策略描述语言研究.docVIP

策略描述语言研究 　　【摘 要】 在一个信息系统中，传统的策略以硬编码的方式实现，这种方式缺乏灵活性和可管理性。为此，人们提出了将策略规范描述和实现分离的思想。本文首先给出了策略的定义，阐述了策略与断言的区别，然后介绍了目前典型的四种不同策略规范描述语言，阐述了各自的特点和问题，最终对这些语言进行了对比分析。 　　【关键词】 策略 断言 约束 语言 　　传统的策略一般是嵌入到实际的系统中，以代码的方式通过配置实现，例如windows操作系统中，通过“管理工具”中的“本地安全策略”，进行系统的安全配置。然而这种策略的程序编码实现方式，在网络环境下其灵活性、可管理性却受到了很大的挑战，因此，人们对更为灵活的策略实现方式展开了深入的研究，吸引了众多计算机领域研究人员和工程技术人员的关注。基于策略的方法已经在许多领域得到了广泛的应用，比如电信学[1]和管理学[2]。特别是在信息安全领域，策略是整个信息安全体系的基础[3][4]。 　　1 策略的硬编码实现方式 　　1.1 策略定义 　　策略可以看作是断言、谓词或者约束，策略用来说明系统需求。策略是一组规则的集合，这组规则描述一个实体行为的某些方面。更准确地讲，策略用给定的词汇，描述了问题所有可以接受的约束集合。但是，策略与断言有很多的不同： 　　（1）断言在程序设计语言级别施加约束，但是策略是模型驱动的方法来对系统行为进行说明。 　　（2）断言由编程语言执行，但是策略规范随着可执行代码发布。 　　（3）断言不支持监控机制。在基于策略的系统中，系统行为是受到监控的。当监测到触发事件出现的时候，监控程序会通知策略执行部件。 　　（4）断言是人为放置到系统易出错的地方，因此该方法特别依赖于编程人员的经验，目的是测试系统执行期间出现的问题。策略是一种抽象，可以适用更友好的用户语言，例如受控的自然语言。 　　（5）策略更具体，更易于理解、共享和维护。 　　1.2 策略硬编码实现方式 　　策略表达了对系统的具体要求，策略描述应该非常简明，容易理解，易于共享和维护。例如，在一个系统中，假设有一个具体的策略要求，例如“密码必须不少于6字节”。在系统实现时，传统的做法是在系统编程实现时存在一个代码段，用于检查密码长度，这就是策略的硬编码（Hard-coded）实现方式。 　　硬编码方式实现策略能引起以下几个主要问题。第一，任何时候，如果要改变策略，工作将变得困难和繁琐。例如，系统管理员想提高密码的最小长度，从6字节变为8字节。整个系统必须停止运行，重新升级，进行代码修改和检查，然后重新部署系统。这个过程冗长并且容易出错，在相当程度上增加了成本和风险。尤其是要暂停一个关键任务的系统，可能会引起灾难性的后果。第二，难以管理，采取硬编码方式实现的策略，使得策略描述和系统实现绑定在一起，没有分离。在整个系统中，往往会有数量众多的策略规范，如果一个系统管理人员想知道“在系统中有多少策略”，或者“在系统运行中，策略扮演什么角色”，这种实现方式没有简便的方法找出这答案。 　　因此，传统策略实现方法存在以下两点限制： 　　（1）策略规范和系统实现绑定在一起，没有分开。 　　（2）策略修改所需的成本比较高而且实施困，比如要增加、更新、删除策略，都需要改变和重新部署整个系统。 　　如果策略规范和实现能够分离，那么策略的改变在实现时将轻而易举，而不用改变整个系统的结构，这样在很大程度上简化了整个进程。策略规范描述语言正是满足这一需求所提出的。策略规范语言定义实体（包括主体和客体）和他们的属性，也对行为属性进行了定义。也就是说，策略规范描述语言将实体与其行为描述属性绑定在一起。 　　2 策略规范描述语言 　　为解决前面的硬编码方式实现策略所带来的问题，近十年来涌现出了很多策略规范语言（PSL，policysepecifcationlanguange），这些策略规范语言提供了一套综合、便捷的方法来描述策略，而且和具体的系统实现相分离。 　　2.1 ponder语言 　　Ponder[4]语言提供了对特定安全策略的描述，可以满足不同权限控制的实现机制。在基于策略的网格管理和分布式系统中，支持由事件触发的条件规则下的约束策略。Ponder是声明式的，支持多种类和面向对象，使得该语言较为灵活易扩展，适应不断变化的管理需求。像多数策略规范语言一样，ponder侧重于安全领域。Ponder没有一个可执行的模型，这样动态验证和系统交互就变得不可能。Ponder提供统一的综合结构。通过编译，ponder能自身能交互调用。Ponder包含两个领域：约束策略和授权策略。 　　图1是Ponder语言的验证策略，“Subject”关键字和“target”关键字定义了动作的主题和目标，“when”是可选项，定