基于属性的访问控制_精品.ppt

WEB服务中的应用 属性访问控制 Web服务：Web服务描述语言WSDL；统一描述发现和集成规范UDDI；简单对象访问协议SOAP； 动态扩展性：任何时候加入或离开；要求访问控制策略考虑上下文信息； 随着WSS、XACML和SAML等一系列支持ABAC的标准相继出台，ABAC已成为Web服务研究热点； 通常采用以下架构： 客户端：遵照WS-Security 规范利用SOAP消息头承载SAML属性断言并发送给服务器； 服务器端：PEP首先从SOAP 请求中获取属性并向PDP转发请求，然后根据PDP的判定结果实施访问控制策略． * 应用研究现状 属性访问控制 WEB服务中的应用 网格计算中的应用 信息共享和消息管理中的应用 * 网格计算中的应用 属性访问控制 网格：提供高性能计算和信息服务,旨在 “虚拟计算机”; 资源访问控制通常分为两级：顶层网格级和底层自治域级，相应的策略分别为访问控制中的全局策略和本地策略; 不同的自治域通常有不同的安全策略．所以需要网格计算的访问控制系统能支持多安全策略; ABAC有足够的灵活性和可扩展性来支持网格计算系统，已有研究相继提出了CAS、Akenti、PERMIS、Shibboleth、Liberty ID-FF 、VOMS、GT4等能实现ABAC的网格认证和授权基础设施（AAIs）． * 应用研究现状 属性访问控制 WEB服务中的应用 网格计算中的应用 信息共享和消息管理中的应用 * 信息共享和信息管理中的应用 属性访问控制 基于属性的信息系统（ABIS），提供了跨信任域的信息共享; 利用基于属性的加密（ABE），构建了新的安全信息管理体系， 实现了灵活的一对多加密机制；例如： 提出基于密钥策略的属性加密系统（KP-ABE）； 提出的基于密文策略的属性加密系统(C-ABE); 基于属性的消息系统（ABM），动态生成一个消息接收者列表； * 内容提要 概述 基本原理 理论研究现状 应用研究现状 趋势与展望 属性访问控制 * 趋势与展望 属性访问控制 ABAC研究仍然有许多尚待解决的问题： 简洁的策略描述框架； 完善的策略合成模型； 高效的安全属性交互协议； 易理解的通用本体（Ontology； 高效的ABAC策略模式、合理的属性数据结构描述以及面向领域的ABAC实施机制等也是ABAC未来研究的重要课题． * 主要参考文献： 属性访问控制 王小明，付红，张立臣.基于属性的访问控制研究进展【J】.电子学报,2010,38(7):1660-1667. 谢谢！ * * * 报告人：付 红 基于属性的访问控制 (ABAC) Attribute-Based Access Control * 内容提要 概述 基本原理 理论研究现状 应用研究现状 趋势与展望 属性访问控制 * 概述 属性访问控制 开放的分布式异构环境：面向服务架构（SOA）；网格计算 特征：独立组织域之间以松耦合、互合作的方式互联 开放：主体可能在多个异构的系统中访问； 分布：系统难以知道主体的身份； 异构：不同的保护程度和策略； 相应要求： 主体的动态扩展； 对客体的细粒度访问； 独立系统的异构性； ABAC适用于动态协作的分布式应用场景。 * 概述 属性访问控制 基本概念： 属性是授权基础； 属性主要分为主体属性、客体属性、环境属性等。 主体属性：角色、身份（静态属性）、年龄、位置（动态属性）等； 客体属性：主要描述资源的元数据。 环境属性：刻画访问过程的上下文环境。 利用属性表达式描述访问策略，权限与之相关联并赋予给相应用户。 * 概述 属性访问控制 优点： 具备强大的表达能力 属性可以从不同的视角描述实体； 属性表达式描述的策略可以表达任意逻辑语义。 具有更大的灵活性和扩展性 能描述DAC、MAC 、RBAC等不同类型的访问控制策略； 可以方便采用统一的机制对所有策略进行评估。 * 内容提要 概述 基本原理 理论研究现状 应用研究现状 趋势与展望 属性访问控制 * 基本原理 属性访问控制 (1) 提出“资源访问请求”； (2) 提出“访问请求判决”； (3) 提出“属性访问请求”； (4) 属性信息返回； (5) 提出“策略访问请求”； (6) 策略规则回送； (7) 访问请求判决结果； (8) 发送资源访问许可； (9) 客体响应访问请求； (10)主体完成访问。 * 基本原理 属性访问控制 时序图说明： 策略执行点对属性信息的获取和对策略规则的获取并没有严格的顺序，也可以并行进行。 属性权威可以通过数字签名等认