认证与访问控制（崔永泉）访问控制第八章-基于动态角色映射的多域访问控制.pptVIP

考虑如下情形，域D2要和D1进行互操作，并且域D1和D0要互操作，这并不意味着D2和D0想要互操作。即使D0不想和D2进行互操作，来自于D2的主体可以首先进入D1然后渗透进入D0 。因此，我们的角色转换模型不能用于多域穿梭的角色转换 IRBAC模型安全性分析 2.域穿梭引发的安全隐患 ②隐蔽提升 域穿梭带来的另一个问题就是主体能够穿越域边界，并且能够以比起始角色更高级的角色返回到他的起始域 实际上，一个主体能通过多域穿梭隐蔽地提升它在角色层次中的级别 IRBAC模型安全性分析 为了避免“渗透”和“隐蔽提升”，转换模型应当限定只对单域穿梭有效 每个域都应当转换一个主体的“起始”角色，而不是来自于前一个域中的转换角色。这将保证除域穿梭外，角色转换模型是有效的 主体的起始域和角色名称可作为标记，用来避免“渗透”和“隐蔽提升” 然而，欺诈域总是存在的。这需要所有的域协同合作，因此，没有域之间的协作，很可能存在“渗透”和“隐蔽提升” IRBAC模型安全性分析 * Page: * 提纲 多域安全互操作引言 基本概念 关联类型 建立关联的策略 IRBAC模型与安全性分析 模型适应性 模型应用的过程 模型的适应性 1.如果有n个域需要两两互操作，则需要构造