内容安排
华中科技大学计算机学院智能与分布式计算机实验室（IDC）
引言 访问控制代表性模型
【DAC，MAC，RBAC，TBAC，LBAC，Risk-BAC,UCON】
多自治域互操作访问控制技术 访问控制技术应用环境 我目前的研究
16.05.2020
访问控制技术研究简介
1
引言
华中科技大学计算机学院智能与分布式计算机实验室（IDC）
它利用上读/下写来保证数据的完整性,利用下读/上写 来保证数据的保密性。
MAC是由美国政府和军方联合研究出的一种控制技术, 目的是为了实现比DAC 更为严格的访问控制策略。
16.05.2020
访问控制技术研究简介
4
华中科技大学计算机学院智能与分布式计算机实验室（IDC）
基于角色的访问控制
(role-based access control,简称RBAC)
16.05.2020
访问控制技术研究简介
6
华中科技大学计算机学院智能与分布式计算机实验室（IDC）
基于角色的访问控制（续）
RBAC管理模型 ARBAC97由George Mason University的R. Sandhu
于99年提出，基本思想是在RBAC模型内部实现对各 部分元素的管理，管理包括：用户角色管理，权限角 色管理，角色层次关系管理，限制管理等。 针对ARBAC97模型的完整性和实用性等方面的不足， Crampton等人提出了RHA系列基于角色的管理模型 。 Koch等人用图论的方法将SARBAC模型进一步模型 化
将访问权限与任务相结合,每个任务的执行都被看作是 主体使用相关访问权限访问客体的过程。
系统授予给用户的访问权限,不仅仅与主体、客体有关, 还与主体当前执行的任务、任务的状态有关。
16.05.2020
访问控制技术研究简介
9
华中科技大学计算机学院智能与分布式计算机实验室（IDC）
基于任务的访问控制（续）
1992年Ferraiolo等人最早提出了基于角色的访问控制这一概 念。
2019年Sandhu等人按模型的复杂程度，将RBAC模型分为四 类，分别是基本的基于角色的访问控制模型（RBAC0）、具 有角色层次的访问控制模型（RBAC1）、具有约束的RBAC 模型（RBAC2）和统一角色层次和约束的RBAC模型 （RBAC3），统称为RBAC的参考模型。
TBAC的特点： 不能很好的适应复杂的企业环境。 TBAC中并没有将角色与任务清楚地分离开来,
也不支持角色的层次等级; 访问控制并非都是主动的,也有属于被动形式
16.05.2020
访问控制技术研究简介
7
华中科技大学计算机学院智能与分布式计算机实验室（IDC）
基于角色的访问控制（续）
RBAC时态约束模型
为满足用户－角色关系以及角色之间的关系的动态性 要求，Bertino等人于2000年提出Temporal-RBAC模 型。该模型支持角色的周期使能和角色激活的时序依 赖关系
2019年Ferraiolo等人对RBAC模型的各种描述方法进行了总 结，并结合基于角色的RBAC模型的管理，提出了NIST的标 准草案。
2019年，ANSI提出RBAC标准对RBAC模型及其管理模型中 的函数等进行了规范说明
16.05.2020
访问控制技术研究简介
5
华中科技大学计算机学院智能与分布式计算机实验室（IDC）
16.05.2020
访问控制技术研学计算机学院智能与分布式计算机实验室（IDC）
(discretionary access control, 简称DAC)
1971年由Lampson 针对当时多用户计算机系统的数 据保护而提出。
DAC 根据主体的身份和授权来决定访问模式，但信 息在移动过程中主体可能会将访问权限传递给其他主 体，使访问权限关系发生改变。
基于角色的访问控制（续）
起因：Intranet的广泛应用使网上信息的完整性要求超过 了机密性, 而传统的DAC和MAC策略难以提供这方面的支 持，于是基于角色的访问控制被提出并被广泛接受。
驱动：RBAC 发展的动力是在简化安全策略管理的同时, 允许灵活地定义安全策略
应用：目前,RBAC 被应用在各个企业领域,包括操作系统、 数据库管理系统、PKI、工作流管理系统和Web 服务等领 域
DAC策略在安全性要求不高的系统中应用比较普遍， 在安全性要求较高的情况下，则需要采取其他的访问 控制策略。
16.05.2020
访问控制技术研究简介
3
强制访问控制
华中科技大学计算机学院智能与分布式计算机实验室（IDC）
(mandatory access control,简称MAC)
MAC 根据主体和客体的安全级别标记来决定访问模 式，实现信息的单向流动，但它过于强调保密性，对 系统的授权管理不便，不够灵活。
定义：访问控制(Access Control)是实施允许被授权的主 体对某些客体的访问，同时拒绝向非授权的主体提供服务 的策略。
起源：20 世纪70 年代,当时是为了满足管理大型主机系统 上共享数据授权访问的需要。
发展：访问控制作为系统安全的关键技术,既是一个古老 的内容又面临着挑战。随着计算机技术和应用的发展,特 别是网络应用的发展,这一技术的思想和方法迅速应用于 信息系统的各个领域。对网络安全的研究成为当前的研究 热点。
2019年Joshi等人[16]提出了通用的时态RBAC模型 （Generalized Temporal Role-based Access Control Model）。较之TRBAC，该模型支持更加广泛的时态 约束，能够表达角色之间、用户－角色关系和角色－ 权限关系上周期性、持续性的关系。
16.05.2020
访问控制技术研究简介
8
华中科技大学计算机学院智能与分布式计算机实验室（IDC）
基于任务的访问控制
(task-based access control,简称TBAC)
TBAC模型是一种基于任务、采用动态授权的主动安 全模型。它从应用和企业的角度来解决安全问题。它 采用面向任务的观点,从任务的角度来建立安全模型和 实现安全机制,在任务处理的过程中提供实时的安全管 理。 TBAC的基本思想：