訪問(wèn)控制技術(shù)研究簡(jiǎn)介魯劍鋒2008-7-11星期五1/12/20231訪問(wèn)控制技術(shù)研究簡(jiǎn)介內(nèi)容安排引言訪問(wèn)控制代表性模型【DAC，MAC，RBAC，TBAC，LBAC，Risk-BAC,UCON】多自治域互操作訪問(wèn)控制技術(shù)訪問(wèn)控制技術(shù)應(yīng)用環(huán)境我目前的研究1/12/20232訪問(wèn)控制技術(shù)研究簡(jiǎn)介引言定義：訪問(wèn)控制(AccessControl)是實(shí)施允許被授權(quán)的主體對(duì)某些客體的訪問(wèn)，同時(shí)拒絕向非授權(quán)的主體提供服務(wù)的策略。起源：20世紀(jì)70年代,當(dāng)時(shí)是為了滿足管理大型主機(jī)系統(tǒng)上共享數(shù)據(jù)授權(quán)訪問(wèn)的需要。發(fā)展：訪問(wèn)控制作為系統(tǒng)安全的關(guān)鍵技術(shù),既是一個(gè)古老的內(nèi)容又面臨著挑戰(zhàn)。隨著計(jì)算機(jī)技術(shù)和應(yīng)用的發(fā)展,特別是網(wǎng)絡(luò)應(yīng)用的發(fā)展,這一技術(shù)的思想和方法迅速應(yīng)用于信息系統(tǒng)的各個(gè)領(lǐng)域。對(duì)網(wǎng)絡(luò)安全的研究成為當(dāng)前的研究熱點(diǎn)。1/12/20233訪問(wèn)控制技術(shù)研究簡(jiǎn)介自主訪問(wèn)控制(discretionaryaccesscontrol,簡(jiǎn)稱(chēng)DAC)1971年由Lampson針對(duì)當(dāng)時(shí)多用戶計(jì)算機(jī)系統(tǒng)的數(shù)據(jù)保護(hù)而提出。DAC根據(jù)主體的身份和授權(quán)來(lái)決定訪問(wèn)模式，但信息在移動(dòng)過(guò)程中主體可能會(huì)將訪問(wèn)權(quán)限傳遞給其他主體，使訪問(wèn)權(quán)限關(guān)系發(fā)生改變。

DAC策略在安全性要求不高的系統(tǒng)中應(yīng)用比較普遍，在安全性要求較高的情況下，則需要采取其他的訪問(wèn)控制策略。1/12/20234訪問(wèn)控制技術(shù)研究簡(jiǎn)介強(qiáng)制訪問(wèn)控制

(mandatoryaccesscontrol,簡(jiǎn)稱(chēng)MAC)MAC根據(jù)主體和客體的安全級(jí)別標(biāo)記來(lái)決定訪問(wèn)模式，實(shí)現(xiàn)信息的單向流動(dòng)，但它過(guò)于強(qiáng)調(diào)保密性，對(duì)系統(tǒng)的授權(quán)管理不便，不夠靈活。它利用上讀/下寫(xiě)來(lái)保證數(shù)據(jù)的完整性,利用下讀/上寫(xiě)來(lái)保證數(shù)據(jù)的保密性。MAC是由美國(guó)政府和軍方聯(lián)合研究出的一種控制技術(shù),目的是為了實(shí)現(xiàn)比DAC更為嚴(yán)格的訪問(wèn)控制策略。

1/12/20235訪問(wèn)控制技術(shù)研究簡(jiǎn)介基于角色的訪問(wèn)控制(role-basedaccesscontrol,簡(jiǎn)稱(chēng)RBAC)1992年Ferraiolo等人最早提出了基于角色的訪問(wèn)控制這一概念。1996年Sandhu等人按模型的復(fù)雜程度，將RBAC模型分為四類(lèi)，分別是基本的基于角色的訪問(wèn)控制模型（RBAC0）、具有角色層次的訪問(wèn)控制模型（RBAC1）、具有約束的RBAC模型（RBAC2）和統(tǒng)一角色層次和約束的RBAC模型（RBAC3），統(tǒng)稱(chēng)為RBAC的參考模型。2001年Ferraiolo等人對(duì)RBAC模型的各種描述方法進(jìn)行了總結(jié)，并結(jié)合基于角色的RBAC模型的管理，提出了NIST的標(biāo)準(zhǔn)草案。2004年，ANSI提出RBAC標(biāo)準(zhǔn)對(duì)RBAC模型及其管理模型中的函數(shù)等進(jìn)行了規(guī)范說(shuō)明1/12/20236訪問(wèn)控制技術(shù)研究簡(jiǎn)介基于角色的訪問(wèn)控制（續(xù)）起因：Intranet的廣泛應(yīng)用使網(wǎng)上信息的完整性要求超過(guò)了機(jī)密性,而傳統(tǒng)的DAC和MAC策略難以提供這方面的支持，于是基于角色的訪問(wèn)控制被提出并被廣泛接受。驅(qū)動(dòng)：RBAC發(fā)展的動(dòng)力是在簡(jiǎn)化安全策略管理的同時(shí),允許靈活地定義安全策略應(yīng)用：目前,RBAC被應(yīng)用在各個(gè)企業(yè)領(lǐng)域,包括操作系統(tǒng)、數(shù)據(jù)庫(kù)管理系統(tǒng)、PKI、工作流管理系統(tǒng)和Web服務(wù)等領(lǐng)域1/12/20237訪問(wèn)控制技術(shù)研究簡(jiǎn)介基于角色的訪問(wèn)控制（續(xù)）RBAC管理模型ARBAC97由GeorgeMasonUniversity的R.Sandhu于99年提出，基本思想是在RBAC模型內(nèi)部實(shí)現(xiàn)對(duì)各部分元素的管理，管理包括：用戶角色管理，權(quán)限角色管理，角色層次關(guān)系管理，限制管理等。針對(duì)ARBAC97模型的完整性和實(shí)用性等方面的不足，Crampton等人提出了RHA系列基于角色的管理模型。Koch等人用圖論的方法將SARBAC模型進(jìn)一步模型化1/12/20238訪問(wèn)控制技術(shù)研究簡(jiǎn)介基于角色的訪問(wèn)控制（續(xù)）RBAC時(shí)態(tài)約束模型為滿足用戶－角色關(guān)系以及角色之間的關(guān)系的動(dòng)態(tài)性要求，Bertino等人于2000年提出Temporal-RBAC模型。該模型支持角色的周期使能和角色激活的時(shí)序依賴(lài)關(guān)系2005年Joshi等人[16]提出了通用的時(shí)態(tài)RBAC模型（GeneralizedTemporalRole-basedAccessControlModel）。較之TRBAC，該模型支持更加廣泛的時(shí)態(tài)約束，能夠表達(dá)角色之間、用戶－角色關(guān)系和角色－權(quán)限關(guān)系上周期性、持續(xù)性的關(guān)系。1/12/20239訪問(wèn)控制技術(shù)研究簡(jiǎn)介基于任務(wù)的訪問(wèn)控制(task-basedaccesscontrol,簡(jiǎn)稱(chēng)TBAC)TBAC模型是一種基于任務(wù)、采用動(dòng)態(tài)授權(quán)的主動(dòng)安全模型。它從應(yīng)用和企業(yè)的角度來(lái)解決安全問(wèn)題。它采用面向任務(wù)的觀點(diǎn),從任務(wù)的角度來(lái)建立安全模型和實(shí)現(xiàn)安全機(jī)制,在任務(wù)處理的過(guò)程中提供實(shí)時(shí)的安全管理。TBAC的基本思想：將訪問(wèn)權(quán)限與任務(wù)相結(jié)合,每個(gè)任務(wù)的執(zhí)行都被看作是主體使用相關(guān)訪問(wèn)權(quán)限訪問(wèn)客體的過(guò)程。系統(tǒng)授予給用戶的訪問(wèn)權(quán)限,不僅僅與主體、客體有關(guān),還與主體當(dāng)前執(zhí)行的任務(wù)、任務(wù)的狀態(tài)有關(guān)。1/12/202310訪問(wèn)控制技術(shù)研究簡(jiǎn)介基于任務(wù)的訪問(wèn)控制（續(xù)）TBAC的特點(diǎn)：不能很好的適應(yīng)復(fù)雜的企業(yè)環(huán)境。TBAC中并沒(méi)有將角色與任務(wù)清楚地分離開(kāi)來(lái),也不支持角色的層次等級(jí);訪問(wèn)控制并非都是主動(dòng)的,也有屬于被動(dòng)形式的,但TBAC并不支持被動(dòng)訪問(wèn)控制,需要與RBAC結(jié)合使用。（基于任務(wù)和角色的訪問(wèn)控制有很多相關(guān)研究）1/12/202311訪問(wèn)控制技術(shù)研究簡(jiǎn)介基于場(chǎng)所的訪問(wèn)控制模型(local-basedaccesscontrol,簡(jiǎn)稱(chēng)LBAC)是以Fitzpatrick的場(chǎng)所框架（LocaleFrame）為理論基礎(chǔ)并對(duì)RBAC模型加以擴(kuò)充而提出的。RBAC模型與Locale-BAC模型之間的本質(zhì)區(qū)別是對(duì)會(huì)話（Session）的定義，以及在Locale-BAC中引入了場(chǎng)所（Locale）的概念。1/12/202312訪問(wèn)控制技術(shù)研究簡(jiǎn)介基于風(fēng)險(xiǎn)的訪問(wèn)控制(RiskBasedAccessControl）將風(fēng)險(xiǎn)作為訪問(wèn)控制策略的基本屬性，使得訪問(wèn)控制策略能夠基于風(fēng)險(xiǎn)建立偏序關(guān)系，通過(guò)對(duì)用戶權(quán)限的優(yōu)化配置，控制高風(fēng)險(xiǎn)的授權(quán)和權(quán)限委托行為，從而提高系統(tǒng)的安全性現(xiàn)有的風(fēng)險(xiǎn)等級(jí)劃分方法：抽取風(fēng)險(xiǎn)因素授予風(fēng)險(xiǎn)因素權(quán)重簡(jiǎn)單累加得出風(fēng)險(xiǎn)等級(jí)

JameBD準(zhǔn)備下一步將風(fēng)險(xiǎn)引入到訪問(wèn)控制中。1/12/202313訪問(wèn)控制技術(shù)研究簡(jiǎn)介使用控制模型(UsageControl，簡(jiǎn)稱(chēng)UCON)2002年，GeorgeMason大學(xué)著名的信息安全專(zhuān)家Ravi

Sandhu教授和JaehongPark博士首次提出使用控制(UCON,UsageControl)的概念UCON模型包含3個(gè)基本元素:主體(subject)、客體(object)、權(quán)限(right)和另外3個(gè)與授權(quán)有關(guān)的元素:授權(quán)規(guī)則(authorizationrule)、條件(condition)、義務(wù)(obligation)屬性的易變性(mutable)和控制的連續(xù)性（continuity）是UCON模型與其他訪問(wèn)控制模型的最大差別。1/12/202314訪問(wèn)控制技術(shù)研究簡(jiǎn)介使用控制模型UCON現(xiàn)有研究分類(lèi)：UCONABC核心模型授權(quán)策略語(yǔ)言、語(yǔ)法和框架安全性分析網(wǎng)格計(jì)算環(huán)境授權(quán)框架協(xié)作環(huán)境授權(quán)框架面向普適計(jì)算環(huán)境面向移動(dòng)自組網(wǎng)面向網(wǎng)絡(luò)服務(wù)面向數(shù)字版權(quán)管理多自治域環(huán)境授權(quán)1/12/202315訪問(wèn)控制技術(shù)研究簡(jiǎn)介使用控制模型UCON模型不僅包含了DAC,MAC和RBAC,而且還包含了數(shù)字版權(quán)管理(digitalrightsmanagement,簡(jiǎn)稱(chēng)DRM)、信任管理等,涵蓋了現(xiàn)代商務(wù)和信息系統(tǒng)需求中的安全和隱私這兩個(gè)重要的問(wèn)題.UCON模型為研究下一代訪問(wèn)控制提供了一種新方法,被稱(chēng)作下一代訪問(wèn)控制模型.1/12/202316訪問(wèn)控制技術(shù)研究簡(jiǎn)介多自治域互操作訪問(wèn)控制技術(shù)多自治域環(huán)境中的訪問(wèn)控制策略是保證各自治域間進(jìn)行安全互操作的關(guān)鍵技術(shù)?；ゲ僮鞯脑L問(wèn)控制機(jī)制：映射機(jī)制（主體映射，客體映射，角色映射，屬性映射）委托機(jī)制指定機(jī)制安全聯(lián)盟機(jī)制信任管理機(jī)制等等1/12/202317訪問(wèn)控制技術(shù)研究簡(jiǎn)介多自治域互操作訪問(wèn)控制技術(shù)互操作代表性模型IRBAC2000(角色映射，適用于具有可信任的控制中心環(huán)境)DRBAC（角色委托，使用于動(dòng)態(tài)結(jié)盟環(huán)境）TrustManagement（信任管理）1/12/202318訪問(wèn)控制技術(shù)研究簡(jiǎn)介多自治域互操作訪問(wèn)控制技術(shù)互操作研究分類(lèi)：1.構(gòu)建跨域授權(quán)框架或體系結(jié)構(gòu)Purdue大學(xué)的Shafiq等人提出了一套集中式的建立多域互操作關(guān)系框架Shehab等人于2005年提出在分布式的基于RBAC的多域訪問(wèn)控制框架Hu等人提出了一套分布式的基于RBAC的跨域訪問(wèn)框架

2.安全沖突檢測(cè)和消減策略消解因角色映射出現(xiàn)的違反約束、隱蔽提升等問(wèn)題約束沖突：模態(tài)沖突，多級(jí)管理沖突，循環(huán)繼承沖突，職責(zé)分離沖突（user/role/permissionSoD）1/12/202319訪問(wèn)控制技術(shù)研究簡(jiǎn)介多自治域互操作訪問(wèn)控制技術(shù)互操作研究分類(lèi)：3.優(yōu)化問(wèn)題Shafiq等人還分析了在引入互操作之后域中自治性的損失，進(jìn)而提出了基于整數(shù)規(guī)劃(IntegerProgramming)

的方法權(quán)衡域中的自治性和安全性滿足職責(zé)分離約束的最大跨域訪問(wèn)問(wèn)題，尋找最小集合的管理員（證明為NPC問(wèn)題）尋找滿足約束的最大跨域訪問(wèn)集合（證明為NPC問(wèn)題）最小權(quán)限問(wèn)題ZhuoTang：Request-DrivenRoleMappingFrameworkforSecureInteroperationinMulti-DomainEnvironments）1/12/202320訪問(wèn)控制技術(shù)研究簡(jiǎn)介訪問(wèn)控制技術(shù)應(yīng)用環(huán)境網(wǎng)格(grid)目前常用的有3種網(wǎng)格計(jì)算環(huán)境:Condor,Legion

和Globus。網(wǎng)格計(jì)算中的訪問(wèn)控制一般是通過(guò)身份證書(shū)和本地審計(jì)來(lái)實(shí)現(xiàn)的,用戶通常在請(qǐng)求服務(wù)之前要求注冊(cè)到服務(wù)提供者。擴(kuò)展性不好，另外用戶一般不在一個(gè)域中，彼此不相識(shí)，基于身份的訪問(wèn)控制無(wú)法滿足需求。主要研究：動(dòng)態(tài)角色和上下文的訪問(wèn)控制語(yǔ)義訪問(wèn)控制可信協(xié)商(trustnegotiation)1/12/202321訪問(wèn)控制技術(shù)研究簡(jiǎn)介訪問(wèn)控制技術(shù)應(yīng)用環(huán)境對(duì)等網(wǎng)(peertopeer)當(dāng)前,大多數(shù)對(duì)P2P系統(tǒng)的研究?jī)H僅關(guān)注在提供服務(wù)上,而不是對(duì)資源的控制上.對(duì)P2P系統(tǒng)安全的研究主要集中在兩個(gè)方面:peer的選擇：如何有效地選擇一個(gè)peer進(jìn)行文件共享（身份認(rèn)真，信任計(jì)算）關(guān)于peer的安全組：網(wǎng)絡(luò)中的節(jié)點(diǎn)如何分組才能保證相互間能夠安全地共享資源,且不會(huì)響應(yīng)惡意的請(qǐng)求而消耗自身的服務(wù)能力（認(rèn)證和動(dòng)態(tài)安全組管理）目前適用于P2P系統(tǒng)的訪問(wèn)控制模型：如移動(dòng)P2P協(xié)作環(huán)境下的訪問(wèn)控制、基于PKI的多層訪問(wèn)控制平臺(tái)等.1/12/202322訪問(wèn)控制技術(shù)研究簡(jiǎn)介訪問(wèn)控制技術(shù)應(yīng)用環(huán)境無(wú)線傳感器網(wǎng)絡(luò)(wirelesssensornetwork,簡(jiǎn)稱(chēng)WSN)WSN的安全包括內(nèi)部安全和外部安全:內(nèi)部安全是指內(nèi)部節(jié)點(diǎn)之間的通信或節(jié)點(diǎn)和基站之間的通信是安全的（側(cè)重于機(jī)密性）;外部安全是指外部用戶和WSN之間的通信是安全的（側(cè)重于完整性和可用性）對(duì)無(wú)線網(wǎng)絡(luò)訪問(wèn)控制的研究更多地涉及到密鑰加密、密鑰管理、認(rèn)證協(xié)議、安全協(xié)議(如IPSec/VPN),并考慮如何防止DOS攻擊等.此外,目前對(duì)算法的研究較少,也將成為無(wú)線網(wǎng)絡(luò)訪問(wèn)控制的一個(gè)研究熱點(diǎn).1/12/202323訪問(wèn)控制技術(shù)研究簡(jiǎn)介訪問(wèn)控制技術(shù)應(yīng)用環(huán)境其他應(yīng)用環(huán)境：普適計(jì)算（Pervasive/UbiquitousComputing）虛擬機(jī)監(jiān)督系統(tǒng)(VirtualMachineMonitor

,VMM)無(wú)線網(wǎng)絡(luò)（WirelessNetwork）移動(dòng)自組網(wǎng)（MobileAdHocNetwork）等等1/12/202324訪問(wèn)控制技術(shù)研究簡(jiǎn)介我目前的研究1.面向多自治域的UCON擴(kuò)展研究2.建立基于UCON的多自治域互操作模型3.設(shè)計(jì)互操作安全策略沖突檢測(cè)和消減算法4.基于UCON的多域互操作模型的應(yīng)用研究和原型實(shí)現(xiàn)1/12/202325訪問(wèn)控制技術(shù)研究簡(jiǎn)介UCONABC核心模型是一個(gè)高度抽象的模型，僅僅提出了一些核心概念，需要在此模型的基礎(chǔ)上作進(jìn)一步的完善和擴(kuò)展研究。UCON模型需要一個(gè)管理模型，以控制可變屬性，不可變屬性以及授權(quán)、義務(wù)和條件等訪問(wèn)控制規(guī)則；UCON模型在進(jìn)行權(quán)限的控制時(shí)需要考慮執(zhí)行的上下文環(huán)境，即從工作流中的任務(wù)角度建模,依據(jù)任務(wù)和任務(wù)狀態(tài)的不同,能夠?qū)?quán)限進(jìn)行動(dòng)態(tài)管理；利用上下文信息對(duì)UCON授權(quán)決策進(jìn)行控制，提出一種支持空間能力的使用控制模型；在UCON模型中引入時(shí)間概念，隨著時(shí)間的變化從而引發(fā)模型的動(dòng)態(tài)變化，并且授權(quán)約束與時(shí)間有關(guān)。增強(qiáng)系統(tǒng)