访问控制技术现状及展望
2020-10-18
来源:好走旅游网
0引言 访问控制是信息安全的关键技术之一【1l。访问控制的 目的是保护客体(Objects)不受到主体(Subjects)非授权操 作。主体可以是人,也可以是非人实体。操作则可能包括 发现、读、写、创建、删除,以及执行客体等。客体可能 是数据、服务、可执行的应用、网络设备,或其他类型的 文件、资源配置文件和控制列表),授权核查,日志和审计等。 访问控制是信息安全的关键技术之一,它依赖于其他 安全服务并与这些服务共存于信息系统中,从而提供信息 安全保障。 人类使用访问控制技术历史悠久。门锁和钥匙就是一 种典型的访问控制。现代访问控制技术起源于20世纪六、 七十年代。LAMPSON提出访问控制的形式化和机制描述, 信息技术或资源等。这些客体具有价值,并且为个人或组 织机构所拥有。作为客体的所有者,有权制定相应的策略 引入了主体、客体和访问矩阵的概念,它们是访问控制的 (Policies)说明谁可以对这些客体进行操作,可以进行什么 操作,以及在什么情况下,这些主体可以进行这些操作等。 如果主体满足了客体所有者制定的访问控制策略,则会获 得授权在客体上进行要求的操作;否则,将拒绝对该客体 的访问。 访问控制策略需要一定的机制(Mechanism)来执行。 访问控制机制可以采用多种方法将访问控制策略应用到客 体上。而访问控制机制的功能可以用多种访问控制逻辑模 型来描述。这些逻辑模型提供框架和边界条件集,可以把 主体、客体、操作和规则组合起来,生成和执行访问控制 决策。每种模型有自己的优点及不足。 访问控制技术发展历史悠久,文献众多。本文试图通 过调查分析,在介绍基本技术的基础上,重点将新出现的 技术、可能的影响以及我们的建议呈现给读者。 1访问控制发展史 “访问(Access)”原义是指进人・个地方或接近一个人 (物)的方法或可能性,或使用或查看某物的权力。一般地, 使用资产(或资源)的行为ⅡLl做访问,而资产是对于一个 组织机构有价值的任何东西。在信息领域,访问是信息在 主体和客体间交流的一种形式。控制(Contro1)是管理风险 的方法,包括策略、规程、指南、实践或组织结构。控制 在本质上可以是行政的,技术的,管理的,或法律的。 访问控制(Access Contro1),顾名思义,是对资产的访 问的限制或约束。 访问控制决定了谁能够访问系统,能访问系统的何种 资源以及如何使用这些资源。适当的访问控制能够阻止未 经允许的用户有意或无意地获取数据。访问控制的手段包 括用户识别代码,口令,登录控制,资源授权(如用户配置 基本概念口1。从计算技术早期至今,对访问控制模型的研 究大致经历了以下几个阶段: 1)在计算技术早期,访问控制伴随着多进程管理而出现I4l。 2)20世纪六、七十年代,奠定了经典访问控制技术。 LAMPSON在1969年首先引入访问矩阵[31o ANDERSON提 出RM(Reference Monitor,参照监视器)概念并实现的RVM (Reference Validation Mechanism,参照验证机制) 】。应用 于大型主机系统中的访问控制模型,较典型的是BLP模 型fBell—La Padula Mode1) 卅和HRU模型(Harrison—Ruzzo— Ullman Mode1) 1。BLP模型致力于系统的机密性,遵循“不 上读”和“不下写”的基本规则,以此实现强制访问控制, 防止高安全级别信息流入低安全级别的客体,主要应用于 军事系统中。BELL、PADULA、BIBA和DENNING等为 Lattice Access Control(格访问控制)理论 做出了贡献。 3)20世纪80年代,访问控制的重要作用得到认可。 Do珏Department ofDefense,美国国防部)在1985年公布的‘可 信计算机系统安全评价标准(Trusted Computer System Evaluation Criteria,TCSEC)”中明确提出访问控制在计算 机安全系统中的重要作用,并将其划分为DA Discretionary Access Control,自主访问控制)和MAC(Mandatory Access Control,强制访问控制)两类I91。Clark—Wilson模型”伽和 Chinese Wall模型 等也在这一时期提出。 4)20世纪90年代,访问控制技术得到广泛应用。 1992年,FERRAIOLO和KUHU提出RBAC(Role—based Access Control,基于角色的访问控制)模型_l ,这是一 种与传统的基于身份的访问控制(Identity Based Access Control,IBAC)不同的模型。经SANDHU等人进一步改 进,RBAC96t 、ARBAC97r 、ARBAC99 模型被先后提 出。2001年NIST RBAC标准 被提出,2004年该标准 2016年第12期 被ANSI(American National Standards Institute,美国国家 标准委员会)批准为美国标准。ANSI RBAC参考模型对角 色进行了详细的研究,在用户和访问权限之问引入了角色 的组别来限制主体对客体访问的一种手段 。其含义是: 如果没有强制访问控制限制,有访问许可的主体能够向其 他主体转让许可权。当然,这种转让可以是直接的,也可 以是非直接的。 访问控制矩阵是最常见的DAC实现方法。矩阵的行对 的概念,为RBAC模型提供了参考。RBAC有多种变形和 扩展版本。比较有代表性的有:应用于工作流系统或分布 式系统中的TBAC(Task~Based Authentication Control,基 于任务的授权控制) 模型,T—RBAC(Task—Role—Based 应系统主体,列对应系统客体,而行与列的交叉称为矩阵 元素,表示主体对客体的访问权限。 DAC灵活性较高,广泛地用于商业领域,尤其是在操 Access C0ntrol,基于任务和角色的访问控制) 。 模型等。 5)21世纪,访问控制技术得到了更精细更全面的研 究和广泛应用。涉及类型包括基于身份的访问控制模型 (Identity—Based Access Control Mode1)、基于语义Web的访 问控制模型(Semantic Web—based Access Control Mode1)、基 于周境(上下文)的访问控制模型(Context—Based Access Control Mode1)、基于位置的访问控制模型(Location—Based Access Control Mode1)和基于信任和信誉的访问控制模 Trust and Reputation—Based Access Control M0de1)等 。比较有代 表性的有:ABAC(Attribute~Based Access Control,基 于属性的访问控制) 和PBAC(Policy—based Access Control,基于策略的访问控制)口 ,这是两大类新兴的 模型;使用控制(Usage Control,UCON)模型 。 ;基 于组织的访问控制(Organization—based Access Control, OrBAC)[261;风险自适应访问控制(Risk-Adaptable Access Control,RAdAC) ;基于状态的访问控制(Status—based Access Control,SBAC)1281;基于关系的访问控制(Relation Based AcceSS Control,Re1BAC)皿 伽;将周境和风险融人访 问控制的模型口 驺 等。其中RAdAC模型设计为将实时、 适应陛强、感知风险的访问控制带给企业。RAdAC代表了 访问控制的管理方式的根本I生转变。 访问控制技术朝着两个方向发展:增加访问控制精细 程度,增加访问控制决策的策略基础。 2访问控制技术 从1960年代末Lampson访问矩阵问世以来,数以百 计的访问控制技术被提出,覆盖策略、模型和机制3个层面。 但是,仅有极少数得到实际应用。 2.1 DAC TCSEC将DAC定义为:根据主体标识和/或其从属 作系统和关系数据库系统中。这种灵活性会使信息安全性 能有所降低。例如,可传递的授权读一旦被传递出去将难 以控制,使访问权的管理相当困难,会带来严重的安全问 题。DAC机制易遭到特洛伊木马攻击。此外,大型系统主、 客体的数量巨大,使用DAC将使系统开销大到难以支付 的程度。 2.2 MAC 顾名思义,MAC是一种强制性的访问控制方法,用于 确保信息系统的安全。历史上,“强制”一词用于访问控制 意味着非常高的鲁棒性,保证控制机制能抵御攻击,能够 绝对执行监管部门强制规定的访问控制策略。例如,美军 方系统中采用MAC,就是美国政府的强制要求,它采取的 尽力而为机制,绝对地或近乎绝对地实现那些对MAC的 强制要求。 早期MAC是基于格(Lattice—based)的,又称为MLS (Multilevel Security,多级安全),应用在军方系统中。它们 通过实施“信息不能向下流动”的简单安全属性以提供机 密性。 对于MAC,安全策略由安全策略管理员集中控制,用 户没有改变策略的能力。相比之下,尽管DAC也管理主体 访问对象的能力,却允许用户有能力进行决策和/或指定 安全属性。MAC系统允许策略管理员实施组织范围内的安 全策略,但是,用户却不能无视或修改这些策略。 MAC可抵御特洛伊木马和用户滥用职权等攻击,当敏 感数据需在多种环境下受到保护时,就需要使用MAC。 MAC是比DAC功能更强的访问控制机制,但是这种 机制也给合法用户带来许多不便。例如,在用户共享数据 方面不灵活且受到限制。在安全方面,也有弱点。例如, 不能实施完整性保护,对用户恶意泄漏信息和逆向潜信道 也无能为力。 2.3 RBAC (Trust Specification),这是电子商务、互联网服务等应用 中采用的说明策略的方法,如TPL(Trust Policy Language, RBAC是Fenaido和Kuhn提出、经Sandhu等人 进一步研究、2004年开始成为INC1TS((InterNational 信任策略语言) 。 与上述不同的是,XACML以标准方式解决访问控制 策略和机制两方面问题。 Committee for Information Technology Standards,信息技术 标准国际委员会)标准的访问控制技术。当前的版本号是 INCITS 359—2012137Jc 在一个组织内,角色根据各种不同的工作职能产生。 角色会被赋予许可,以完成一定的操作。组织成员或职工 (或其他系统用户)被指派为一定的角色,而通过指派这些 角色,要求计算机许可完成特定的计算机系统功能。由于 用户是通过他们的角色、并不是直接被赋予许可,因此单 个用户权限的管理就很简单了c 利用角色层次和约束,可以控制RBAC创建或模拟 LBAC(Lattice—based Access Control,基于格的访问控制)。 因此,可以把RBAC看作LBAC的一个超集。还可以把它 看作是多级访问模型和多边访问模型的综合。 RBAC既可实现MAC,也可实现DAC。从这个意义上说, RBAC是中性的。从控制强度上说,它属于强制访问控制。 RBAC已经得到广泛应用。 2.4 XACML OASIS(Organization for the Advancement of Structured Information Standards,结构化信息标准促进组织)开发的 XACML是一种基于XML的开放性标准语言,既用于表示 安全策略,也用于表示访问请求和决策结果。OASIS 2003 年发布XACML第1版。现在的XACML版本是第3版, 于2013年发布 1。 有很多团体和学者一直努力工作,试图用各种不同方 法来说明策略p 姗。基于逻辑或基于代数的语言由于其形 式体系容易理解,可以检验和分析,常常被学者用来描述 策略[40-45]o事件驱动的范式策略语言也被学术团体采用, 典型的例子有PDL(Policy Description Language,策略描 述语言)H 、Ponder ’ 和SPL(Security Policy Language, 安全策略语言) 1。第3种说明策略的方式是图方法。 HOAGLAND等提出的LaSCO(Language for Security Constraints on Objects,对象安全约束语言)就是一种说明 对象安全约束的图方法 o/。第4种方法是使用信任规范 XACML策略机制用数据流模型表示。它扩展了IETF 提出的策略管理控制框架(Framework for Policy—based Admission Contro1) 】,提供一种更细粒度的控制访问机制, 包括在“允许”或“拒绝”之前或之后执行某些操作。 很多开发者开发了XACML应用程序和工具[53]o有很 多大型企业采用XACML做企业应用和服务。 3发展趋势 目前,访问控制技术正朝着下述几个方向发展:基于 属性和策略的访问控制,风险自适应的访问控制,云计算 环境和大数据应用中的访问控制,以及下一代访问控制。 3.1基于属性和策略的访问控制 传统的访问控制以用户为中心,使用标识符来表示主 体。如果主体是人,其标识符就是身份证号。在RBAC中, 主体则是角色,而客体、环境和操作等也是角色。对于客体、 环境和操作等也是这样。与此不同的是,ABAC还使用多 种其他参数来描述主体、客体、环境或周境,以及操作等。 这些参数被称为属性。 属性在信息安全(包括访问控制)中的应用,起源于 1990年代初。X.500目录、X.509属陛证书和SPKI证书等 就使用了属性[54]0而Bonatti等人完成的就是一个少标识 的访问控制系统,系统中证书和服务模型则是属性向量[55]o 文献[561的RT框架则是另一个分布式少标识的访问控制 规范框架,框架中的每一个角色就是用他们所包含的角色 以及/或成员关系所需要的属性来表示的。Yu等开发的 需求者和供给者服务协商框架也利用了屙l生[57j。 在ABAC中由于使用多个属性,因此,描述可以更全 面、丰富、精确和灵活,使复杂的策略定义简单化、动态化, 因而控制粒度更细,可扩展性更好,强度更高 卅。 访问控制从本质上是依照规章制度来执行的。这些规 章制度通常称为访问控制策略。传统的访问控制是把访问 控制策略硬编码(Hard—coded)在访问控制机制里的,这 样存在着管理和安全方面的诸多问题[60]o基于策略的含义 就是访问控制策略与访问控制机制完全分离。这样,访问 控制策略可以用人一机均可读的语言来表示,容易修改、 维护和管理。PolicyMaker 可能是最早将策略与机制分离, 用于信任管理。 ABAC和PBAC是从不同的角度对访问控制进行分类 的。然而,一个访问控制,可以既基于属性,又基于策略。 这对于实际应用来说更是必需。例如,IETF RFC 2704就 是一个在因特网实现基于属性和策略的访问控制标准[62]o XACML是另一个这样的标准。它定义了杨 为PDP—PEP 的体系结构、策略语言,以及请求/响应大纲,但是却没 有处理属性管理(如用户、客体和环境等属性的指派)。因 为应用的多样性,有的可能使用传统的身份属性管理工具, 和/或数据库、目录等就能完成属性管理,一些特殊的应 用更可能需要像PKI和PMI那样的基础设施。这方面的 研究和建设非常必要。 ABAC是一种先进的管理访问权限的方法。在不加重 管理人员或用户负担的情况下,它的动态能力比传统的访 问控制方法提供更多有效性、灵活性、可扩展性和安全性。 据Gartner公司估计,到2020年,70%的企业将把基于属 性的访问控制作为主要的机制来保护他们的重要资产,而 在2014年,这样的企业只有5%『6 。这是一个挑战。在美国, 政府为企业部署ABAC发布了指导,但ABAC的使用步伐 仍很慢[59]o在我国,如何加快ABAC的使用更具挑战性。 3.2风险自适应的访问控制 对于大的企业和组织机构来说,由于机构越来越多 样、复杂,以及态势多变性等,访问控制必须考虑:1)许 可一个访问可能带来的安全风险;2)企业运作和业务要求 访问;3)企业对上述两种对立情况的平衡政策。RAdAC 就是在这样的情势下出现的。由于这一问题在军事环境中 更突出,因此,本世纪开始不久,就纳入了美国国防部的 GIG规划中,并计划2020年前部署 。 美国安全局McGraw在2009年NIST Privilege(Access) Management Workshop上将RAdAC描述为:访问控制不仅 仅取决于主体、资源和操作等是否满足要求,还取决于业 务需要和安全风险。并且,在必要时候,业务需要的重要 性可能超过安全风险。换言之,即使有安全风险,也应允 2016年第12期 许访问[64]o 围绕RAdAC进行的研究涉及模型、机制、关键技术、 实现和应用等方面。例如,用于表示UCON的风险自适应抽 象框架[65】,以及把风险和信任一起用在RBAC策略中[66]0 近年来,人们对云环境和实际应用中的风险适应更重视。 例如,文献[67】提出一种在云环境中用XACML实现基于 风险的访问控制,包括风险引擎、风险量化Web服务和 风险策略3个组件。其中风险策略定义资源的风险估值指 标和参数用于访问控制请求决策中。惠榛『68 等人提出的 RAdAC模型使用信息熵和EM算法来量化医生侵犯隐私 造成的风险,以监控对于医疗记录的过度访问以及特殊情 况下的访问请求。文献【69】提出采用动态对策对付随时间 变化的资源风险级别,用通用算法寻找最好对策集,实现 资源保护。允许或拒绝访问则取决于一组特定安全控制。 RAdAC还有很多关键问题有待解决。 3.3新一代访问控制 几十年来,访问控制技术在策略、模型和机制等层面 得到了长足的发展,其实际应用越来越广泛。随着云计算、 物联网、大数据、互联网+等技术和应用的发展,让访 问控制既适应传统的应用环境和Internet,又顺应云计算 环境、大数据应用等,将是新一代访问控制必须面临的 挑战[70-73]o 未来可能的发展方向有:新的访问控制模型,包括全 新模型、现有模型的改造融合、模型的安全性证明、策略 冲突自动检测等;访问控制技术与其他安全技术(如密码 技术、虚拟化技术、生物技术、感知技术等)的结合;访 问控制技术标准化、规范化、全面应用。 ABAC本质上是一大类逻辑模型的统称。业界迫切需 要更具体的模型。被称为下一代访问控制的UCON曾被业 界寄予厚望。它虽然是基于属性的,但它的重点在属性可 变性、决策连续性和义务等方面,而不在ABAC核心概念 上[74]o此外,其安全性并未像BLP等那样被证明。SBAC 基于用户的行为状态(历史状态),是比RBAC更丰富的一 种分布式访问控制,本质上并不是ABAC 。RelBAC的 关键思想是:访问是否许可取决于用户和数据之间的关 系,访问控制规则是用户和客体特定集合上的实例129,301。 RelBAC特别适用于以复杂图形式组织起来的用户和数 l技 术 研 究I 20l6年第l2期 \ ■●●■●■●■■●■■■■●■■■■■■■■■一 据[291o这些体现当前水平的新访问控制模型的局限性不难 说明需要新的访问控制模型。 访问控制技术与其他安全技术结合是大势所趋。 AKL 等人在1980年代初就把密码技术应用到访问控制 中。ABE(Attribute—based Encryption,基于属性加密)更 是在云计算环境的访问控制中得到重视[72,76,771。身份证书、 信用证书、屙I生证书等早就作为屙 进入到ABAC中,指纹、 声纹、虹膜等生物特征也在一些访问控制系统中。态势感 知及风险评估则是RAdAC的基本功能。 应用始终是发展的原动力。为了更好地应用,标准化 和规范化必须走在前面。 作为访问控制的重要标准,XACML在从运作环境中 分离数据服务的访问控制功能、效率、属性和策略管理, 支持的策略范围和类型,以及管理检查和资源发现等方 面存在问题[781o针对XACML的问题,美国标准局开发了 NGAC(Next Generation Access Control,下一代访问控制) 标准 ’ '80I。 NGAC与XACML都是目的和目标相似的ABAC标准, 但两者在表示访问请求、表达和管理策略、表示和管理属 性,以及计算和执行决策等方面采用了不同的方法。 NGAC是一个基于关系和体系结构的标准,设计成通 过关系配置实现各种访问控制策略的表示、管理和实施。 NGAC的访问控制数据由基本元素、容器,以及可配 置的关系组成。NGAC使用术语User(用户)、Operation(操 作)和0bject(客体),意义与XACML的Subject、Action 和Resource相似。此外,NGAC还包括流程(Processes)、 管理操作(Administrative Operations)和策略类(Policy Classes)。与XACML类似,NGAC识别用户和客体属性, 但是它把与策略类实体一起的属性作为容器,这些容器是 形成和管理策略与属性的工具。NGAC把用户和流程当成 独立但有关系的实体。流程与试图通过它进行访问的用户 采用相同的属性,并把该用户视为调用自己的用户。 NGAC的每个客体都是一个客体屙陛,但在使用上却 与XACML的资源大不一样。客体是引用类型(Reference), 而不是直接变量。使用一个客体,实际是间接引用其数据 内容。客体集反映了那些需要保护的实体,如文件、剪贴板、 电子邮件和记录字段等。 1 24 NGAC用户容器可以表示角色,隶属关系,或其他与 策略相关的公共特征(如安全许可)等。客体容器用来表 示数据或其他资源。客体容器还能表示组合客体如文件夹, 表单的行、列等。策略类容器则广泛用来编组和表示策略 或数据服务,而每一个容器表示一个不同的相关策略集。 每一个用户,用户属性,以及客体属性都必须至少包含在 一个策略类中。 NGAC的策略通过如下4类关系配置来表示:分配(定 义在容器中的成员)、关联(获得特权)、禁令(派生特权例 外),以及义务(动态改变访问状态)。 NGAC通过访问决策功能来控制以流程表示的访问。 流程代表用户进行操作,该用户必须对涉及到的策略要素 拥有足够的权限。 INCITS 526—2016进一步优化了NGAC—FA 的定义和 概念。这些优化基于集合论和谓词运算,并与Z符号(Z notation)致。因此可以视为形式化的NGAC概念模型[801。 同XACML相比,NGAC有如下优点:1)几乎完全把 访问控制逻辑与运行环境分开;2)更高运算效率;3)属 性和策略管理更标准化、更方便;4)支持的策略范围和类 型更全面;5)支持更有效地对每个用户和每个客体的检测 和资源发现[741。 当然,由于NGAC尚属于新开发阶段,还有待完善, 更有待实践检验。 美国政府也在大力推进ABAC全面应用,继2013年 发布政府指导书规范定义ABAC并全面深入考虑企业范围 部署 后,又从2015年开始编写ABAC实践指南,向企 业和组织机构及安全管理人员演示如何开发、部署和应用 ABAC来保护信息及资产 。 访问控制是实用性极强的技术,我们应该在加强有关 基础研究的同时,开展符合中国国情的访问控制标准化、 规范化建设。当前,应特别加强对ABAC的宣传、指导, 鼓励企业和组织尽陕将现有访问控制升级到ABAC。 4结束语 访问控制是信息安全的基本技术之一。经过近半个世 纪的研究和发展,不但硕果丰富,应用也越来越普及。本 文在回顾、分析访问控制技术发展历程的基础上,提出从 /20l6年第12期 技术层次、元素描述、策略实现、控制者,以及安全目标 等不同角度对访问控制技术进行分类。多角度更有利于理 解、分析及指导应用访问控制技术。本文介绍了当前实际 Access Control Models[I].IEEE Computer,1996,29(2):38—47. 【14]SANDHU R,BHAMIDIPATI V,MUNAWER Q.The ARBAC97 Model for Role—based Administration of RolesⅢ.ACM Trans.on Information and System Securiy,1999,2(1):105-135.t 应用的主流访问控制技术,探讨了它们的发展方向。访问 控制技术可能向新访问控制模型、多技术结合以及实际应 [15】SANDHU R,MUNAWER Q.The ARBAC99 Model for Administration of Roles【c】,/IEEE Computer Society.1 5th Annual Computer Security Applications Conference,December 6—10,1999, Scottsdale,AZ,USA.Washington,USA:IEEE Computer Society, 1999:229—238. 用等方向发展。本文针对访问控制技术发展和实际应用, 提出了建议,希望能对我国的在访问控制技术的研究、发 [16】FERRAIOL0 D F,SANDHU R,GAVRILA S.Proposed NIST 展及推广应用有所裨益。 (责编吴晶) 参考文献: …1罗万伯,刘嘉勇,戴宗坤,等.信息安全应用基础[M].重庆:重 庆大学出版社,2005. 『2J戴宗坤,刘永澄,罗万伯,等.英汉网络信息安全辞典[M】.北京: 电子工业出版社.2003. 【3]LAMPSON B W.Dynamic Protection Structures【C]//American Federation of Information Processing Societies.Proceedings of AFIPS Fall Joint Computer Conference,November 18—20,1969,Las Vegas,Nevada, USA.New Jersey:American Federation of Information Processing Societies Press,1969:27—38. 14J ADAMS C.Access Control:Current Approaches and New Challenges 【C]//The Ottawa Centre for Research and Innovation.New Challenges for Access Control Workshop,April 27,2005,Ottawa,oN,Canada. Ottawa:The Ottawa Centre ofr Research and Innovation,2005:1—5. [5 ANDERSON 5]J P.Computer Security Technology Planning Study[RJ. Bedford,MA,USA:Air Force Systems Command(USAF),ESD— TR-73-51,Vo1.II,Oct.1972. [6】BELL D E,PADULA L L.Secure Computer Systems:Mathematical Foundations[R].Bedford,MA,USA:The MITRE Corporation,MITRE Technical Report 2547,Vo1.1,1973. [7】HARRISON M A,RUZZO W L,ULLMAN J D.Protection in operating systems叭.Communications of ACM,1 976,1 9(8): 461-471. I8】BIBA K.Integrity Considerations for Secure Computer Systems[R]. Bedford,MA,USA:MITRE Corporation,Technical Report MTR一 3153,30June 1975. [9]DoD 5200.28一STD Trusted computer system evaluation criteria【s]. Virginia:United States Department ofDefense.1985. [10]CLARK D D,WILSON D R.A Comparison of Commercial and Military computer Security Pohcies[C]//IEEE Computer Society.IEEE Symposium on Security and Privacy,April 27,1 987,Oakland,Caliofrnia, USA.Washington,USA:IEEE Computer Society,1987:184—194. [1 1]BREWER D F C,NASH M J.The Chinese Wall Security Policy[C]//IEEE Computer Society.IEEE Symposium on Securiyt and Privacy,May 1-3,1989,Oakland,California,USA.Washington,USA: IEEE Computer Society,1989:206—214. [12】FERRAIOLO D,KUHN D R.Role—Based access control fc]// American National Standards Institute.15th National Computer Securiyt Conference,October 13—16,1992,Baltimore,MD,USA.Maryland, USA:American National Standards Institute,1992:554—563. [13】SANDHU R,COYNE E J,FEINSTEIN H L,et a1.Role—Based Standard for Role—based Access Control U].ACM Trans.on Information and Systems Secufity(TISSEC),2001,4(3):224—274. [17】THOMAS R K,SANDHU R S.Task—Based Authentication Control(TBAC):A Family of Models for Active an Enterprise—oriented Authentication Management『C]//International Federation for Information Processing.1lth IFIP Conference on Database Security,August 11—13, 1997,Lake Tahoe,California,USA.London,United Kingdom:Chapman &Hal1.1997:1 1-13. [1 8】oH S,PARK S Task—Role—Based Access Control Model U]. Information System,2003,28(6):533—562 『191 ANDERSoN R I.A Securiyt Pohcy Model for Cliincal Information Systems[C]//IEEE Computer Society.IEEE Symposium on Securiyt and Privacy,May 6-8,1996,Oakland,Caliofrnia,USA.Washington,USA: IEEE Computer Society,1996:30—43. [20】郑周,张大军,李运发.云计算中面向数据存储的安全访问控制 机制[『].信息网络安全,2015(9):221-226. [21]WINSBOROUGH W H,JACOBS J.Automated Trust Negotiation in Attirbute—based Access Control[C]//IEEE Computer Society.DARPA Information Survivabihty Conference and Exposition—Volume II,April 22—24,2003,Washingto1"1,DC USA.Washington,USA:IEEE Computer Society,2003:252 [22]DUAN Haixin,wu Jianping,LI Xing Policy—Based Access Control Framework for Large Networks[C]//IEEE Computer Society.Eighth IEEE International Conference on Networks,September 5—8,2000, Singapore.Washington,USA:IEEE Computer Society,2000:267—272. [23】PARK J,SANDHU R.Towards Usage Control Models:Beyond Traditional Access control[c】//Association for Computing Machinery. 7th ACM Symposium on Access Control Models and Technologies,June 3-4,2002,Caliofrnia,USA.NY,USA:ACM,2002:57-64. [24】SANDHU R,PARK J.Usage control:A Vision for Next Generation Access contro1[c]//St.Petersburg Institute for Informatics and Automation,Binghamton University(SUNY)2nd International Workshop on Mathematical Methods,Models and Architectures for Computer Networks Security,September 21—23,2003,St.Petersburg, Russia.Berlin:Springer—Verlag,2003:17—31. 【25】PARK J,SANDHU R.The UCONABC Usage Control Model【J1 .ACM Trans.on Information and System Security,2004,7(1):128—174 [26]KALAM A A E,BAIDA R E,BALBIANI P,et a1.Organization Based Access C0ntrolfC1//IEEE Computer Society.IEEE 4th International Workshop on Policies for Distributed Systems and Networks(Policy 2003),June 4-6,2003,Lake Come,Italy.Washington,DC,USA:IEEE Computer Society,2003. [27]JASON Program Ofifce.Horizontal Integration:Broader Access Models for Realizing Information Dominance lR】.McLean,Virginia:The MITRE Corporation,JSR一04—132,December 2004. 25 I__ 2016年第12期\ 、——-——————一~[28】BARKER S,SERGOT M J,W1JESEKER2k D.Status—based Access Control U】.ACM Transactions on Information and Systems Security, 2008,12(1):1—47. 【29]GIUNCHIGLIA F,ZHANGR,CRISPOB.RelBAC:Relation-based Access Control[C】//IEEE Computer Society.Fourth International Conference on Semantics,Knowledge and Grid,December 3-5,2008, Beijing,China.Washington,DC,USA:IEEE Computer Society,2008: 3—11. 【30]FONG P W L.Relationship—based Access Control:Protection Model And policy Language[C]//Association for Computing Machinery. Proceedings of the First ACM Conference 0n Data and Application Security and Privacy,February 21—23,2011,San Antonio,TX,USA. New York,NY,USA:ACM,2011:21—23. (31]AHMED A,ZHANG N.A Context—Risk—Aware Access Control Model for Ubiquitous Environments[C]//Polskie Towarzystwo lnformatyczne.Proceedings of the International Multiconference on Computer Science and Information Technology,October 20—22,2008, Wisla,Poland.Washington,DC,USA:IEEE Computer Society,2008 (3):775—782 [32]LUO Xiaofeng,L1 Lin,LUO Wanbo.A Contextual Usage Control Model叽.Technical Gazette,2014,21(1):35—41. [33]罗霄峰,罗万伯.风险自适应PBCUC研究U1.通信技术,2016, 49(7):890—895. [34】FOCARDI R,GORRIERI R.Foundations of Securiyt Analysis and D esign【M】.Berlin:Springer—Verlag,2001:137—196. [35】OASIS.eXtensible Access Control Markup Language(XACML) Version 3.0[EB/OL].http://docs.oasis—open.org/xacrrd/3.0/xacml一3.0一 core—spec—os—en.htm1.2013—1—23. 【36]BISHOP M.Introduction to Computer Security[M].New Jersey: Addison—Wesley,2005. [37】INCITS 359—2012 Information Technology—Role Based Access Control[S].Maryland,USA:American National Standards Institute,2012. [38】DAMIANOU N,BANDARA A K,SLOMAN M,et 1a.A Survey of Policy Speciifcation Approaches m.IEEE Network,2002. [39]HAN Weili,LEI Chang.A Survey on Policy Languages in Network and Securiyt Management卟Computer Networks,2012,56(1):477—489. [40]JAJODIA S,SAMARATI P,sUBRAHMANIAN V S.A Logical Language for Expressing Authorizations[C]//IEEE Computer Society. Proceedings ofIEEE Symposium on Security and Privacy,Mav 4—7,1997, Oakland,CA,USA.Washington,DC,USA:IEEE Computer Society, 1997:31-42. [41】CHEN F,R S SANDHU.Constraints for Role~Based Access con[ro1【c】//Ass0ciation for Computing Machinery.First ACM/NIST Role Based Access Control Workshop,November 30一December 2,1995, Gaithersburg,Maryland.New York,NY,USA:ACM Press,1995:14 【42]RJ HAYTON,Jm BACON,K MooDY Access Control in an Open Distirbuted Environment[C]//IEEE Computer Society.IEEE Symposium on Securiyt and Privacy,M 3—6,1998,Oakland,California, USA.Washington,DC,USA:IEEE Computer Society,1998:3 [43】AHN G,SANDHU R.The RSL99 Language for Role—based Separation of Duty Constraints【C]//Association for Computing Machinery.Proceedings of the fourth ACM Workshop on Role—Based Access Control,October 28—29,1999,Virginia.New York,NY,USA: ACM Press.1999:43-54. 【44】SPIVEY J M.An Introduction to Z and Formal SpeciifcationsⅡ】. 一2l 6 ~ IEE/BCS Sofwtare EngineeringJournal,1989,4(I):40—5O. 【45]GLASGOW J,MACEWEN G,PANANGADEN P.A Logic ofr Reasoning about Security[C]//IEEE Computer Society.Computer Securiyt Foundations Workshop III,June 12—14,1990,Franconia,NH. Washington,DC,USA:IEEE Computer Society,1990,10(3):2—13. 【46]LOBO J,BHATIA R,NAOV【S.A Policy Description Language[C]//Association for the Advancement of Artificial Intelligence. In Proc.of AAAI,July 18—22,1999,Orlando,Florida,USA.California: Association ofr the Advancement ofArtiifcila Intelligence,1999:291-298. 【47]DAMIANOU N,DULAY N,LUPU E,et a1.The Ponder Policy Speciifcation Language【丌.Lecture Notes in Computer,2000,55(g):18—38. [48]BATISTA B L A,FERNANDEZ M P.PonderFlow:A New Policy Speciifcation Language to SDN OpenFlow—based Networks U】. Intemational Journal on Advances in Netwc;rks and Services.2014.7(3— 4):163—172 【49]RIBEIRO C,ZUQUETE A,FERREIRA P,et a1.SPL:An Access Control Language for Security Policies and Complex constraints[C]// Internet Society.Proceedings of the Network and Distributed System Securiyt Symposium,February 8-9,2001,San Diego,California VA, USA:Intemet Society,2001:89—107. [50]HoAGLAND J,PANDEY R,LEVITT K.Security Policy Specification Using a Graphical Approach【EB/OL】.http://www. arXiv:cs/9809124vl,1998-9-30. [51]HERZBERG A,MASS Y,MICHAELIJ,et 1a.Access Control Meets Public Key Infrastructure,or:Assigning Roles to Strangers[C]//IEEE Computer Society Proceedings of the 2000 IEEE Symposium on Securiyt and Privacy,M 14—17,2000,Berkeley,Caliofrnia,USA.Washin【tgon, USA:IEEE Computer Society.2000:2—14. [52】RFC2753一A Framework for Policy—based Admission Control[S]. USA:RFC Editor.2000. [53】BONATTI P and SAMARATI P.Regulating Service Access and Information Release on the web[C]//Association for Computing Machinery.7th ACM Conference on Computer and Communications Security,November 1-4,2000,Athens,Greece.New York,NY,USA: ACM Press.2000:134-143. [54]王小明,付红,张立臣.基于属性的访问控制研究进展 电子 学报,2010,38(7):1660—1667. [55]LI N,MITCHELL J c,wINsBoR0uGH w H.Design of a Role—based Trust Management Framework:[q//IEEE Computer Society. In Proc IEEE Symposium on Security and Privacy,May 12—15,2002, Oakland,California,USA,Washington,USA:IEEE Computer Society, 2002:114—130. [56]Yu T,wINSLETT M,and SEAMONS K E.Prunes:an E伍cient and Complete Strategy for Automated Trust Negotiation over the Intemet[C]//Association ofr Computing Machinery 7th ACM conference on Computer and Communications Security,November 1—4,2000, Athens,Greece.New York,NY,USA:ACM Press,2000:210—219. 【57】OASIS eXtensible Access Control Markup Language(XACML)TC [EB/OL].https://www.oasis—open.org/committees/tc_home.php?wg_ abbrev=xacml#other,2016—5—3. [58】NIST SP 800—162 Guide to Attirbute Based Access Control(ABAC) Definition and Considerations[S]Maryland,USA:National Institute of Stnadards and Technology,2014. [59]NIST SP 1 800—3 ATTRIBUTE BASED ACCESS CONTROL (Draft)【S】.Maryland,USA:National Institute of Standards and ●。。。。 ’ 。。。。。。。。。。。。。。 ’ 。。。。。。。—— /2016年第l2期 Technology,2016. Dynamic Counter——measures for Risk——based Access Control Systems:An 【6O]uNGuREANu V,VESUMA F,MINSKY N.A Policy—based Access Control Mechanism for the Corporate Web[C]//IEEE Computer Society.1 6th Annual Conference of Computer Security Applications, December 11—15,2000,Sheraton New Orleans,Louisiana,USA. Washington,USA:IEEE Computer Society,2000:150—158. Evolutive Approach叽Future Generation Computer Systems,2016,(55): 321-345. [70]LANGALIYA C,ALUVALU R.Enhancing Cloud Securiy tthrou曲 Access Control Models:A SurveyⅡ].International Journal of Computer Applications,2015,i12(7):8-12. [61】BLAZE M,FEIGENBAuM J,LACY J.Decentralized Trust [71】李建,管卫利,刘吉强,等.基5-4-g- ̄评估的网络访问模型卟 信息网络安全,2015(10):14—23 Management[C]//IEEE Computer Society.1 7th IEEE Symposium on Security and Privacy,Mav 6—8,1996,Oakland,California.Washington, DC,USA:IEEE Computer Society,1996:164-173. [72]张玉清,王晓菲,刘雪峰,等.云计算环境安全综述Ⅱ].软件学报, 2016,27(6):1—21 [73]王于丁,杨家海,徐聪,等.云计算访问控制技术研究综述Ⅱ1.软 【62】RFC 2704一The KeyNote Trust—Management System Version 2[S]. IETF.1999. 【63]Gartner.Market Trends:Cloud—Based Security Services Market, Worldwide,2014[EB/OL】.https://www.gartner.com/doc/2607617, 2013-10-15. 【64】MCGRAW R W.Risk—Adaptable Access Control(RAdAC)【C]// National Institute of Standards and Technology.NIST Privilege access) Management Workshop,September 1—3,2009,Gaithersburg,Maryland. Maryland,USA:National Institute of Standards and Technology,2009: 1~1O. [65]KANDALA S,SANDHU R,BHAMIDIPATI V.An Attribute Based Framework for Risk—Adaptive Access Control Models[C]//IEEE Computer Society.201 1 Sixth International Conference on Availabiliyt, Reliabihty and Securiyt(ARES),August 22—26,2011,Vienna,Austria. Washington,DC,USA:IEEE Computer Society,201 1:22—26. [66]BIJON K Z,KRISHNAN R,SANDHU R.A Framework for iRsk—aware Role based Access C0ntrol【C]//IEEE Computer Society.6th Symposium on Securiyt Analytics and Automation,October 14—16,2013, National Harbor,MD,USA Washington,DC,USA:IEEE Computer Society,2013:462—469. 【67]SANTOS D R,WESTPHALL C M,WESTPHALL C B.A Dynamic iRsk—based Access Control Architecture for Cloud Computing[C]//IEEE Computer Society.Network Operations and Management Symposium (NOMS),May 5—9,2014,Krakow,Polnad.Washington,DC,USA:IEEE Computer Society,2014:1~9. 【68]惠榛,李昊,张敏,等.面向医疗大数据的风险自适应的访问控 制模型UJ.通信学报,2015,36(12):190—199. [69]D i az—L6pez D,D 6lera—Tormo G,G 6mez—Ma rmol F,et a1. 件学报,2015,26(5):1129—1150. [74]LAZOUSKI A,MARTINELLI F,MORI P.Usage Control in Computer Security:A SurveyⅡ].Computer Science Review,2010,4(2): 81-99. [75]AKL S G,TAYLOR P D.Cryptographic Solution to a Problem of Access Control in a Hierarchy UJ.ACM Transactions on Computer Systems,1983,1(3):239—248. [76]ALUVALU R,MUDDANA L.A Survey on Access Control Models in Cloud Computing[C]//Computer Society of India.Emerging ICT for Bridging the Future—Proceedings of the 49th Annum Convention of the Computer Society of India,December 12—14,2014,Hyderabad,India. Switzerlnad:Springer International Publishing,2015:653—663, [77】KAMLIYA V,ALUVALU R.A Survey on Hierarchical Attirbute Set based Encryption(HASBE)Access Control Model for Cloud Computing Il1.InternationalJournal ofComputerApplications,2015,112(7):4-7. [78]FERRAIOL0 D,cHANDRAM0u LI R,KuHN R,et a1. Extensible Access Control Markup Language(XACML)and Next Generation Access Control(NGAC)[c]//Ass0ciati0n for Computing Machinery.2016 ACM International Workshop on Attirbute Based Access Control,March 9—11,2016,New Orleans,LA,USA.New York,NY, USA:ACM.2016:13—24. [79J INCITS 499—201 3 Information Technology—Next Generation Access Control—Functional Architecture[s].Maryland,USA:American National Standards Institute,March 2013. 【80]INCITS 526—2016 Information technology—Next Generation Access Control—Generic Operations and Data Structures【S]S.Maryland,USA: American National Standards Institute 2016. 27