訪問控制方式總結(jié)

1、訪問控制方式總結(jié)授權(quán)是根據(jù)實(shí)體所對(duì)應(yīng)的特定身份或其他特征而賦予實(shí)體權(quán)限的過程， 通常 是以訪問控制的形式實(shí)現(xiàn)的。 訪問控制是為了限制訪問主體 （或稱為發(fā)起者， 是 一個(gè)主動(dòng)的實(shí)體，如用戶、進(jìn)程、服務(wù)等）對(duì)訪問客體（需要保護(hù)的資源）的訪 問權(quán)限，從而使計(jì)算機(jī)系統(tǒng)在合法范圍內(nèi)使用； 訪問控制機(jī)制決定用戶及代表一 定用戶利益的程序能做什么以及做到什么程度。 訪問控制依據(jù)特定的安全策略和 執(zhí)行機(jī)制以及架構(gòu)模型保證對(duì)客體的所有訪問都是被認(rèn)可的， 以保證資源的安全 性和有效性。訪問控制是計(jì)算機(jī)發(fā)展史上最重要的安全需求之一。 美國國防部發(fā)布的可信 計(jì)算機(jī)系統(tǒng)評(píng)測標(biāo)準(zhǔn)（Trusted Computer Sys

2、tem Evaluation Criteria, TCSEC,即 橘皮書），已成為目前公認(rèn)的計(jì)算機(jī)系統(tǒng)安全級(jí)別的劃分標(biāo)準(zhǔn)。訪問控制在該標(biāo) 準(zhǔn)中占有極其重要的地位。 安全系統(tǒng)的設(shè)計(jì), 需要滿足以下的要求： 計(jì)算機(jī)系統(tǒng) 必須設(shè)置一種定義清晰明確的安全授權(quán)策略； 對(duì)每個(gè)客體設(shè)置一個(gè)訪問標(biāo)簽, 以 標(biāo)示其安全級(jí)別； 主體訪問客體前, 必須經(jīng)過嚴(yán)格的身份認(rèn)證； 審計(jì)信息必須獨(dú) 立保存, 以使與安全相關(guān)的動(dòng)作能夠追蹤到責(zé)任人。 從上面可以看出來, 訪問控 制常常與授權(quán)、身份鑒別和認(rèn)證、審計(jì)相關(guān)聯(lián)。設(shè)計(jì)訪問控制系統(tǒng)時(shí), 首先要考慮三個(gè)基本元素： 訪問控制策略、 訪問控制 模型以及訪問控制機(jī)制。 其中,訪問控

3、制策略是定義如何管理訪問控制, 在什么 情況下誰可以訪問什么資源。 訪問控制策略是動(dòng)態(tài)變化的。 訪問控制策略是通過 訪問機(jī)制來執(zhí)行, 訪問控制機(jī)制有很多種, 各有優(yōu)劣。 一般訪問控制機(jī)制需要用 戶和資源的安全屬性。用戶安全屬性包括用戶名,組名以及用戶所屬的角色等, 或者其他能反映用戶信任級(jí)別的標(biāo)志。 資源屬性包括標(biāo)志、 類型和訪問控制列表 等。為了判別用戶是否有對(duì)資源的訪問, 訪問控制機(jī)制對(duì)比用戶和資源的安全屬 性。訪問控制模型是從綜合的角度提供實(shí)施選擇和計(jì)算環(huán)境, 提供一個(gè)概念性的 框架結(jié)構(gòu)。目前人們提出的訪問控制方式包括： 自主性訪問控制、 強(qiáng)訪問控制、 基于角 色的訪問控制等自主性訪問控

4、制美國國防部(Departmentof Defense, DoD)在1985年公布的“可信計(jì)算機(jī)系 統(tǒng)評(píng)估標(biāo)準(zhǔn)(trusted computer system evaluation criteria TCSEC)” 中明確提出了訪 問控制在計(jì)算機(jī)安全系統(tǒng)中的重要作用， 并指出一般的訪問控制機(jī)制有兩種： 自 主訪問控制和強(qiáng)制訪問控制。 自主訪問控制 (DAC) 根據(jù)訪問請(qǐng)求者的身份以及規(guī) 定誰能(或不能) 在什么資源進(jìn)行什么操作的訪問規(guī)則來進(jìn)行訪問控制， 即根據(jù) 主體的標(biāo)識(shí)或主體所屬的組對(duì)主體訪問客體的過程進(jìn)行限制。在 DAC 系統(tǒng)中， 訪問權(quán)限的授予可以進(jìn)行傳遞， 即主體可以自主地將其擁有的對(duì)

5、客體的訪問權(quán)限 (全部或部分地)授予其它主體。 DAC 根據(jù)主體的身份及允許訪問的權(quán)限進(jìn)行 決策。自主是指具有某種訪問能力的主體能夠自主地將訪問權(quán)的某個(gè)子集授予其 它主體。在 DAC 系統(tǒng)中，由于 DAC 可以將訪問權(quán)限進(jìn)行傳遞，對(duì)于被傳遞出 去的訪問權(quán)限，一般很難進(jìn)行控制。比如，當(dāng)某個(gè)進(jìn)程獲得了信息之后，該信息 的流動(dòng)過程就不再處于控制之中，就是說如果A可訪問B, B可訪問C,則A就可訪問C，這就導(dǎo)致主體對(duì)客體的間接訪問無法控制(典型如操作系統(tǒng)中文件系統(tǒng))。這就造成資源管理分散，授權(quán)管理困難；用戶間的關(guān)系不能在系統(tǒng)中體 現(xiàn)出來；信息容易泄漏，無法抵御特洛伊木馬的攻擊；系統(tǒng)開銷巨大，效率低下

6、的缺點(diǎn)，不適合大型網(wǎng)絡(luò)應(yīng)用環(huán)境。強(qiáng)訪問控制強(qiáng)制訪問控制 (MAC) 根據(jù)中央權(quán)威所確定的強(qiáng)制性規(guī)則來進(jìn)行訪問控制。 和 DAC 不同，強(qiáng)制訪問控制并不具備訪問主體自主性，主體必須在由中央權(quán)威制 定的策略規(guī)則約束下對(duì)系統(tǒng)資源進(jìn)行訪問。 強(qiáng)制訪問控制是一種不允許主體干涉 的訪問控制類型，是基于安全標(biāo)識(shí)和信息分級(jí)等信息敏感性的訪問控制。 在 MAC 中，系統(tǒng)安全管理員強(qiáng)制分配給每個(gè)主 /客體一個(gè)安全屬性，強(qiáng)制訪問控制根據(jù) 安全屬性來決定主體是否能訪問客體。安全屬性具有強(qiáng)制性，不能隨意更改。MAC 最早出現(xiàn)在美國軍方的安全體制中，并且被美國軍方沿用至今。在 MAC 方案中，每個(gè)目標(biāo)由安全標(biāo)簽分級(jí)，每個(gè)

7、對(duì)象給予分級(jí)列表的權(quán)限。分級(jí) 列表指定哪種類型的 分級(jí)目標(biāo)對(duì) 象是可以訪問 的 。典型 安全策略就是 “read-down”和“ write-up”，指定對(duì)象權(quán)限低的可以對(duì)目標(biāo)進(jìn)行讀操作，權(quán)限高的就可以對(duì)目標(biāo)進(jìn)行寫操作。 MAC 通過基于格的非循環(huán)單向信息流政策來防 止信息的擴(kuò)散， 抵御特洛伊木馬對(duì)系統(tǒng)保密性的攻擊。 系統(tǒng)中， 每個(gè)主體都被授 予一個(gè)安全證書，而每個(gè)客體被指定為一定的敏感級(jí)別。 MAC 的兩個(gè)關(guān)鍵規(guī)則 是：不向上讀和不向下寫， 即信息流只能從低安全級(jí)向高安全級(jí)流動(dòng)。 任何違反 非循環(huán)信息流的行為都是被禁止的。 MAC 實(shí)現(xiàn)一般采用安全標(biāo)簽機(jī)制，由于安 全標(biāo)簽的數(shù)量是非常有限的，

8、 因此在授權(quán)管理上體現(xiàn)為粒度很粗。 但是由于 MAC 本身的嚴(yán)格性， 授權(quán)管理方式上顯得刻板， 不靈活。如果主體和權(quán)限的數(shù)量龐大， 授權(quán)管理的工作量非常大。在 MAC 中，允許的訪問控制完全是根據(jù)主體和客體 的安全級(jí)別決定。其中主體(用戶、進(jìn)程)的安全級(jí)別是由系統(tǒng)安全管理員賦予 用戶，而客體的安全級(jí)別則由系統(tǒng)根據(jù)創(chuàng)建它們的用戶的安全級(jí)別決定。因此， 強(qiáng)制訪問控制的管理策略是比較簡單的， 只有安全管理員能夠改變主體和客體的 安全級(jí)別。 MAC 應(yīng)用領(lǐng)域也比較窄，使用不靈活，一般只用于軍方等具有明顯 等級(jí)觀念的行業(yè)或領(lǐng)域；雖然 MAC 增強(qiáng)了機(jī)密性，但完整性實(shí)施不夠，它重點(diǎn) 強(qiáng)調(diào)信息向高安全級(jí)的方

9、向流動(dòng)，對(duì)高安全級(jí)信息的完整性保護(hù)強(qiáng)調(diào)不夠?；诮巧脑L問控制隨著網(wǎng)絡(luò)技術(shù)的迅速發(fā)展， 對(duì)訪問控制提出了更高的要求， 傳統(tǒng)的訪問控制 技術(shù) (DAC,MAC) 已經(jīng)很難滿足這些需求，于是提出了新型的基于角色的訪問控 制(RBAC)。RBAC有效地克服了傳統(tǒng)訪問控制技術(shù)的不足，降低授權(quán)管理的復(fù) 雜度，降低管理成本，提高系統(tǒng)安全性，成為近幾年訪問控制領(lǐng)域的研究熱點(diǎn)。最早使用RBAC這個(gè)術(shù)語，是在1992年Ferraiolo和Kuhn發(fā)表的文章中。 提出了 RBAC中的大部分術(shù)語，如，角色激活(Role Activation)，角色繼承(Role Hierarchy)，角色分配時(shí)的約束(Constr

10、aints等等。因?yàn)镽BAC借鑒了較為人們熟 知的用戶組、權(quán)限組和職責(zé)分離(Separation of Duty)等概念，而且，以角色為中 心的權(quán)限管理更為符合公司和企業(yè)的實(shí)際管理方式。Ferraiolo和Sandhu等人分別在1994年后提出了有關(guān)RBAC模型的早期形式化定義，其中，Sandhu等人定 義了 RBAC 模型的一個(gè)比較完整的框架，即 RBAC96 模型。 RBAC1 和 RBAC2 都建立在 RBAC0 之上， RBAC1 給出了角色繼承的概念， RBAC2 增加了約束的 概念。在擴(kuò)展研究中， RBAC 管理方面，研究者試圖采用 RBAC 本身來管理 RBAC，于是，出現(xiàn)ARB

11、AC97模型及其擴(kuò)展，這些模型讓管理角色及其權(quán)限獨(dú) 立于常規(guī)角色及其權(quán)限。第二是 RBAC 功能方面。研究者通過擴(kuò)展 RBAC 的約 束來增強(qiáng)它的表達(dá)能力， 以適應(yīng)不同情況下的權(quán)限管理。 最初的約束是用來實(shí)現(xiàn) 權(quán)責(zé)分離，后來又出現(xiàn)了其他的約束，如，約束角色的用戶數(shù)目，增加了時(shí)間約 束的 TRBAC 模型，增加了權(quán)限使用次數(shù)的 UCRBAC 模型，帶有使用范圍的靈 活約束，采用形式化的語言來描述 RBAC 的約束，如 RCL2000 語言、對(duì)象約束 語言(OCL, Object Constraint Language和其他語言等。第三，是討論 RBAC與其 他訪問控制模型的關(guān)系。第四是 RBAC

12、 在各個(gè)領(lǐng)域的應(yīng)用。美國國家標(biāo)準(zhǔn)與技 術(shù)研究院(The Natio nal I nstitute of Sta ndards and Tech no logy, NIST)制定的標(biāo)準(zhǔn) RBAC 模型由 4 個(gè)部件模型組成，這 4 個(gè)部件模型包括 RBAC 的核心 (Core RBAC)，RBAC 的繼承(Hierarchal RBAC)，RBAC 的約束(Constraint RBAC)中的 靜態(tài)職權(quán)分離(SSD)和動(dòng)態(tài)職權(quán)分離(DSD)兩個(gè)責(zé)任分離部件模型。RBAC 的核心思想就是將訪問權(quán)限與角色相聯(lián)系， 通過給用戶分配合適的角 色，讓用戶與訪問權(quán)限相聯(lián)系。 角色是根據(jù)企業(yè)內(nèi)為完成各種不同的

13、任務(wù)需要而 設(shè)置的，根據(jù)用戶在企業(yè)中的職權(quán)和責(zé)任來設(shè)定它們的角色。 用戶可以在角色間 進(jìn)行轉(zhuǎn)換，系統(tǒng)可以添加、刪除角色，還可以對(duì)角色的權(quán)限進(jìn)行添加、刪除。這 樣通過應(yīng)用 RBAC 將安全性放在一個(gè)接近組織結(jié)構(gòu)的自然層面上進(jìn)行管理。在 DAC 和 MAC 系統(tǒng)中，訪問權(quán)限都是直接授予用戶，而系統(tǒng)中的用戶數(shù)量眾多， 且經(jīng)常變動(dòng) ,這就增加了授權(quán)管理的復(fù)雜性。RBAC 彌補(bǔ)了這方面的不足，簡化了各種環(huán)境下的授權(quán)管理。RBAC模型引入了角色(role)這一中介，實(shí)現(xiàn)了用戶 (user)與訪問許可權(quán)(permission)的邏輯分離。在RBAC系統(tǒng)模型中，用戶是動(dòng)態(tài) 變化的， 用戶與特定的一個(gè)或多個(gè)角色

14、相聯(lián)系， 擔(dān)任一定的角色。 角色是與特定 工作崗位相關(guān)的一個(gè)權(quán)限集， 角色與一個(gè)或多個(gè)訪問許可權(quán)相聯(lián)系， 角色可以根 據(jù)實(shí)際的工作需要生成或取消。 用戶可以根據(jù)自己的需要?jiǎng)討B(tài)激活自己擁有的角 色。與用戶變化相比，角色變化比較穩(wěn)定。系統(tǒng)將訪問權(quán)限分配給角色，當(dāng)用戶 權(quán)限發(fā)生變化時(shí)， 只需要執(zhí)行角色的撤消和重新分配即可。 另外，通過角色繼承 的方法可以充分利用原來定義的角色，使得各個(gè)角色之間的邏輯關(guān)系清晰可見， 同時(shí)又避免了重復(fù)工作，減小了出錯(cuò)幾率?；谏舷挛牡脑L問控制CBAC 是在 RBAC 研究的基礎(chǔ)上產(chǎn)生的。 CBAC 是把請(qǐng)求人所處的上下文 環(huán)境作為訪問控制的依據(jù)?；谏舷挛牡脑L問控制，可

15、以識(shí)別上下文，同時(shí)，其 策略管理能夠根據(jù)上下文的變化， 來實(shí)現(xiàn)動(dòng)態(tài)的自適應(yīng)。 一般地， 基于上下文的 訪問控制利用了語義技術(shù)，以此實(shí)現(xiàn)上下文和策略的更高層次的描述和推理。通用的基于角色的訪問控制通用的基于角色的訪問控制 (Generalized Role-Based Access Contro，l GRBAC) 是RBAC的延伸，比RBAC更為靈活。RBAC模型局限于基于主體(subject)特性， 對(duì)于客體(object)或環(huán)境狀況不能很好的區(qū)分支持。RBAC不能支持與時(shí)間(time) 有關(guān)的控制，同時(shí)也不能很好地支持基于內(nèi)容的控制。針對(duì) RBAC 這些問題， GRBAC通過在策略中增加環(huán)境

16、狀態(tài)(environmental state和客體狀態(tài)(object state) 來解決這些問題。 GRBAC 用客體角色來支持基于內(nèi)容的訪問控制?；趦?nèi)容的 訪問控制(Content-Based Access Contro通過有效整合等級(jí)文件系統(tǒng)進(jìn)行控制。 與 內(nèi)容的訪問控制不同， GRBAC 主要運(yùn)用與安全相關(guān)的對(duì)象狀態(tài)或?qū)傩?，通過對(duì) 象角色來控制。 GRBAC 比 RBAC 更為復(fù)雜， RBAC 是 GRBAC 的一個(gè)特例?；诮M的訪問控制協(xié)同工作環(huán)境下的訪問控制在執(zhí)行特定任務(wù)時(shí)， 需要?jiǎng)討B(tài)、靈活地進(jìn)行訪問 權(quán)限的分配、執(zhí)行和管理。在協(xié)同環(huán)境中，對(duì)于執(zhí)行某一個(gè)任務(wù)的特定角色，可 以將這

17、同一角色分配給很多用戶。 針對(duì)這種分配有同一角色的眾多用戶， 如何進(jìn) 行有效的靈活管理的問題，Thomas在1997年提出基于組的訪問控制(Team-based Access Control， TMAC )?；谌蝿?wù)的訪問控制隨著數(shù)據(jù)庫、 網(wǎng)絡(luò)和分布式計(jì)算的發(fā)展， 組織任務(wù)進(jìn)一步自動(dòng)化， 與服務(wù)相 關(guān)的信息進(jìn)一步計(jì)算機(jī)化， 為了解決隨著任務(wù)的執(zhí)行而進(jìn)行動(dòng)態(tài)授權(quán)的安全保護(hù) 問題，提出了基于任務(wù)的訪問控制(Task-based Access ContrqlTBAC)模型。TBAC 是從應(yīng)用和企業(yè)層角度來解決安全問題(而非從系統(tǒng)角度) 。 TBAC 采用“面向 服務(wù)”的觀點(diǎn)，從任務(wù)的角度，建立安全模

18、型和實(shí)現(xiàn)安全機(jī)制，依據(jù)任務(wù)和任務(wù) 狀態(tài)的不同， 在任務(wù)處理的過程中提供動(dòng)態(tài)實(shí)時(shí)的安全管理。 TBAC 模型包括工 作流(Work flow, Wf)，授權(quán)結(jié)構(gòu)體(Authorization unit, Au)，受托人集(Trustee-Set, T),許可集(Permissions, P)四部分。其中，Wf是由一系列Au組成；Au之間存 在順序依賴，失敗依賴，分權(quán)依賴，代理依賴 的關(guān)系。在 TBAC 中，授權(quán)需 用五元組(S,O,P丄,AS)來表示。(1) S 表示主體， O 表示客體， P 表示許可， L 表示生命期 (lifecycle) ；(2) AS表示授權(quán)步(Authorizatio

19、n step)，是指在一個(gè)工作流程中對(duì)處理對(duì)象(如辦公流程中的原文檔)的一次處理過程。授權(quán)步由受托人集(trustee-set和多個(gè)許可集(permissions set組成，其中，受托人集是可被授予執(zhí)行授權(quán)步的用戶的 集合，許可集則是受托集的成員被授予授權(quán)步時(shí)擁有的訪問許可。(3) P 是授權(quán)步 AS 所激活的權(quán)限， L 則是授權(quán)步 AS 的存活期限。L和AS是TBAC不同于其他訪問控制模型的顯著特點(diǎn)。在授權(quán)步AS被觸發(fā)之前，它的保護(hù)態(tài)是無效的，其中包含的許可不可使用。當(dāng)授權(quán)步AS被觸發(fā)時(shí)，它的委托執(zhí)行者開始擁有執(zhí)行者許可集中的權(quán)限， 同時(shí)它的生命期開始倒記 時(shí)。在生命期期間，五元組(S,O

20、,P,L,AS)有效。當(dāng)生命期終止，即授權(quán)步 AS被定 為無效時(shí)，五元組(S,O,P,L,AS)無效，委托執(zhí)行者所擁有的權(quán)限被回收。通過授 權(quán)步的動(dòng)態(tài)權(quán)限管理， TBAC 可以支持最小權(quán)限和職責(zé)分離原則。TBAC 是一種主動(dòng)安全模型， 在這種模型中， 對(duì)象的訪問權(quán)限控制并不是靜 止不變的， 而是隨著執(zhí)行任務(wù)的上下文環(huán)境發(fā)生變化。 TBAC 是從工作流的環(huán)境 來考慮信息安全問題。 在工作流環(huán)境中， 每一步對(duì)數(shù)據(jù)的處理都與以前的處理相 關(guān)，相應(yīng)的訪問控制也是這樣， 因此， TBAC 是一種上下文相關(guān)的訪問控制模型。 TBAC 不僅能對(duì)不同工作流實(shí)行不同的訪問控制策略， 而且還能對(duì)同一工作流的 不同

21、任務(wù)實(shí)例(instanee實(shí)行不同的訪問控制策略，所以，TBAC又是一種基于實(shí) 例的訪問控制模型。在 TBAC 中，用戶對(duì)于授予的權(quán)限的使用具有時(shí)效性的。 TBAC 比較適合分布式計(jì)算和多點(diǎn)訪問控制的信息處理控制以及在工作流、 分布 式處理和事務(wù)管理系統(tǒng)中的決策指定。 T-RBAC 模型把任務(wù)和角色置于同等重要 的地位，它們是兩個(gè)獨(dú)立而又相互關(guān)聯(lián)的重要概念。任務(wù)是 RBAC 和 TBAC 能 結(jié)合的基礎(chǔ)?；趯傩缘脑L問控制在開放環(huán)境下 (如互聯(lián)網(wǎng) )不同的客戶端和服務(wù)器頻繁交互，這些交互方有時(shí) 處于不同的安全域之內(nèi)， 相互只能知道對(duì)方部分信息。 傳統(tǒng)的基于身份的訪問控 制 (IBAC) 已不能

22、適用于這種環(huán)境， 基于屬性的訪問控制 (ABAC) 能夠很好地適應(yīng) 這種開放的網(wǎng)絡(luò)環(huán)境?；趯傩缘脑L問控制模型 (ABAC) 是根據(jù)參與決策的相關(guān)實(shí)體的屬性來進(jìn)行 授權(quán)決策的。 ABAC 中的基本元素包括請(qǐng)求者，被訪問資源，訪問方法和條件， 這些元素統(tǒng)一使用屬性來描述，各個(gè)元素所關(guān)聯(lián)的屬性可以根據(jù)系統(tǒng)需要定義。 屬性概念將訪問控制中對(duì)所有元素的描述統(tǒng)一起來，同時(shí)擺脫了基于身份的限 制。在 ABAC 中，策略中的訪問者是通過訪問者屬性來描述，同樣，被訪問資 源、訪問方法也是通過資源和方法的屬性來描述， 而條件用環(huán)境屬性來描述。 環(huán) 境屬性通常是一類不屬于主體， 資源和方法的動(dòng)態(tài)屬性， 如訪問時(shí)間

23、， 歷史信息 等。條件有時(shí)也會(huì)用來描述不同類型屬主具有的屬性之間的關(guān)系， 如訪問者的某 一屬性與資源的某一屬性之間的關(guān)系。 ABAC 是否允許一個(gè)主體訪問資源是根據(jù) 請(qǐng)求者、被訪問資源以及當(dāng)前上下文環(huán)境的相關(guān)屬性來決定的。這使得 ABAC 具有足夠的靈活性和可擴(kuò)展性， 同時(shí)使得安全的匿名訪問成為可能， 這在大型分 布式環(huán)境下是十分重要的931。XACML集中體現(xiàn)了 CBAC和ABAC的思想， 利用上下文中包含的請(qǐng)求方的屬性信息， 與事前制定的策略進(jìn)行匹配， 來進(jìn)行訪 問控制決策和授權(quán)。非自主性訪問控制非自主性訪問控制 (NDAC) 適用于一部分用戶的權(quán)限是既定的，但是還需要 對(duì)訪問權(quán)限的委托進(jìn)

24、行控制。 NDAC 策略必須是全局的、持久的訪問控制策略， 并且該策略需要一些管理員無法直接控制的信息才能做出決策 (而在 MAC 策略 中，訪問控制權(quán)限完全由主體和客體的安全密級(jí)決定) 。管理策略規(guī)定了哪些主 體可以修改訪問權(quán)限，而且這些管理策略只能是 DAC 策略。管理策略可以被分 為如下幾類：(I)集中式的，只有一個(gè)授權(quán)人(或是組)能夠?qū)τ脩舻脑L問權(quán)限進(jìn) 行管理； (2)層次化的，有一個(gè)核心的授權(quán)人負(fù)責(zé)將管理職責(zé)指派給其他的管理 員，然后這些管理員就可以在其職責(zé)范圍內(nèi)對(duì)用戶的訪問權(quán)限進(jìn)行管理；(3)合作式的，對(duì)特定資源的授權(quán)必須由多個(gè)授權(quán)人合作進(jìn)行?；谛抛u(yù)的訪問控制1996年，M. B

25、laze等人為了解決In ternet網(wǎng)絡(luò)服務(wù)的安全問題，首次提出了“信任管理(Trust Management)”的概念，其基本思想是承認(rèn)開放系統(tǒng)中安全信 息的不完整性，提出系統(tǒng)的安全決策需要附加的安全信息。與此同時(shí)，A.Adul-Rahman 等學(xué)者則從信任的概念出發(fā)， 對(duì)信任內(nèi)容和信任程度進(jìn)行劃分， 并 從信任的主觀性入手給出信任的數(shù)學(xué)模型用于信任評(píng)估。 長期以來， 信任管理技 術(shù)演化發(fā)展為兩個(gè)分支： 基于憑證和策略的理性信任模型和基于信譽(yù)的感性信任 模型。針對(duì)網(wǎng)格應(yīng)用具體環(huán)境， 這兩種模型各有優(yōu)缺點(diǎn)。 對(duì)于理性信任模型而言， 由于在廣域網(wǎng)格環(huán)境下缺乏公共認(rèn)可的權(quán)威機(jī)構(gòu)， 憑證并不完全可

26、靠， 也并不一 定能通行無阻； 而且完全依靠認(rèn)證中心， 弱化了個(gè)體的自我信任， 而盲目信任大 范圍內(nèi)的認(rèn)證中心， 往往會(huì)無法解決個(gè)體間的利益沖突。 在基于信譽(yù)的感性信任 模型中，也存在著很多問題：存在著評(píng)價(jià)空白時(shí)“信”與“不信”的臨界兩難狀 態(tài)；對(duì)惡意行為的免疫力不強(qiáng)， 譬如對(duì)惡意推薦缺乏行之有效的過濾方法， 對(duì)策 略型欺騙行為缺乏有效的識(shí)別和抑制； 對(duì)評(píng)價(jià)反饋行為缺乏激勵(lì)， 從而容易導(dǎo)致 系統(tǒng)中信譽(yù)證據(jù)的不足； 缺乏對(duì)多種上下文環(huán)境下的信譽(yù)評(píng)估進(jìn)行綜合集成的能 力等。傳統(tǒng)的訪問控制實(shí)際上是基于信任管理中的理性信任模型?；谛抛u(yù)的訪問控制， 基于信任管理的感性信任模型， 是將訪問請(qǐng)求方的信 譽(yù)度作為衡量是否授權(quán)的標(biāo)準(zhǔn)的訪問控制技術(shù)，是一種比較新的訪問控制技術(shù)。 基于信譽(yù)的訪問控制的核心目標(biāo)是為了更好的實(shí)現(xiàn)預(yù)期收益， 同時(shí)應(yīng)對(duì)授權(quán)行為 帶給服務(wù)提供方的不確定性、 脆弱性和風(fēng)險(xiǎn)性問題。 其根據(jù)請(qǐng)求方的當(dāng)前及歷史 狀態(tài)，評(píng)估其信譽(yù)，并設(shè)置信任閾值是達(dá)到上述目標(biāo)的有效手段。此外，基于信 譽(yù)的訪問控制可以實(shí)現(xiàn)提供方的其他目標(biāo)： 1、根據(jù)必須滿足的信任條件將權(quán)限 分級(jí)。不同的權(quán)限對(duì)于