29、基于属性的访问控制策略的模型工程工作流整合

基于属性的访问控制策略的模型工程工作流整合

在应用软件开发中，基于属性的访问控制（ABAC）虽然被广泛采用，但仍然是一种难以掌握的安全范式。主要原因在于缺乏一个统一的工作流，既能涵盖应用领域的多样性，又能保证形式化建模方法所承诺的强安全性。本文将介绍一种灵活且高度形式化的建模方案DABAC，以及相关的实现和架构，以解决这一问题。

1. 引言

安全策略是IT系统安全属性的重要实现，其开发需要满足极高的正确性要求，因此基于形式化方法的高效工程至关重要。模型驱动的安全策略工程（MSPE）是一种统一的工作流，它包含四个步骤：
1. 模型工程 ：将非形式化的策略表示形式化，并定义其正确性条件（模型属性）。
2. 模型分析 ：应用形式化方法验证模型实例是否符合模型属性。
3. 模型实现 ：将验证后的模型实例转换为源代码进行实现。
4. 模型集成 ：将模型代码集成到系统或应用安全架构的运行时环境（RTE）中。

ABAC已成为访问控制（AC）模型的事实上的语义范式，适用于广泛的应用场景，如网格计算、物联网和大型分布式信息系统。与以往的模型相比，ABAC解决了表达性、粒度、可扩展性和上下文感知等问题。然而，由于应用范围广泛，ABAC模型已经专业化和多样化，将MSPE应用于ABAC并非易事。

2. 模型工程与分析

MSPE的形式基础是一个灵活的建模方案，它既要在语义上接近非形式化策略，又要允许对应用相关的安全属性进行形式化分析。为了实现这些目标，本文引入了DABAC建