课程:《密码与安全新技术》
班级:2017级92班
学号:20179225
小组成员:刘霄、王孟亚
上课教师:谢四江
上课日期:2018年6月21日
必修/选修: 必修
论文题目:CAAC - 智能基础设施中紧急情况的自适应和主动访问控制方法
本文主要讲述了紧急情况访问控制方法在紧急情况下的主动和自适应访问控制。是以医疗以及火灾为例,这种智能访问控制基础设施可以检测紧急情况,以最快速度应对各种发生的情况,减少各种情况发生的危害,同时应注意系统内隐私数据的保护问题。我们根据CAAC的主动性和适应性的主要特性对其进行了验证,并在一个石油钻机的情况下提供了一个详细的例子,说明CAAC的功能。
一、背景介绍
CAAC:是Criticality Aware Access Control的简称,翻译过来为临界感知访问控制模型,用于智能基础设施中的临界状态(紧急)管理。
临界事件(紧急事件):被定义为系统中称为关键事件的特定事件的不利后果。临界事件是那些发生系统移动到异常/不稳定状态的事件。
机会窗口(WO):每个临界状态都有一个与其相关的时间段,在这个窗口内必须采取响应行为来控制临界状态。
1、临界性管理的阶段
临界状态管理分为四个阶段:
(1)检测负责及时检测临界状态;
(2)响应促进了需要采取的措施来控制临界情况;
(3)缓解措施涉及长期恢复工作;
(4)准备工作分析过去的临界情况并为未来的临界情况做好准备。
当临界状态得到控制时,或在系统部署之前执行,以确定和提高其他三个阶段所需步骤的有效性
相应的对应于医疗事故中的各阶段,如图所示
面对患者的不同阶段采取相应的不同的措施。
2、多重临界状态下的处理
(1)系统不仅跟踪新的临界事件的发生,并且关注现有临界事件的到期情况(即临界事件是否成功响应或关口,是否过期);
(2)临界事件的发生以及控制它们所需的响应行为由于在执行它们时出现人为错误的可能性而具有随机性(因此,对危急情况作出反应可能会导致系统内的其他危急情况,并且随时确定应对措施必须考虑到这些因素);
(3)在多重临界的情况下,我们必须优先考虑对一个临界情况的控制,使所有临界事件得到控制的可能性最大化。因此,根据系统中存在的重要性的组合,控制它们所需的响应行为可能会有所不同。
二、临界感知访问控制(CAAC)
1、CAAC的基本特征
(1)适应性。
(i)确定处理智能基础设施内当前一系列临界性所需的响应行为;
(ii)更改主体可用的权限,从而最大限度地控制其所有临界性;
(2)主动性。
能够确定执行响应操作的主体,并使其能够以负责任的方式执行所需的一组响应操作(即使是在正常操作期间不允许的操作),从而避免需要任何明确的访问请求。
2、CAAC的系统模型
基础设施的组成实体视为
(1)客体:提供各种信息和服务的物理实体和虚拟实体
(2)主体:这些主体是用户,他们获得客体提供的信息和服务
注意:所有访问控制系统都需要底层的认证系统才能正常工作
3、CAAC的设计目标
(1)正确性:只有在系统内发生临界事件时,才能确保通过访问权限来促进响应操作;
(2)活跃度:要求对临界事件作出响应的任何访问权限只在有限的时间内;
(3)响应性:这确保了临界状态的发生促进了响应行动,这需要向正确的主体集提供访问权限,并进行主体通知;
(4)不可否认性:它要求系统在临界期内采取的所有响应行动都是为了问责目的而记录的;
(5)安全性:确保只有授权的更改资源和访问控制结构才能在系统内发生.
前三项标准证明CAAC的适应性,后三项则表明其适用性。
4、CAAC的基础类型
基于角色的访问控制(RBAC):用于控制主体(S)到系统中客体(O)的访问,展示了如何将临界意识融入现有的广泛使用的访问控制模型中。角色(R)代表主体的责任,并在他们成为系统的一部分时分配给他们。例如 加入医院的医生被分配了患者X的外科医生和医生的角色,虽然一个科目可以有很多角色,但一次只能激活一个。
访问控制列表(ACL):ACL是为系统中的每个客体定义的表,它将角色映射到关联的特权。特权(PR)是允许主体对系统内特定客体执行特定操作的认证。例如,读取文件,使用设备或删除记录的权限。
5、CAAC的紧急反应的阶段
5.1 准备阶段
包括识别响应动作,系统中可能发生的所有可能的关键组合的操作集都在此阶段确定。例如,开发紧急程序手册是为了管理建筑物中的火灾和地震等常见突发事件。它包括两种状态:正常状态和临界状态。
将系统转化为正常状态的转换称为响应链接(RL);增加系统中活跃临界量的则称为临界链接(CL);每个CL和RL都有一个与之相关的概率(所有CL和RL的概率之和为1 )
基于临界建模框架提出了动作生成模型(AGM)
选择一个特定的RL取决于它的P *值,三个因素:
(1)通过RL成功地从当前状态到达相邻状态的概率;
(2)从相邻状态成功到达正常状态的概率,通过考虑所有可能的路径到正常状态,将其作为聚集值进行编译;
(3)符合系统中所有活跃的临界状态的窗口。
AGM示例
蓝色实线表示RL,红色虚线表示CL
P(k,N)是从状态i到所有可能的路径到达正常状态的总概率
数学式表示:p(2 N)=p(2 N)+ p(2,1)∗p(1,N)+p(2,1)∗p(1,3)∗p(3,N)
使用P 值作为识别下一个RL的基础存在两个问题:
(1)计算P 值时状态空间爆炸
(2)如果任何激活临界点的Wo期满,则P 值的计算返回零,在这种情况下,不从当前状态返回RL。
为解决问题,使用了两个启发式的规划标准,它们在本质上是贪婪的:
(1) 在当前状态下选择最大概率(MP)的RL,
(2) 在当前状态下选择最短时间(MT)的RL。
5.2 执行阶段
确定主体并为其提供适当的访问权限以执行这些行动。
行动主题选择完成方式
(1)静态,即控制它所需的一组主体可以预先确定并且根据临界程度存储在静态列表中;
(2)动态,即确定取决于系统上下文的一组主体。
例如如果可能的临界状态是火灾,那么控制它的主体是最近消防站的消防员。
一旦确定了需要在当前系统状态下执行的操作,并且选择了执行操作的对象,就需要启用这些操作,通知主体,然后在稍后时间取消行动。
在三个步骤中完成的:
(1)为所选的主体提供备用特权;
(2)告知所选主体的新特权;
(3)在执行响应或机会窗口过期后,取消备用特权。
三、政策 规范和实施
CAAC策略规范的主要组件:角色,主体,客体,特权和访问控制列表的概念
1、管理控制策略
用于执行CAAC模型的基本功能,如添加和删除对象、将对象与角色相关联和分离、更新acl等。每个策略只能由智能基础设施的管理员执行
2、访问控制策略
访问控制策略(ACP)用于评估特定主体的访问请求,并在请求为真时提供请求的特权。
3、临界控制策略
这些策略用于启用CAAC模型来控制系统中存在的临界状态。完成这个任务有三个主要的策略:
(1)交替的特权 (2)通知主体 (3)解除特权
4、CAAC策略的实现和验证
主要根据以下定理
定理1 响应性
当发生临界事件时,(1)立即通知主体 (2)它的访问权限被更改。
定理2 正确性
当且仅当系统中至少有一个不受控制的临界时,主体才会获得备用权限集。
定理3 活跃度
主体分配替代权限的最长持续时间受以下因素的限制--系统中活跃临界状态数目发生变化的时间点。
定理4 不可否认性
系统遇到临界时恶意使用替代权限是不可重复的,并且仅限于有限的时间。
定论5 安全性
只允许授权访问(1)模型中的对象(2)访问控制结构
四、医疗和火灾紧急情况案例研究
1、准备阶段
为了处理环境中的关键问题,石油钻井平台的规划人员和工程师必须执行CRET,以确定在特定紧急情况下需要采取的措施。
在这个例子中考虑了石油钻井平台中的四种可能的危险因素:
(1)钻井平台上的一名工人,他患有慢性高血压,在控制室中心脏病发作;
(2)钻机控制室的火警;
(3)控制室内有慢性高血压患者,其中有一名工作人员患有不稳定型心绞痛;
(4)被困在控制室的人需要紧急援助。
除了确定针对特定临界状态的任务外,规划人员还要确定针对特定临界状态的其他要求。
2、执行阶段
考虑控制室中的高血压船员发生心脏病发作(c1)的情况,确定达到正常状态的路径是直接响应临界点c1。
为此设置的任务有两个操作
(1)启用除颤,并提供对X的健康信息的访问。
(2)CAAC检查SS和DS表格,以确定最佳的主体以达到临界
钻机医生关于这些变化,采取必要的行动。
在初步工作中首先介绍了改变访问控制权限以实现智能空间的关键性管理的概念,我们称之为关键性导向访问控制(COAC)。 [2006年]。然而,该方案的范围有限,因为它只涉及具有单一关键性的系统。它没有提供确定应对行动或处理关键性随机性的机制。
学习中的问题和解决过程
对于老师课上提问有关“什么是智能基础设施?”的回答:
我组引用了《关于智慧医院智能化基础设施的规划设计探讨》,详见中国知网。
智能化基础设施就是您的网络中的全球定位系统 (GPS)。它们能消除您的盲点,指引您沿着最有效的路径到达您的目的地,为您节省时间和金钱。智能化基础设施是难过软件与硬件的结合,给用户带来洞察力、知识和控制权。
洞察力指智能基础设施硬件能实时发现物理层变更的能力。
知识指软件将系统观测到的物理层变更的信息和来自其它资源,比如LAN交换机、SAN 交换机和 IP 终端的信息对应起来的能力。
控制权指智能基础设施利用洞察力和知识,在大幅提升生产效率的同时,提供精确的变更管理、更多的定位信息、容量规划、安全性和合规性的能力。
基础设施在智能化方向的目标就是:
1. 提高操作效率
2. 减少基础设施用料
3. 减少维护工作
4. 提高生产率
5. 实时报告和监控
访问控制的严格定义:
访问控制是信息安全保障机制的核心内容之一,是现实数据保密性和完整性的主要手段之一,是为了限制访问主题对访问客体的访问权限。访问限制的两个重要过程:1.认证过程,检验主体的合法身份;2.授权管理,赋予用户对某项资源的访问权限。
根据上面的例子,如何能及时发现这种临界紧急状态?
对于每一个患者都配有相应的感应器械,当有紧急状态发生时,会出发响应机制,使医生及时了解到情况,对各种情况进行及时相应处理。
什么是访问控制列表以及作用?
ACL技术在路由器中被广泛采用,它是一种基于包过滤的流控制技术。控制列表通过把源地址、目的地址及端口号作为数据包检查的基本元素,并可以规定符合条件的数据包是否允许通过。ACL通常应用在企业的出口控制上,可以通过实施ACL,可以有效的部署企业网络出网策略。
ACL技术可以有效的在三层上控制网络用户对网络资源的访问,它可以具体到两台网络设备间的网络应用,也可以按照网段进行大范围的访问控制管理,为网络应用提供了一个有效的安全手段。
简单说ACL是维护安全的一种技术手段。
其他(感悟、思考等)
此方案的优点
具有前瞻性,快速响应
创新点在哪?
CAAC通过向系统中特定选择的对象提供访问特权,以执行响应动作,而不需要人为的请求,从而促进了响应行为。动作生成模型(AGM)
感想与体会
首先在由于之前没有先前的了解,因此在理解起来有些吃力,不过多亏有刘霄的方向是访问控制方向。帮助我理解了访问控制。通过此次论文的演讲首先从知识上来说对访问控制从概念到模型都有了进一步的认识。通过此论文我们认识了一个新的模型---CAAC模型。此篇论文以我们身边的医疗等实例更方便了我们对新模型的接收和了解。在以后写论文或者讲述一个较难理解的问题时我们可以从身边的实例讲起,这样更容易接受一个新知识。其次通过此次上台讲解论文我们发现看懂到给同学们讲懂存在一定的差距,在这个过程中会引发我们更多的思考,不仅关于知识也关于描述方法。同时同学们也会想到我们没有思考到的问题,这样也促进了我们在知识方面的加深或者说是拓展。总之,通过此次上台的机会我们在知识理论和表达方面都取得了一定的进步