基于身份的可信访问控制

来源 :信息化建设 | 被引量 : 0次 | 上传用户:rmprinthecb
下载到本地 , 更方便阅读
声明 : 本文档内容版权归属内容提供方 , 如果您对本文有版权争议 , 可与客服联系进行内容授权或下架
论文部分内容阅读
  随着信息化在各行各业的不断深入应用,未来人类的生活将越来越依赖信息化。我国信息化建设虽然后期发展迅猛,但信息安全基础设施薄弱,信息安全技术能力亟待提高,尤其是在紧密联系着国计民生的政府、金融、通信、交通、能源、军事等行业领域信息风险较为突出。这些领域的信息系统中数据信息巨大,并且这些信息系统大量整合了政府、金融机构、医院、运营商、企业等多方面的信息资源,往往涉及到政务、商业、生活、个人隐私等方方面面,而接口、隐蔽通道众多,容易出现连锁反应。一旦出现信息泄露,将导致发生重大的安全事件,后果不堪设想。
  同时随着信息技术的普及,信息系统的管理者众多,使用者更是不计其数,安全威胁源越来越宽泛。因此,基于可信计算通过发放和维护身份认证信息来建立一套信任网络,并对这些不同身份信息的人赋予不同的资源访问权限,匹配不同的访问控制策略,来进行资源访问的强制控制,从而实现可信的访问控制,是未来信息安全建设的重中之重,甚至可以说将来会是影响到所有行业信息安全发展的基石。而要做到可信的访问控制,关键有两点:身份可信和访问控制。
  身份,可信访问的核心
  可信的核心是身份的可信。只有实现身份的可信,才能实现给不同的身份进行授权和审计。要想实现身份的可信,防止身份被盗用,就需要对所有的身份都分别赋予一个唯一的标识,标识是实体身份的一种计算机表达,每个实体与计算机内部的一个身份表达绑定,并且设定标识的有效期和权限范围,当主体发起一个客体访问时,会首先对该主体的身份标识进行认证,进而匹配不同的访问控制策略。
  通过身份标识和认证可以实现两个目的,一是对身份进行授权控制,二是可以跟踪所有操作的参与者,同时参与者的任何操作都能被明确地标识出来。因此身份标识认证技术可以从运营、管理、规范、法律、人员等多个角度来解决网络信任问题。
  控制,可信访问的实现
  访问控制主要从物理、网络、主机、应用、数据等层面实现对非授权访问的控制。访问控制机制的目的是为了保证系统中的数据只能被有权限的人访问,未经授权的人则无法访问到数据。访问控制的核心是控制未授权的访问。未授权访问指的是未经授权的使用、泄露、修改、销毁信息以及颁发指令等。这里又包含两个方面:一个是非法用户对系统资源的使用,另一个是合法用户对系统资源的非法使用。因此,要实现访问控制,第一步是鉴别主体的合法身份,第二步是授权或限制用户对资源的访问权限。
  常规的访问控制模型中,访问可以对一个系统或在一个系统内部进行。访问控制框架主要涉及三方面:提交访问请求、访问控制以及提出访问请求。其中,主要包含主体、客体、访问控制实施模块和访问控制策略模块。访问控制的实施模块是执行访问控制的机制,根据主体提出的访问请求和访问控制策略的决策规则对访问请求进行分析处理,在授权范围内,允许主体对客体进行有限的访问;访问控制策略模块表示一组访问控制规则和策略,控制着主体的访问许可。
  常见的访问控制模型有Bell-La Padula模型、Biba模型、Clark-Wilson模型、Chinese Wall模型等。每个模型虽然采用了不同的控制策略和机制,但是其实质都是通过控制主体的访问许可,根据访问控制策略,有效实现控制主体的访问对象、范围、权限等。而不管是哪种访问控制模型,由于其无法对身份进行标识和验证,一旦主体的身份被盗用或者身份鉴别信息被篡改,访问控制策略将被轻易绕过,形同虚设。因此只有结合身份认证技术,解决了身份的可信问题,才能实现真正意义上的可信访问控制。
  基于身份的可信访问
  访问控制模型是针对信息的安全保护提出的,具有很好的安全性。而基于身份的可信访问控制模型,是针对控制策略的灵活与管理的方便而提出的。为了得到更加安全且使用灵活的访问控制模型,需要找到两种模型的结合点。在现有的访问控制模型基础上,结合身份标识认证技术,即可形成基于身份的可信访问控制模型,如下图所示。
  当然该模型不是在常见的访问控制模型中简单的插入身份标识认证技术,而是通过调整不同模块的功用和位置,将访问控制模型和身份标识认证二者有机结合在一起,形成该模型的核心部分——基于身份的可信访问控制决策模块,该模块通过对不同用户的角色授权,来实现可信的访问控制。
  基于身份的可信访问控制决策模块由身份标识集和访问控制策略集两部分构成,不同的用户在发起一个访问请求的时候,首先需要到“基于身份的访问控制决策模块”中的“身份标识集”中请求一个身份标识,“身份标识集”通过密码算法会根据用户的角色赋予其一个唯一的合法身份标识(如证书等),然后身份认证模块会对用户的标识进行认证、鉴别。只有在身份认证获得通过后,才会给访问控制实施模块发出一个该身份的访问请求。访问控制实施模块会向访问控制决策模块中的“访问控制策略集”请求基于该身份的访问控制策略,访问控制策略集收到请求后会先向“用户标识集”获取用户的角色、安全等级等信息,从而明确该身份的访问对象、范围、周期等访问控制策略,然后该访问控制策略将发送到访问控制实施模块,实施模块会根据该访问控制策略对不同的客体发送不同的访问请求(如:读、写、执行等),从而形成对该用户身份的完整访问控制。
  (作者单位:国家林业局信息中心)
其他文献
伴随着“云物大移”时代的到来,瓦联网已经给千家万户带来了很大方便。特别是令年,李克强总理在政府工作报告中提到,制定“互联网+”行动计划,推动移动互联网、云计算、大数据、物
曾经,面对产销自国外的奶粉、打折的名牌包、白菜价的名品皮带、折扣又折扣的海外一线护肤品……我们只能是望洋兴叹。但是现在,有了跨境电子商务,这些商品的买和卖都不是事儿。
企业信息化主要为管理服务,各类信息系统是落实管理思想的有效载体和工具,信息化建设模式只有与企业管控模式相匹配才能更好地服务于企业战略,服务于企业管理要求。本文主要从运
近年来,全球范围内信息技术创新不断加快,以大数据、云计算、移动互联网为代表的新一代信息技术正成为推动经济社会发展的重要驱动力和变革力。我国正处于从工业社会向信息社会
松散堆积体在隧道施工中普遍存在,为研究其力学特性,以丽香铁路圆宝山隧道为依托,采用室内试验的方法,对具有代表性的地段进行筛分试验、击实试验及直剪试验.研究结果表明:圆
基于蝶形砂轮磨削正交面齿轮的正交试验,分析了面齿轮各磨削工艺参数,包括磨削深度a_p、砂轮转速v_s、刀具进给速度vw_等,对表面粗糙度R_a、磨削变质层深度h和磨除率Z_w的影
随着全球金融市场的萧条,中国经济增长速度减缓的消息一直不绝于耳,但中国跨境电商却逆势上扬,在近几年里迅速起步并快速发展。据统计,中国有超过5000家跨境电商平台企业,超过20万
政府门户网站往往通过一台或几台服务器的方式为大众提供服务,这种方式给人们带来了很多便利,但这种开放式环境也提高了信息安全的风险性、容易造成信息丢失,给心怀叵测者可乘之机。黑客、行业间谍、疯狂的电脑技术爱好者能通过各种方式截获网络传输数据、入侵数据库,对信息安全造成严重的威胁。因此,如何全方位地保护信息安全成为信息化建设的关键一环。  安全防护要“滴水不漏”  服务器安全是一个综合系统问题,涉及网络
根据百度百科定义,互联网金融是指以依托于支付、云计算、社交网络以及搜索引擎、APP等互联网工具,实现资金融通、支付和信息中介等业务的一种新兴金融。互联网金融作为传统金