基于属性的访问控制

,*,*,Click to edit Master text styles,Second level,Third level,Fourth level,Fifth level,Click to edit Master title style,Group,：华中师范大学信息管理学院,基于属性的访问控制,分,工,朱,洋负责主讲，参与,PPT,制作；,曾德,明负责,PPT,制作，参与文档整理；,罗业沛负责文献整理和搜集；,顾云柯负责搜集文献；,传统访问控制,概念,访问控制技术是依据预先定义的访问控制策略授予主体访问资源的权限，并对主体使用权限的过程进行有效的控制，从而实现系统资源的授权访问，防止非授权的信息泄露；,传统控制技术,强制访问控制；,自主访问控制；,基于角色的访问控制；,其他访问控制技术；,传统访问控制,访问控制的一般模型,用户,访问控制,访问控制仲裁,安全策略,资源,系统管理员,传统访问控制,跨域的安全访问控制存在缺陷；,静态和粗粒度的控制模型；,策略通用性差，难实现多系统的之间的统一性；,业务环境复杂需建立更多的角色和权限关系；,传统模型的缺点,访问控制基本模型,基,于属性的访问控制,主体,资源,环境,操作,主体属性,权限属性,资源属性,环境属性,属性定义,主体属性,主体是可以对资源进行操作的实体,(,能够发出访问请求或者一对某些资,源执,行许可动作的所有实体的集,合；,资源属性,资源是一个系统中可被访问的客体，也是系统存在的意义，只有系统中,存在,可以利用的资源，主体才会对资源发起访问请,求；,环,境属性,环境属性时独立于访问主体和被访问资源，它通常是指访问控制过程发,生时,的一些环境信,息；,权,限属性,操作的权,限可,以是对文件、文档、图像、视屏等资源的打开,(Open),、读,(Read),、写,(Write),、删,除,(Delete),等等一系列的动,作；,基,于属性的访问控制,访问控制规则,基于属性的访问控制规则都是通过用户、资源、操作和环境来表达的；,每条规则由条件、结果和目标组成；,访问控制决策通过匹配主体、资源、环境和权限属性得出的结论；,控制规则框架模型构成,属性权威,AA,负责主体、资源或环境的属性创建,和管理；,策略实施,点,PEP,负责处理访问请求并实施,由访,问控制判决模块返回的决策信,息；,策略决策,点,PDP,负责对,由策略,实,施点转,发过来的访,问请,求将访问主体与资源的属性再加上上下文的环境属性选取合适的策略,做出,有效的评估，以决定是否对访问请求授,权；,策略管理,点,PAP,责访问控制策略的创,建和,管理，,为策略决策点的,判决提供相应策略的查,询；,基,于属性的访问控制,控制规则框架模型,基,于属性的访问控制,主体,策略决策点,资源,策略实施点,策略管理点,属性权威,访问请求,访问,策略,响应,属性请求和响应,基于属性的访问请求,ABAC VS RBAC,ABAC,是,RBAC,的超集,ABAC,可,以提供基于各类对象属性的授权策略，同样支持基于用户角色,的授,权和访问控制，角色在,ABAC,中仅仅是用户的一个单一属,性,;,应用范围对比,统一的语义描述使得对象模型的定义和策略控制更加方便和灵活，,AAR,的引,入使得在开放网络环境下的匿名控制和访问更加灵活多,用；,ABAC,支持动态属性的授权决策,ABAC,在授权决策中是基于访问主体和资源的属性的，所以可以是静态,的也,可以是动态,的，,RBAC,的授权决,策是静态的；,复杂性对比,随着用户和资源数目的增长，,RBAC,的规,则数,目呈指数级增长，而,ABAC,的规则呈线性增,长,；,基,于属性的访问控制,访问控制的目标,应用实例,-,多域网络访问控制,多域网络访问控制工作流程,应用实例,-,多域网络访问控制,域决策系统,工作流程示意,应用实例,-,多域网络访问控制,属性管理系统,工作流程示意,应用实例,-,多域网络访问控制,属性表示,主,体属性主要由非易变的静态属性和易变的动态属性；,静态属性主要是由属性证书的方式获取；,动,态属性则是动态地向属性权威机构申请的属性，主要通过,SAML,属性,声明,动态获得；,属性的建立与提供,属性证书获取属性接口和,SAML,动态获取属性接口；,属,性证书的应用包括属性证书的自动下载和自动上传；,SAML,动,态获取属性接口实时远程向属性权威机构发送,SAML,属性请求动态获取属性；,应用实例,-,多域网络访问控制,属性获取,资源属性和环境属性可由相应的提供者直接定义；,主体属性通常维护在一个特殊的数据库，或是通过属性证书或,SAML,声明分配给主体；,属性匹配机制,基于一种互信属性的调配机制来达到属性的匹配；,应用实例,-,多域网络访问控制,应用实例,-,多域网络访问控制,单网络访问控制流程,用户发起对本网络资源的访问请求,；,访问控制服务器中的证书管理系统根据用户提供的证书验证用户身份；,资源根据访问的要求向访问判决模块获取资源的属性，并根据用户所要采取的操作获取对用权限需要的用户属性信息；,访问判决模块从属性策略库中抽取访问控制策略，并应用属性匹配模块,和策,略信息对用户的主体属性和所要访,问的,资源属性做出判决,；,完成访问控制过程，给出访问控制结果；,用户根据访问控制判决结果被允许或拒绝访问资源,应用实例,-,多域网络访问控制,跨网络访问控制流程,属性管理系统依据所颁发的证书对第一网络域和第二网络域中属性库给予统一的规范定义；建立第一个网络和第二个网络的统一的访问控制规则语义；,用户通过第一个网络的访问判决系统，注册并获得由证书管理系统颁发的用户证书，用户将证书下载至客户端的本地磁盘中保存；,用户通过网络访问服务器中的域决策系统确定要访问资源在第二个网络域中，用户提交用户的属性证书登录第二网络域中的访问判决系,统；,余下步骤同单网络域访问控制步骤相同，所不同的是这个用户不是第二个网络域中的用户，但是处理过程与他属于本网络用户相同；,实现实例,基于属性标记的访问控制模型采用了安全等级和角色的两个安全属性；,实验场景的主体属性,基于属性标记的访问控制模型,策略的实例,编写了,9,个,XACML,策略文件，用于描述场景中时间区域、安全等级以及角色信息的判定规则。这几个策略文件的功能；,基于属性标记的访问控制模型,设计思路,加入属性标记的概念，从而实现对信息系统中主体、客体安全属性的集中管理，并且能够灵活地利用现有的访问控制模型中已有的安全等级、角色等安全属性；,通过属性标记的集中式管理，实现对主客体安全属性的时间有效性管理；,强制访问控制模型中的核心为安全级别，但它针对安全级别的“上写、下读”策略，在现实应用中存在很多问题；,该模型的可扩展性主要通过增加属性标记中安全属性类型来实现；,基于属性标记的访问控制模型,模型结构,基于属性标记的访问控制模型,主体属性标记,SID,表示主体在系统中的唯一的标识，在同一个系统中不同主体的,ID,应该是不相同的；,有效时间区间代表了该主体属性标记的合法时间，也代表了标记所承载的主体的安全属性的有效时间；,安全等级代表了主体的安全级别，它由属性标记管理模块根据认证模块提供的主体属性确定；,角色代表主体在系统中的角色信息。角色代表了一系列对客体进行访问的权限，和,RBAC,中角色的定义相同；,基于属性标记的访问控制模型,客体属性标记,OID,表示客体在系统中的唯一的标识，不同主体的,ID,应该是不同的；,有效时间区间代表了客体在系统中的存活时间；,安全等级代表了客体的安全密级；,基于属性标记的访问控制模型,属性标记的授权和撤销,属性标记的有效性对访问请求的判决有着决定性的作用；,有效的主体属性标记表明对应主体在系统中享有对特定资源的访问权限，而有效的客体属性标记则表明允许合法主体访问该客体；,通过在初始阶段对属性标记进行授权，在属性标记失去其有效性时能够对其进行撤销，从而保证系统资源被合法访问；,基于属性标记的访问控制模型,策略的组成,策略主要包括时间有效性判定、安全等级有效,和角色有效性判定,；,时间有效性判定,时间有效性判定主要判定主体属性标记和客体属性标记的时间区域是否过期。若判决有效，则继续其他有效性判定，否则将拒绝用户的请求，并将时间区域失效的信息反馈给属性标记管理模,块；,安全等级判,定,安全等级判定通过提取主体属性标记和客体属性标记中的安全等级，然后进行比较。如果主体安全等级比客体安全等级高，则判定为有效，否则为无,效；,角色判,定,角色本身就代表了一组特定的访问权限。通过查询主体所具有的角色中是,否包,含对其请求客体的访问权限，来决定角色的有效,性；,基于属性标记的访问控制模型,Thank you,