2017-2018-2 20179223 《密码与安全新技术专题》 第7周做业

课程：《密码与安全新技术》

班级：2017级92班

学号：20179223

小组成员：刘霄、王孟亚

上课教师：谢四江

上课日期：2018年6月21日

必修/选修： 必修

---

论文题目：CAAC - 智能基础设施中紧急状况的自适应和主动访问控制方法

本文主要讲述了紧急状况访问控制方法在紧急状况下的主动和自适应访问控制。是以医疗以及火灾为例，这种智能访问控制基础设施能够检测紧急状况，以最快速度应对各类发生的状况，减小各类状况发生的危害，同时应注意系统内隐私数据的保护问题。咱们根据CAAC的主动性和适应性的主要特性对其进行了验证，并在一个石油钻机的状况下提供了一个详细的例子，说明CAAC的功能。

1、背景介绍

CAAC：是Criticality Aware Access Control的简称，翻译过来为临界感知访问控制模型，用于智能基础设施中的临界状态（紧急）管理。
临界事件（紧急事件）：被定义为系统中称为关键事件的特定事件的不利后果。临界事件是那些发生系统移动到异常/不稳定状态的事件。
机会窗口（WO）：每一个临界状态都有一个与其相关的时间段，在这个窗口内必须采起响应行为来控制临界状态。

一、临界性管理的阶段

临界状态管理分为四个阶段：
（1）检测负责及时检测临界状态;
（2）响应促进了须要采起的措施来控制临界状况;
（3）缓解措施涉及长期恢复工做;
（4）准备工做分析过去的临界状况并为将来的临界状况作好准备。
当临界状态获得控制时，或在系统部署以前执行，以肯定和提升其余三个阶段所需步骤的有效性

相应的对应于医疗事故中的各阶段，如图所示

面对患者的不一样阶段采起相应的不一样的措施。

二、多重临界状态下的处理

（1）系统不只跟踪新的临界事件的发生，而且关注现有临界事件的到期状况（即临界事件是否成功响应或关口，是否过时）;
（2）临界事件的发生以及控制它们所需的响应行为因为在执行它们时出现人为错误的可能性而具备随机性（所以，对危急状况做出反应可能会致使系统内的其余危急状况，而且随时肯定应对措施必须考虑到这些因素）;
（3）在多重临界的状况下，咱们必须优先考虑对一个临界状况的控制，使全部临界事件获得控制的可能性最大化。所以，根据系统中存在的重要性的组合，控制它们所需的响应行为可能会有所不一样。

2、临界感知访问控制（CAAC）

一、CAAC的基本特征

（1）适应性。
（i）肯定处理智能基础设施内当前一系列临界性所需的响应行为;
（ii）更改主体可用的权限，从而最大限度地控制其全部临界性;
（2）主动性。
可以肯定执行响应操做的主体，并使其可以以负责任的方式执行所需的一组响应操做（即便是在正常操做期间不容许的操做），从而避免须要任何明确的访问请求。

二、CAAC的系统模型

基础设施的组成实体视为
(1)客体:提供各类信息和服务的物理实体和虚拟实体
(2)主体:这些主体是用户，他们得到客体提供的信息和服务
注意：全部访问控制系统都须要底层的认证系统才能正常工做

三、CAAC的设计目标

(1)正确性:只有在系统内发生临界事件时，才能确保经过访问权限来促进响应操做;
(2)活跃度:要求对临界事件做出响应的任何访问权限只在有限的时间内;
(3)响应性:这确保了临界状态的发生促进了响应行动，这须要向正确的主体集提供访问权限，并进行主体通知;
(4)不能否认性:它要求系统在临界期内采起的全部响应行动都是为了问责目的而记录的;
(5)安全性:确保只有受权的更改资源和访问控制结构才能在系统内发生.
前三项标准证实CAAC的适应性，后三项则代表其适用性。

四、CAAC的基础类型

基于角色的访问控制（RBAC）：用于控制主体（S）到系统中客体（O）的访问，展现了如何将临界意识融入现有的普遍使用的访问控制模型中。角色（R）表明主体的责任，并在他们成为系统的一部分时分配给他们。例如 加入医院的医生被分配了患者X的外科医生和医生的角色，虽然一个科目能够有不少角色，但一次只能激活一个。
访问控制列表（ACL）：ACL是为系统中的每一个客体定义的表，它将角色映射到关联的特权。特权（PR）是容许主体对系统内特定客体执行特定操做的认证。例如，读取文件，使用设备或删除记录的权限。

五、CAAC的紧急反应的阶段

5.1 准备阶段

包括识别响应动做，系统中可能发生的全部可能的关键组合的操做集都在此阶段肯定。例如，开发紧急程序手册是为了管理建筑物中的火灾和地震等常见突发事件。它包括两种状态:正常状态和临界状态。

将系统转化为正常状态的转换称为响应连接(RL)；增长系统中活跃临界量的则称为临界连接(CL)；每一个CL和RL都有一个与之相关的几率（全部CL和RL的几率之和为1 ）
基于临界建模框架提出了动做生成模型(AGM)

选择一个特定的RL取决于它的P *值，三个因素：
(1)经过RL成功地从当前状态到达相邻状态的几率;
(2)从相邻状态成功到达正常状态的几率，经过考虑全部可能的路径到正常状态，将其做为汇集值进行编译;
(3)符合系统中全部活跃的临界状态的窗口。

AGM示例

蓝色实线表示RL，红色虚线表示CL
P（k，N）是从状态i到全部可能的路径到达正常状态的总几率
数学式表示：p(2 N)=p(2 N)+ p(2,1)∗p(1,N)+p(2,1)∗p(1,3)∗p(3,N)

使用P 值做为识别下一个RL的基础存在两个问题：
（1）计算P 值时状态空间爆炸
（2）若是任何激活临界点的Wo期满，则P 值的计算返回零，在这种状况下，不从当前状态返回RL。
为解决问题，使用了两个启发式的规划标准，它们在本质上是贪婪的：
(1) 在当前状态下选择最大几率(MP)的RL，
(2) 在当前状态下选择最短期(MT)的RL。

5.2 执行阶段

肯定主体并为其提供适当的访问权限以执行这些行动。

行动主题选择完成方式
（1）静态，即控制它所需的一组主体能够预先肯定而且根据临界程度存储在静态列表中;
（2）动态，即肯定取决于系统上下文的一组主体。
例如若是可能的临界状态是火灾，那么控制它的主体是最近消防站的消防员。
一旦肯定了须要在当前系统状态下执行的操做，而且选择了执行操做的对象，就须要启用这些操做，通知主体，而后在稍后时间取消行动。
在三个步骤中完成的:
(1)为所选的主体提供备用特权;
(2)告知所选主体的新特权;
(3)在执行响应或机会窗口过时后，取消备用特权。

3、政策 规范和实施

CAAC策略规范的主要组件：角色，主体，客体，特权和访问控制列表的概念

一、管理控制策略

用于执行CAAC模型的基本功能，如添加和删除对象、将对象与角色相关联和分离、更新acl等。每一个策略只能由智能基础设施的管理员执行

二、访问控制策略

访问控制策略（ACP）用于评估特定主体的访问请求，并在请求为真时提供请求的特权。

三、临界控制策略

这些策略用于启用CAAC模型来控制系统中存在的临界状态。完成这个任务有三个主要的策略:
(1)交替的特权 (2)通知主体 (3)解除特权

四、CAAC策略的实现和验证

主要根据如下定理
定理1 响应性
当发生临界事件时，(1)当即通知主体 (2)它的访问权限被更改。
定理2 正确性
当且仅当系统中至少有一个不受控制的临界时，主体才会得到备用权限集。
定理3 活跃度
主体分配替代权限的最长持续时间受如下因素的限制--系统中活跃临界状态数目发生变化的时间点。
定理4 不能否认性
系统遇到临界时恶意使用替代权限是不可重复的，而且仅限于有限的时间。
定论5 安全性
只容许受权访问（1）模型中的对象（2）访问控制结构

4、医疗和火灾紧急状况案例研究

一、准备阶段

为了处理环境中的关键问题，石油钻井平台的规划人员和工程师必须执行CRET，以肯定在特定紧急状况下须要采起的措施。
在这个例子中考虑了石油钻井平台中的四种可能的危险因素：
（1）钻井平台上的一名工人，他患有慢性高血压，在控制室中心脏病发做;
（2）钻机控制室的火警;
（3）控制室内有慢性高血压患者，其中有一名工做人员患有不稳定型心绞痛;
（4）被困在控制室的人须要紧急援助。
除了肯定针对特定临界状态的任务外，规划人员还要肯定针对特定临界状态的其余要求。

二、执行阶段

考虑控制室中的高血压船员发生心脏病发做（c1）的状况，肯定达到正常状态的路径是直接响应临界点c1。
为此设置的任务有两个操做
（1）启用除颤，并提供对X的健康信息的访问。
（2）CAAC检查SS和DS表格，以肯定最佳的主体以达到临界
钻机医生关于这些变化，采起必要的行动。

在初步工做中首先介绍了改变访问控制权限以实现智能空间的关键性管理的概念，咱们称之为关键性导向访问控制（COAC）。 [2006年]。然而，该方案的范围有限，由于它只涉及具备单一关键性的系统。它没有提供肯定应对行动或处理关键性随机性的机制。

学习中的问题和解决过程

对于老师课上提问有关“什么是智能基础设施？”的回答：
我组引用了《关于智慧医院智能化基础设施的规划设计探讨》，详见中国知网。

智能化基础设施就是您的网络中的全球定位系统 (GPS)。它们能消除您的盲点，指引您沿着最有效的路径到达您的目的地，为您节省时间和金钱。智能化基础设施是难过软件与硬件的结合，给用户带来洞察力、知识和控制权。
　　洞察力指智能基础设施硬件能实时发现物理层变动的能力。
　　知识指软件将系统观测到的物理层变动的信息和来自其它资源，好比LAN交换机、SAN 交换机和 IP 终端的信息对应起来的能力。
　　控制权指智能基础设施利用洞察力和知识，在大幅提高生产效率的同时，提供精确的变动管理、更多的定位信息、容量规划、安全性和合规性的能力。

基础设施在智能化方向的目标就是：
　　1. 提升操做效率
　　2. 减小基础设施用料
　　3. 减小维护工做
　　4. 提升生产率
　　5. 实时报告和监控

访问控制的严格定义：
访问控制是信息安全保障机制的核心内容之一，是现实数据保密性和完整性的主要手段之一，是为了限制访问主题对访问客体的访问权限。访问限制的两个重要过程：1.认证过程，检验主体的合法身份；2.受权管理，赋予用户对某项资源的访问权限。

根据上面的例子，如何能及时发现这种临界紧急状态？
对于每个患者都配有相应的感应器械，当有紧急状态发生时，会出发响应机制，使医生及时了解到状况，对各类状况进行及时相应处理。

什么是访问控制列表以及做用？
ACL技术在路由器中被普遍采用，它是一种基于包过滤的流控制技术。控制列表经过把源地址、目的地址及端口号做为数据包检查的基本元素，并能够规定符合条件的数据包是否容许经过。ACL一般应用在企业的出口控制上，能够经过实施ACL，能够有效的部署企业网络出网策略。
ACL技术能够有效的在三层上控制网络用户对网络资源的访问，它能够具体到两台网络设备间的网络应用，也能够按照网段进行大范围的访问控制管理，为网络应用提供了一个有效的安全手段。
简单说ACL是维护安全的一种技术手段。

其余（感悟、思考等）

此方案的优势
具备前瞻性，快速响应
创新点在哪？
CAAC经过向系统中特定选择的对象提供访问特权，以执行响应动做，而不须要人为的请求，从而促进了响应行为。动做生成模型（AGM）

感想与体会

经过这次论文的演讲首先从知识上来讲对访问控制从概念到模型都有了进一步的认识。经过此论文咱们认识了一个新的模型---CAAC模型。此篇论文以咱们身边的医疗等实例更方便了咱们对新模型的接收和了解。在之后写论文或者讲述一个较难理解的问题时咱们能够从身边的实例讲起，这样更容易接受一个新知识。其次经过这次上台讲解论文咱们发现看懂到给同窗们讲懂存在必定的差距，在这个过程当中会引起咱们更多的思考，不只关于知识也关于描述方法。同时同窗们也会想到咱们没有思考到的问题，这样也促进了咱们在知识方面的加深或者说是拓展。总之，经过这次上台的机会咱们在知识理论和表达方面都取得了必定的进步。