基于任务的访问控制模型

2.TBAC授权
•
•
•
TBAC 中,授权需用五元组(S,O,P,L,AS)来表示。 其中 S 表示主体，O 表示客体，P 表示许可，L 表示生命期， AS 表示授权步。 P是授权步AS所激活的权限，而L则是授权步AS的存活期限。 在授权步AS被激活之前，它的保护态是无效的，其中包含 的许可不可使用。当授权步AS被触发时，它的委托执行者 开始拥有执行者许可集中的权限，同时它的生命期开始倒计 时。 在生命期期间，五元组（S，O，P，L，AS）有效。生命期 终止时，五元组（S，O，P，L，AS）无效，委托执行者所 拥有的权限被回收。
•
• •
•
根据需要，授权步的保护态中的权限集中也可以加入使用次 数限制。比如，保护态中的写权限只能使用 3 次，当授权步 使用写权限 3 次以后，写权限自动从保护态中的执行者许可 集中去除。 授权步不是静态的，而是随着处理的进行动态地改变内部状 态。 授权步的状态变化一般自我管理。 授权步的生命期、许可的次数限制和授权步的自我动态管理， 三者形成了 TBAC 的动态授权。
TBAC评价
•
•
TBAC 可以把实际应用中的工作流和访问控制所需的各种关 系整体地结合在一起，可以清晰地表达复杂工作流的控制机 制。 可以将授权步中受托人集说明为角色集，这样可以将 TBAC 与 RBAC(基于角色的访问控制)结合起来，从而为 TBAC 带 来更大的灵活性。
4.基于信任的TBAC
TrustTBAC评价
• • •
模型根据信任值动态授权，能随时对用户的异常行为做出反 应。 非一次性授予所有权限，更有利于对实际应用环境的访问控 制需求。 为任务访问控制添加信任度属性，能区分权限的敏感度，实 现细粒度授权。
L/O/G/O
L/O/G/O
基于任务的访问控制模型
刘晓璐 姚晓方
主要内容
1 2
简要介绍 TBAC授权
3
4
TBAC模型
基于信任的任务访问控制
1. 简要介绍
• 基于任务的访问控制模型（TBAC Model，Task-
based Access Control Model） • 是从应用和企业层角度来解决安全问题，以面向 任务的观点，从任务（活动）的角度来建立安全 模型和实现安全机制，在任务处理的过程中提供 动态实时的安全管理。 • 在TBAC中，对象的访问权限的控制并不是静止不 变的，而是随着执行任务的上下文环境发生变化。
• •
首先，TBAC 模型在成员将被授予授权步时，只验证用户的 身份真实性，而没有考虑用户行为的可信性。 其次，TBAC 模型采用预先分配的方式进行授权，而在用户 实际使用权限过程中并不进行监管与控制，当发现用户进行 恶意操作时，系统很可能已经受到伤害。 针对以上不足，提出基于信任的任务访问控制。该模型 从权限对受托人集中成员的具体要求出发，考虑用户的历史 行为信息和上下文信息，准确衡量用户的信任值，实现细粒 度、灵活的授权机制，从而更为安全合理的为用户分配权限。
3.TBAC模型
工作流 授权结构体 受托人集 许可集
TBAC模型
一个工作流的业务流程由多个
任务构成。 一个任务对应一个授权结构体。 每个授权结构体由特定的授权步 组成。 授权结构体之间以及授权步之 间通过依赖关系联系在一起。
TBAC模型
TBAC安全分析
• •
•
•
通过授权步的动态权限管理,TBAC 支持两个著名的安全控 制原则： 最小特权原则。在执行任务时只给用户分配所需的权限，未 执行任务或任务终止后用户不再拥有所分配的权限；而且在 执行任务过程中，当某一权限不再使用时，授权步自动将该 权限回收。 职责分离原则。有时，一些敏感的任务需要不同的用户执行， 如支票处理流程中准备支票和提交支票的职员必须不同。这 可通过授权步之间的分权依赖实现。 同时TBAC也支持数据抽象原则。例如，权限不局限于操作 系统提供典型的读/写/执行权限，它以可抽象为实际工作流 的操作权限，如一个银行账户对象的存款/贷款操作。
•
直接信任值越大，表示用户的可信度越高，反之越低。
用户信任值计算
• •
步骤 2： 计算推荐信任值 ET( r，op，As，t) 。 ET( r，op，As，t) 表示在时间段 t 内，授权步 As 中的操作 op 对用户 r 评估用户做出的推荐信任值。 为时间衰减函数，λ 为时间衰减因子，time 表示当前处于交 互时的时间。 步骤 3 ：计算综合信任度。
重要概念
• •
•
• •
•
任务（task）：工作流程中的一个逻辑单元，是一个可区分 的动作，与多个用户相关，也可能包括几个子任务。 授权结构体（authorization unit）：是由一个或多个授权步 组成的结构体，它们在逻辑上是联系在一起的。 任务中的子任务，对应于授权结构体中的授权步。 授权步（authorization step）：一个原始授权处理步，是指 在一个工作流程中对处理对象的一次处理过程。授权步是访 问控制所能控制的最小单元，由受托人集（trustee-set）和 多个许可集（permissions set）组成。 受托人集：可被授予执行授权步的用户的集合。 许可集：受托集的成员被授予授权步时拥有的访问许可。 依赖(dependency)： 授权步之间或授权结构体之间的相互 关系。
反映直接信任与推荐信任的权重，可以通过信任策略 定义 。
以公文流转为例，说明TrustTBAC
授权分为以下过程: 1. 客户端用户通过用户服务器进行身份认证，通过身份认证 后，用户获得激活的公务流转授权步所对应的许可权限资 格，但此时还不能使用这些权限，将此时 所拥有的许可集 称为可 能许可集。 2. 在用户对授权步进行操作之前，TrustTBAC模型通过信任 服务器对用户进行信任计算，并根据授权步操作的条件判 断用户是否可以进行授权步相应的操作。 3. 当用户信任值达到授权步操作的条件后，用户可以对授权 步进行相应的操作。 4. 当用户操作完授权步后，TrustTBAC 模型对用户的行为进 行评价，这次用户的行为结果会对下一次的授权产生影响， 从而保证用户使用权限的安全性。
TBAC 有几点含义： 首先，它是在工作流的环境考虑信息的保护问 题。在工作流环境中，每一步对数据的处理都与 以前的处理相关，相应的访问控制也是这样，因 而TBAC是一种上下文相关的访问控制模型。 其次,它不仅能对不同工作流实行不同的访问控 制策略，而且还能对同一工作流的不同任务实例 实行不同的访问控制策略。所以TBAC又是一种基 于实例的访问控制模型。 最后,因为任务都有时效性,所以在基于任务的 访问控制中,用户对于授予他的权限的使用也是有 时效性的.
授权步内部状态的状态变迁图
• • •
•
•
睡眠状态： 授权步还未生成； 激活状态：授权步被请求激活，此时授权步已经生成； 有效状态：授权步开始执行，随着权限的使用，保护态发生变化； 挂起状态：授权步被管理员或因执行条件不足而强制处于挂起状 态，它可以被恢复成有效状态，也可能因生命周期用完或被管理 员强制为无效状态； 无效状态：授权步已经没有存在的必要，可以在任务流程中删除.
用户信任值计算
•
信任值( Trust value)主要依赖两方面信息： ① 授权步的 许可操作与用户的直接交互经验，称为直接信任。②用户 与其它授权步交互时对用户的主观评价，称为推荐信任。
•
•
步骤 1 ：计算直接信任值 DT( r，op，As，t) 。 DT表示在时间段 t 内，授权步 As 中的操作 op 对用户 r 的 直接信任值。假设用户 r 对授权步 As 中的操作 op 的执行 次数为 count，其中成功完成交互的次数为 scount，则