应用安全形式化描述研究

doi:10.3969/j.issn.1671-1122.2016.10.008

信息网络安全 ›› 2016, Vol. 16 ›› Issue (10): 47-53.doi: 10.3969/j.issn.1671-1122.2016.10.008

应用安全形式化描述研究

张明德¹(), 毕马宁², 王舜³, 张清国⁴

1. 中国华腾工业有限公司,北京 100080
2. 公安部第三研究所,上海 200031
3. 中国人民公安大学,北京 102623
4.国家标准化管理委员会,北京 100088

收稿日期:2016-09-15 出版日期:2016-10-31 发布日期:2020-05-13
作者简介:
作者简介：张明德（1972—）,男,甘肃,博士,主要研究方向为企业信息化和信息安全;毕马宁（1960—）,男,江苏,研究员,硕士,主要研究方向为信息安全;王舜（1996—）,男,山东,本科,主要研究方向为网络安全;张清国（1966—）,男,山东,高级工程师,博士,主要研究方向为信息安全和数据挖掘。

Research on Formalized Description of Application Security

Mingde ZHANG¹, Maning BI², Shun WANG³, Qingguo ZHANG⁴

Received:2016-09-15 Online:2016-10-31 Published:2020-05-13

摘要/Abstract

摘要：

随着机构内部应用系统的逐渐增多,应用安全问题也愈发突出。鉴于应用系统及其安全的复杂性和多样性,如何合理表示应用安全成为难题,现有研究成果都仅面向应用安全的某一个侧面而缺乏针对性,还没有系统性的应用安全形式化描述模型。文章首先通过分析主客体访问机制,区分业务功能、安全功能和应用策略,对应用系统进行形式化描述。然后对两种最常用的安全功能（身份认证和权限控制）进行形式化定义。权限控制引入保密概念,分析了三种角色（岗位角色、业务角色和保密角色）和客体密级,并区分权限管理方、权限验证方和权限依赖方。在此基础上,通过引入用户身份信息、统一门户等概念,研究了四种统一管理策略和表示方法。

关键词: 应用安全, 身份认证, 权限控制, 统一管理

Abstract:

With the gradual increase of applications within organizations, the issues of application-security have become increasingly prominent. Due to the complexity and variety of applications and their security, how to reasonably express application-security becomes a difficult problem. Existing researches on application-security focus only on some aspects or lack of pertinence, and there is still no systematically formalized model for application-security at present. This paper presents formalized description for applications through analyzing subject-object access mechanism and distinguishing business functions, security functions and application policies. Then formalized descriptions for two most common security functions (authentication and authorization) are given. In authorization, based on the concept of secrecy introduced, three kinds of roles (position role, business role and secrecy role) and object’s degrees of secrecy are analyzed, and authority manager, authority verifier and authority relying party are differentiated. Meanwhile, four unified-management policies and their formalized description are proposed through the introduction of users’ identity information and unified portal.

Key words: application security, authentication, authorization, unified management

中图分类号:

TP309

张明德, 毕马宁, 王舜, 张清国. 应用安全形式化描述研究[J]. 信息网络安全, 2016, 16(10): 47-53.

Mingde ZHANG, Maning BI, Shun WANG, Qingguo ZHANG. Research on Formalized Description of Application Security[J]. Netinfo Security, 2016, 16(10): 47-53.

图/表 3

参考文献 19

[1]	YODER J, BARCALOW J. Architectural Patterns for Enabling Application Security[EB/OL]. https://www.researchgate.net/publication/2428026_Architectural_Patterns_for_Enabling_Application_Security,2016-1-15.
[2]	ISO/IEC 7498-2. Information Technology - Open Systems Interconnection - Basic Reference Model: Part 2: Security Architecture 7498-2. Information Technology - Open Systems Interconnection - Basic Reference Model: Part 2: Security Architecture[S]. New York : ISO, 1996.
[3]	胡晓晔. 统一身份认证系统用户信息远程调用与管理[J]. 西安工业大学学报,2015,35(9): 715-719.
[4]	张明德,郑雪峰,吕述望,等. 应用安全中身份认证建模及推理方法[J]. 小型微型计算机系统, 2012,33(4): 754-758.
[5]	张明德,郑雪峰,吕述望,等. 身份认证可信度研究[J]. 计算机科学,2011,38(11): 43-47.
[6]	邢彬,刘吉强,韩臻. 一种可信计算平台完整性度量的新模型[J]. 信息网络安全,2016(6):8-14.
[7]	RFC 2459. Internet X.509 Public Key Infrastructure Certificate and CRL Profile[S]. New York: ISOC, 1999.
[8]	王冠,袁华浩. 基于可信根服务器的虚拟TCM密钥管理功能研究[J]. 信息网络安全,2016(4):17-22.
[9]	ZHANG M D, ZHENG X F, YANG W S,et al.Research on Model of Trust Degrees for PKI[C]//IAS 2009.2009 Fifth International Conference on Information Assurance and Security,August 18-20,2009,Xi'An,China.New York:IEEE,2009: 647-650.
[10]	张明德,郑雪峰,吕述望. 改进的PKI可信度模型[J]. 小型微型计算机系统,2012,33(2):370-375.
[11]	ZHANG M D, ZHENG X F, LV S,et al.Improved Approach on Modeling and Reasoning about PKI/WPKI[C]//IEEE.6th IEEE International Conference on Wireless Communications, Networking and Mobile Computing,September 23-25,2010,Chengdu,China.New York:IEEE,2010:1-4.
[12]	BELL D, LAPADULA L J.Secure Computer Systems: Mathematical Foundations[R]. Bedford: MITRE Corporation, TR2547, 1973.
[13]	王贵林,卿斯汉,倪情珍,等. 安全计算机系统的Bell-LaPadula形式化模型[J]. 计算机科学,2001,28(12):89-92.
[14]	BIBA K J.Integrity Considerations for Secure Computer System[R]. Bedford: PSAF Electronic System Division, ESD-76-372, 1977.
[15]	LI N, BYON J W, BERTINOE. A Critique of the ANSI Standard on Role-Based Access Control[J]. IEEE Security and Privacy, 2007, 5(6): 41-49.
[16]	KERN A, KUHLMANN M,KUROPKA R,et al.A Meta Model for Authorizations in Application Security Systems and their Integration into RBAC Administration[C]//ACM. 9th ACM symposium on Access control models and technologies,June 2-4, 2004,Yorktown Heights, New York, USA.New York:ACM,2004:87-96.
[17]	RFC 3281. An Internet Attribute Certificate Profile for AuthorizationFC 3281. An Internet Attribute Certificate Profile for Authorization[S]. New York: ISOC, 2002.
[18]	李守鹏,孙红波. 信息系统安全模型研究[J]. 电子学报,2003,31(10): 1491-1495.
[19]	张明德,郑雪峰,蔡翌. 应用安全模型研究[J]. 信息网络安全,2012(8): 121-125.

应用安全形式化描述研究

Research on Formalized Description of Application Security

RichHTML

PDF (PC)

可视化

摘要/Abstract

引用本文

使用本文

图/表 3

参考文献 19

相关文章 15

编辑推荐

Metrics

本文评价

[1]	刘晓芬, 陈晓峰, 连桂仁, 林崧. 基于d级单粒子的可认证多方量子秘密共享协议[J]. 信息网络安全, 2020, 20(3): 51-55.
[2]	白嘉萌, 寇英帅, 刘泽艺, 查达仁. 云计算平台基于角色的权限管理系统设计与实现[J]. 信息网络安全, 2020, 20(1): 75-82.
[3]	李萌. 国家药品监督管理局移动应用安全建设[J]. 信息网络安全, 2019, 19(9): 46-50.
[4]	张富友, 王琼霄, 宋利. 基于生物特征识别的统一身份认证系统研究[J]. 信息网络安全, 2019, 19(9): 86-90.
[5]	张顺, 陈张凯, 梁风雨, 石润华. 基于Bell态的量子双向身份认证协议[J]. 信息网络安全, 2019, 19(11): 43-48.
[6]	张敏, 许春香, 黄闽英. 远程医疗环境下面向多服务器的轻量级多因子身份认证协议研究[J]. 信息网络安全, 2019, 19(10): 42-49.
[7]	胡卫, 吴邱涵, 刘胜利, 付伟. 基于国密算法和区块链的移动端安全eID及认证协议设计[J]. 信息网络安全, 2018, 18(7): 7-9.
[8]	游林, 梁家豪. 基于同态加密与生物特征的安全身份认证研究[J]. 信息网络安全, 2018, 18(4): 1-8.
[9]	魏占祯, 王守融, 李兆斌, 李伟隆. 基于OpenFlow的SDN终端接入控制研究[J]. 信息网络安全, 2018, 18(4): 23-31.
[10]	陈付龙, 张紫阳, 王涛春, 谢冬. 一种基于联络信号的物联网安全身份认证方法[J]. 信息网络安全, 2018, 18(11): 40-48.
[11]	孙子文, 李富. 基于HMM与D-S证据理论的手势身份认证方法[J]. 信息网络安全, 2018, 18(10): 17-23.
[12]	亢保元, 王佳强, 邵栋阳, 李春青. 一种适用于异构Ad Hoc无线传感器网络的身份认证与密钥共识协议[J]. 信息网络安全, 2018, 18(1): 23-30.
[13]	武传坤, 张磊, 李江力. 物联网设备信任体系架构与轻量级身份认证方案设计[J]. 信息网络安全, 2017, 17(9): 16-20.
[14]	张曼, 咸鹤群, 张曙光. 基于重力传感器的身份认证技术研究[J]. 信息网络安全, 2017, 17(9): 58-62.
[15]	赵凯利, 李丹仪, 李强, 马存庆. 基于智能移动终端密码模块的身份认证方案实现[J]. 信息网络安全, 2017, 17(9): 107-110.