TBDAC模型安全性分析

提纲背景及意义1云环境实体信任关系及信任值求解2TBDAC模型实现3TBDAC模型安全性分析4总结5背景及意义云计算安全问题主要有两方面：一是云计算自身环境特有的安全问题；二是云计算怎样改变现有的软件系统安全防护模式访问控制技术是信息安全领域中一个重要的组成部分，也是解决网络安全问题的重要技术之一。云计算环境下，构建具有通用性访问控制模型，对提高信息系统安全性，控制用户对信息系统的有效访问，都具有十分重要的意义。云环境实体信任关系及信任值求解信任定义信任是主观的依赖于自己行为的信任等级也会受到其他实体的影响信任会被我们意想不到的情况所影响构成信任关系的建立在云计算环境中，若实体A信任实体B，那么A与B之间存在信任关系，信任关系表明评估实体确信被评估实体能够以一定的概率正确的、非破坏性地进行某类活动云计算环境下实体的信任关系具有动态性，所以决定了信任是一个随时间变化而进化的关系。动态信任模型要能够反映出这种进化性，也要有信任随时间和上下文变化而动态评估的功能，一般需要建立一个数学模型信任关系的建立数学模型信任值空间信任值评估信任值获取数学模型构建：信任值求解直接信任：根据两个实体的直接历史交互记录获取推荐信任：根据其他实体对目标用户的评价信息，如声誉、凭证、推荐信息等获取根据直接信任和推荐信任得出本文信任值求解公式为：信任值求解TBDAC模型实现云计算环境中访问控制架构1发送访问请求3响应请求第一步用户向服务提供商发送访问请求第二步进行访问决策分析，主要完成对访问者身份验证和授权第三步如验证通过，则响应其请求，用户获得其所需服务TBDAC模型实现X.509证书有一个比较长的生命周期，并且它需要一个证书回收列表（CRLs）才能完成证书的撤销，增加了系统的开销在一个高度动态的云计算环境中，同时维持属性证书和身份证书的开销很大，并且采用这种方法不得不将实体的授权和实体的身份验证完全分开，这样增加了系统的开销和复杂性，所以本文提出建立一种轻量级证书来实现。L_Ticket证书将实体间的信任信息引入到证书中，这种证书可以在动态和敏感的云计算环境中能同时完成实体间的身份认证和授权功能，跟X.509证书相比，该证书更加轻便，灵活TBDAC模型实现L_Ticket证书结构实体ID是实体身份的唯一标识，用于对实体身份的第一级验证。实体角色信息用于给实体指派什么样的角色，其间接的指明了该角色所拥有的对资源或服务的访问权限。证书的有效期指明了证书的有效使用期限，其在云计算环境中起着非常重要的作用，因为证书中信任度的求解与时间有紧密的联系，且只有在这个有效期内，证书才能被CI所承认，实体才能执行其访问权限。TBDAC模型实现云计算中基于信任的动态访问控制授权流程Step1：用户登录工作站，向认证服务器发送一条包含用户身份信息和访问票据授权服务器服务两者名字的请求Step2：当认证服务器收到用户的请求，认证服务器对用户的身份进行验证，确认该用户是否为合法用户TBDAC模型实现云计算中基于信任的动态访问控制授权流程Step3：用户向TGS发送访问云服务提供商的请求报文，报文的内容包含服务器的ID，票据授权票据L_Ticket，以及一个认证符AEU,TGSStep4：请求角色信息Step5：获得角色信息Step6：请求用户的信任值Step7：获得用户的信任值TBDAC模型实现云计算中基于信任的动态访问控制授权流程Step8：将会话密钥KEU,SP和加密的服务授权票据用用户与TGS之间的会话密钥KEU,TGS加密发送给用户TBDAC模型实现云计算中基于信任的动态访问控制授权流程Step9：用户向云服务提供商发送访问请求报文，报文的内容包含访问云服务提供商的服务授权票据和加密的认证符AEU,SPStep10：服务提供商向用户发送应答响应，给其提供所请求的服务TBDAC模型安全性分析问题描述在安全性分析中，访问控制系统可以认为是一个状态转换系统，所以安全性分析的基本目的是来回答诸如：是否一个违反安全策略的状态是可达的？是否每一个可达状态都满足安全和可用性特征？本文用一个状态转换系统来模拟TBDAC模型，其中：

是状态集

是查询集

是状态转换函数

是转换规则集TBDAC模型安全性分析定义TBDAC模型的安全性分析基本原理是：在当前系统给定的状态集合基础上，给定安全性分析的初始条件，通过实施状态转换规则，构建一个所需验证的操作场景，然后提出查询请求。可能性安全查询。在安全性分析中，可能性安全查询定义为：。实例询问是否存在一个可达状态使得并且满足。如果结果返回为真，表明查询在状态下存在并且在指定的规则集下是可达的。必然性安全查询。在安全性分析中，必然性安全查询定义为：。实例询问是否对每一个可达状态使得并且满足。如果结果返回为真，表明查询在状态是必然的，也即每一个状态都包含这种分配关系。两类具体安全性分析问题本文提出了云计算环境中两类具体的安全性分析问题解决方法：一类是权限初始化和信任用户问题一类是动态权限调整问题PITU问题安全分析后的主要结果如果查询是半静态的，那么PITU实例能在时间多项式内被有效解决求解一般的PITU实例是可判定的，但是是一个难处理的NP完全问题PDA问题安全分析后的主要结果如果查询是半静态的，那么PDA实例能在时间多项式内被有效解决求解一般的PDA实例也是可判定的，但是也是一个难处理的NP完全问题两类安全性分析问题归约结果（PITU类问题）本文采用RT语言对两类安全性分析问题进行了归约。PITU类问题归约结果考虑例子医疗信息系统，讨论状态转换规则，是个二元组，，对于查询请求，用表示经归约后的输出结果，显然为假，因为不可能拥有医生角色；但是如果采用状态转换规则，即存在可达状态，使得拥有医生角色，即具有编辑病人信息的权利两类安全性分析问题归约结果（PDA类问题）PDA类问题归约结果在PDA实例中，的定义跟前面的例子相同，也是一个二元组，，对于查询

表示经归约后的结果，根据文中给定的约束规则，显然这个查询请求为假，因为只拥有角色，已经超出了约束规则中的时间约束，则显然为假，因为尽管在

状态下成立，但是仅仅限制在白天为真，如果在晚上，则存在可达状态规则表达式使得RT语言分析表达式为假。总结与展望本文提出了基于向量机制的信任模型并且给出了信任值的具体求解方法，在此基础上提出了云环境中基于信任的动态访问控制模型，最后采用RT语言对该访问控制模型