×
里达·凯德里;欧文·琼斯;穆罕默德·阿拉巴德

动态访问控制中的深度防御制定和使用。 (英语) Zbl 1444.68043号

Maffei,Matteo(编辑)等人,《安全与信任原则》。2017年4月22日至29日在瑞典乌普萨拉举行的第六届国际会议,即2017年POST,是欧洲软件理论与实践联合会议的一部分。诉讼程序。柏林:斯普林格。莱克特。注释计算。科学。10204, 253-274 (2017).
摘要:许多网络系统使用深度防御策略来保护其资源,这可能会导致复杂的策略分布在网络的多个访问控制点上。这些策略会频繁更改,以处理不同的因素,例如安全状况的更改或资源的更改。此外,虽然我们对纵深防御策略有着模糊的直观理解,但我们肯定缺乏对其的严格定义,无法客观评估网络上的策略分布是否满足这一策略。在本文中,我们基于乘积族代数中给出的精化概念,提出了深度防御的定义。我们使用这个定义来阐述纵深防御策略的几种实现,同时考虑到本地访问策略和对所考虑网络资源的全局约束。我们还讨论了推导适当的访问策略以部署到网络节点所需的计算自动化。
关于整个系列,请参见[Zbl 1360.68017号].

MSC公司:

68平方米25 计算机安全
68M10个 计算机系统中的网络设计和通信

关键词:

访问控制策略;动态访问控制;纵深防御战略;形式化方法;软件产品系列;代数方法
PDF格式BibTeX公司 XML格式引用
\textit{R.Khedri}等人,Lect。注释计算。科学。10204、253--274(2017;Zbl 1444.68043)
全文: 内政部

参考文献:

[1] Burns,J.、Cheng,A.、Gurung,P.、Rajagopalan,S.、Rao,P.、Rosenbluth,D.、Surendran,A.V.、Martin,D.M.:网络安全策略的自动管理。参见:DARPA信息生存能力会议和展览II(DISCEX 2001),第2卷。第12-26页。DARPA与IEEE计算机学会安全和隐私技术委员会合作。IEEE,加利福尼亚州阿纳海姆,2001年6月12日至14日
[2] Cheng,P.C.、Rohatgi,P.、Keser,C.、Karger,P.,Wagner,G.、Reninger,A.:模糊多级安全:量化风险自适应访问控制的实验。摘自:IEEE安全与隐私研讨会,第222-230页,2007年5月
[3] Desharnais,J.、Frappier,M.、Khedri,R.、Mili,A.:序列场景的整合。IEEE传输。柔和。工程24(9),695-708(1998)·数字对象标识代码:10.1109/32.713325
[4] Dijkstra,E.,Scholten,C.:谓词演算和程序语义。Springer-Verlag纽约公司,纽约(1990年)·Zbl 0698.68011号 ·doi:10.1007/978-1-4612-3228-5
[5] Ferraiolo,D.,Kuhn,R.:基于角色的访问控制。收录于:第15届NIST-NCSC国家计算机安全会议,第554-563页(1992年)
[6] Ferraiolo,D.F.,Sandhu,R.,Gavrila,S.,Kuhn,D.R.,Chandramouli,R.:提议的NIST基于角色的访问控制标准。ACM事务处理。信息系统。安全。4(3), 224-274 (2001) ·doi:10.1145/501978.501980
[7] Foster,S.、Struth,G.、Weber,T.:Isabelle/HOL中关系和代数方法的自动化工程。摘自:de Swart,H.(编辑)《计算机科学中的关系和代数方法》。LNCS,第6663卷,第52-67页。斯普林格,海德堡(2011)·Zbl 1329.68230号 ·doi:10.1007/978-3-642-21070-9_5
[8] Gries,D.,Schenider,F.:离散数学的逻辑方法。施普林格计算机科学文本和专著。施普林格,纽约(1993)·Zbl 0861.03001号 ·doi:10.1007/978-1-4757-3837-7
[9] Höfner,P.,Khedri,R.,Möller,B.:特征代数。收录:Misra,J.、Nipkow,T.、Sekerinski,E.(编辑)FM 2006。LNCS,第4085卷,第300-315页。斯普林格,海德堡(2006)。doi:10.1007/11813040_21·doi:10.1007/11813040_21
[10] Höfner,P.,Khedri,R.,Möller,B.:代数观点协调。摘自:2008年11月10日至14日在南非开普敦举行的第六届IEEE软件工程和形式方法国际会议,第85-94页
[11] Höfner,P.,Khedri,R.,Möller,B.:产品族代数。柔和。系统。模型。10(2), 161-182 (2011) ·doi:10.1007/s10270-009-0127-2
[12] Höfner,P.,Khedri,R.,Möller,B.:用行为补充产品系列。国际期刊软件。第5245-266号补充资料(2011年)
[13] Horcas,J.-M.,Pinto,M.,Fuentes,L.:缩小安全策略规范和实施之间的差距。收录人:Eckert,C.,Katsikas,S.K.,Pernul,G.(编辑)TrustBus 2014。LNCS,第8647卷,第106-118页。查姆施普林格(2014)。数字对象标识代码:10.1007/978-3-319-09770-1_10·数字对象标识代码:10.1007/978-3-319-09770-1_10
[14] Hu,C.T.,Ferraiolo,D.F.,Kuhn,D.R.,Schnitzer,A.,Sandlin,K.,Miller,R.,Scarfone,K.:基于属性的访问控制(ABAC)定义和注意事项指南,2014年1月
[15] Hu,V.,Kuhn,D.,Ferraiolo,D.,Voas,J.:基于属性的访问控制。计算机48(2),85-88(2015)·doi:10.1109/MC.2015.33
[16] Janicki,R.,Khedri,R.:关于表格表达式的形式语义。科学。计算。程序。39(1-2), 189-213 (2001) ·Zbl 0971.68100号 ·doi:10.1016/S0167-6423(00)00004-6
[17] Khedri,R.、Wu,R.和Sanga,B.:SCENATOR:用于检测需求不一致性的原型工具。参见:Wang,F.,Lee,I.(编辑)《第一届验证和分析自动化技术国际研讨会论文集》,第75-86页。中华民国台湾国立台湾大学,2003年12月10日至13日
[18] Lippmann,R.、Ingols,K.、Scott,C.、Piwowarski,K.和Kratkiewicz,K.,Artz,M.、Cunningham,R.:使用攻击图验证和恢复纵深防御。收录于:MILCOM 2006-2006 IEEE军事通信会议,第1-10页,2006年10月
[19] Möller,B.,Struth,G.:wp是wlp。收录:MacCaull,W.、Winter,M.、Düntsch,I.(编辑)《计算机科学中的关系方法》。LNCS,第3929卷,第200-211页。斯普林格,海德堡(2006)·Zbl 1185.68227号 ·doi:10.1007/11734673_16
[20] Parnas,D.L.:软件的精确描述和规范。在:软件基础。Addison-Wesley(1997)
[21] Parnas,D.L.:广义控制结构及其形式化定义。Commun公司。ACM 26(8),572-581(1983)·Zbl 0517.68024号 ·doi:10.1145/358161.358168
[22] Parnas,D.L.:关系的表格表示法。加拿大安大略省汉密尔顿麦克马斯特大学工程学院通信研究实验室CRL报告260,1992年10月
[23] Rushby,J.,Srivas,M.:使用PVS证明David Parnas的一些定理。In:Joyce,J.J.,Seger,C.J.H.(编辑)高阶逻辑定理证明及其应用。LNCS,第780卷,第163-173页。斯普林格,海德堡(1993)·doi:10.1007/3-540-57826-9_133
[24] Samarati,P.、Vimercati,S.D.C.D.:访问控制:策略、模型和机制。In:IFIP WG 1.7国际安全分析与设计基础学校安全分析和设计基础讲座修订版:教程讲座,FOSAD 2000(2001)·兹比尔1010.68698
[25] Sandhu,R.、Ferraiolo,D.、Kuhn,R.:基于角色的访问控制NIST模型:走向统一标准。摘自:《第五届ACM基于角色的访问控制研讨会论文集》,第47-63页,RBAC 2000,美国纽约州纽约市ACM(2000)
[26] Sandhu,R.S.、Coyne,E.J.、Feinstein,H.L.、Youman,C.E.:基于角色的访问控制模型。计算机29(2),38-47(1996)·数字对象标识代码:10.1109/2.485845
[27] Scarfone,K.,Hoffman,P.:防火墙和防火墙政策指南。国家标准技术研究所(NIST)技术报告(2009年)
[28] Vahdat,A.,Clark,D.,Rexford,J.:一个专门构建的全球网络:谷歌向SDN的转变(与Amin Vahdat、David Clark和Jennifer Rexford的讨论)。Commun公司。ACM 59(3),46-54(2016)。http://doi.acm.org/10.1145/2814326 ·数字对象标识代码:10.1145/2814326
[29] Zhang,Q.,Khedri,R.:关于面向方面产品族代数的编织过程。J.逻辑代数方法。程序。85(1), 146-172 (2016). http://dx.doi.org/10.1016/j.jlamp.2015.08.004,软件产品线工程形式化方法专刊·Zbl 1346.68068号 ·doi:10.1016/j.jlamp.2015.08.004
[30] Zhang,Q.,Khedri,R.,Jaskolka,J.:特征建模中体成分的验证。收录:Eleftherakis,G.,Hinchey,M.,Holcombe,M.(编辑)《软件工程与形式方法》。LNCS,第7504卷,第109-125页。斯普林格,海德堡(2012)·doi:10.1007/978-3-642-33826-78
[31] 张,Q·doi:10.1007/s12652-013-0201-z
此参考列表基于出版商或数字数学图书馆提供的信息。其项与zbMATH标识符进行启发式匹配,可能包含数据转换错误。在某些情况下,zbMATH Open的数据对这些数据进行了补充/增强。这试图尽可能准确地反映原始论文中列出的参考文献,而不要求完整或完全匹配。