基于有向圖覆蓋關系的安全策略沖突檢測模型.pdf

1、目前基于策略的網絡安全管理應用不斷深入，信息系統(tǒng)的信息安全及可信計算環(huán)境都依靠安全策略來管理、控制。聯(lián)網的信息系統(tǒng)一般是多域(稱為自治域)的，每個域里要部署多種安全設施保障其安全。其中，保證作為其核心的安全策略的協(xié)同工作和一致性是實現(xiàn)多域信息的安全管理需要首先解決的問題。因此，對安全策略的表示和對策略之間沖突的檢測和消解是實現(xiàn)統(tǒng)一的安全管理的首要目標，也是基于策略的網絡安全應用中的難點之一。 一般的，安全策略沖突產生的原因有兩方

2、面：一方面可能是人為造成的；一方面是其應用必然產生的。對沖突的分析有兩個步驟：首先需要進行沖突檢測，發(fā)現(xiàn)策略間的沖突點；然后對檢測出的沖突策略進行沖突消解。本文重點是對安全策略沖突進行檢測。 本文首先對已有的策略描述語言和基于其中兩種較典型的語言的策略處理框架進行了介紹。然后討論了安全策略及其沖突的分類。對已有典型的沖突檢測方法進行了深入分析，比較了它們的處理過程中存在的優(yōu)勢和局限性。在此基礎上，定義了安全策略和策略沖突。

3、 本文在基于有向圖的沖突檢測模型的基礎上進行了擴展。通過定義了有向圖節(jié)點的覆蓋關系來表示策略對象間的關系，并對策略操作部分進行有向圖關系的建模。又根據(jù)策略描述語言的表示結構，將策略三元組的關系判斷擴展到加入條件約束的四元組關系判斷。在進行模態(tài)沖突判斷的時候，先判斷策略條件關系得到策略作用范圍的關系，然后再進行三元組關系判斷。通過將策略三元組判斷擴展到四元組后，雖然對策略的表達增加了一些限制，卻在一定程度上提高了策略沖突檢測的正確性和有