)展， 2005，42（7）：1108-1114.

YAO Jian， MAO Bing， XIE Li.A DAG-based security policy conflicts detection method[J]. Journal of Computer Research and Development，2005，42（7）：1108-1114.

[16]魏雁平. 基于有向圖覆蓋關(guān)系的安全策略沖突檢測(cè)模型[D]. 成都：四川大學(xué)，2006.

WEI Yanping.A Policy Conflict Detection Model Based on Direct-Graph with Cover Relation[D].Chengdu ：Sichuan University，2006.