基于角色和属性的零信任访问控制模型研究.pdf
《基于角色和属性的零信任访问控制模型研究.pdf》由会员分享,可在线阅读,更多相关《基于角色和属性的零信任访问控制模型研究.pdf(7页珍藏版)》请在咨信网上搜索。
1、学术论文DOl:10.12379/j.issn.2096-1057.2024.03.07ResearchPapers基于角色和属性的零信任访问控制模型研究许盛伟田宇”邓烨”刘昌赫”1(北京电子科技学院信息安全研究所北京100070)2(北京电子科技学院网络空间安全系北京100070)3(北京电子科技学院密码科学与技术系北京100070)()Research on Zero Trust Access Control Model Based on Role and Attribute刘家兴”Xu Shengwei,Tian Yu,Deng Ye,Liu Changhe,and Liu Jiaxin
2、g?I(Institute of Information Security,Beijing Electronic Science and Technology Institute,Beijing 100070)2(Department of Cyberspace Security,Beijing Electronic Science and Technology Institute,Beijing 100070)3(Department of Cryptologic Science and Technology,Beijing Electronic Science and Technology
3、 Institute,Beijing100070)Abstract In the face of many security threats in the network,the traditional access control modelis increasingly exposed to the problems of poor dynamics of permission allocation,low sensitivityto new threats,and high complexity of resource allocation.This paper proposed a z
4、ero trust accesscontrol model based on role and attribute to address the above problems.The model used a logisticregression approach to trust assessment of access subjects to achieve access control with highsensitivity to access subject attribute,and adopted a new resource decision tree,which reduce
5、d thetime complexity of resource permission assignment while achieving finer-grained security for accesscontrol.Finally,verifying the model in this paper under typical application scenarios showed thatthe model was significantly better than the traditional access control model in terms of dynamicass
6、ignment of permissions.Key words zero trust;role;attribute;access control;resource decision tree摘要面对网络中大量涌现的安全威胁,传统访问控制模型暴露出权限分配动态性差、面对新威胁敏感度低以及资源分配复杂度高的问题.针对上述问题,提出一种基于角色和属性的零信任访问控制模型,模型使用逻辑回归的方法对访问主体进行信任评估,实现对访问主体属性高敏感度的访问控制,并采用一种全新的资源决策树,在实现访问控制更细粒度安全性的同时,降低了对资源权限分配的时间复杂度.最后,通过在典型应用场景下对模型进行验证,表明该
7、模型在权限动态分配方面明显优于传统访问控制模型.收稿日期:2 0 2 3-0 5-0 9基金项目:国家重点研发计划项目(2 0 2 2 YFB3104402);中央高校基本科研业务费专项资金项目(32 8 2 0 2 2 2 1)通信作者:田宇(92 38 54537 )引用格式:许盛伟,田宇,邓烨,等.基于角色和属性的零信任访问控制模型研究J.信息安全研究,2 0 2 4,10(3):2 41-2 47网址http:/ 1 241信息安全研究第10 卷第3期2 0 2 4年3月Journalot information Security ResearchVol.10No.3Mar.2024关
8、键词零信任;角色;属性;访问控制;资源决策树中图法分类号TP393.08随着信息网络技术的高速发展,传统的基于划分安全区域,在网络边界处部署譬如防火墙、人侵检测系统(IDS)、人侵防御系统(IPS)等安全设备的边界安全理念在面对越来越繁杂的网络基础设施时难以设置边界,同时在面对越来越多来自网络内部的攻击时无能为力.而贯彻“永不信任、始终验证”原则的零信任1-2 模型是解决上述问题的有效手段之一,零信任模型使访问行为得到更细粒度的控制会持续地对访问主体进行身份验证和动态授权,实现对客体资源的细粒度安全访问控制.2010 年,Forrester 的分析师Kindervag3首次提出了“零信任”这一
9、术语,建议对所有的访问请求进行安全控制.之后,谷歌公司在BeyondCorp项目中开始尝试使用零信任安全模型取代传统的基于网络边界的网络安全模型4.目前在零信任架构下的访问控制模型研究发展得较为迅速,但仍存在信任值评估算法不准确、对资源属性的遍历效率不高、无法做到既保证细粒度又保证查询效率等问题.针对以上问题,本文提出一种基于角色和属性的零信任访问控制模型,主要有3个方面的贡献:1)创新性地提出一种资源决策树模型,提高了模型细粒度和查找效率;2)提出一种新的信任度量体系,基于逻辑回归与调和平均数模型对信任值的计算进行优化,依据最小权限原则结合惩罚机制与奖励机制,对访问主体进行持续性的综合信任评
10、估,实现安全、高效、合理的动态访问控制;3)优化零信任架构下的访问控制流程。1方案设计1.1#模型架构零信任访问控制模型主要由资源服务器、权限服务器、信任服务器、决策服务器以及安全网关组成,如图1所示.与传统VPN先连接、后认证的接入方式不同,模型采取先认证、后接入的连接方式,有效减少了模型的暴露面.信任服务器是动态信任评估体系的“核心”,当访问主体进行访问时,信任服务器会根据其属性对其计算信任值,并根据访问主体的信任值为其分配一个角色.资源服务器通过计算资源值量化每项资源的重要性,使用资源哈希值对资源进行标识,同时将资源划分最小单位.权限服务器计算权限值,维护角色链表,生成资源决策树.决策服
11、务器通过访问主体申请产生的资源值、权限值计算决策值,通过访问主体角色(信任值)与决策值的决策服务器决策值计算决策判断PKI安全网关访问主体信任服务器信任值计算权限服务器角色链表权限值计算资源服务器最小资源哈希资源值计算图1零信任访问控制模型架构242学术论文.ResearchPapers对应关系判断访问主体的申请是否通过.1.2资资源决策树模型资源决策树由资源决策点组成,资源决策点包含资源哈希值、权限集合、决策区间以及连接其他资源决策点的左、右指针.当访问主体接人模型后模型会为其分配1个角色,每个角色连接至1个资源决策树的根节点,资源决策树在数据结构上是一个二叉树,如图2 所示.资源决策树的左
12、子树连接同一资源不同权限资源哈希值权限集合决策区间2资源哈希值权限集合决策区间3Hash3左指针(4)右指针的资源决策点,右子树则连接包含不同资源的资源决策点.1个角色所能连接的二叉树中所有节点的决策值相似.本文模型相较于目前主流的链表式模型在计算复杂度上有所改进.当遍历同一角色不同资源决策点时,本文模型的计算复杂度为O(lbn),若采用链式模型,其计算复杂度为O(n).同时,决策树模型在细粒度的控制上更加精细.可以实现权限更细粒度的控制,1个角色对1个资源的权限集之间不存在包含和被包含的关系.Hashi左指针KAi,A2,A3右指针角色Rolei角色Role2角色Role;资源哈希值Hash
13、i左指针(A)右指针权限集合决策区间1资源哈希值Hashi左指针(A2)右指针权限集合决策区间1资源哈希值Hash2左指针(4)右指针权限集合决策区间1资源哈希值Hashi左指针(A3,A4)右指针图2 资源决策树分组成,即历史信任值、实时信任值、惩罚与奖励,2算法计算过程如图3所示.访问主体本次申请访问是否通过主要由实时2.1信任值信任值由信任服务器计算产生,信任值的大小反映了模型对访问主体的信任程度.访问主体接人模型时信任服务器会通过读取身份信息、日志等数据对访问主体进行综合判断.信任值由3个部用户申请接入权限集合决策区间1计算实时信任值TN计算历史信任值TB图3信任值计算过程信任值TN、
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 基于 角色 属性 信任 访问 控制 模型 研究
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【自信****多点】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【自信****多点】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。