基于多維屬性的網(wǎng)絡(luò )管控方法和技巧論文

　　【 摘 要 】 對網(wǎng)絡(luò )上的各種訪(fǎng)問(wèn)行為進(jìn)行有效管控的關(guān)鍵是網(wǎng)絡(luò )訪(fǎng)問(wèn)管控策略。文章基于主體與客體的多維屬性，建立了網(wǎng)絡(luò )管控策略模型，并對網(wǎng)絡(luò )環(huán)境中的訪(fǎng)問(wèn)行為進(jìn)行實(shí)例分析，提出了策略生成通道方法，給出了沖突與冗余的檢測方法。

　　【 關(guān)鍵詞 】 訪(fǎng)問(wèn)行為；管控策略；多維屬性；通道

　　【 Abstract 】 The key to the behavior of a variety of access on the network for effective management and control of network access control policies. Based on the multidimensional subject and object attributes， established a network control policies model， and carries on the example analysis aim at the access behavior of network environment，proposed the method of policies generating enterclose， gives the conflict and redundancy detection methods.

　　【 Keywords 】 access behavior； control policies； multidimensional attributes；enterclose

　　1 引言

　　隨著(zhù)網(wǎng)絡(luò )信息技術(shù)的飛速發(fā)展，網(wǎng)絡(luò )信息傳播的速度呈幾何方式增長(cháng)，但與此同時(shí)，網(wǎng)絡(luò )雙刃劍似的影響正在不斷凸顯，在各種各樣的意圖背后，大量不健康、不安全的信息也被刻意地散播在網(wǎng)絡(luò )世界中，要想保證在自由、平等地共享與交互網(wǎng)絡(luò )信息的前提下，創(chuàng )造一個(gè)安全、健康的網(wǎng)絡(luò )環(huán)境，對網(wǎng)絡(luò )兩端，即用戶(hù)和服務(wù)的網(wǎng)絡(luò )行為進(jìn)行管控是一個(gè)關(guān)鍵性問(wèn)題，其核心便是定義一系列策略，通過(guò)策略產(chǎn)生允許或拒絕某級別的用戶(hù)對指定的服務(wù)進(jìn)行訪(fǎng)問(wèn)的行為準則。

　　本文基于多維屬性的網(wǎng)絡(luò )行為建立管控模型及策略描述方法，并將其在具體應用中進(jìn)行實(shí)例化分析。

　　2 基于多維屬性的管控策略建模

　　為更加嚴謹地描述網(wǎng)絡(luò )訪(fǎng)問(wèn)行為，本文將用戶(hù)和服務(wù)分別表述為主體和客體，管控判定是基于主客體具有的屬性，通過(guò)屬性來(lái)區分和標識不同類(lèi)型的主體集合和客體集合，并基于主體、客體、時(shí)間約束和執行行為的統一建模，描述網(wǎng)絡(luò )管控策略，使其具有靈活、可擴展的特點(diǎn)。

　　2.1 相關(guān)定義

　　為進(jìn)行建模，首先對網(wǎng)絡(luò )管控策略的各相關(guān)概念進(jìn)行符號化定義。

　　定義 1（主體Subject） 是網(wǎng)絡(luò )訪(fǎng)問(wèn)行為的發(fā)起者，由主體標識和主體屬性組成。

　　S = {s1，s2，···，sn}

　　s =

　　主體標識（ID），它是一個(gè)字符串，使用“TYPE_DETAIL”的格式構造，不超過(guò)128個(gè)字節。包括主體的IP地址、ADSL賬號、MAC地址、身份證號以及定義的標簽。根據優(yōu)先級體系，選擇已有主體信息中優(yōu)先級最高的生成主體標識（ID）。例如根據主體MAC生成的主體標識（ID）格式為“MAC_00：11：22：33：44：55：90”。

　　定義 2（客體Object） 是網(wǎng)絡(luò )服務(wù)和資源的提供者，由客體標識和客體屬性組成。

　　O = {o1，o2，···，on}

　　o =

　　客體標識（ID），格式同主體標識。包括客體的URL、MAC地址和服務(wù)端IP地址以及定義的客體標簽。根據優(yōu)先級體系，選擇已有客體信息中優(yōu)先級最高的生成客體標識（ID）。例如根據客體URL生成的客體標識（ID）格式“URL_www.sina.com.cn/game.html”。

　　定義 3（屬性Attribute） 每個(gè)互聯(lián)網(wǎng)的主體和客體都具有若干屬性，每個(gè)屬性對應若干可枚舉的屬性值組成的，這些若干屬性組成的元組構成了管控策略的基礎。

　　只具有一個(gè)屬性值的屬性稱(chēng)為單值屬性，例如某個(gè)主體的地址只可能固定在一個(gè)地方，同時(shí)具有兩個(gè)及兩個(gè)以上屬性值的屬性成為多值屬性，例如某網(wǎng)頁(yè)服務(wù)的語(yǔ)言屬性包含簡(jiǎn)體中文、英文、維文、哈文等值。

　　對于一個(gè)特定的屬性的取值除了數量上的分類(lèi)外，還有一個(gè)層次上的劃分，比如某個(gè)主體的所在地區是一個(gè)樹(shù)形的層次，它由不同級別的行政劃分組成。屬性的不同取值具有內在的樹(shù)形層次關(guān)系的屬性稱(chēng)為樹(shù)形取值，一個(gè)取值內的層次關(guān)系同過(guò)“.”進(jìn)行分隔和表示，在層次關(guān)系上，“.”左側的部分時(shí)右側的父節點(diǎn)。相應的，屬性取值內部各字段間沒(méi)有層次關(guān)系的取值稱(chēng)為平面取值。

　　對于主體和客體屬性，可以添加直接干預，也就是高級的領(lǐng)導，直接指定特定主體和客體的黑白名單，以此生成的管控策略具有最高優(yōu)先級。

　　定義 4（管控策略Control Policies） 是對具有多維屬性的主體集合與多維屬性的客體集合之間的網(wǎng)絡(luò )行為的管控描述，包括主體屬性、客體屬性、時(shí)間約束和執行行為。規定相同的主體和客體屬性元組值只能有一種控制行為，即pass，reject或delay。

　　CP = {cp1，cp2，···，cpn}

　　cp = [，< o_att1，o_att2，···，o_attj >，，]

　　定義 5（通道Enterclose） 是由管控策略生成的規則，是對具有多維屬性的主體與的客體之間的網(wǎng)絡(luò )行為的具體描述，當主體對客體發(fā)起訪(fǎng)問(wèn)時(shí)，系統根據對應的通道執行相應行動(dòng)。

　　E = {e1，e2，···，en}

　　e = [s_id，o_id，，act]

　　2.2 網(wǎng)絡(luò )管控策略模型設計

　　管控者在制定管控策略時(shí)，首先配置的是自然語(yǔ)言，即管理哪些主體“who”，在什么時(shí)候“when”，對特定的客體“where”的訪(fǎng)問(wèn)可以執行什么操作“action”，而模型需要實(shí)現的是將這些自然語(yǔ)言集的關(guān)鍵元素，轉換成管控系統可執行的規則。

　　本文在設計管控策略模型的時(shí)候，將執行過(guò)程分為四個(gè)步驟：第一步，將管控者輸入到模型的每一條自然語(yǔ)言策略生成對應的模型語(yǔ)言策略形式；第二步，將模型中存儲的策略分解成為“主體屬性”、“客體屬性”、“時(shí)間約束”和“執行行為”的各自集合；第三步，當模型確定好主體屬性和客體屬性的取值后，利用屬性關(guān)聯(lián)到主、客體集合的映射，投影出主、客體標識（ID）集合；第四步，將“主體標識（ID）集合”、“客體標識（ID）集合”、“時(shí)間約束”和“執行行為”四個(gè)元組組合成系統可明確執行的通道，從而實(shí)現管控的目的。根據以上執行過(guò)程，設定網(wǎng)絡(luò )管控策略模型如圖1所示。

　　3 策略執行

　　策略本身并不能被系統所執行，為了實(shí)現訪(fǎng)問(wèn)管控，生成最終的通道并被  系統所執行才能達到管控的目的。因此，將策略轉換成通道的過(guò)程顯得尤為重要。

　　3.1 通道的生成

　　在確定主體標識時(shí)，利用策略中設定的主體屬性對主體集合的映射，即在主體集合中選擇滿(mǎn)足策略屬性限制的諸元組，記作

　　σa∧b∧...∧f （S）={t|t∈S∧a（t）=' true '∧b（t）='true'...∧f（t）='true'}

　　缺省的屬性默認為空值?，得到新的符合要求的主體集合S’，再對S’中的主體標識進(jìn)行投影獲得符合設定需求的主體ID集合

　　Ds' =πID （S'）

　　同理，可得符合設定需求的客體ID集合

　　Bo' =πID （O'）

　　將主體ID集合Ds' 、客體ID集合Bo' 、時(shí)間約束T以及執行行為act做笛卡兒積，若T沒(méi)有設置，則默認為永久生效，act的三個(gè)取值，pass，reject，delay分別表示允許訪(fǎng)問(wèn)、拒絕訪(fǎng)問(wèn)和延遲（將訪(fǎng)問(wèn)請求交由專(zhuān)家模塊進(jìn)行人工判定），最后得到系統可執行的通道集合。

　　E=Ds' ×Bo' ×T ×act

　　值得注意的是，當設定的屬性在樹(shù)形結構中擁有子節點(diǎn)時(shí)，子節點(diǎn)映射的集合也應該包含在內，比如，當管控策略設置主體屬性location為“長(cháng)沙”時(shí)，那么“長(cháng)沙”的子節點(diǎn)“岳麓區”、“開(kāi)福區”、“芙蓉區”、“天心區”、“雨花區”、“望城區”、“瀏陽(yáng)市”、“長(cháng)沙縣”、“寧鄉縣”及其全部子節點(diǎn)都應計算在內。

　　1）實(shí)際應用

　　設有兩個(gè)主客體集合分別為表5、表6所示。其中，S_Location和O_Location的單值樹(shù)形的層級結構為圖2所示。

　　假設管控配置設定為，Location在Φ地區、信譽(yù)Credit取值為low的主體，對Location在?地區、語(yǔ)言為english、交互性為strong、主題歸類(lèi)為sensitive的客體，在2015年3月4日0時(shí)至2015年3月7日0時(shí)的時(shí)間區間內，采取reject的訪(fǎng)問(wèn)策略。

　　即CP = [，，<‘2015＼3＼24＼0：0’ to="">，act = ‘reject’]，那么由策略中主客體設定屬性與數據庫中主客體集合進(jìn)行映射，投影出符合條件的新的主客體ID集合Ds' = {b，c}， Bo' = {i}，從而獲得最終的通道規則

　　E=Ds' ×Bo' ×T ×act =

　　[b，i，<‘2015 to="">， reject]

　　[c，i，<‘2015 to="">， reject]

　　2）樹(shù)形結構的數據存儲

　　在所有屬性的取值及存儲方式中，樹(shù)形結構是最為特殊的，因為涉及到包含與被包含關(guān)系，所以當策略設定好以后，如何更有效率地查找下層節點(diǎn)和傳遞策略是十分需要研究的一個(gè)問(wèn)題。

　　本文在結合當前比較普遍的數據存儲結構，兼顧系統需要實(shí)現快速上下查找以便傳遞策略和沖突檢測的特點(diǎn)，采用樹(shù)的三叉鏈表表示法，即鏈表中節點(diǎn)的三個(gè)鏈域分別指向該節點(diǎn)的父親節點(diǎn)、第一個(gè)孩子節點(diǎn)和下一個(gè)兄弟節點(diǎn)，命名為parent域、firstchilid域和nextsibling域，其樹(shù)形圖如圖3所示，由此生成的存儲結構表如表7所示。

　　此鏈表的特點(diǎn)是，任意定位一個(gè)節點(diǎn)，可根據三個(gè)鏈域快速尋找其父親節點(diǎn)和所有子節點(diǎn)的生成樹(shù)。

　　3.2 沖突與冗余檢測

　　策略的復雜性限制了管控執行的效果，策略庫中多條過(guò)濾策略以及生成的通道可能會(huì )導致策略或通道之間出現沖突或者冗余現象。隨著(zhù)通道數量的不斷增多，添加或者修改一條已經(jīng)存在的策略，該策略生成通道后，出現沖突或者冗余的概率便會(huì )增加。一個(gè)大型的管控系統可能包括很多條管控策略，這些策略是在不同時(shí)間由不同的管理員寫(xiě)入，很可能出現沖突或者冗余，那么就需要管控者及時(shí)調整管控策略，而系統的任務(wù)就是迅速地檢測出存在的通道沖突，并反饋給管控者。

　　本文主要關(guān)注動(dòng)態(tài)沖突，即考慮兩條通道em和en，如果兩者的主體與客體相同，執行行為不同，那么通道em和en是沖突的；如果通道em的每一個(gè)域均與en的相應域相同，那么通道em和en中存在冗余�；�于此，可對規則集合中的沖突與冗余進(jìn)行檢測與消解。

　　在E集合中，對em∈E，en∈E，如果{sm_id = sn_id}∧{om_id = on_id}∧{actionm ≠ actionn}∧{tm∧tn ≠?}成立，則通道em與通道en有沖突；如果{sm_id = sn_id}∧{om_id = on_id}∧{actionm = actionn}{tm∧tn ≠?}成立，則通道em與通道en存在冗余。

　　4 實(shí)驗測試

　　為檢驗系統效果，在服務(wù)器端設置一定數量的虛擬主客體ID，并賦予適當的多維屬性，根據事先設定的管控策略（在沒(méi)有通道匹配的情況下，默認數據訪(fǎng)問(wèn)為通過(guò)），可以得到如圖4中的訪(fǎng)問(wèn)記錄，可知管控系統正確執行了預設策略。

　　5 結束語(yǔ)

　　本文主要討論了在大規模網(wǎng)絡(luò )中，基于多維屬性的網(wǎng)絡(luò )管控策略模型，并通過(guò)以此生成的管控通道執行對網(wǎng)絡(luò )訪(fǎng)問(wèn)的管控。以網(wǎng)絡(luò )訪(fǎng)問(wèn)管控系統為應用背景，針對訪(fǎng)問(wèn)者訪(fǎng)問(wèn)Web服務(wù)，對多維屬性網(wǎng)絡(luò )行為管控模型進(jìn)行了實(shí)例化應用。以主體區域、主體信譽(yù)等級描述用戶(hù)屬性；客體區域、客體使用語(yǔ)言、客體的交互性、使用主題描述Web服務(wù)屬性，基于屬性定義了策略與通道。提出了通過(guò)管控策略，生成系統可以快速執行的通道集合的方法，把這種面向應用與邏輯的高層抽象策略生成管控系統可執行的通道，根據用戶(hù)數據庫和服務(wù)數據庫信息，管控系統依據每條通道處理與之相匹配的數據包，同時(shí)給出了沖突與冗余檢測方法。

　　依據本文提出的模型與策略可以實(shí)現基于多維屬性的網(wǎng)絡(luò )訪(fǎng)問(wèn)行為的管控，還可以對獲取的主體屬性與客體屬性作進(jìn)一步擴展，因此該模型與策略具有良好的擴展性。下一步的工作，一是將對主客體屬性中的干預屬性機制進(jìn)行完善，并在由此生成的通道中設置優(yōu)先級，從而達到更高級管理者進(jìn)行干預管控的目的；二是對沖突檢測進(jìn)行更深入的研究，應用到管控系統中來(lái)，并提出有效的系統消解的方法，以減少系統不必要的處理消耗。

　　參考文獻

　　[1] Agarwal S，Sprick B.Access control for semantic Web services [C]//Proceedings of the 1st International Conference on Web Services.Washington DC，USA：IEEE Conputer Society，2004：770-773

【基于多維屬性的網(wǎng)絡(luò )管控方法和技巧論文】相關(guān)文章：

SCI論文發(fā)表錄用的方法和技巧08-19

SCI論文發(fā)表成功的方法和技巧08-23

醫學(xué)論文書(shū)寫(xiě)方法和技巧10-16

基于GIS和神經(jīng)網(wǎng)絡(luò )的超市選址方法研究09-18

論文寫(xiě)作的方法與技巧07-27

基于地理位置的社交網(wǎng)絡(luò )信息應用方法探析論文06-30

畢業(yè)論文選題方法和論文寫(xiě)作技巧08-06

現代審計風(fēng)險的管控論文09-14

建筑工程質(zhì)量影響因素及管控方法論文09-14

基于策略的網(wǎng)絡(luò )管理技術(shù)論文07-01