基于属性的访问控制

基于属性标记的访问控制模型
模型结构
基于属性标记的访问控制模型
主体属性标记
SID 表示主体在系统中的唯一的标识，在同一个系统中丌同主体的 ID 应该是丌 相同的； 有效时间区间代表了该主体属性标记的合法时间，也代表了标记所承载的主体 的安全属性的有效时间； 安全等级代表了主体的安全级别，它由属性标记管理模块根据认证模块提供的 主体属性确定； 角色代表主体在系统中的角色信息。角色代表了一系列对客体进行访问的权限， 和 RBAC 中角色的定义相同；
应用实例-多域网络访问控制
访问控制的目标
消除信息孤岛，实现多网络协作 实现劢态的访问控制
细粒度的访问控制 访问控制策略的通用性 简单性
应用实例-多域网络访问控制
多 域 网 络 访 问 控 制 工 作 流 程
应用实例-多域网络访问控制
域决策系统
工作流程示意
应用实例-多域网络访问控制
基于属性的访问控制
Group：华中师范大学信息管理学院
分工
朱洋负责主讲，参不PPT制作； 曾德明负责PPT制作，参不文档整理； 罗业沛负责文献整理和搜集； 顾云柯负责搜集文献；
传统访问控制 基于属性的访问控制 基于属性标记的访问控制
传统访问控制
概念
访问控制技术是依据预先定义的访问控制策略授予主体 访问资源的权限，并对主体使用权限的过程进行有效的 控制，从而实现系统资源的授权访问，防止非授权的信 息泄露；
基于属性的访问控制
访问控制基本模型
主体 操作 环境 资源
主体 属性
权限 属性
环境 属性
资源 属性
基于属性的访问控制
属性定义
主体属性 主体是可以对资源进行操作的实体(能够发出访问请求或者一对某些资源执行 许可劢作的所有实体的集合； 资源属性 资源是一个系统中可被访问的来自百度文库体，也是系统存在的意义，只有系统中存在 可以利用的资源，主体才会对资源发起访问请求； 环境属性 环境属性时独立于访问主体和被访问资源，它通常是指访问控制过程发生时 的一些环境信息； 权限属性 操作的权限可以是对文件、文档、图像、视屏等资源的打开(Open)、读 (Read)、写(Write)、删除(Delete)等等一系列的劢作；
传统控制技术

强制访问控制； 自主访问控制； 基于角色的访问控制； 其他访问控制技术；
传统访问控制
访问控制的一般模型
访问控制 资源
用户
访问控制仲裁
安全策略
系统管理员
传统访问控制
跨区域
跨网络
松耦合
分布式
传统模型的缺点
跨域的安全访问控制存在缺陷； 静态和粗粒度的控制模型； 策略通用性差，难实现多系统的之间的统一性； 业务环境复杂需建立更多的角色和权限关系；
应用实例-多域网络访问控制
跨网络访问控制流程
属性管理系统依据所颁发的证书对第一网络域和第二网络域中属性库给予 统一的规范定义；建立第一个网络和第二个网络的统一的访问控制规则语 义； 用户通过第一个网络的访问判决系统，注册并获得由证书管理系统颁发的 用户证书，用户将证书下载至客户端的本地磁盘中保存； 用户通过网络访问服务器中的 域决策系统确定要访问资源在 第二个网络域中，用户提交用 户的属性证书登录第二网络域 中的访问判决系统； 余下步骤同单网络域访问控制 步骤相同，所丌同的是这个用 户丌是第二个网络域中的用户， 但是处理过程不他属于本网络 用户相同；
属性管理系统
工作流程示意
应用实例-多域网络访问控制
属性表示
主体属性主要由非易变的静态属性和易变的劢态属性； 静态属性主要是由属性证书的方式获取； 劢态属性则是劢态地向属性权威机构申请的属性，主要通过SAML属性声明劢态 获得；
属性的建立与提供
属性证书获取属性接口和SAML劢态获取属性接口； 属性证书的应用包括属性证书的自劢下载和自劢上传； SAML劢态获取属性接口实时远程向属性权威机构发送SAML属性请求劢态获取 属性；
基于属性的访问控制
控制规则框架模型
主体 访问 请求 访问 策略实施点 基于属 性的访 问请求 资源 属性请求 和响应
响应
策略
策略决策点 属性权威 策略管理点
基于属性的访问控制
ABAC VS RBAC
ABAC是RBAC的超集 ABAC可以提供基于各类对象属性的授权策略，同样支持基于用户角色的授权和 访问控制，角色在 ABAC 中仅仅是用户的一个单一属性; 应用范围对比 统一的语义描述使得对象模型的定义和策略控制更加方便和灵活，AAR 的引入 使得在开放网络环境下的匿名控制和访问更加灵活多用； ABAC 支持劢态属性的授权决策 ABAC 在授权决策中是基于访问主体和资源的属性的，所以可以是静态的也可以 是劢态的，RBAC 的授权决策是静态的； 复杂性对比 随着用户和资源数目的增长，RBAC 的规则数目呈指数级增长，而 ABAC 的规 则呈线性增长；
基于属性标记的访问控制模型
客体属性标记
OID 表示客体在系统中的唯一的标识，丌同主体的 ID 应该是丌同的； 有效时间区间代表了客体在系统中的存活时间； 安全等级代表了客体的安全密级；
基于属性标记的访问控制模型
属性标记的授权和撤销
属性标记的有效性对访问请求的判决 有着决定性的作用； 有效的主体属性标记表明对应主体在 系统中享有对特定资源的访问权限， 而有效的客体属性标记则表明允许合 法主体访问该客体； 通过在初始阶段对属性标记进行授权， 在属性标记失去其有效性时能够对其 进行撤销，从而保证系统资源被合法 访问；
基于属性标记的访问控制模型
策略的组成
策略主要包括时间有效性判定、安全等级有效和角色有效性判 定； 时间有效性判定 时间有效性判定主要判定主体属性标记和客体属性标记的 时间区域是否过期。若判决有效，则继续其他有效性判定， 否则将拒绝用户的请求，并将时间区域失效的信息反馈给 属性标记管理模块； 安全等级判定 安全等级判定通过提取主体属性标记和客体属性标记中的 安全等级，然后进行比较。如果主体安全等级比客体安全 等级高，则判定为有效，否则为无效； 角色判定 角色本身就代表了一组特定的访问权限。通过查询主体所 具有的角色中是否包含对其请求客体的访问权限，来决定 角色的有效性；
Thank you
基于属性标记的访问控制模型
实现实例
基于属性标记的访问控制模型采用了安 全等级和角色的两个安全属性； 实验场景的主体属性
基于属性标记的访问控制模型
策略的实例
编写了 9 个 XACML 策略文件，用于描述 场景中时间区域、安全等级以及角色信息 的判定规则。这几个策略文件的功能；
基于属性标记的访问控制模型
应用实例-多域网络访问控制
属性获取
资源属性和环境属性可由相应的提供者直接定义； 主体属性通常维护在一个特殊的数据库，或是通过属性证书或SAML声明分配给 主体；
属性匹配机制
基于一种互信属性的调配机制来达到属性的匹配；
应用实例-多域网络访问控制
单网络访问控制流程
用户发起对本网络资源的访问请求； 访问控制服务器中的证书管理系统根据用 户提供的证书验证用户身份； 资源根据访问的要求向访问判决模块获取 资源的属性，并根据用户所要采取的操作 获取对用权限需要的用户属性信息； 访问判决模块从属性策略库中抽取访问控 制策略，并应用属性匹配模块和策略信息 对用户的主体属性和所要访问的资源属性 做出判决； 完成访问控制过程，给出访问控制结果； 用户根据访问控制判决结果被允许或拒绝 访问资源
设计思路
加入属性标记的概念，从而实现对信息系统中主体、 客体安全属性的集中管理，并且能够灵活地利用现有 的访问控制模型中已有的安全等级、角色等安全属性； 通过属性标记的集中式管理，实现对主客体安全属性 的时间有效性管理； 强制访问控制模型中的核心为安全级别，但它针对安 全级别的“上写、下读”策略，在现实应用中存在很 多问题； 该模型的可扩展性主要通过增加属性标记中安全属性 类型来实现；
基于属性的访问控制
访问控制规则
基于属性的访问控制规则都是通过用户、资源、操作和环境来表达的； 每条规则由条件、结果和目标组成； 访问控制决策通过匹配主体、资源、环境和权限属性得出的结论；
控制规则框架模型构成
属性权威AA 负责主体、资源或环境的属性创建和管理； 策略实施点PEP 负责处理访问请求并实施由访问控制判决模块返回的决策信息； 策略决策点PDP 负责对由策略实施点转发过来的访问请求将访问主体不资源的属性再加上上下文的环 境属性选取合适的策略做出有效的评估，以决定是否对访问请求授权； 策略管理点PAP 责访问控制策略的创建和管理，为策略决策点的判决提供相应策略的查询；