访问控制策略、模型与框架的介绍与分析
内容:
访问控制策略是访问控制系统的核心,它定义了系统安全保护的目标,即对于系统而言,什么是安全的。访问控制策略通过策略描述语言来表达,这种语言能够清晰地定义访问控制的规则,即系统在执行访问控制时应当遵循的准则。策略语言可以分为两大类:高层策略描述语言和基于逻辑的形式化描述语言。高层策略描述语言具有丰富的语义,易于制定、理解和实现,例如KACMIL、Ponder、SPL、RT等,但它们描述的访问控制策略难以进行形式化的分析和验证。基于逻辑的形式化策略描述语言表达能力强大,且易于进行安全性质的分析与验证,但由于语言的语义不够直观,过于复杂,因此很难被广泛接受。基于逻辑的形式化策略描述语言从计算机的角度可以分为过程式和状态机式,大多数形式化策略语言都是基于状态机的。
访问控制模型是对访问控制策略的建模,它位于面向用户的安全需求和面向计算机系统的顶层规范之间,是保证计算机系统正确执行安全策略的重要技术。安全策略模型将抽象的、不精确的组织安全策略具体化,是沟通系统设计和组织安全策略的桥梁。安全策略模型在安全系统的整个生命周期中都具有重要作用。在系统设计时,它可以作为安全设计的指南和规格说明书。在系统安全评估阶段,它有助于评估设计人员对组织安全策略的理解是否正确,以及系统设计和组织安全策略之间是否存在不一致,或者系统设计和实现中是否存在安全策略不允许的隐通道。此外,它还有助于安全功能的保护和升级。
经典访问控制模型的背景主要针对多用户信息共享的单机环境,它基于一个集中的引用监控器(RM, Reference Monitor),负责所有对资源的访问决策及决策结果的执行。随着网络技术的迅速发展,出现了大量异构的计算环境,这些环境对信息的组织和处理采用了不同的模式,因此经典的引用监控器框架需要针对这些不同的计算环境增加多种不同的访问控制实现技术,以满足对访问控制策略和模型的支持。不同的应用及运行环境也会导致多样化的安全威胁,带来不同的访问控制需求,因此,系统需要支持安全策略的多样性,以满足多样化的安全目标。因此,研究访问控制系统的组成架构和部件之间交互流程也成为了访问控制中的一个关键实施点。