第
43
卷第
6
期
2016
年
6
月
计算机科学
Computer
Science
一种跨域网络资源的安全互操作模型
唐成华1,
2
张鑫
1
王璐
3
王宇
2
强保华
M
(桂林电子科技大学广西信息科学实验中心
桂林
541004)1
(迪肯大学信息技术系
墨尔本
VIC3125)2
(桂林电子科技大学广西可信软件重点实验室
桂林
541004)3
Vo
l.
43
No.6
June
2016
摘
要
网络资源需要在安全策略控制下共享与互操作。针对多异构安全域域问资源互操作的安全问题,提出了一
种基于
RBAC
安全策略的跨域网络资源的安全互操作模型。首先引入城问角色的概念,并定义垮域资源共享访问的
要求;其次在跨域操作准则的基础上,提出异构域间资源安全互操作模型和访问算法;最后以实例场境对模型和算法
进行了应用分析。结果表明,该方法针对性强,权限控制有效,为实现多域资源共享和互操作的安全保障提供了一种
可行的途径。
关键词
异构,跨域,安全域,安全互操作,网络安全
中图法分类号
TP301
文献标识码
A
001
10.
11896/j.
issn.
1002-1372
豆
2016.6.029
Security
Interoperation
Model
of
Cross-domain
Network
Resources
TANG
Cheng-hua
1
,2
ZHANG
Xin
1
WANG
Lu
3
WANG
Yu
2
QIANG
Ba
o-
hua
1,
3
(Guangxi Experiment Center
of
Information
Science
, Guilin University
of
Electronic Technology, Guilin
541004
,China)1
(School
of
Information Technology, Deakin University, Melbourne
VIC3125
, Australia) 2
(Guangxi Key
Laboratory
of
Trusted
So
ftware, Guilin University
of
Electronic Technology, Guilin
541004
,China)3
Abstract
Network
resources
are
in need of
sharing
and
interoperability
under
the
control of security policy, Aiming
at
the
interoperability security problem of
the
resources among
the
heterogeneous security domains ,a security interopera-
tion model of accessing
to
cross-domain
network
resources based
on
RBAC security policy
was
proposed,
Firstly
,
the
concept of inte
r-
domain role
was
introduced, and
the
requirement of accessing to cross-domain resources
sharing
was
de
fine
d.
Secondly, based
on
the
cross-domain operation criteria,
the
security interoperation model
and
access
algorithm
of
heterogeneous
inter
domain resources
were
put
forward. Finally,
The
model and
algorithm
were analyzed
through
the
application environment of a real project case,
Results
show
that
this
method
has
the
characteristics of high pertinence
and effective access control
,
and
provides a feasible
way
for
the
security implementation of resources sharing
and
intero
peratlon
,
Keywords
Heterogeneous
, Cross-domain, Securi
ty
domain, Securi
ty
interoperation, N
etwork
securi
ty
网络安全已经成为国家安全和人们日常生活安全的重要
组成部分。随着越来越多的小型局域网分布式系统接入到
Internet
中,非法访问或资源被窃取等诸多网络安全问题由
此产生。为了方便管理,很多系统管理员将大型的网络环境
划分为多个安全域。安全域是同一网络环境内具有相同安全
保护需求、保护策略、相互信任的网络元素的集合。不同的网
络环境所划分出来的安全域有着很大的差异性,体现为网络
实体结构、网络设备、安全策略模型、数据模式和约束上的差
异,称之为网络的异构性
[1J
。尽管如此,不同的安全域仍遵守
各自的安全策略,这些安全策略反映了与系统安全相关的需
求,是指在相应的安全域中对人和资源进行安全控制的规则
集合,是一种贴近人类思维的高层指导网络安全行为的方
法
[2J
。
由于网络并非各自独立,各个安全域之间需要进行跨域
的相互操作来实现协同工作。而跨越具有不同安全策略的异
构的安全域进行操作,往往暴露出匿名访问、权限隐蔽提升等
问题。大量研究表明,未授权的访问请求,特别是来自系统内
部人员的非法访问请求,已成为跨安全域操作的一个主要威
到稿日期:
2015-05-12
返修日期:
2015-08-11
本文受国家自然科学基金
(61462020
,
61163057
,
61363006)
,广西自然科学基金
(2014GXN
SFAA118375)
,广西信息科学实验中心基金
(20130329)
,广西可信软件重点实验室基金,广西高等学校高水平创新团队及卓越学者计划资助。
唐成华(1
974
一)
,男,博士后,副教授,硕士生导师,
α::F
会员,主要研究方向为网络信息安全、智能信息处理
.E-mail:tch@guet.edu.cn;
张
鑫
(1
990-)
,男,硕士生,主要研究方向为网络信息安全;王璐(1
991-)
,女,硕士生,主要研究方向为网络信息安全;王
宇(1
983-)
,男,博士,
主要研究方向为网络与移动计算;强保华(1
972-)
,男,博士后,教授,主要研究方向为智能信息处理。
•
141
•