访问控制策略语言的研究与设计.pptVIP

访问控制策略语言的研究与设计 提纲 研究背景 EGACPL (Easy to use and General Access Control Policy Language)的研究与设计 EGACPL编译器的设计与实现 示例验证 总结与展望 研究背景 EGACPL的研究与设计 EGACPL编译器的设计与实现 示例验证 总结与展望 研究背景 安全操作系统领域的发展 访问控制技术的发展 自主访问控制 访问控制矩阵模型 强制访问控制 MLS安全模型：BLP、BIBA DTE模型 基于角色的访问控制 RBAC模型 安全需求的多样化 安全模型的组合使用 如Selinux中DTE与RBAC模型的组合应用 研究背景 访问控制策略语言的新要求 通用性 该语言应该具有丰富、准确和灵活的描述能力，能够统一描述多种访问控制模型。 易用性 该语言能够具有良好的可读性、简洁性和易用性 ，便于开发者理解使用。 研究背景 目前安全策略语言的研究现状 传统的安全策略语言 ASL 基于逻辑的策略语言，具有较强的计算能力，容易推理； 可读性差，不易理解和编写。 PDL 基于事件的策略语言，格式：event-conditions-action； 主要用于网络管理，不支持安全操作系统领域的访问控制。 新开发的安全策略语言 Selinux 支持DTE和RBAC模型的组合； 缺乏结构性、可重用性，规则庞大，不易掌握； 宏编译器缺乏语义检查。 Ponder 结构性、面向对象； 仅支持自主访问控制模型。 研究背景 研究背景 EGACPL的研究与设计 EGACPL编译器的设计与实现 示例验证 总结与展望 EGACPL的研究与设计 设计思路 需求分析 着重从“通用性问题”出发，从操作系统的访问控制机制及安全模型的实现入手，充分调研分析各种安全模型的安全特性，提取它们共有的以及特有的安全元素，进而对模型的实现进行抽象和总结，提炼出通用性访问控制策略语言的设计需求。 基本元素 在需求分析的基础上确定语言的基本元素。 语法规范 添加结构性定义以及一些面向对象的设计思想； 确定语言的词法、语法规范。 EGACPL的研究与设计 需求分析 访问控制策略 访问控制模型的实现基础； 对抽象的访问控制模型的具体描述； 策略语言的实际描述对象。 共有特性 策略主体、策略客体以及策略规则； 系统主体、系统客体以及安全规则； 设计需求 语言必须能够支持对不同安全模型中的系统主体、系统客体以及安全规则提供准确、具体的描述。 EGACPL的研究与设计 需求分析 安全属性 安全属性的定义 系统对象的安全描述 ； 安全模型的主要安全特性之一 。 安全属性之间的关系 安全规则中限定条件的判断依据； 偏序关系； 关联关系； 冲突关系。 设计需求 语言需要提供对不同安全模型中安全属性的描述支持； 语言需要提供对不同安全模型中安全属性间关系的描述支持。 EGACPL的研究与设计 需求分析 安全规则 授权规则 系统中主体在满足特定的限制条件下所允许或禁止拥有的权限 ； 肯定授权规则 ：主体允许拥有的权限 ； 否定授权规则 ：主体禁止拥有的权限 。 安全属性转移规则 访问控制模型中的权限转变规则 ； 主体安全属性转移规则 ：用于限制系统主体的权限 ； 客体安全属性转移规则 ：用于为新建客体赋予安全属性 。 设计需求 语言需要提供这两种安全规则的描述支持； EGACPL的研究与设计 语言设计 安全模型的三个主要抽象概念 安全属性 安全属性间的关系 安全规则 EGACPL的三种基本元素 数据类型 关系类型 规则类型 EGACPL的研究与设计 语言设计 数据类型 支持对安全模型中安全属性的描述； 基本数据类型： 整型int； 字符串类型string； 系统操作类型class，表示系统支持的操作。 定义格式：class 对象名{系统操作1，… 系统操作n} ; 支持继承定义：inherit。 复合数据类型: struct； 支持两种基本数据类型的组合：int和string； 不支持嵌套定义； 可以用于描述安全属性和系统资源； 预定义了三种资源类型： struct file_t:文件类系统资源 struct port_t:端口类系统资源 struct node_t:网络节点类系统资源 EGACPL的研究与设计 语言设计 关系类型 描述安全属性间的关系以及系统对象和安全属性之间的赋予关系； 五种关系类型： associate – 关联类型：描述安全属性之间的关联关系 ； dominance – 偏序类型：描述安全属性之间的偏序关系 ； conflict – 冲突类型：描述安全属性之间的冲突关系 ； gencontext – 赋予类型：描述系统资源和安