一种多策略的授权设置语言.docVIP

一种多策略的授权设置语言MASL 李栋栋,2，虎嵩林1，白硕3 1（中国科学院 计算技术研究所 软件室, 北京 100080） 2（中国科学院研究生院，北京 100039） 3（上海证券交易所， 上海 200120） E-mail: lidongdong@software.ict.ac.cn 摘要：形式化的访问控制模型对于权限管理系统的可信度具有十分重要的意义，而形式化访问控制模型的构建取决于能否把安全策略规范地进行描述。本文我们设计了一种能够用一个单一的框架来表达不同访问控制策略的语言，该语言支持用户自定义谓词和复杂授权规则的设置，表达力强且方便扩充，并且提供一种通用的机制来实现多种访问策略，为跨管理域和多个不同平台提供了一种统一的访问控制策略的设置和执行。该语言通过对内置谓词及用户自定义谓词的支持，使得不仅能够对文件目录更细粒度数据单元带有复杂参数的服务? 多策略共存：支持自主访问矩阵、强制访问和RBAC等多个模型，支持跨应用的复杂安全策略的设置。 ? 支持多粒度：针对IP地址、用户域、访问控制列表等进行授权与访问控制。不仅可以实现基于用户的域名、IP地址或访问控制列表的较粗粒度访问操作，还可以实现基于规则的细粒度操作。 ? 涉及复杂的主客体结构：主客体不仅自身结构复杂，而且它们之间的关系也比较复杂，主客体间不仅存在读、写、执行这样简单的“访问”关系，还存在一些“非访问”关系，比如授权关系、汇报关系等等，甚至是一次对象请求。 当一个应用的保护需求不同于内置在系统中的策略时，目前多数系统采用的解决方法是将该策略作为应用代码的一部分来完成。从安全角度讲，这种方法是很危险的，它使策略的验证、修改和充分执行变得非常困难。为了解决上述问题，很有必要提供一种通用的机制来实现多种访问控制策略的设置，用以支持跨管理域和异构应用的权限管理。 访问控制策略的设置趋势有两种：一种是集中化，即统一制定访问控制策略，放在集中管理的权限引擎之中，具体的访问请求只有符合统一的访问控制策略方被允许。另一种是证书化，即把特定用户可以访问的资源集合一次性地写进一个证书载体，具体的访问请求只有比对证书成功才被允许。 集中化的趋势要求设计一种能够用一个单一的框架来表达不同访问控制策略的语言，用于提供一种通用的机制来实现多种访问控制策略，为跨管理域和多个不同平台提供一种统一的访问控制策略的设置和构成；证书化的趋势也要求把与特定用户相关的访问控制策略概括性地而不是枚举性地描述出来，这同样需要借助某种描述语言。但是这种语言本质上是集中化趋势所要求的描述语言的一个子集。 因此，我们的做法是，按照集中化趋势的要求给出访问控制策略的描述语言，并在集中化模式下实现相应的实验系统，相信这种语言也能适用于基于证书的访问控制。 在集中化访问控制策略的设置上，先前的研究多采用逻辑语言的方式来表示授权规则及约束，主要的工作有： Woo和Lam【1】提出了一种授权设置逻辑语言，这种语言并没有考虑到访问控制系统中常有的诸如权限的推导、冲突解决等谓词和约束的类型，而是使用一种通用语言来表示这些约束，这就使得其表达力和性能之间很不平衡；更为主要的是，对语言的缺少限制又可能使得模型的设置是不可决策的或者不可实现的。 Bertino【2】等提出了一种逻辑语言来设置访问允许和约束，但是该逻辑语言主要用于解决时序约束，没有考虑其它的一些约束策略，例如：没有考虑系统中各元素之间的关系，以及可能的冲突解决策略。Bertino【3】中对改语言进行了改进，用C-datalog语言来形式化描述访问控制策略，支持用户自定义谓词，并提出了评价访问控制模型表达力的方法。但是，他所提出的逻辑语言没有真正地实现细粒度的访问控制，并且无法重用某些规则。 Jajodia【4】【5】等提出了一种设置授权规则的逻辑语言，且表明了该语言如何表示几种访问控制策略。用该语言描述的程序是分层Datalog程序的一个子集，因此，每个程序都产生一个唯一的授权集合。该语言的谓词集合是固定的，主要设计用于表示传统的自主型和基于角色的访问控制。不支持用户定义谓词，因此不能满足一些特定应用的访问控制要求。 在我们提出的基于本体的权限管理模型中，也采用了逻辑语言来设置访问控制策略，即用逻辑规则来表示授权规则，通过某种逻辑语言来表示授权规则和大部分的访问控制策略。之所以采用逻辑形式来表示授权规则，主要是考虑到使用逻辑语言1）可以对策略、规则进行推理，如：一致性和完整性推理；2）有利于规则、策略的自动执行；3）可以对规则进行其他一些形式化操作，如规则的合成等。 本文我们将详细介绍我们所提出的这种权限设置语言的组成并说明它对多策略的支持。 2、多策略的授权设置语言MASL MASL语言是一种基于逻辑的语言，涉及的字母表包括：应用域中各个元素的常量、变量