摘要:
访问控制技术能够保证信息的完整性和机密性。介绍了五种主要的访问控制策略描述语言,分析了各自的特点及适用环境;总结了访问控制策略冲突产生的原因、类型、冲突检测以及冲突消解方法;
访问控制策略规范定义了访问控制策略描述语言的语法和语义,是保证访问控制机制得以正确实 施的基础。
五种代表性访问控制策略描述语言
分布式环境中的访问控制策略描述语言的基本要求是能够在单一的框架中指定不同的访问控制策略,它一方面需要保留系统个体安全需求,另一方面又需要在不同的信息系统间实现互操作。
①基于逻辑的策略描述语言
- 具有良好的形式化表示能力,因而方便易用且便于策略推理;
- 难以直接转化为能够高效实施的形式,实施效率低下;
- 不同类型的基于逻辑的策略描述语言之间的映射与集成具有较大的挑战性;
②基于信任的策略描述语言
- 网络环境的一个显著特点--实体的匿名性;
- 将认证和访问控制的过程结合起来,从而在网络环境中的陌生实体间建立关联关系,进而实施访问控制;
- 实例:PolicyMake 和 KeyNote:判断由证书集合所提供支持的请求操作集合是否符合所指定的策略;
基于证书的授权方案可以建立陌生实体之间的信任;
将增加访问控制的难度。
③基于对象的策略描述语言
- 可对系统中各类实体间的关联关系进行良好的描述;
- 难以将该语言转化成机器所能理解的语言;
- 难以实现多策略之间的继承;
④基于XML的策略描述语言
- XML:可扩展标记语言,是标准通用标记语言的子集。提供统一的方法来描述和交换独立于应用程序或供应商的结构化数据;
- XML的两个特殊变种:SAML和XACML;
- SAML:安全声明标记语言。可使得不同实体之间无需更改自身的安全结构而实现信息的相互交换;
- XACML:可扩展的访问控制标注语言。可用来描述各种复杂的及细粒度的访问控制安全需求。
⑤基于语义的策略描述语言
- 将语义Web与访问控制相结合;
- 利用各种网络资源的描述和交互能力来辅助访问控制策略的管理与集成,实现对语义web中资源的访问控制;
访问控制策略冲突
由于系统中存在众多的访问控制策略以及不同的访问控制策略可能涉及到同一主体、客体和权限,因此可能产生策略冲突。
分类
依据冲突产生的机制可将访问控制策略冲突分为两类:形式冲突 和 语义冲突。
- 前者主要是因为在不同的策略中对同一主体、客体和行为制定了互斥约束标记;
- 后者是因为系统自身访问规则与访问控制策略不符而造成的策略冲突;
三种形式冲突
①授权冲突
- 表现为在不同的访问控制策略中,主体要对同一客体分别执行允许或禁止同一行为。
- 例:“允许病人查看自己的电子病历”和“禁止病人查看自己的电子病历”
②强制冲突
- 表现为在不同的访问控制策略中,主体要对同一客体分别执行和不执行同一行为。
- 例:“医生有义务告知病人实际病情”和“医生不应该告知病人实际病情”
③未授权的强制冲突
- 表现为在不同的访问控制策略中,所描述的某个主体要对某个客体执行没有相应权限的某行为。
- 例:“医生有义务告知病人实际病情”和“对于重症病人,禁止医生告知其实际病情”
五种语义冲突
①资源冲突
- 表现为系统资源有限时不同的主体在该资源上执行相同行为可能导致冲突。
②多管理者冲突
- 当两条策略的目标对象重叠时,同一对象的多个管理者之间存在着潜在冲突。
③自管理冲突
- 当一条授权策略的主体与另一条授权策略的目标对象重叠时,要求管理者不能执 行管理自身的操作。
④职责分离冲突
- 当两条或多条正向授权策略的客体和主体发生重叠,有些操作可能被管理员定义成 冲突。
- 例:用户同时担任会计和出纳;
⑤约束冲突
- 约束条件相符的两条策略规定的相反行为标记。
多自治域互操作环境下策略冲突
①模态冲突
- 对具有重叠的主体和客体执行了肯定授权与否定授权而发生的策略冲突行为。
②多级管理冲突
- 来自不同域和不同安全级别的管理人员对系统中的相同主体执行了授权管理而引发的策略冲突。
③循环继承冲突
- 基于安全等级的安全策略中较低等级的权限通过某种传递关系使其级别高于或等价于较高等级的权限时。
④职责分离冲突
- 角色指派冲突是指同一个用户被指派了互斥的角色;
- 用户指派冲突是相同的角色被指派给了互斥的用户;
- 权限指派冲突是将互斥的权限指派给了相同的角色。