基于策略的安全模型研究

摘要：设计了一个基于策略的安全模型PMA(Policy Middleware Application)。PMA将安全管理目标及需求用形式化策略语言描述，实现了安全管理目标与应用技术的结合：借助中间件实施对安全模块的管理，将系统业务逻辑与安全行为分离。增强了安全防护的灵活性和扩展性：借助基于事件状态驱动的形式化分析方法，实现了基于策略的安全行为和状态的控制。

关键词：策略　安全模型　中间件　形式化描述　事件状态管理

中图分类号：TP393.08　文献标识码：A　文章编号：1002-2422(2010)02-0005-03

1　基于策略的安全应用现状分析

1，1 P2DR模型

研究人员首先提出的安全策略模型是P2DR模型，即可适应网络安全理论模型。P2DR模型在整体安全策略的控制和指导下，综合运用防护工具的同时，利用检测工具了解和评估系统的安全状态，将系统调整到“最安全”和“风险最低”的状态。从应用的角度看，P2DR只是一个安全的概念模型。提出了一个基于策略的安全框架，强调了策略的核心作用及策略与防护、检测、响应的协调与配合。但P2DR并没有明确策略的形式化描述和管理方法，作为一种自然语言描述的规则，策略不具有可计算性。同时，由于没有明确防护、检测和响应与系统运行状态特征的关系，模型本身的可计算性不强。

1，2基于形式语言的安全策略应用

当前国外许多研究机构正致力于形式化策略语言和应用模型的研究。比较有代表性的是英国皇家学院的ponder策略语言、惠普研制的Rei等策略语言、微软和IBM等联合制定的security policy语言规范等。这些语言的应用模型基本上都是以IETF定义的策略管理框架为基础，这个框架由策略管理工具(PMT)、策略存储器(PR)、策略决策点(PDP)和策略执行点(PEP)组成。但IETF并没有定义具体的策略应用方式和方法。

2　基于策略的安全防护模型的基本要求

针对安全策略应用研究中存在的问题，论文提出了基于策略的安全防护模型的基本要求。首先是要用形式化语言描述策略，实现管理与技术结合。其次，在一个合适的抽象层次上实现对系统对象的统一管理。最后，系统还必须将安全行为与应用逻辑分离，并及时监控系统运行状态，使系统安全行为根据策略动态调整成为可能。

2，1管理与技术结合

尽管安全技术已发展很多年，但安全问题依然层出不穷。由于安全管理规范和方法作为一种自然语言，具有很高的抽象性，难以在系统中应用。因此，如何用技术手段来保证管理方法的有效实施是安全研究人员的梦想。作为一种行为规范，安全策略恰好解决了这个问题。根据IETF定义，安全策略是一组条件和行为的集合，如“if condition then action”。因此，将安全管理方法和安全需求等转化为一组策略规则，用形式化方法描述策略，提高策略的可执行性是保证基于策略安全应用的一个重要前提。

2，2系统对象和行为的统一管理

在大型复杂分布式系统中，保持系统的配置、对象及行为等的一致性是确保系统安全的一个重要环节。但由于分布式环境中不同系统的实体、行为等各不相同，系统难以统一进行管理。同时，系统中实体对象在运行环境中的不确定性等因素也严重影响了系统行为的管理。采用基于策略的安全管理，通过形式化方法规范分布式环境中的实体和对象，可以方便的在分布式系统各个抽象层面上实施统一管理，保证了系统对象和行为管理的一致性。

2，3安全行为的动态管理

首先要明确安全行为与2，2节的系统行为是有一定区别的，2，2节的行为侧重系统应用逻辑行为，本节的安全行为是保证系统应用逻辑正常实施的行为。实施安全策略的目标在于改变系统的安全行为，使系统在运行时从不安全状态转化为安全状态。当前，大多数系统中的安全模块与应用逻辑统一设计、统一编码，系统的安全行为在设计编码时就已固定，在运行时难以改变，这样，即使良好的策略也不能发挥控制系统安全行为的效能。因此应用安全策略必须将安全行为与应用逻辑分开，实现安全行为的动态管理。

2，4基于策略的安全状态控制

从状态转换模型的观点来看，传统的安全防护中安全行为状态是固定的。安全研究和设计人员在确定安全目标后，围绕这个目标组织安全行为和配置。如BLP模型是围绕多级安全策略规范制定的重要模型，主要实现不同安全级别的对象间的访问控制，但BLP模型的策略是固定不变的。基于策略的安全防护模型以策略为指南，按策略规范指导系统的安全行为。研究人员只要改变了策略，就能调整系统的安全状态，使安全防护具有更大的灵活性和适应性。

3　PMA模型

针对安全策略应用要求，设计了基于策略的安全模型，如图1所示。模型借助策略管理工具，实现了策略的形式化管理，保证了策略的可执行性。为了实现系统安全配置和行为的动态管理，模型引入了基于中间件的安全管理方法，借助组件技术将安全防护模块与系统应用分离，使系统在运行时实施策略成为可能。同时，为了实现对系统实体、状态和行为等的统一管理，模型引入了基于事件状态驱动的系统管理方法。

模型的基本结构是以IETF定义的框架为基础，除了策略管理工具、策略决策点、策略存储器、策略执行点外，模型还增加了安全中间件管理单元，负责安全行为管理。

3，1策略管理

应用安全策略首先要制定相应的策略语言，对策略进行形式化描述。当前国外对策略描述语言进行了大量的研究，取得了相当的成果。如ponder策略描述语言、Rei策略语言等。由于XML语言的发展，当前很多研究人员倾向于利用XML语言描述策略。论文后面对策略的描述都采用XML语言描述。

策略的创建由PMT完成，并交给PDP，PDP根据系统运行环境特征进行决策，生成具体的行为规则，包括策略应用对象、执行条件、行为、触发条件等。

在IETF策略定义的基础上，将安全策略形式化描述如下：

Pohcy(name，target，condition，action，trigger)

其中，name是策略名，target是策略应用对象，condition是策略执行条件，action是策略执行动作，trigger是策略触发事件。其中target、condition、trigger等对象在生成时以系统应用逻辑事件状态对象为参考标准，action以安全中间件提供的安全行为模块为标准，关于中间件的管理见3.2节。用XML描述策略如表1所示。

3，2基于中间件的安全模块管理

模型采用中间件将安全防护模块与系统应用分开如图1所示，实现了安全防护行为的独立管理，使系统能够根据策略要求灵活裁剪安全应用防护功能模块。同时将安全防护行为划分成不同的模块，为安全行为细粒度控制打下基础。

由于网络的安全防护服务通常由如下几种组成：认证服务、访问控制服务、数据机密、网络安全检测服务、攻击监控和报警响应服务等。因此在中间件中的组件模块也按安全服务类别来划分，实现不同的安全防护功能。例如加密服务分解为加密算法模块、密钥生成模块、密钥传输模块、密钥保存模块。

中间件还维护一个资源管理器，负责对安全中间件的服务模块和行为模块进行管理，为安全策略管理提供配置和状态信息支持。在形式化描述中模型将安全服务和安全行为分解为如下的三元组：

SecurltyService(serviceName,aetion，goals)

SecurityAction(actionName，target，effects)

其中ServlceName是服务的名称，Aciton是实现服务的操作集合，Goals是服务实现的目标；ActionName是行为名称，Target是行为应用对象，Effects是行为的目标或效果集合。

4　结束语

分析了基于策略的安全模型的研究现状，提出了安全策略模型应达到的目标：(1)以策略为基础，实现管理与技术的结合。(2)确保系统安全行为可根据策略要求进行动态调整。根据这些要求，设计了基于策略的安全模型PMA，提出了将安全策略、应用逻辑、安全中间件相互独立又有机结合的构想。