返回
基于属性的访问控制.ppt

基于属性的访问控制.ppt

ID:50276745

大小:677.30 KB

页数:28页

时间:2020-03-11

基于属性的访问控制.ppt_第1页
基于属性的访问控制.ppt_第2页
基于属性的访问控制.ppt_第3页
基于属性的访问控制.ppt_第4页
基于属性的访问控制.ppt_第5页
资源描述:

《基于属性的访问控制.ppt》由会员上传分享,免费在线阅读,更多相关内容在应用文档-天天文库

1、Group:华中师范大学信息管理学院基于属性的访问控制分工朱洋负责主讲,参与PPT制作;曾德明负责PPT制作,参与文档整理;罗业沛负责文献整理和搜集;顾云柯负责搜集文献;传统访问控制基于属性的访问控制基于属性标记的访问控制传统访问控制概念访问控制技术是依据预先定义的访问控制策略授予主体访问资源的权限,并对主体使用权限的过程进行有效的控制,从而实现系统资源的授权访问,防止非授权的信息泄露;传统控制技术强制访问控制;自主访问控制;基于角色的访问控制;其他访问控制技术;传统访问控制访问控制的一般模型用户访问控制访问控制仲裁安全策略资源系统管理员传统访问控制跨区域跨网络松耦合分布式跨域的安全访

2、问控制存在缺陷;静态和粗粒度的控制模型;策略通用性差,难实现多系统的之间的统一性;业务环境复杂需建立更多的角色和权限关系;传统模型的缺点访问控制基本模型基于属性的访问控制主体资源环境操作主体属性权限属性资源属性环境属性属性定义主体属性主体是可以对资源进行操作的实体(能够发出访问请求或者一对某些资源执行许可动作的所有实体的集合;资源属性资源是一个系统中可被访问的客体,也是系统存在的意义,只有系统中存在可以利用的资源,主体才会对资源发起访问请求;环境属性环境属性时独立于访问主体和被访问资源,它通常是指访问控制过程发生时的一些环境信息;权限属性操作的权限可以是对文件、文档、图像、视屏等资源的

3、打开(Open)、读(Read)、写(Write)、删除(Delete)等等一系列的动作;基于属性的访问控制访问控制规则基于属性的访问控制规则都是通过用户、资源、操作和环境来表达的;每条规则由条件、结果和目标组成;访问控制决策通过匹配主体、资源、环境和权限属性得出的结论;控制规则框架模型构成属性权威AA负责主体、资源或环境的属性创建和管理;策略实施点PEP负责处理访问请求并实施由访问控制判决模块返回的决策信息;策略决策点PDP负责对由策略实施点转发过来的访问请求将访问主体与资源的属性再加上上下文的环境属性选取合适的策略做出有效的评估,以决定是否对访问请求授权;策略管理点PAP责访问控制

4、策略的创建和管理,为策略决策点的判决提供相应策略的查询;基于属性的访问控制控制规则框架模型基于属性的访问控制主体策略决策点资源策略实施点策略管理点属性权威访问请求访问策略响应属性请求和响应基于属性的访问请求ABACVSRBACABAC是RBAC的超集ABAC可以提供基于各类对象属性的授权策略,同样支持基于用户角色的授权和访问控制,角色在ABAC中仅仅是用户的一个单一属性;应用范围对比统一的语义描述使得对象模型的定义和策略控制更加方便和灵活,AAR的引入使得在开放网络环境下的匿名控制和访问更加灵活多用;ABAC支持动态属性的授权决策ABAC在授权决策中是基于访问主体和资源的属性的,所以可

5、以是静态的也可以是动态的,RBAC的授权决策是静态的;复杂性对比随着用户和资源数目的增长,RBAC的规则数目呈指数级增长,而ABAC的规则呈线性增长;基于属性的访问控制访问控制的目标应用实例-多域网络访问控制消除信息孤岛,实现多网络协作实现动态的访问控制细粒度的访问控制访问控制策略的通用性简单性多域网络访问控制工作流程应用实例-多域网络访问控制域决策系统工作流程示意应用实例-多域网络访问控制属性管理系统工作流程示意应用实例-多域网络访问控制属性表示主体属性主要由非易变的静态属性和易变的动态属性;静态属性主要是由属性证书的方式获取;动态属性则是动态地向属性权威机构申请的属性,主要通过SA

6、ML属性声明动态获得;属性的建立与提供属性证书获取属性接口和SAML动态获取属性接口;属性证书的应用包括属性证书的自动下载和自动上传;SAML动态获取属性接口实时远程向属性权威机构发送SAML属性请求动态获取属性;应用实例-多域网络访问控制属性获取资源属性和环境属性可由相应的提供者直接定义;主体属性通常维护在一个特殊的数据库,或是通过属性证书或SAML声明分配给主体;属性匹配机制基于一种互信属性的调配机制来达到属性的匹配;应用实例-多域网络访问控制应用实例-多域网络访问控制单网络访问控制流程用户发起对本网络资源的访问请求;访问控制服务器中的证书管理系统根据用户提供的证书验证用户身份;资

7、源根据访问的要求向访问判决模块获取资源的属性,并根据用户所要采取的操作获取对用权限需要的用户属性信息;访问判决模块从属性策略库中抽取访问控制策略,并应用属性匹配模块和策略信息对用户的主体属性和所要访问的资源属性做出判决;完成访问控制过程,给出访问控制结果;用户根据访问控制判决结果被允许或拒绝访问资源应用实例-多域网络访问控制跨网络访问控制流程属性管理系统依据所颁发的证书对第一网络域和第二网络域中属性库给予统一的规范定义;建立第一个网络和第二个网

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。