資源描述:
《基于屬性的訪問(wèn)控制.ppt》由會(huì)員上傳分享��,免費(fèi)在線閱讀,更多相關(guān)內(nèi)容在應(yīng)用文檔-天天文庫(kù)����。
1�����、Group:華中師范大學(xué)信息管理學(xué)院基于屬性的訪問(wèn)控制分工朱洋負(fù)責(zé)主講�,參與PPT制作���;曾德明負(fù)責(zé)PPT制作,參與文檔整理�;羅業(yè)沛負(fù)責(zé)文獻(xiàn)整理和搜集�;顧云柯負(fù)責(zé)搜集文獻(xiàn);傳統(tǒng)訪問(wèn)控制基于屬性的訪問(wèn)控制基于屬性標(biāo)記的訪問(wèn)控制傳統(tǒng)訪問(wèn)控制概念訪問(wèn)控制技術(shù)是依據(jù)預(yù)先定義的訪問(wèn)控制策略授予主體訪問(wèn)資源的權(quán)限���,并對(duì)主體使用權(quán)限的過(guò)程進(jìn)行有效的控制��,從而實(shí)現(xiàn)系統(tǒng)資源的授權(quán)訪問(wèn)�����,防止非授權(quán)的信息泄露����;傳統(tǒng)控制技術(shù)強(qiáng)制訪問(wèn)控制�;自主訪問(wèn)控制;基于角色的訪問(wèn)控制����;其他訪問(wèn)控制技術(shù)����;傳統(tǒng)訪問(wèn)控制訪問(wèn)控制的一般模型用戶(hù)訪問(wèn)控制訪問(wèn)控制仲裁安全策略資源系統(tǒng)管理員傳統(tǒng)訪問(wèn)控制跨區(qū)域跨網(wǎng)絡(luò)松耦合分布式跨域的安全訪
2���、問(wèn)控制存在缺陷��;靜態(tài)和粗粒度的控制模型;策略通用性差����,難實(shí)現(xiàn)多系統(tǒng)的之間的統(tǒng)一性����;業(yè)務(wù)環(huán)境復(fù)雜需建立更多的角色和權(quán)限關(guān)系�����;傳統(tǒng)模型的缺點(diǎn)訪問(wèn)控制基本模型基于屬性的訪問(wèn)控制主體資源環(huán)境操作主體屬性權(quán)限屬性資源屬性環(huán)境屬性屬性定義主體屬性主體是可以對(duì)資源進(jìn)行操作的實(shí)體(能夠發(fā)出訪問(wèn)請(qǐng)求或者一對(duì)某些資源執(zhí)行許可動(dòng)作的所有實(shí)體的集合���;資源屬性資源是一個(gè)系統(tǒng)中可被訪問(wèn)的客體����,也是系統(tǒng)存在的意義,只有系統(tǒng)中存在可以利用的資源�����,主體才會(huì)對(duì)資源發(fā)起訪問(wèn)請(qǐng)求;環(huán)境屬性環(huán)境屬性時(shí)獨(dú)立于訪問(wèn)主體和被訪問(wèn)資源���,它通常是指訪問(wèn)控制過(guò)程發(fā)生時(shí)的一些環(huán)境信息;權(quán)限屬性操作的權(quán)限可以是對(duì)文件��、文檔��、圖像����、視屏等資源的
3����、打開(kāi)(Open)、讀(Read)�����、寫(xiě)(Write)、刪除(Delete)等等一系列的動(dòng)作���;基于屬性的訪問(wèn)控制訪問(wèn)控制規(guī)則基于屬性的訪問(wèn)控制規(guī)則都是通過(guò)用戶(hù)、資源����、操作和環(huán)境來(lái)表達(dá)的���;每條規(guī)則由條件�����、結(jié)果和目標(biāo)組成;訪問(wèn)控制決策通過(guò)匹配主體�����、資源、環(huán)境和權(quán)限屬性得出的結(jié)論�;控制規(guī)則框架模型構(gòu)成屬性權(quán)威AA負(fù)責(zé)主體��、資源或環(huán)境的屬性創(chuàng)建和管理���;策略實(shí)施點(diǎn)PEP負(fù)責(zé)處理訪問(wèn)請(qǐng)求并實(shí)施由訪問(wèn)控制判決模塊返回的決策信息���;策略決策點(diǎn)PDP負(fù)責(zé)對(duì)由策略實(shí)施點(diǎn)轉(zhuǎn)發(fā)過(guò)來(lái)的訪問(wèn)請(qǐng)求將訪問(wèn)主體與資源的屬性再加上上下文的環(huán)境屬性選取合適的策略做出有效的評(píng)估,以決定是否對(duì)訪問(wèn)請(qǐng)求授權(quán)���;策略管理點(diǎn)PAP責(zé)訪問(wèn)控制
4、策略的創(chuàng)建和管理,為策略決策點(diǎn)的判決提供相應(yīng)策略的查詢(xún)�����;基于屬性的訪問(wèn)控制控制規(guī)則框架模型基于屬性的訪問(wèn)控制主體策略決策點(diǎn)資源策略實(shí)施點(diǎn)策略管理點(diǎn)屬性權(quán)威訪問(wèn)請(qǐng)求訪問(wèn)策略響應(yīng)屬性請(qǐng)求和響應(yīng)基于屬性的訪問(wèn)請(qǐng)求ABACVSRBACABAC是RBAC的超集ABAC可以提供基于各類(lèi)對(duì)象屬性的授權(quán)策略�,同樣支持基于用戶(hù)角色的授權(quán)和訪問(wèn)控制���,角色在ABAC中僅僅是用戶(hù)的一個(gè)單一屬性;應(yīng)用范圍對(duì)比統(tǒng)一的語(yǔ)義描述使得對(duì)象模型的定義和策略控制更加方便和靈活����,AAR的引入使得在開(kāi)放網(wǎng)絡(luò)環(huán)境下的匿名控制和訪問(wèn)更加靈活多用���;ABAC支持動(dòng)態(tài)屬性的授權(quán)決策ABAC在授權(quán)決策中是基于訪問(wèn)主體和資源的屬性的,所以可
5����、以是靜態(tài)的也可以是動(dòng)態(tài)的���,RBAC的授權(quán)決策是靜態(tài)的;復(fù)雜性對(duì)比隨著用戶(hù)和資源數(shù)目的增長(zhǎng),RBAC的規(guī)則數(shù)目呈指數(shù)級(jí)增長(zhǎng)���,而ABAC的規(guī)則呈線性增長(zhǎng)�;基于屬性的訪問(wèn)控制訪問(wèn)控制的目標(biāo)應(yīng)用實(shí)例-多域網(wǎng)絡(luò)訪問(wèn)控制消除信息孤島,實(shí)現(xiàn)多網(wǎng)絡(luò)協(xié)作實(shí)現(xiàn)動(dòng)態(tài)的訪問(wèn)控制細(xì)粒度的訪問(wèn)控制訪問(wèn)控制策略的通用性簡(jiǎn)單性多域網(wǎng)絡(luò)訪問(wèn)控制工作流程應(yīng)用實(shí)例-多域網(wǎng)絡(luò)訪問(wèn)控制域決策系統(tǒng)工作流程示意應(yīng)用實(shí)例-多域網(wǎng)絡(luò)訪問(wèn)控制屬性管理系統(tǒng)工作流程示意應(yīng)用實(shí)例-多域網(wǎng)絡(luò)訪問(wèn)控制屬性表示主體屬性主要由非易變的靜態(tài)屬性和易變的動(dòng)態(tài)屬性��;靜態(tài)屬性主要是由屬性證書(shū)的方式獲取�����;動(dòng)態(tài)屬性則是動(dòng)態(tài)地向?qū)傩詸?quán)威機(jī)構(gòu)申請(qǐng)的屬性,主要通過(guò)SA
6�����、ML屬性聲明動(dòng)態(tài)獲得�;屬性的建立與提供屬性證書(shū)獲取屬性接口和SAML動(dòng)態(tài)獲取屬性接口�;屬性證書(shū)的應(yīng)用包括屬性證書(shū)的自動(dòng)下載和自動(dòng)上傳���;SAML動(dòng)態(tài)獲取屬性接口實(shí)時(shí)遠(yuǎn)程向?qū)傩詸?quán)威機(jī)構(gòu)發(fā)送SAML屬性請(qǐng)求動(dòng)態(tài)獲取屬性;應(yīng)用實(shí)例-多域網(wǎng)絡(luò)訪問(wèn)控制屬性獲取資源屬性和環(huán)境屬性可由相應(yīng)的提供者直接定義����;主體屬性通常維護(hù)在一個(gè)特殊的數(shù)據(jù)庫(kù)���,或是通過(guò)屬性證書(shū)或SAML聲明分配給主體�;屬性匹配機(jī)制基于一種互信屬性的調(diào)配機(jī)制來(lái)達(dá)到屬性的匹配����;應(yīng)用實(shí)例-多域網(wǎng)絡(luò)訪問(wèn)控制應(yīng)用實(shí)例-多域網(wǎng)絡(luò)訪問(wèn)控制單網(wǎng)絡(luò)訪問(wèn)控制流程用戶(hù)發(fā)起對(duì)本網(wǎng)絡(luò)資源的訪問(wèn)請(qǐng)求��;訪問(wèn)控制服務(wù)器中的證書(shū)管理系統(tǒng)根據(jù)用戶(hù)提供的證書(shū)驗(yàn)證用戶(hù)身份���;資
7�、源根據(jù)訪問(wèn)的要求向訪問(wèn)判決模塊獲取資源的屬性,并根據(jù)用戶(hù)所要采取的操作獲取對(duì)用權(quán)限需要的用戶(hù)屬性信息����;訪問(wèn)判決模塊從屬性策略庫(kù)中抽取訪問(wèn)控制策略����,并應(yīng)用屬性匹配模塊和策略信息對(duì)用戶(hù)的主體屬性和所要訪問(wèn)的資源屬性做出判決��;完成訪問(wèn)控制過(guò)程��,給出訪問(wèn)控制結(jié)果����;用戶(hù)根據(jù)訪問(wèn)控制判決結(jié)果被允許或拒絕訪問(wèn)資源應(yīng)用實(shí)例-多域網(wǎng)絡(luò)訪問(wèn)控制跨網(wǎng)絡(luò)訪問(wèn)控制流程屬性管理系統(tǒng)依據(jù)所頒發(fā)的證書(shū)對(duì)第一網(wǎng)絡(luò)域和第二網(wǎng)絡(luò)域中屬性庫(kù)給予統(tǒng)一的規(guī)范定義;建立第一個(gè)網(wǎng)絡(luò)和第二個(gè)網(wǎng)
