网络安全教程 教学课件 田园 第7章 分布式系统中的安全策略.pptVIP

第7章 分布式系统中的安全策略 ;7.1 基本概念与P模型 ; 什么是分布式系统中的安全策略问题？ 它不是要分别研究各个特定安全策略本身（特定安全策略的研究当然也是一个有重要意义的领域），而是研究在分布式系统中集成、实现、验证、维护安全策略的方法和技术。 这些方法和技术并非针对任何特定的安全策略，而是与策略无关的，或者说应追求最大限度的策略独立性。; 需要实现策略独立性或称通用性的根本原因在于： （1）没有哪一种特定的安全策略可以满足所有情况，因此通用的方法研究和系统设计不应该也不可能依赖于任何一种特定的安全策略； （2）在系统的整个生命周期内，威胁形势是变化的，安全策略因此也必须是可变化、调整的，即安全策略集成到系统中的方式，必须是可更换和重用的；; （3）一种或多种安全策略集成到系统中，能否达到系统的安全目标必须是可证实的，而这种正确性的证明既依赖于策略本身，也依赖于该策略与系统中其他组件的关系，包括静态的结构的关系和动态的相互作用的关系。 ; 我们将分布式系统中集成安全策略的最重要的基本原则陈述如下。 （1）强制性原则，即策略的实施是不可绕过的。 （2）分布性原则。 （3）策略与其实施的机制相分离原则。 （4）渐进性原则。; 定义7-1 一个P模型是一个5元组（P, A, S, M, E）。 P是策略集合，即一组显式表达的行为规范。 A是参与的对象的集合，每个对象有全局唯一的标识。 S是状态空间的族，即对每个对象x∈A, Sx是x的状态空间。 M是一组消息的集合。 E是一组事件。 P中的每项规范是一个映射πx：(e, s)→(s′,ψ), e是一个事件，s、s′∈Sx是状态，ψ=(a1,…,an)是一个有序组，每个aj是作用于状态空间Sx上的一个事务。πx的意义是：当事件e在对象x上发生、且x处于状态s时，其状态转移到s′，随后从状态s′出发，依序施行事务a1,…,an，最终转移到状态an…a1(s′)，简记为ψ(s′)。ψ可以为空，这时候ψ(s′)=s′。;7.2 LGI模型 ; LGI是Law-Governed Interaction的英文缩写，即“策略制导的相互作用”。 ;7.2.1 基本概念与体系结构;＋t ;作用在消息上的操作;事 件;7.2.2 应用实例：中国长城策略;/* 策略定义 */ Preamble: policy CW_policy; /* 全局唯一的策略名*/ authority(admin, pubkey); /* 本策略认可的合法签名以admin持有的公钥pubkey验证 */ initialCS([]); /* 初始状态(空) */ /* 事件响应规则 */ Rules: R1: sent( U, request(C), S) :- ( companyPermit(C)@CS | belongsTo(C, Q), cliquePermit(Q)@CS ), do( forward ); /* 若用户U被公司C或C所属的集团Q允许查询其交易信息，则允许发送该消息。*/ R2: arrived( U, request(C), S ) :- do( deliver ), do( +requested(C, U)); /* 当访问请求到达时，向应用程序转交该消息，同时在本地空间中记录状态; requested(C, U)，表示用户U已请求查询公司C的财务信息。*/ R3: sent( S, response(C, Data), U) :- requested(C, U)@CS, do( -requested(C, U)), do( forward ); /* 若用户U确实已发出对C的查询请求，则向U发送响应。*/ R4: arrived( S, response(C, Data), U ) :- CompanyPermit(C)@CS, do(delivery); /* 若U接收到关于公司C的交易信息且U确有权限查询该信息，向U的应用程序转交。*/;R5: arrived( S, response(C, Data), U) :- belongsTo(C, Q), cliquePermit(Q)@CS, do( -cliquePermit(Q)), do( +companyPer