- 1、本文档共35页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
基于属性的访问控制_精品
WEB服务中的应用 属性访问控制 Web服务:Web服务描述语言WSDL;统一描述发现和集成规范UDDI;简单对象访问协议SOAP; 动态扩展性:任何时候加入或离开;要求访问控制策略考虑上下文信息; 随着WSS、XACML和SAML等一系列支持ABAC的标准相继出台,ABAC已成为Web服务研究热点; 通常采用以下架构: 客户端:遵照WS-Security 规范利用SOAP消息头承载SAML属性断言并发送给服务器; 服务器端:PEP首先从SOAP 请求中获取属性并向PDP转发请求,然后根据PDP的判定结果实施访问控制策略. * 应用研究现状 属性访问控制 WEB服务中的应用 网格计算中的应用 信息共享和消息管理中的应用 * 网格计算中的应用 属性访问控制 网格:提供高性能计算和信息服务,旨在 “虚拟计算机”; 资源访问控制通常分为两级:顶层网格级和底层自治域级,相应的策略分别为访问控制中的全局策略和本地策略; 不同的自治域通常有不同的安全策略.所以需要网格计算的访问控制系统能支持多安全策略; ABAC有足够的灵活性和可扩展性来支持网格计算系统,已有研究相继提出了CAS、Akenti、PERMIS、Shibboleth、Liberty ID-FF 、VOMS、GT4等能实现ABAC的网格认证和授权基础设施(AAIs). * 应用研究现状 属性访问控制 WEB服务中的应用 网格计算中的应用 信息共享和消息管理中的应用 * 信息共享和信息管理中的应用 属性访问控制 基于属性的信息系统(ABIS),提供了跨信任域的信息共享; 利用基于属性的加密(ABE),构建了新的安全信息管理体系, 实现了灵活的一对多加密机制;例如: 提出基于密钥策略的属性加密系统(KP-ABE); 提出的基于密文策略的属性加密系统(C-ABE); 基于属性的消息系统(ABM),动态生成一个消息接收者列表; * 内容提要 概述 基本原理 理论研究现状 应用研究现状 趋势与展望 属性访问控制 * 趋势与展望 属性访问控制 ABAC研究仍然有许多尚待解决的问题: 简洁的策略描述框架; 完善的策略合成模型; 高效的安全属性交互协议; 易理解的通用本体(Ontology; 高效的ABAC策略模式、合理的属性数据结构描述以及面向领域的ABAC实施机制等也是ABAC未来研究的重要课题. * 主要参考文献: 属性访问控制 王小明,付红,张立臣.基于属性的访问控制研究进展【J】.电子学报,2010,38(7):1660-1667. 谢谢! * * * 报告人:付 红 基于属性的访问控制 (ABAC) Attribute-Based Access Control * 内容提要 概述 基本原理 理论研究现状 应用研究现状 趋势与展望 属性访问控制 * 概述 属性访问控制 开放的分布式异构环境:面向服务架构(SOA);网格计算 特征:独立组织域之间以松耦合、互合作的方式互联 开放:主体可能在多个异构的系统中访问; 分布:系统难以知道主体的身份; 异构:不同的保护程度和策略; 相应要求: 主体的动态扩展; 对客体的细粒度访问; 独立系统的异构性; ABAC适用于动态协作的分布式应用场景。 * 概述 属性访问控制 基本概念: 属性是授权基础; 属性主要分为主体属性、客体属性、环境属性等。 主体属性:角色、身份(静态属性)、年龄、位置(动态属性)等; 客体属性:主要描述资源的元数据。 环境属性:刻画访问过程的上下文环境。 利用属性表达式描述访问策略,权限与之相关联并赋予给相应用户。 * 概述 属性访问控制 优点: 具备强大的表达能力 属性可以从不同的视角描述实体; 属性表达式描述的策略可以表达任意逻辑语义。 具有更大的灵活性和扩展性 能描述DAC、MAC 、RBAC等不同类型的访问控制策略; 可以方便采用统一的机制对所有策略进行评估。 * 内容提要 概述 基本原理 理论研究现状 应用研究现状 趋势与展望 属性访问控制 * 基本原理 属性访问控制 (1) 提出“资源访问请求”; (2) 提出“访问请求判决”; (3) 提出“属性访问请求”; (4) 属性信息返回; (5) 提出“策略访问请求”; (6) 策略规则回送; (7) 访问请求判决结果; (8) 发送资源访问许可; (9) 客体响应访问请求; (10)主体完成访问。 * 基本原理 属性访问控制 时序图说明: 策略执行点对属性信息的获取和对策略规则的获取并没有严格的顺序,也可以并行进行。 属性权威可以通过数字签名等认
您可能关注的文档
最近下载
- 日立电梯LGE无机房乘客电梯电气规格表电气原理图纸K3500415(2018-8).pdf
- 制药工程制图习题集(第二版)于颖_课后习题答案解析.pdf
- 水表计量检定站被授权水表检定资格.doc VIP
- 万圣节英语习俗介绍.ppt VIP
- 《JTS 120-1-2018 跨越和穿越航道工程航道通航条件影响评价报告编制规定》.pdf
- 2023-2024学年人教PEP版六年级上册英语期中测试卷 (含答案).pdf
- Halloween万圣节英介绍.ppt VIP
- 学生心理健康辅导记录表(18篇).pdf
- 2024-2025学年初中英语六年级上册(2024)沪教版(五四学制)(2024)教学设计合集.docx
- 2024年大学各专业就业率情况和分析研究.pdf
文档评论(0)