（计算机应用技术专业论文）ponder语言研究及在防火墙策略管理中的应用.pdf

信息t 稃人学硕十学停论文 摘要 策略管理技术的核心观点是以策略驱动管理过程。因此是显式的、精确的，而且可应 用的策略描述语言是策略管理技术的个关键研究对象。本文研究主旨，是在网络安全复 杂度高、防护难度大、标准不尽统一的背景下，从策略语言入手对安全策略这一顶层进行 研究，试图使安全策略得以完整准确地实现，网络安全需求得以全面持续地满足，为网络 安全的解决方案和实施提供依据。 本文从策略语言概念和常用各种描述语言这一整体出发，着力对p o n d e r 策略语言的基 本策略、复合策略，以及其优点与不足三个主要方面进行了分析，得出结论：目前处于新 兴学术阶段的p o n d e r 策略语言，具有强大表达性、灵活性和扩展性，适于安全策略和管理 策略要求，p o n d e r s 略语言可以实现表述基于角色( r o l e b a s e d ) 的访问控制( 满足防护策 略) ，但对表述检测方案策略、响应方案策略的方法尚有不足。 全文核心在于提, m , p o n d e r 策略语言的扩展及在防火墙系统中的应用。对p o n d e r 策略语 言的扩展主要为：一方面，对原有信息模型进行了框架的改进；另一方面，扩展了配詈策 略、策略的策略和自适应策略三种特殊的策略，使得策略管理系统的自动维护和自我更新 得到了较好体现。同时，将p o n d e r s 略语言应用于防火墙策略管理系统中。首先，给出了 p o n d e r 策略语言掐述防火墙策略管理系统的整体框架；其次，提出了防火墙策略规则的 p o n d e r 策略语言描述；最后得出结论：p o n d e r 策略语言。作为一种适用于安全和管理策略的、 面向对象的说明性语言，能够满足现实环境中防火墙系统管理规范需求，有效提高了防火 墙系统的性能，并为网络安全提供了一种描述安全策略的解决方案。 为了在实践中构筑稳固的网络安全体系，还需要对策略语言架构中的关键技术进行更 广泛、更深入的研究，论文最后给出了未来工作的研究方向。 关键词；p o n d e r 策略语言，策略的策略，配置策略，自适应策略，防火墙策略管理 第1 页 信息一i 稃大学硕十学付论文 a b s t r a c t t h ec o r eo fp o l i c y b a s e dm a n a g e m e n ti sp o l i c y d r i v e nm a n a g e m e n tp r o c e s s e s s oi ti sa n e x p l i c i ta n dp r e c i s es p e c i f i c a t i o n ，a n dt h ea p p l i c a b l ep o l i c y d e s c r i b e dl a n g u a g ei sak e yo b j e c t s t u d i e di nt h ea r e ao f p o l i c ym a n a g e m e n t t h eo b j e c t i v eo f t h i st h e s i si st os t u d ys e c u r i t yp o l i c i e s b ys t a r t i n gf r o mp o l i c yl a n g u a g e s ，at o pl a y e ro fs e c u r i t yp o l i c i e s i nt h eb a c k g r o u n do f c o m p l i c a t e dn e t w o r ks e c u r i t y ，h i g hd e g r e eo fd i f f i c u l tp r o t e c t i o n ，a n du n c o m p l e t e du n i q u e s t a n d a r d s ；a n dt r yt om a k es e c u r i t yp o l i c i e sb er e a l i z e dc o m p l e t e l ya n dp r e c i s e l y ；m e e tt h e r e q u i r e m e n t so fn e t w o r ks e c u r i t yc o n t i n u o u s l y ；a n dp r o v i d ea ne v i d e n c ef o rt h es o l u t i o na n d i m p l e m e n t a t i o no f n e t w o r ks e c u r i t y t h i st h e s i sb e g i n sw i t ht h eg e n e r a lc o n c e p t so fp o l i c yl a n g u a g e sa n df r e q u e n t l yu s e d d e s c r i p t i v el a n g u a g e s ，a n dt h e nf o c u s e so nt h ea n a l y s i so fb a s i cp o l i c i e sa n dc o m b i n e dp o l i c i e s o f p o n d e rl a n g u a g e t h et h e s i sa n a l y s e st h e i ra d v a n t a g e sa n dd i s a d v a n t a g e so f t h ep o l i c i e sf r o m t h r e ed i f f e r e n ta s p e c t s a tt h ef i n a l ，t h ec o n c l u s i o ni sg i v e nt h a tt h ep o n d e rp o l i c yl a n g u a g e ， w h i c hi ss t i l li nt h es t a g eo fn e w l ya c a d e m i cr e s e a r c hc u r r e n t l y ，p o s s e s s e ss t r o n ge x p r e s s i o n , f l e x i b i l i t ya n de x t e n s i o n ，a n di ti ss u i t a b l ef o rs e c u r i t ym a n a g e m e n tp o l i c i e s ，b u ti ti si n s u f f i c i e n t i nd e s c r i b i n gt h ep o l i c i e sf o rd e t e c t i o n ，r e s p o n s ea n d r e c o v e r y ， t h ec o r eo ft h et h e s i sp r o p o s e st h ee x t e n s i o no fp o n d e ra n di t sa p p l i c a t i o ni nf i r e w a l l s y s t e m t h e r ea r et w oa s p e c t si nt h ee x t e n s i o no fp o n d e r ：t h ef i r s ti st h ei m p r o v e m e n tf o rt h e f r a m e w o r ko fo r i g i n a li n f o r m a t i o nm o d e l ；t h es e c o n di st h ef u r t h e re x t e n s i o no fc o n f i g u r a t i o n p o l i c i e s ，p o l i c yo f p o l i c ya n ds e l f - a d j u s t i n gp o l i c i e s ，w h i c he n a b l e st h ea u t o m a t i cp r o t e c t i o na n d s e l fr e n e w i n go fp o l i c ym a n a g e m e n ts y s t e mi nab e t t e rw a y m e a n w h i l e ，t h et h e s i sd i s c u s s e st h e a p p l i c a t i o no fp o n d e ri nt h ep o l i c ym a n a g e m e n to ff i r e w a l ls y s t e m f i r s to fa l l ，t h ef r a m e w o r k o ff i r e w a l lp o l i c ym a n a g e m e n ts y s t e mb a s e do np o n d e ri sg i v e n ；t h e np o n d e ri su s e dt od e s c r i b e f i r e w a l lp o l i c y ；f i n a l l yt h ec o n c l u s i o ni sd r a w nt h a tp o n d e ri sa no b j e c t - o r i e n t e dl a n g u a g et h a ti s s u i t a b l ef o rs e c u r i t ya n dm a n a g e m e n tp o l i c i e s ，a n di tc a nm e e tt h er e q u i r e m e n t so ff i r e w a l l s y s t e m si np r a c t i c e ，i m p r o v et h ef u n c t i o n a l i t i e so ff i r e w a l ls y s t e me f f i c i e n t l y ，a n dp r o v i d ea s o l u t i o no f d e s c r i b i n gs e c u r i t yp o l i c i e sf o rn e t w o r ks e c u r i t y i no r d e rt oc o n s t r u c tas o l i dn e t w o r ks e c u r i t y f r a m e w o r k 。w es h o u l da l s og i v eam o r e e x t e n s i v ea n df u r t h e rs t u d yi n t ot h ek e yt e c h n o l o g yo ft h ep o l i c yl a n g u a g ea r c h i t e c t u r e t h i s t h e s i sp r o p o s e st h et e n d e n c yo f t h er e s e a r c hi nt h ef u t u r e k e yw o r d s ：p o n d e r p o l i c yo f p o l i c y ，c o n f i g u r a t i o np o l i c y ，s e l f - a d j u s t i n gp o l i c y ，f i r e w a i l p o l i c ym a n a g e m e n t 第1 i 页 信息丁稃大学硕十学位论文 第一章引言 1 。1 研究背景 现有的网络管理框架和工具主要着眼于网元级设备的管理，管理员需要了解各种被管 设备的管理接口，熟悉设备管理信息库( m i b ) 变量的精确含义，采用非常复杂的方式监 视、控制网络运行的状态以及修改网络的配置参数。这种管理方式的有效性完全依赖于网 络管理人员的专业熟练程度，在当前网络日趋大型、复杂、异构的形式下，无疑将加重网 络管理人员的负担和网络的管理维护成本，并最终成为网络管理的瓶颈。如何在复杂的网 络环境下向授权的用户提供方便快捷的资源访问的同时满足安全性能的要求，已成为迫在 眉睫的问题。基于策略的网络管理强调的是个系统化的网络管理，而非单纯的网络设备 组态设定与管理。希望藉由策略的网络管理架构，直接将企业领导者所制定的政策目标以 网络管理策略的方式来表现，进而透过基于策略的网络管理系统的运作，将网络管理政策 分配至整个网络系统中执行。 但在大型网络环境中，由于涉及各种不同的安全机制实现对象，其具体安全策略描述 是各不相同的，迫切需要能够科学地、抽象地、统一地表述周一安全策略和安全行为，能 够把他们映射到具体的系统和设备上，并且具有扩展性，以便适应今后出现新的安全策略 类型的通用的安全策略描述方法。策略是一种规则，该规则定义了在系统行为中的一种选 择。将策略从系统的实现中分离出来，这样。不需改变系统的底层实现，通过修改策略以 动态地改变系统管理的策略，并因此更改系统的行为。目前现有的策略语言有s p l 、 x a c m l ，l a s c o 、t p l 、p p l 、p d l 、c f e n g i n e 等，但这些策略描述方法都存在有待研究 完善的地方。相比之下，英国皇家学院计算机系提出的p o n d e r 则是一种较为完善的策略描 述语言。 1 2 研究内容 本课题研究的目标是通过对策略语言的研究与分析，得出策略语言的统一性描述，并 针对此描述，把策略描述语言应用到本教研室的防火墙系统课题中，保证了防火墙系统策 第l 页 信恳t 挥大学硕十学付论文 略配置的正确性。 本文的主要研究内容如下： 1 分析比较了常用的策略语言。 对策略、策略语言及分类进行了描述。本文认为，英国伦敦皇家学院制定的p o n d e r 策略语言是种适用于安全和管理策略的、面向对象的说明性语言，也具有更大的灵活性、 很强的表达性和扩展性。 2 重点研究分析了p o n d e r 策略语言 对p o n d e r 策略语言的基本策略、复合策略及其对象类的信息模型进行了分析研究，最 后总结了p o n d e r 策略语言优点与不足。 3 对p o n d e r 策略语言进行了扩展性研究 针对p o n d e r 策略语言对于目前网络安全体系的安全需求的不足，对p o n d e r 语言信息 模型进行了扩展，把策略的策路p o p 应用到了p o n d e r 策略语言信息模型，形成了扩展后的 p o n d e r 语言信息模型，其扩展具有一定实用价值。对p o n d e r 语言的扩展主要为：一是对原 有信息模型进行了框架的扩展；二是定义了配置策略；三是定义了策略的策略；四是定义 了自适应策略。 4 把p o n d e r 语言应用于防火墙策略管理系统中 本文把p o n d e r 语言应用到防火墙策略管理系统中，设计了防火墙策略管理系统，实现 了防火墙策略的统一配置和管理，保证了防火墙策略配置的正确性。 1 3 论文结构安排 论文共分六章，各章的主要内容安排如下： 第一章引言部分。介绍了课题研究背景、课题研究内容。 第二章策略语言。本章首先给出了策略及策略语言的相关概念，然后对现有策略语言 进行分类描述。 第三章p o n d e r 策略语言分析。本章首先分基本策略和复合策略两个部分对p o n d e r 进 行归纳分析，并给出了基本策略与复合策略的信息模型和部分实例说明如何使用p o n d e r 语言；最后总结出p o n d e r 策略语言的优点及不足。 第四章p o n d e r 策略语言的扩展。本章首先介绍了p o n d e r 策略语言原有信息模型，并 针对其不足，把策略的策略应用到了此信息模型，形成了扩展后的p o n d e r 语言信息模型， 使得基于扩展后的p o n d e r 语言的策略管理系统具有较强的自适应性和策略的正确性。 第五章基于p o n d e r 策略语言的防火墙策略管理系统的设计。首先，给出了基于p o n d e r 第2 页 信息t 稃大学硕七争何论文 策略语言的防火墙策略管理系统的整体框架；其次，给出了防火墙策略的p o n d e r 策略语言 描述，并对防火墙策略的执行这一关键技术进行了研究。 第六章结束语。总结了课题研究的主要工作情况，并提出进一步的研究方向。 第3 页 信息丁稃大学硕十学付论文 第二章策略语言 迄今为止，部分研究者已就策略管理进行了_ 些研究工作，也出现了一些实现策略管 理的基本框架和技术。这包括很多相关的机制、策略描述、策略分发协议、策略管理模型 等。其中策略的描述方法和被管理对象的信息模型是一大研究重点。 2 1 1 策略定义 2 。1 策略与策略语言 近年来，基于策略的管理成为在大型网络和分布式系统中广泛使用的一种解决方案， 得到了i e t f 、d m t f 等标准组织，以及众多学术机构和网络设备厂商的支持。提到策略， 就不得不提起英国皇家学院分布式系统管理小组的领袖级人物m o r r i ss l o m a i l ，他最先 将策略的概念进行推广。自上世纪8 0 年代起，越来越多的组织开始从事与策略相关的课 题研究，并取得了许多重要的成果。 关于策略的定义，不同的角度有不同的解释。一般而言，策略可以有以下几种方式的 描述。 策略用于描述一组法规、规则、惯例、标准和方式等； 策略用于描述只有提供适当的许可证，访问才被允许，即用于定义系统主体访问客体 所需要的许可证级别； 策略用于描述一个访问控制模型中访问控制框架的访问规则。对于网络管理而言，策 略就是一组管理规则的集合。 总而言之，所谓策略“2 埘是由管理需求而来的、相对持久的、说明性的某种用于控制 系统行为的规则，此规则约束了系统做出决策的过程。 基于策略的网络管理“1 ，是指网络能够自动根据管理人员制定的策略，实施信息存取、 信息传输及网络设备的监控与配置，提供优化网络所必需的各项服务。使用策略的主要优 势在于提高了管理系统的可伸缩性和灵活性，因为策略的使用使得我们不必改动系统内部 的管理组件，仅通过制定新的策略就能够动态地调整系统行为。 2 1 2 策略特性阿 相对持久性策略相对于被管理系统的频繁变化的状态，应该是相对稳定的。也就 第4 页 信息t 稃大学硕十学位论文 是说执行某一措施的一次性命令不是策略。 说明性策略说明了在特定的条件下，一些预定义的操作应当被执行，但是策略并 不关心这些操作具体如何实施。 由管理需求而来策略来自于商务需求，服务等级约定或是信任关系，因此管理需 求也称为高层策略或是抽象策略。 2 1 3 策略语言定义 策略语言旧”1 定义了策略描述语言的语义和语法，它是对策略规范的描述。就策略的 层次而言，可分为高层抽象策略、规范层策略和底层配置策略。高层抽象策略也称管理目 标，例如商务目标、服务等级约定( s e r v i c e l e v e l a g r e e m e n t s ) 、信任关系( t r u s t r e l a t i o n s h i p s ) 等，一般用自然语言来描述。高层抽象策略无法直接执行，为了实现其管理目标，必须将 其转换为其他两级更为具体的策略。规范层策略，指的是网络级或是商务级的策略，与特 定的服务有关，是对底层策略的抽象，通常是由管理员按照某种指定的格式或者规范来表 述。底层配置策略通常是对特定的设备或是安全机制进行配置( 例如访问控制列表、防火 墙规则等) ，它是针对管理目标的、详尽的、具体的管理描述。因此，策略语言可以是抽 象的、也可以是具体的，可以大到来描述某种目标，也可以小到去描述某个命令。互联网 工程任务组( i e t f ) 方法是一种建立信息模型并且面向域的方法，在特定的域中进行条件、 动作、适应对象以及独立于库的s c h e m a 的标准化，如服务质量( q o s ) 和安全。其他方法 ( 如p o n d e r ) 象正式的类似于编程的语言，更为注重语言的能力( 时态逻辑、有效性和正 确性) 而不是模型化的域。预计只有少数专家会使用策略定义语言本身为新的服务创建策 略规范。一般的操作人员不会接触到这些策略的原始形态，但是在提供和配置日常服务时 会使用看似并不复杂的语言的用户友好版本或者图形用户界面( g u i ) 来应用预先定义的 策略。用于表述策略核心信息模型( p c i m ) 中的策略的i e t f 准则是策略最初简单表述 的基础。 2 2 策略语言的分类 策略的分层结构不仅体现了策略的不同视角以及不同级策略之间的相互关系，而且还 展示了从实现高层次管理目标的高层策略到能够自动实施底层策略的、从抽象到具体的过 程。 对于大规模分布式网络而言。管理和安全是紧密相关的，每一方都需要另一方提供支 撑服务。所以，从策略的功能来考虑，策略可以分为安全策略和管理策略州。安全策略通 第5 贞 信息t 稃大学硕七宁付论文 常是指访问控制策略，而管理策略负责分配管理和实施的具体义务给特定组件。那么作为 对策略描述的策略语言也可以分为安全策略语言和管理策略语言。 2 2 1 安全策略语言 网络安全的三个最主要目标是：机密性、完整性和可用性“”，而要达到这三个目标需 要三种互相支撑的技术：认证、授权( 访问控制) 和审计。从这一角度来说，纯粹意义上 的安全策略就是指在认证、授权和审计的过程中发生作用的策略。策略更适合于对授权过 程进行控制。 所有的计算机网络安全产品都是基于这样一个简单概念：主体访问客体，这是对计算 机网络中一切操作的归纳。任何一种安全策略或安全产品都是为了安全、有效的实现主 体对客体的访问。因此通常所说的安全策略就是访问控制的过程中出现的访问控制策略。 s p l 安全策略语言“”( s e c u r i t yp o l i c yl a n g u a g e ，s p l ) 是一种事件驱动( e v e m d r i v e n ) 的策略语言，支持访问控制、基于历史( h i s t o r y b a s e d ) 和基于义务( o b l i g a t i o n b a s e d ) 的策略。在s p l 中，策略被定义成类，提供参数可以将类实例化。一条策略实例的生成就 意味着策略被激活，因此在s p l 中没有对策略的生存周期加以控制。s p l 还可以通过继承 机制进一步提高策略描述的可重用性，这种策略构造方法可以用来模仿基于角色的访问控 制模型。s p l 还支持层次化的策略制定，即在策略内部创建其他策略的实例，这样就可以 事先定义一些通用的安全策略，以方便用户构建更为复杂的安全策略。但是s p l 不能支持 在主体之间传递授权的代理策略的描述，而且s p l 没有明确的定义角色的方法。 x a c m l x a c m l “”是由o a s i s ( o r g a n i z a t i o nf o r t h ea d v a n c e m e n to fs t r u c t u r e di n f o r m a t i o n s t a n d a r d s ) 制定的，x a c m l 使用扩展标记语言( e x t e n d a b l em a r k u pl a n g u a g e ) 表示用于 因特网上信息访问控制的策略，它为x m l 增加了高级的访问控制技巧，该语言能够针对 x m l 文档中任何一个在安全浏览时可能被更新的文档元素制定访问控制规则。与现有的策 略语言相似，x a c m l 用来在特殊的x m l 文档的上下文中描述形式为基于“主体一客体 一措施一条件”( s u b j e c t t a r g e t a c t i o n c o n d i t i o n ) 的策略。该语言支持角色的概念，其中主 体包括身份、组和角色，而客体的粒度可以精细至x m l 文档中的一个单个元素。使用x m l 的主要好处在于它是广泛接受的标准，可以使用浏览器就对策略的描述进行显示和编辑。 x a c m l 的主要缺点是策略的描述方式冗长而且不利于人类解释。此外，x a c m l 中没有 定义域或者角色的方法。 第6 贞 信息t 稃大学硕十学位论文 l a s c o l a s c o “”是一种为对象指定安全约束的图形方法。在l a s c o 中策略由两个部分组成： 域和需求。域描述了什么时候策略可以生效，需求描述了对象必须满足的要求。l a s c o 中 定义的策略表示为标记有向图，标记代表域和需求的谓词。l a s c o 不能描述强制策略，而 且除了预定义的对象类以外不能把策略组合起来，这些使l a s c o 的应用范围对于满足安 全管理需要非常有局限性。此外l a s c o 的描述能力也很有限，使得它难以使用和约束它 的表示形式。但注意，使用图形来指定策略对人们来讲是富有吸引力的，因此它将是未来 的一个有意义的研究方向。 t p l i b m 提出的信任策略语言“”( t r u s tp o l i c yl a n g u a g e ，t p l ) 为基于授权证书的主体 认证以及为那些已成功取得授权的主体的核准作了更为清晰的区分。使用证书进行验证之 后将被指派为一个角色，该角色规定了客户获得的授权。t p l 通过将未知用户映射到己经 定义的角色上来扩展r b a c 机制。从原理上来讲，t p l 是对基于角色的访问控制机制进行 了扩展，使得未知用户可以被映射到事先定义好的角色中。t p l 允许使用否定的信任状来 表示不信任某一用户或者不为某一用户指派特定的角色。 一群实体能代表特定的组织单元( 如，雇员，管理者，审计员) 。t p l 不包括给任务 指定访问权利。t p l 的工作思想是将不认识的用户映射成定义好的角色来扩展基于任务的 访问控制机制。尽管授权与形式无关，但目前的系统采用x 5 0 9 v 3 凭证并在x m l 中定义 了语言，这使得更加有顺序而不凌乱。t p l 不象k e y n o t e 它允许否定的凭证，否定凭证可 以执行建议不信任某个用户或不将某个用户赋予特定的任务。但是t p l 使用x m l 定义， 这使得其语法显得比较冗长。 2 2 2 管理策略语言 策略的特点使之适合于制定动态自适应的管理方案。基于策略的管理方案能够很容易 的根据变化的需求进行改动，而不需要重新编写管理系统。大多数基于策略的管理解决方 案都采用条件一措施( c o n d i t i o n - a c t i o n ) 规则，有些还具有了事件驱动的能力，还有一些 方案采用了脚本解释语言。 p p l 除了i e t f 基于策略规则的方案之外，还有一些制定流量控制策略的解决方案，这些 方案都是对i e t f 方案的扩展。一个典型的例子就是p p l “”( p a t h b a s e dp o l i c yl a n g u a g e ) 第7 页 信息t 稃大学硕十学何论文 语言。p p l 被设计用来同时支持区分服务和集成服务。它基于如下想法：通过约束流量必 须经过的路径来对网络中的流量提供更好的控制。p p l 规则的语义为：由 仓r j 建的 策略p o l i c y l d 规定t a r g e t 流量类可以使用p a t h s 当且仅当a c t i o n _ i t e m 执行后c o n d i t i o n 条件 为真。基于路径的策略语言p p l 第一次在策略规则中加入了路径信息，使网络策略可以用 来支持集成服务。但是规则描述中u s e r d 并不是必要的，它的存在反而增加了语法的复杂 度。策略的创建者和创建时间以及规则的优先级标签等信息最好是由元策略来描述。p p l 的缺点是不支持任何形式的策略聚合，例如策略组，也没有角色的概念。 p d l p d ld 7 ”m ”是一种基于事件( e v e n t - b a s e d ) 的策赂描述语言( p o l i c yd e s c r i p t i o n l a n g u a g e ) ，起源于网络计算研究单位贝尔实验室。p d l 它使用“e v e n t - c o n d i t i o n - a c t i o n ” 形式的规则来定义策略，并用之来映射一系列的事件到动作集合。p d l 策略的语法很简单， 策略被描述成两种类型表述的集合，这两种类型的表述是：策略规则和事件命题定义的策 略。策略是表达式的形式： e v e n tc a n s e $ a c t i o ni f c o n d i t i o n 其语义为：如果e v e n t 事件在c o n d i t i o n 条件下发生，那么执行a c t i o n 动作。策略定义 事件陈述形式如下： e v e n tt r i g g e r sp o l i c y - d e f i n e d e v e n ti f c o n d i t i o n 其语义为：如果e v e n t 事件在c o n d i t i o n 条件下发生，那么触发p o l i c y d e f i n e d e v e n t 事 件。 p d l 语言中的事件可以是简单事件或复杂事件。复杂事件可以由简单事件组合而成。 p d l 具有清晰的语义，且表达能力很强。该语言已清晰的定义语法，并且已指定了核实p d l 策略的结构。 c f e n g i n e 基于策略的管理还被应用于配置管理。使用e v e n t c o n d i t i o n - a c t i o n 模型的策略管理系 统，在监控软件的帮助下就可以实现网络和系统管理的自动化。c f e n g i n e 。”。”是一种配置 管理语言，主要针对u n i x 平台的强大而简练的说明性脚本语言，适合u n i x 系统管理员用 来自动的完成一些通用的管理任务。但是c f e n g i n e 不支持授权策略，并且没有引入面向对 象的概念，例如继承和带参数的实例创建等。此外还有一些基于策略的配置管理采用的是 普通的脚本或是解释性语言( 如t c l 和j a v a ) ，这些策略可以被载入到网络组件或是配置 代理中具体实施，但是这些管理方案的安全问题非常突出，任何恶意的或是不适当的代码 第8 页 信息t 程大学硕十学位论文 都可能对网络造成危害，并且策略冲突的情况更难以检测。c f e n g i n e 通过使用适合系统管 理员的描述语言达到原本的目标，系统管理者自动化管理u n i x 上通用的管理任务，然而， 它仍然缺乏能使大规模基于策略配置管理的能力，其开发者承认有必要进一步扩充企业级 策略规范。 2 3p o n d e r 策略语言 p o n d e r “。5 “矧策略语言是英国伦敦皇家学院在策略管理领域研究的成果，是一种面 向对象的说明性语言，尤其适合描述分布式环境中的安全策略和管理策略。p o n d e r 语言支 持授权策略、委托策略两类安全策略以及义务策略、抑制策略两类管理策略。p o n d e r 语言 具有很好的扩展性，可以根据应用的需求，扩展策略类型或者为现有的策略类型增加新的 策略子类，可以将应用策略的对象进行分组，而且通过将简单策略组合成复合策略可以较 好地满足大规模系统策略规范描述的需要。p o n d e r 语言支持结构技术、可重用性和可参数 化，通过参数实例化策略类以及对复合策略的继承，增强了可伸缩性和灵活性，减少了管 理员的重复工作。 2 4 本章小结 本章对策略语言进行了整体概述。首先，给出了策略与策略语言的定义，以及策略特 性的描述。 其次，将策略按照结构层次和功能进行分类，描述了现有策略语言。从结构层次上， 策略分为高层抽象策略、规范层策略和底层策略；从功能上，策略可以分为安全策略和管 理策略。并按照策略功能的划分，分别给出了相应策略语言描述，描述了现有的安全策略 语言s p l 、x a c m l ，l a s c o 、t p l ，管理策略语言p p l 、p d l 和c f e n g i n e 。 最后，重点介绍了一下p o n d e r 策略语言。p o n d e r 策略语言是一种面向对象的说明性语 言，尤其适合描述分布式环境中的安全策略和管理策略。 第9 页 信息t 程大学硕十学 寺论文 第三章p o n d e r 策略语言分析 本章将p o n d e r 分为基本策略和复合策略两个部分，并且用一些简单的实例来说明 p o n d e r 的语法。为了方便阅读和理解，论文将有如下约定：语法介绍中出现的粗体字是 p o n d e r 的关键字，包括符号：各种可能的选择用圆括号( ) 包围起来，它们之间用“i ” 分隔：可选的元素用方括号 包围；可以重复的内容包围在大括号 中。 3 1p o n d e r 策略语言的基本策略 在分析p o n d e r 的各种组成要素之前，首先给苗p o n d e r 的信息模型。同时，p o n d e r 定 义了四种基本策略：授权策略( a u t h o r i z a t i o np o l i c i e s ) 、委托策略( d e l e g a t i o np o l i c i e s ) 、 义务策略( o b l i g a t i o np o l i c i e s ) 、抑制策略( r e t r a i np o l i c i e s ) 。 3 。1 。1 基本策略对象类信息模型 p o n d e r 策略语言嘧玎汹儿别的信息模型中包括了策略和策略的对象，所谓策略的对象是参 与管理过程的、作为策略主体或是客体的对象。图3 1 是p o n d e r 基本策略对象类信息模型 ( 不包含复合策略类) 。 图3 1p o n d e r 基本策略对象类信息模型 第l o 页 信息t 程大学硕十学位论文 信息模型中所有的对象类都是被管理对象类的子类，这些对象类包括域、策略和执行 组件。个域脚1 的实例可以包含任意个数的被管理对象，这个域就是所有这些被管理对象 的父节点。基本策略中的被管理对象集合是对域内的对象进行集合运算得到的，可以使用 的集合运算包括并集、交集以及差集。基本策略中的主体( s u b j e c t ) 和客体( t a r g e t ) 都以 域中对象的形式来定义，这一点在图3 1 中通过依赖线来表示。执行组件负责在策略管理 系统内执行策略。对于授权策略来说，执行组件就是访问控制器( a c c e s sc o n t r o l l e r ) 。策 略管理组件是自动化的组件，负责执行基于主体的策略( 包括义务策略和抑制策略) 。基 本策略被分发到执行组件之后由执行组件具体实施，这一点在图中通过连接在执行组件和 基本策略之间的使用线来表示。 假设所有的策略都通过一种接口与对象相关联，这种接口是用接口定义语言定义的。 主体表示用户、管理员或自动管理组件，主体通过调用目标的可见方法来访问目标对象。 对主体或目标对象的引用被存储在域中，通过域服务来维护。域提供了一个对象分类的方 法，可以根据地理边界、对象类型、责任以及权限等将对象进行分类。这就简化了具有成 成千上万个对象的大型系统中策略的描述。 3 1 2 域及域界表达式 域( d o m a i n ) “”提供了一种将策略应用的对象进行分组的方法，用于大型系统中用户 的分类( 分类基准为地理边界、对象类型、义务和授权，即：域服务所维护的域中存贮策 略中的主体对象和客体对象的引址) 以简化管理员的管理。基于域的方法的好处如下： 应用到某一域的策略会自动传播到其子域，从而有利于扩展性的实现。 把对象从一个域转移到另一个域，原有的策略将会自动的被新域上的策略替换，增强 了策略管理的灵活性。 域的成员关系是明确定义的，它与文件系统中的目录的概念非常相似。作为其它域的 成员的域称为子域，包含该子域的域称为父域。一个对象或者子域可以是多个父域的成员。 对域进行并、交、差运算形成域表达式，其结果是被管理对象的集合。域的标识符是路径 名。 域范围表达式。”( d s e ) 可以对域进行组合，以形成不同的对象集供策略描述使用， 即描述策略的主体目标。由于域成员可以动态改变，导致策略适用的对象集( 也就是域 表达式) 在域成员改变时也要发生变化。在实际应用当中，通常使用一些优化的方法来把 这种变化降到最小程度。比如可以在策略的域中添加或者删除对象，但并不需要修改策略 本身。 第1 1 页 信息t 程大学硕十学位论文 下面列出了域范围表达式的语法，表3 1 对域范围表达式中的不同操作进行解释并、 交、差运算具有相同的优先级，按从左到右的顺序进行计算。一元操作“术”和“ ”的 优先级比并、交、差运算高。 域范围表达式语法如下： d o m a i n _ s c o p e _ e x p r e s s i o n = d o m a i n _ o b j e c tl d o m a i n _ o b j e c t )l 【i n _ v a l u e 】d o m a i n _ o b j e c ti i n t _ v a l u e 】d o m a i n _ o b j e c t l ( d o m a i n _ s c o p e _ e x p r e s s i o n )l d o m a i n _ s c o p e _ _ e x p r e s s i o n ( + 卜i “) d o m a i n _ s c o p e _ e x p r e s s i o n ； d o m a i n _ o b j e c t ：( i d e m i f i e rip a t h ) ( a e t i o n c a l l ) l ( f e a t u r e c a l l ) ； 语法 说明 d 返同所有不属于域对象d 及其所有嵌套子域的成员。 d 如果d 是一个域，则返回d 中不是域成员的集合。整数n 表示遍历d 的层次深度，例如 n d n = 1 ，将包括d 的直接成员；n = 2 则包括d 的子域的成员；如果不指定n ，则d 的所有 子域都将被遍历。 如果d 不是一个域，则返回包括d 的对象的集合。 + d 返回d 中所有是域和不是域的成员，包括该域本身。整数n 表示遍历d 的层次深度， n d 如果不指定n ，则d 的所有子域都将被遍历。 c 返回包括对象c 的集合。 a + b 返回a 和b 中所有互补相同的成员的集合( 并) 。 a b 返回a 和b 中都有的成员的集合( 交) 。 a - b 返回存在y a 中但不存在于b 中的所有成员的集合( 差) 。 3 1 3 基本策略 表3 1 语法解释 1 授权策略 p o n d e r 中的访问权限是通过授权策略( a u t h o r i z a t i o np o l i c i e s ) 描述的。授权策略根据 接口方法调用定义主体域中的成员能够对目标域中的对象进行怎样的操作，是访问控制访 第1 2 页 信息丁稃大学硕十学伊论文 问行为必不可少的安全策略。授权策略通过目标主机上的访问控制实施组件来实现。p o n d e r 既支持允许某行为的肯定授权，也支持禁止某行为的否定授权。它可以用布尔表达式表示 授权策略。肯定授权策略描述了允许主体对目标进行的操作，而拒绝授权策略描述了禁止 主体对目标进行的操作。 授权策略语法如下： i n s t ( a u t h + la u t h - ) p o l i c y n a m e s n b j e c t 】d o m a i n - s c o p e e x p r e s s i o n ； t a r g e t 】d o m a i n s c o p e e x p r e s s i o n ； a c t i o n a c t i o n l i s t ； 【w h e nc o n s t r a i n t e x p r e s s i o n ；】 】 如授权策略的语法所示。用于描述策略实施时的限制条件，例如时间或对象的属性值 等，在所有类型的策略中都是可选的。 实例： 域n e t w o r k a d m i n p q 的成员禁止对域r e g i o n l r o u t e r s 内的属于p r o f i l e t 类型的对象执 行l o a d 、r e m o v e 的操作。 i n s ta u t h - r o u t e r s p r o f i l e o p s s n b j e e t ，n e t w o r k a d m i n ； a c t i o n l o a d ( ) ，r e m o v e ( ) ； t a r g e t r e g i o n1 t o u t e r s ； 2 委托策略 委托( d e l e g a t i o n ) 策略指定了主体能够委托给其他主体的行为，在访问控制系统中进 行临时的权限传递的操作。用户将访问权限委托给其他用户的操作应该在安全策略的严格 控制之下，这在允许层次委托的系统中是十分重要的。委托策略允许主体将其具有的权限 委托给其他的主体( 称为受让人) 来代表它执行需要的操作。例如，将读权限委托给打印 机执行打印操作。在p o n d e r 中，当委托策略被实施后，授予者仍然拥有其本来的访问权限， 而不是转让给受让者。委托策略通常是与授权策略相联系的，授权