《复杂网络环境下访问控制技术》一书的第三章,结合书中内容,注重基本概念的理解。
1 应用场景分析
- 传统数据分级管理的访问控制主要基于主体和客体的安全标记进行权限分配约束.而在复杂网络环境下,主体会在不同的物理位置,使用不同的软硬件平台,经由多种网络,在任意时间对多极化管理的客体资源进行访问。在该环境下,仅通过对主客体进行安全标记,已无法实现多安全等级多要素的访问控制。
- 另外,多级安全访问控制模型及其机制的实现依赖于操作系统、数据库管理系统以及大型信息系统的实现。而操作系统以文件为单位进行数据管理,数据库管理系统以不同的表及其不同字段进行数据管理,信息系统则多借助数据库管理系统进行数据管理。管理粒度以文件为单位的访问控制模型,无法满足网络环境下细粒度,对象化的数据管理需求。
- 访问控制需求
- 信息资源的访问方式具有开放性与动态性
- 实施对基于行为的访问控制模型的有效管理
- 解决主客体安全级别随着角色、时态、环境的访问控制要素变化动态伸缩调整的问题
2 ABAC——基于行为的访问控制模型
2.1 了解“行为”的的定义
行为指角色r在某种环境e下某段时间t内实现某个功能所需权限集合的描述,即用户u在启动会话s获得权限P时所需的角色、时态和环境信息, 其中u∈U、s∈S、p∈P、r∈R、t∈T、e∈E。可以表示为三元组(r,t,e)。
用户:人或者自治代理,用户的集合记为U;
角色:实现某种功能所需权限集合的描述,其与用户是多对多的关系,角色的集合记为R;
会话:将用户与激活角色(集合)对应的映射。会话的集合记为S;
权限:系统中对象的访问模式,权限的集合记为P;
时态:时间约束集合,时态的集合记为T。
2.2 用一个例子了解行为的层次结构及其继承机制
- 图中给出了一个行为层次结构图的例子.对于l =(al,a5,a8,a10),行为a1依赖于路径l继承的有效角色集合、有效时态集合和有效环境集合分别为(rl,r5,r8,r10)、(tl,t5,t8,t10)、(el,e5,e8,e10).
- 在行为层次结构图上,行为的有效角色集和、有效时态集合和有效环境集合亦然。行为al的有效角色全集、有效时态全集和有效环境全集分别为(r1,r3,r5,r7,r8,r10)、(tl,t3,t5,t7,t8,t10)、 (e1,e3,e5,e7,e8,e10)。
- 假设行为a7是可以享有权限p的最低级的行为,则权限P的有效角色集合、有效时态集合和有效环境集合分别为
2.3 ABAC模型
3 基于行为的访问控制管理模型
管理行为ada是一种特殊的行为,满足行为的所有属性,但其环境状态和时态状态是受限的.如环境状态中的物理位置为单位内部、网络位置为内部专用网络、软硬件平台支持密码操作、时态状态为上班时间等.ada可以表示为(ar,limt,lime),其中ar∈AR、 limt∈T、lime∈E.记ada的集合为ADA、limt的集合为 LIMT、lime的集合为LIME。
4 基于行为的多级安全访问控制模型
基于行为的多级访问控制模型基本元素包含主体、会话、角色、时态、环境、行为、客体、权限等。为了进一步满足多级安全的需求,同时保证客体的机密性和完整性,需要对基于行为的访问控制模型中的主体、行为和客体添加安全属性及相关概念的定义.
- 安全属性Pr:用于描述主体、客体、行为的安全级别和范畴信息,集合表示为Pr:L×C 。L为安全级别的集合,描述主体的安全等级和客体的敏感级别;C为安全类别集合,即主体的访问范畴和客体的访问范畴。
- 用户操作抽象为以下4种基本类型,
- 1)可读:读取客体自身或相关的描述信息.
- 2)可写:为了保证用户的读写权限,同时不破坏安全模型的完整性要求,此处定义的可写有2类, 即可信写与非可信写,其中可信写要求提出写操作 的主体为可信主体,且客体的安全等级与主体相同, 该操作将直接对客体进行写操作.可以执行可信写 的用户可以是客体的所有者或者系统相关管理员; 非可信写是指用户对客体进行写操作时,写入的信 息被暂时存放在客体关联区域中,需等待客体的所 有者或者管理员对其写入的信息进行审核,通过后 方可完成对该客体的写操作.
- 3)执行:主体可以运行相应客体(程序).
- 4)追加:对客体进行“只写不读”的操作,此处与可写操作的区别在于可写权限的用户可以对客体进行可读操作。
安全规则:get-read,获取可读的权限;get-write,获取可写的权限;get-execute,获取执行的权限;get-append,获取追加的权限。
参考文献
- [1]苏铓,李凤华,史国振.基于行为的多级访问控制模型[J].计算机研究与发展,2014,51(7):1604-1613. DOI:10.7544/issn1000-1239.2014.20131717.
- [2]李凤华,王巍,马建峰, 等.基于行为的访问控制模型及其行为管理[J].电子学报,2008,36(10):1881-1890. DOI:10.3321/j.issn:0372-2112.2008.10.005.