資源描述:
《基于屬性的訪問控制.ppt》由會員上傳分享�,免費(fèi)在線閱讀,更多相關(guān)內(nèi)容在應(yīng)用文檔-天天文庫�����。
1�、Group:華中師范大學(xué)信息管理學(xué)院基于屬性的訪問控制分工朱洋負(fù)責(zé)主講,參與PPT制作�����;曾德明負(fù)責(zé)PPT制作���,參與文檔整理�����;羅業(yè)沛負(fù)責(zé)文獻(xiàn)整理和搜集���;顧云柯負(fù)責(zé)搜集文獻(xiàn)�;傳統(tǒng)訪問控制基于屬性的訪問控制基于屬性標(biāo)記的訪問控制傳統(tǒng)訪問控制概念訪問控制技術(shù)是依據(jù)預(yù)先定義的訪問控制策略授予主體訪問資源的權(quán)限����,并對主體使用權(quán)限的過程進(jìn)行有效的控制,從而實現(xiàn)系統(tǒng)資源的授權(quán)訪問���,防止非授權(quán)的信息泄露;傳統(tǒng)控制技術(shù)強(qiáng)制訪問控制���;自主訪問控制����;基于角色的訪問控制�����;其他訪問控制技術(shù)���;傳統(tǒng)訪問控制訪問控制的一般模型用戶訪問控制訪問控制仲裁安全策略資源系統(tǒng)管理員傳統(tǒng)訪問控制跨區(qū)域跨網(wǎng)絡(luò)松耦合分布式跨域的安全訪
2����、問控制存在缺陷;靜態(tài)和粗粒度的控制模型���;策略通用性差�����,難實現(xiàn)多系統(tǒng)的之間的統(tǒng)一性����;業(yè)務(wù)環(huán)境復(fù)雜需建立更多的角色和權(quán)限關(guān)系����;傳統(tǒng)模型的缺點訪問控制基本模型基于屬性的訪問控制主體資源環(huán)境操作主體屬性權(quán)限屬性資源屬性環(huán)境屬性屬性定義主體屬性主體是可以對資源進(jìn)行操作的實體(能夠發(fā)出訪問請求或者一對某些資源執(zhí)行許可動作的所有實體的集合;資源屬性資源是一個系統(tǒng)中可被訪問的客體��,也是系統(tǒng)存在的意義�,只有系統(tǒng)中存在可以利用的資源,主體才會對資源發(fā)起訪問請求��;環(huán)境屬性環(huán)境屬性時獨(dú)立于訪問主體和被訪問資源�����,它通常是指訪問控制過程發(fā)生時的一些環(huán)境信息;權(quán)限屬性操作的權(quán)限可以是對文件�����、文檔����、圖像、視屏等資源的
3�、打開(Open)、讀(Read)�����、寫(Write)��、刪除(Delete)等等一系列的動作�����;基于屬性的訪問控制訪問控制規(guī)則基于屬性的訪問控制規(guī)則都是通過用戶��、資源�����、操作和環(huán)境來表達(dá)的���;每條規(guī)則由條件���、結(jié)果和目標(biāo)組成;訪問控制決策通過匹配主體�、資源、環(huán)境和權(quán)限屬性得出的結(jié)論���;控制規(guī)則框架模型構(gòu)成屬性權(quán)威AA負(fù)責(zé)主體��、資源或環(huán)境的屬性創(chuàng)建和管理����;策略實施點PEP負(fù)責(zé)處理訪問請求并實施由訪問控制判決模塊返回的決策信息���;策略決策點PDP負(fù)責(zé)對由策略實施點轉(zhuǎn)發(fā)過來的訪問請求將訪問主體與資源的屬性再加上上下文的環(huán)境屬性選取合適的策略做出有效的評估����,以決定是否對訪問請求授權(quán)��;策略管理點PAP責(zé)訪問控制
4��、策略的創(chuàng)建和管理,為策略決策點的判決提供相應(yīng)策略的查詢�;基于屬性的訪問控制控制規(guī)則框架模型基于屬性的訪問控制主體策略決策點資源策略實施點策略管理點屬性權(quán)威訪問請求訪問策略響應(yīng)屬性請求和響應(yīng)基于屬性的訪問請求ABACVSRBACABAC是RBAC的超集ABAC可以提供基于各類對象屬性的授權(quán)策略,同樣支持基于用戶角色的授權(quán)和訪問控制����,角色在ABAC中僅僅是用戶的一個單一屬性;應(yīng)用范圍對比統(tǒng)一的語義描述使得對象模型的定義和策略控制更加方便和靈活,AAR的引入使得在開放網(wǎng)絡(luò)環(huán)境下的匿名控制和訪問更加靈活多用�����;ABAC支持動態(tài)屬性的授權(quán)決策ABAC在授權(quán)決策中是基于訪問主體和資源的屬性的��,所以可
5�����、以是靜態(tài)的也可以是動態(tài)的�,RBAC的授權(quán)決策是靜態(tài)的���;復(fù)雜性對比隨著用戶和資源數(shù)目的增長����,RBAC的規(guī)則數(shù)目呈指數(shù)級增長��,而ABAC的規(guī)則呈線性增長;基于屬性的訪問控制訪問控制的目標(biāo)應(yīng)用實例-多域網(wǎng)絡(luò)訪問控制消除信息孤島�,實現(xiàn)多網(wǎng)絡(luò)協(xié)作實現(xiàn)動態(tài)的訪問控制細(xì)粒度的訪問控制訪問控制策略的通用性簡單性多域網(wǎng)絡(luò)訪問控制工作流程應(yīng)用實例-多域網(wǎng)絡(luò)訪問控制域決策系統(tǒng)工作流程示意應(yīng)用實例-多域網(wǎng)絡(luò)訪問控制屬性管理系統(tǒng)工作流程示意應(yīng)用實例-多域網(wǎng)絡(luò)訪問控制屬性表示主體屬性主要由非易變的靜態(tài)屬性和易變的動態(tài)屬性;靜態(tài)屬性主要是由屬性證書的方式獲?�?;動態(tài)屬性則是動態(tài)地向?qū)傩詸?quán)威機(jī)構(gòu)申請的屬性,主要通過SA
6���、ML屬性聲明動態(tài)獲得���;屬性的建立與提供屬性證書獲取屬性接口和SAML動態(tài)獲取屬性接口;屬性證書的應(yīng)用包括屬性證書的自動下載和自動上傳�;SAML動態(tài)獲取屬性接口實時遠(yuǎn)程向?qū)傩詸?quán)威機(jī)構(gòu)發(fā)送SAML屬性請求動態(tài)獲取屬性�����;應(yīng)用實例-多域網(wǎng)絡(luò)訪問控制屬性獲取資源屬性和環(huán)境屬性可由相應(yīng)的提供者直接定義���;主體屬性通常維護(hù)在一個特殊的數(shù)據(jù)庫,或是通過屬性證書或SAML聲明分配給主體��;屬性匹配機(jī)制基于一種互信屬性的調(diào)配機(jī)制來達(dá)到屬性的匹配�����;應(yīng)用實例-多域網(wǎng)絡(luò)訪問控制應(yīng)用實例-多域網(wǎng)絡(luò)訪問控制單網(wǎng)絡(luò)訪問控制流程用戶發(fā)起對本網(wǎng)絡(luò)資源的訪問請求;訪問控制服務(wù)器中的證書管理系統(tǒng)根據(jù)用戶提供的證書驗證用戶身份����;資
7、源根據(jù)訪問的要求向訪問判決模塊獲取資源的屬性���,并根據(jù)用戶所要采取的操作獲取對用權(quán)限需要的用戶屬性信息��;訪問判決模塊從屬性策略庫中抽取訪問控制策略��,并應(yīng)用屬性匹配模塊和策略信息對用戶的主體屬性和所要訪問的資源屬性做出判決����;完成訪問控制過程�,給出訪問控制結(jié)果;用戶根據(jù)訪問控制判決結(jié)果被允許或拒絕訪問資源應(yīng)用實例-多域網(wǎng)絡(luò)訪問控制跨網(wǎng)絡(luò)訪問控制流程屬性管理系統(tǒng)依據(jù)所頒發(fā)的證書對第一網(wǎng)絡(luò)域和第二網(wǎng)絡(luò)域中屬性庫給予統(tǒng)一的規(guī)范定義����;建立第一個網(wǎng)絡(luò)和第二個網(wǎng)
