《复杂网络环境下访问控制技术》
第2章 访问控制模型研究进展
这一章描述了面向主机的访问控制、面向组织形态确定的访问控制、面向分布式协同的访问控制、权限可伸缩的访问控制、面向社交网络的访问控制、面向云计算的访问控制的相关技术的研究现状和趋势,通过这一章了解了一些访问控制的模型。
访问控制的主要功能是允许合法用户访问和使用系统受保护的资源和服务,并防止非法用户的访问和合法用户的非授权访问。
1、面向主机的访问控制
根据访问控制策略类型的差异,早期面向主机的访问控制,分为自主访问控制和强制访问控制两种类型。
自主访问控制模型
- 基本思想:系统中客体的所有者可以完全自主地将其享有的客体访问权限授予其他主体,获得访问权限的主体能够对相应客体执行权限所允许的访问操作,客体的所有者能在随后的任意时刻撤销上述授权。
- 优点:灵活,自主,易用,可扩展
- 缺点:管理分散、复杂,容易因为权限的传递出现失控导致信息泄露,安全性不强
- 改进:
- 客体所有者能自主管理其访问权限与安全管理员限制访问权限随意扩散相结合的半自主式的HRU,访问控制模型;
- 安全策略分类的Take-Grant访问控制模型;
- SPM访问控制模型,将主体和客体分为不同的保护类型;
- 将强类型引入HRU模型提出了TAM模型;
- ATAM模型用于描述访问权限需要动态变化的系统安全策略
强制访问控制模型
- 基本思想:主体和客体的安全属性由系统安全管理员分配,其自身无法改变。
- 优点:安全性高,解决了资源管理分散的问题
- 缺点:管理过于严格,缺乏灵活性
BLP模型:下读上写
Biba模型:上读下写
- 改进:安全标记描述,引入可信级别的概念
2、面向组织形态确定的访问控制
在用户不断变化的信息系统中,访问控制需要由用户的植入或角色来确定。
基于角色的访问控制模型/RBAC
-
基本思想:将用户映射到角色(而不是直接映射到权限),角色拥有相对应的权限,而用户则通过“用户-角色”委派关系获得访问权限,
-
优点:更能满足不断变化的信息系统对信息完整性的需求,简化了授权管理问题。
-
缺点:难以解决系力度访问控制和面向大规模主体动态授权等问题。
-
RBAC96模型:分配给用户的权限不应超过其完成任务所需的权限;不同的角色分配需要互斥分离;采用专业的抽象描述取代原有的读写执行这些典型权限抽象方式。
-
NIST RBAC标准:包括RBAC参考模型和功能规范两部分。
静态职责分离:通过约束用户角色分配来解决策略冲突,即一个角色包含的成员不能同时被其他角色集合包含。
动态职责分离:约束了冲突的角色,不能在同一次绘画中分配给同一个用户。 -
改进:
- 基于角色的扩展可管理访问控制模型
- X-GTRBAC模型,多域环境中支持RBAC模型冲突化解的策略管理问题
- 利用传递闭包能显著提高查询评估、冗余消除和分层描述的效率
基于角色的管理模型
引入授权管理许可和授权管理角色及其层次结构,具有自我授权管理功能。ARBAC97、ARBAC99、基于组织结构的角色管理模型。
3、面向分布式协同的访问控制
分布式系统具有协同工作和跨域访问两大特点,传统的访问控制技术无法满足上述需求。
分布式的访问控制模型
- 分布式基于角色的访问控制模型(dRBAC):利用PKI识别信任敏感操作实体的身份,并验证委托证书,在跨不同管理域的动态协作环境中实现资源的细粒度访问控制,可扩展
- 基于域的访问控制模型:用于分散的多个管理者之间进行协同工作的多域应用环境,不同域之间实现资源安全共享。
- 使用控制模型(UCON):主要研究传统的访问控制,信任管理,数字版权保护等问题。包含主体、权限和客体,主体通过授权获取权限,而授权则需要依据授权规则和主体所处的条件进行判断。
基于任务的访问控制模型
工作流是为完成某一目标由多个相关任务构成的业务流程,依据一系列定义的规则保证数据在不同用户间进行传递与执行,在数据流动过程中执行操作的用户会不断变化,用户所享有的权限也在改变。传统的访问控制已经不能满足动态授权的安全需求。
-
基于任务的访问控制模型(TBAC):面向应用和企业层来解决安全问题,是一种上下文相关的访问控制模型,能够针对不同工作流实施不同的访问控制策略,并对同一工作流的不同任务实施不同的访问控制策略,尤其适用于安全工作流管理。
- 问题:现有的TABC模型及其扩展模型未能解决职责分离和工作流访问控制转授权等问题。
-
基于任务-角色的访问控制模型(T-RBAC):用于满足大型企业的安全信息管理需求。基本思想:使用RBAC构建系统的总体架构,为用户分配相应的角色,以实现对现实世界的模拟,方便对用户权限的静态管理,同时引入任务的概念,将要实现的功能细化为单个任务,再将角色与任务、权限与任务联系起来,通过任务来实现对权限的动态管理。
基于团队的访问控制模型(TMAC)
以团队为核心,用于团队协作环境,用于解决协作环境中的混合访问控制和标准,被动/主动概念的区分。
扩展:TMAC04模型,允许特定用户在上下文有限和新权限组织中现有角色的基础上加入团队执行所需的操作,将单一的角色扩展为团队不同,不同团队中又包含多个用户。
4、权限可伸缩的访问控制
时空相关的访问控制模型
用户访问过程中所处的时空上下文信息是访问控制和授权描述的重要因素。
-
上下文相关的访问控制模型
关键的上下文信息:位置信息,空间信息
访问控制更加依赖于用户的上下文,传统的访问控制模型是非上下文敏感的。
SC-RBAC:保证位置感知应用程序的安全。
基于位置的访问控制模型(LBAC):进行访问授权时,充分考虑了用户的位置因素
- 改进:GEO-RBAC模型能利用空间实体来描述客体、用户位置和基于地理位置的角色,并支持物理位置和逻辑位置;
面向空间索引树的访问控制模型:为栅格数据和矢量数据提供了有效的访问控制方法;
GSCS(地理社会计算系统)保护模型:可以追踪用户的当前位置,通过初始空间关系的负荷构造访问控制策略。
- 改进:GEO-RBAC模型能利用空间实体来描述客体、用户位置和基于地理位置的角色,并支持物理位置和逻辑位置;
-
基于时态的访问控制模型
TRBAC:有时态约束,但未考虑对用户-角色分配和角色-权限分配的时态因素。
直接基于时态的访问控制模型(GTRBAC):更加广泛的时态约束,并且支持细粒度的基于时态的访问控制策略。
基于位置和时间的访问控制模型(LoTAC):利用云服务提供商和本地基础设施的交互操作实现LoTAC的访问控制功能。能抵抗合谋攻击(云服务提供商和本地基础设施联合起来无法访问相应的云端数据)
基于行为的访问控制模型(ABAC)
该模型充分考虑角色环境时态对访问授权的影响,通过行为对用户进行灵活授权。
优点:能够解决复杂网络环境中,由于用户、经由网络、接入方式、平台等要素的随机、无序和不可预测性导致的新安全问题;能够解决传统访问控制的细粒度访问控制和面向大规模主体动态授权的问题;
缺点:没有考虑数据的分级化管理。
基于行为的云计算访问控制安全模型(CCACSM):以多级安全模型为参考,力求在兼顾用户所处的环境和时代要素的同时,解决云计算环境下的机密性和完整性问题。
基于行为的多级安全访问控制模型
基于行为的结构化文档多级安全访问控制模型(AMAC):针对云环境下由于缺少多级安全机制而导致结构化文档的信息泄露问题。可以通过角色上下文以及用户访问的行为来提高访问控制策略描述的灵活性。
5、面向社交网络的访问控制
用户对社交网络中数据安全的要求:对数据实施具有灵活、细粒度的访问控制;保证数据的机密性;允许授权用户访问受保护的个人信息资源,防止非授权用户的访问。
社交网络场景的特点:用户数量大,动态交互频繁,内容共享迅捷。
处于新兴阶段。
社交网络中的关系,U2U(user-to-user)、U2R(user-to-role)、R2R(role-to-role)
基于信任的访问控制模型
采用非集中式管理
优点:可以确保用户资源的安全并保护用户隐私
缺点:信任值的计算难以兼顾效率与隐私安全;扩展性不佳。
基于语义网的访问控制模型
语义网是一种智能网络,旨在实现人与电脑之间的无障碍沟通,通过为网络上的文档添加计算机可理解的语义,使机器能够自动处理和集成网上可用的信息。
JENA(开源语义网应用开发框架,http://jena.sourceforge.net)
基于关系的访问控制模型
将社交图谱关系引入访问控制模型构建中。
基本思想:资源拥有者制定基于关系的访问控制策略,当访问者对资源提出访问请求时,授权机构通过判断社交图谱中访问者与资源拥有者之间的关系是否满足访问控制策略,来决定是否授予访问者对资源的访问权限。
基于Facebook的访问控制模型
模态逻辑语言、混合逻辑
支持社区协作的访问控制模型
基于用户间关系的访问控制(UURAC):运用正则表达式、基于深度优先搜索的路径检查算法,
基于U2U关系的访问控制模型在社交网络的访问控制中比较常见。
基于博弈论的访问控制模型
基本思想:将资源访问者分为“好友”和“陌生人”,互为“好友”的用户可以访问对方的所有信息。通过向访问者提问并根据其答案判断是否为“好友”,对于“陌生人”采用基于博弈论的访问控制方法判断其是否为恶意用户。若是则尽可能保护自己的隐私不被泄露,否则,可对其开放隐私信息以扩大朋友圈。
用户信任和用户行为收益的博弈问题
6、面向云计算的访问控制
基于属性的访问控制模型
统一ABACa模型结构:
基于密码学的访问控制模型
云计算时代数据通常以外包托管的形式出现在云服务其中,而不是存储在数据所有者可控范围内。
密码学通过指定算法和密钥对数据加密,以保护其机密性,将数据以密文形式保存在云服务器中。
基于密码算法的访问控制机制将密码算法与基于策略的访问控制机制相结合。
