《UCON使用控制》PPT课件.ppt

《《UCON使用控制》PPT课件.ppt》由会员上传分享，免费在线阅读，更多相关内容在教育资源-天天文库。

1、UsageControl(UCON)Usagecontrol:Avisionfornextgenerationaccesscontrol2UCON介绍2002年，JaehongPark和RaviSundhu首次提出了UCON的概念。UCON对传统访问控制进行了扩展，定义了3个决定因素:授权规则(AuthorizationRule)职责（义务）(Obligation)条件(Condition)提出了访问控制的2个重要属性:连续性(Continuity)易变性(Mutability)UCON的核心模型3UsageControl的核心模型(也称A

2、BC模型)包含：三个基本元素：主体S、客体O、权限R三个授权相关的元素：授权A、条件B、职责C两个属性：主体属性ATT(S)客体属性ATT(O)主体(Subjects)：具有某些属性和对客体操作权限的实体；属性包括用户名、用户组、角色和安全级别等。客体(Objects)：主体能够控制权限，并能访问和控制的实体；客体属性：包括安全级别、所有关系、ACL等，用于授权控制。权限(Rights)：主体拥有的对客体控制和执行的一些特权，如读、写、运行等。ABC模型的核心模型4UsageControl的核心模型(也称ABC模型)包含：三个基本元素：主体

3、S、客体O、权限三个授权相关的元素：授权A、条件B、职责C两个属性：主体属性ATT(S)客体属性ATT(O)授权规则A：允许主体使用客体特定权限必须满足的规则集，它是判定主体是否能够访问客体的决定因素。条件C：是指主体获得或行使对客体的访问权利前必须满足的系统或执行环境的强制约束条件。职责(Obligations)：是指主体获得或行使对客体的访问权利前(preB)或过程中(onB)必须完成的操作。UCONABC模型5连续性：传统访问控制:授权决策在访问操作执行之前进行判断。ABC访问控制：使用控制决策不仅可以在访问前进行,在访问过程中也可以

4、。使用控制决策可以对使用前和使用过程两个阶段进行授权,分别称为预先授权和过程授权。可变性：传统访问控制：属性只有通过管理行为才能被改变。ABC访问控制：可变性意味着主体、客体属性作为访问执行的结果而发生改变。根据上述的三个阶段可将属性的变化分为三种类型:使用前更新,使用中更新,使用后更新。ABC模型616种基本的ABC模型决策阶段：preA：使用前授权onA：使用中授权preB：使用前义务onB：使用中义务preC：使用前环境onC：使用中环境属性可变性：0：不改变1：使用前改变2：使用中改变3：使用后改变ABC实现RBAC通过UCONpr

5、eA0实现DAC的集合谓词描述：S表示主体即用户或用户组，O表示客体，N表示身份标记集合，R为操作权限集；id表示用户到标记集合N之间的一对一映射关系；ACL表示客体与N×R之间的映射关系，其中N×R为用户身份与操作权限的组合关系；ATT(S)={id}；ATT(O)={ACL}；allow(s，o，r)=>(id(s)，r)∈ACL(o)，其中allow(s，o，r)表示主体s对客体o具有执行r操作的权限。7总结8ABC模型可以实现DAC、MAC、RBAC、DRM这些访问控制模型；两个核心内容：主客体属性的可变性和授权决策的连续性是反映开

6、放网络环境中访问控制需要的重要特性；提供了强大的描述能力，在各类信息安全系统中将有着良好的应用前景。谢谢！