- 1、本文档共28页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
基于属性访问控制探讨
Group:华中师范大学信息管理学院;分工
朱洋负责主讲,参与PPT制作;
曾德明负责PPT制作,参与文档整理;
罗业沛负责文献整理和搜集;
顾云柯负责搜集文献;
;传统访问控制;传统访问控制;传统访问控制;访问控制基本模型;属性定义
主体属性
主体是可以对资源进行操作的实体(能够发出访问请求或者一对某些资源执行许可动作的所有实体的集合;
资源属性
资源是一个系统中可被访问的客体,也是系统存在的意义,只有系统中存在可以利用的资源,主体才会对资源发起访问请求;
环境属性
环境属性时独立于访问主体和被访问资源,它通常是指访问控制过程发生时的一些环境信息;
权限属性
操作的权限可以是对文件、文档、图像、视屏等资源的打开(Open)、读(Read)、写(Write)、删除(Delete)等等一系列的动作;;访问控制规则
基于属性的访问控制规则都是通过用户、资源、操作和环境来表达的;
每条规则由条件、结果和目标组成;
访问控制决策通过匹配主体、资源、环境和权限属性得出的结论;
控制规则框架模型构成
属性权威AA
负责主体、资源或环境的属性创建和管理;
策略实施点PEP
负责处理访问请求并实施由访问控制判决模块返回的决策信息;
策略决策点PDP
负责对由策略实施点转发过来的访问请求将访问主体与资源的属性再加上上下文的环境属性选取合适的策略做出有效的评估,以决定是否对访问请求授权;
策略管理点PAP
责访问控制策略的创建和管理,为策略决策点的判决提供相应策略的查询;;控制规则框架模型;ABAC VS RBAC
ABAC是RBAC的超集
ABAC可以提供基于各类对象属性的授权策略,同样支持基于用户角色的授权和访问控制,角色在 ABAC 中仅仅是用户的一个单一属性;
应用范围对比
统一的语义描述使得对象模型的定义和策略控制更加方便和灵活,AAR 的引入使得在开放网络环境下的匿名控制和访问更加灵活多用;
ABAC 支持动态属性的授权决策
ABAC 在授权决策中是基于访问主体和资源的属性的,所以可以是静态的也可以是动态的,RBAC 的授权决策是静态的;
复杂性对比
随着用户和资源数目的增长,RBAC 的规则数目呈指数级增长,而 ABAC 的规则呈线性增长;;访问控制的目标;多域网络访问控制工作流程;域决策系统
工作流程示意;属性管理系统
工作流程示意;属性表示
主体属性主要由非易变的静态属性和易变的动态属性;
静态属性主要是由属性证书的方式获取;
动态属性则是动态地向属性权威机构申请的属性,主要通过SAML属性声明动态获得;
属性的建立与提供
属性证书获取属性接口和SAML动态获取属性接口;
属性证书的应用包括属性证书的自动下载和自动上传;
SAML动态获取属性接口实时远程向属性权威机构发送SAML属性请求动态获取属性;;属性获取
资源属性和环境属性可由相应的提供者直接定义;
主体属性通常维护在一个特殊的数据库,或是通过属性证书或SAML声明分配给主体;
属性匹配机制
基于一种互信属性的调配机制来达到属性的匹配;
;应用实例-多域网络访问控制;应用实例-多域网络访问控制;实现实例
基于属性标记的访问控制模型采用了安全等级和角色的两个安全属性;
实验场景的主体属性;策略的实例
编写了 9 个 XACML 策略文件,用于描述场景中时间区域、安全等级以及角色信息的判定规则。这几个策略文件的功能;;设计思路
加入属性标记的概念,从而实现对信息系统中主体、客体安全属性的集中管理,并且能够灵活地利用现有的访问控制模型中已有的安全等级、角色等安全属性;
通过属性标记的集中式管理,实现对主客体安全属性的时间有效性管理;
强制访问控制模型中的核心为安全级别,但它针对安全级别的“上写、下读”策略,在现实应用中存在很多问题;
该模型的可扩展性主要通过增加属性标记中安全属性类型来实现;;模型结构;主体属性标记
SID 表示主体在系统中的唯一的标识,在同一个系统中不同主体的 ID 应该是不相同的;
有效时间区间代表了该主体属性标记的合法时间,也代表了标记所承载的主体的安全属性的有效时间;
安全等级代表了主体的安全级别,它由属性标记管理模块根据认证模块提供的主体属性确定;
角色代表主体在系统中的角色信息。角色代表了一系列对客体进行访问的权限,和 RBAC 中角色的定义相同;;客体属性标记
OID 表示客体在系统中的唯一的标识,不同主体的 ID 应该是不同的;
有效时间区间代表了客体在系统中的存活时间;
安全等级代表了客体的安全密级;;属性标记的授权和撤销
属性标记的有效性对访问请求的判决有着决定性的作用;
有效的主体属性标记表明对应主体在系统中享有对特定资源的访问权限,而有效的客体属性标记则表明允许??法主体访问该客体;
通过在初始阶段对属性标记进行授权,在属性标记失去其有效
您可能关注的文档
最近下载
- 电子电路与系统基础II(李国林)X006 12 第六讲习题课 电容电感性质习题课.pdf VIP
- 电动三轮车培训.pptx VIP
- 电子电路与系统基础II(李国林)S012 理论课第12讲 阻抗匹配网络.pdf VIP
- 工程伦理案例分析.docx VIP
- 统编版(2024)七年级历史上册第6课《战国时期的社会变革》课件.pptx VIP
- 电子电路与系统基础II(李国林)S005 09 第五讲理论课 向量法.pdf VIP
- 宜家 吸顶灯 RANARP 勒纳普 吊灯 003.909.52 安装指南.pdf
- 电子电路与系统基础II(李国林)S002 03 第二次理论课 运放应用.pdf VIP
- 工程伦理学习心得体会.docx VIP
- 工程伦理学学习心得.docx VIP
文档评论(0)