2017-2018-2 20179223 《密碼與安全新技術專題》 第7周做業

課程：《密碼與安全新技術》

班級：2017級92班

學號：20179223

小組成員：劉霄、王孟亞

上課教師：謝四江

上課日期：2018年6月21日

必修/選修： 必修

---

論文題目：CAAC - 智能基礎設施中緊急狀況的自適應和主動訪問控制方法

本文主要講述了緊急狀況訪問控制方法在緊急狀況下的主動和自適應訪問控制。是以醫療以及火災爲例，這種智能訪問控制基礎設施能夠檢測緊急狀況，以最快速度應對各類發生的狀況，減小各類狀況發生的危害，同時應注意系統內隱私數據的保護問題。咱們根據CAAC的主動性和適應性的主要特性對其進行了驗證，並在一個石油鑽機的狀況下提供了一個詳細的例子，說明CAAC的功能。

1、背景介紹

CAAC：是Criticality Aware Access Control的簡稱，翻譯過來爲臨界感知訪問控制模型，用於智能基礎設施中的臨界狀態（緊急）管理。
臨界事件（緊急事件）：被定義爲系統中稱爲關鍵事件的特定事件的不利後果。臨界事件是那些發生系統移動到異常/不穩定狀態的事件。
機會窗口（WO）：每一個臨界狀態都有一個與其相關的時間段，在這個窗口內必須採起響應行爲來控制臨界狀態。

一、臨界性管理的階段

臨界狀態管理分爲四個階段：
（1）檢測負責及時檢測臨界狀態;
（2）響應促進了須要採起的措施來控制臨界狀況;
（3）緩解措施涉及長期恢復工做;
（4）準備工做分析過去的臨界狀況併爲將來的臨界狀況作好準備。
當臨界狀態獲得控制時，或在系統部署以前執行，以肯定和提升其餘三個階段所需步驟的有效性

相應的對應於醫療事故中的各階段，如圖所示

面對患者的不一樣階段採起相應的不一樣的措施。

二、多重臨界狀態下的處理

（1）系統不只跟蹤新的臨界事件的發生，而且關注現有臨界事件的到期狀況（即臨界事件是否成功響應或關口，是否過時）;
（2）臨界事件的發生以及控制它們所需的響應行爲因爲在執行它們時出現人爲錯誤的可能性而具備隨機性（所以，對危急狀況做出反應可能會致使系統內的其餘危急狀況，而且隨時肯定應對措施必須考慮到這些因素）;
（3）在多重臨界的狀況下，咱們必須優先考慮對一個臨界狀況的控制，使全部臨界事件獲得控制的可能性最大化。所以，根據系統中存在的重要性的組合，控制它們所需的響應行爲可能會有所不一樣。

2、臨界感知訪問控制（CAAC）

一、CAAC的基本特徵

（1）適應性。
（i）肯定處理智能基礎設施內當前一系列臨界性所需的響應行爲;
（ii）更改主體可用的權限，從而最大限度地控制其全部臨界性;
（2）主動性。
可以肯定執行響應操做的主體，並使其可以以負責任的方式執行所需的一組響應操做（即便是在正常操做期間不容許的操做），從而避免須要任何明確的訪問請求。

二、CAAC的系統模型

基礎設施的組成實體視爲
(1)客體:提供各類信息和服務的物理實體和虛擬實體
(2)主體:這些主體是用戶，他們得到客體提供的信息和服務
注意：全部訪問控制系統都須要底層的認證系統才能正常工做

三、CAAC的設計目標

(1)正確性:只有在系統內發生臨界事件時，才能確保經過訪問權限來促進響應操做;
(2)活躍度:要求對臨界事件做出響應的任何訪問權限只在有限的時間內;
(3)響應性:這確保了臨界狀態的發生促進了響應行動，這須要向正確的主體集提供訪問權限，並進行主體通知;
(4)不能否認性:它要求系統在臨界期內採起的全部響應行動都是爲了問責目的而記錄的;
(5)安全性:確保只有受權的更改資源和訪問控制結構才能在系統內發生.
前三項標準證實CAAC的適應性，後三項則代表其適用性。

四、CAAC的基礎類型

基於角色的訪問控制（RBAC）：用於控制主體（S）到系統中客體（O）的訪問，展現瞭如何將臨界意識融入現有的普遍使用的訪問控制模型中。角色（R）表明主體的責任，並在他們成爲系統的一部分時分配給他們。例如 加入醫院的醫生被分配了患者X的外科醫生和醫生的角色，雖然一個科目能夠有不少角色，但一次只能激活一個。
訪問控制列表（ACL）：ACL是爲系統中的每一個客體定義的表，它將角色映射到關聯的特權。特權（PR）是容許主體對系統內特定客體執行特定操做的認證。例如，讀取文件，使用設備或刪除記錄的權限。

五、CAAC的緊急反應的階段

5.1 準備階段

包括識別響應動做，系統中可能發生的全部可能的關鍵組合的操做集都在此階段肯定。例如，開發緊急程序手冊是爲了管理建築物中的火災和地震等常見突發事件。它包括兩種狀態:正常狀態和臨界狀態。

將系統轉化爲正常狀態的轉換稱爲響應連接(RL)；增長系統中活躍臨界量的則稱爲臨界連接(CL)；每一個CL和RL都有一個與之相關的機率（全部CL和RL的機率之和爲1 ）
基於臨界建模框架提出了動做生成模型(AGM)

選擇一個特定的RL取決於它的P *值，三個因素：
(1)經過RL成功地從當前狀態到達相鄰狀態的機率;
(2)從相鄰狀態成功到達正常狀態的機率，經過考慮全部可能的路徑到正常狀態，將其做爲彙集值進行編譯;
(3)符合系統中全部活躍的臨界狀態的窗口。

AGM示例

藍色實線表示RL，紅色虛線表示CL
P（k，N）是從狀態i到全部可能的路徑到達正常狀態的總機率
數學式表示：p(2 N)=p(2 N)+ p(2,1)∗p(1,N)+p(2,1)∗p(1,3)∗p(3,N)

使用P 值做爲識別下一個RL的基礎存在兩個問題：
（1）計算P 值時狀態空間爆炸
（2）若是任何激活臨界點的Wo期滿，則P 值的計算返回零，在這種狀況下，不從當前狀態返回RL。
爲解決問題，使用了兩個啓發式的規劃標準，它們在本質上是貪婪的：
(1) 在當前狀態下選擇最大機率(MP)的RL，
(2) 在當前狀態下選擇最短期(MT)的RL。

5.2 執行階段

肯定主體併爲其提供適當的訪問權限以執行這些行動。

行動主題選擇完成方式
（1）靜態，即控制它所需的一組主體能夠預先肯定而且根據臨界程度存儲在靜態列表中;
（2）動態，即肯定取決於系統上下文的一組主體。
例如若是可能的臨界狀態是火災，那麼控制它的主體是最近消防站的消防員。
一旦肯定了須要在當前系統狀態下執行的操做，而且選擇了執行操做的對象，就須要啓用這些操做，通知主體，而後在稍後時間取消行動。
在三個步驟中完成的:
(1)爲所選的主體提供備用特權;
(2)告知所選主體的新特權;
(3)在執行響應或機會窗口過時後，取消備用特權。

3、政策 規範和實施

CAAC策略規範的主要組件：角色，主體，客體，特權和訪問控制列表的概念

一、管理控制策略

用於執行CAAC模型的基本功能，如添加和刪除對象、將對象與角色相關聯和分離、更新acl等。每一個策略只能由智能基礎設施的管理員執行

二、訪問控制策略

訪問控制策略（ACP）用於評估特定主體的訪問請求，並在請求爲真時提供請求的特權。

三、臨界控制策略

這些策略用於啓用CAAC模型來控制系統中存在的臨界狀態。完成這個任務有三個主要的策略:
(1)交替的特權 (2)通知主體 (3)解除特權

四、CAAC策略的實現和驗證

主要根據如下定理
定理1 響應性
當發生臨界事件時，(1)當即通知主體 (2)它的訪問權限被更改。
定理2 正確性
當且僅當系統中至少有一個不受控制的臨界時，主體纔會得到備用權限集。
定理3 活躍度
主體分配替代權限的最長持續時間受如下因素的限制--系統中活躍臨界狀態數目發生變化的時間點。
定理4 不能否認性
系統遇到臨界時惡意使用替代權限是不可重複的，而且僅限於有限的時間。
定論5 安全性
只容許受權訪問（1）模型中的對象（2）訪問控制結構

4、醫療和火災緊急狀況案例研究

一、準備階段

爲了處理環境中的關鍵問題，石油鑽井平臺的規劃人員和工程師必須執行CRET，以肯定在特定緊急狀況下須要採起的措施。
在這個例子中考慮了石油鑽井平臺中的四種可能的危險因素：
（1）鑽井平臺上的一名工人，他患有慢性高血壓，在控制室中心臟病發做;
（2）鑽機控制室的火警;
（3）控制室內有慢性高血壓患者，其中有一名工做人員患有不穩定型心絞痛;
（4）被困在控制室的人須要緊急援助。
除了肯定針對特定臨界狀態的任務外，規劃人員還要肯定針對特定臨界狀態的其餘要求。

二、執行階段

考慮控制室中的高血壓船員發生心臟病發做（c1）的狀況，肯定達到正常狀態的路徑是直接響應臨界點c1。
爲此設置的任務有兩個操做
（1）啓用除顫，並提供對X的健康信息的訪問。
（2）CAAC檢查SS和DS表格，以肯定最佳的主體以達到臨界
鑽機醫生關於這些變化，採起必要的行動。

在初步工做中首先介紹了改變訪問控制權限以實現智能空間的關鍵性管理的概念，咱們稱之爲關鍵性導向訪問控制（COAC）。 [2006年]。然而，該方案的範圍有限，由於它只涉及具備單一關鍵性的系統。它沒有提供肯定應對行動或處理關鍵性隨機性的機制。

學習中的問題和解決過程

對於老師課上提問有關「什麼是智能基礎設施？」的回答：
我組引用了《關於智慧醫院智能化基礎設施的規劃設計探討》，詳見中國知網。

智能化基礎設施就是您的網絡中的全球定位系統 (GPS)。它們能消除您的盲點，指引您沿着最有效的路徑到達您的目的地，爲您節省時間和金錢。智能化基礎設施是難過軟件與硬件的結合，給用戶帶來洞察力、知識和控制權。
　　洞察力指智能基礎設施硬件能實時發現物理層變動的能力。
　　知識指軟件將系統觀測到的物理層變動的信息和來自其它資源，好比LAN交換機、SAN 交換機和 IP 終端的信息對應起來的能力。
　　控制權指智能基礎設施利用洞察力和知識，在大幅提高生產效率的同時，提供精確的變動管理、更多的定位信息、容量規劃、安全性和合規性的能力。

基礎設施在智能化方向的目標就是：
　　1. 提升操做效率
　　2. 減小基礎設施用料
　　3. 減小維護工做
　　4. 提升生產率
　　5. 實時報告和監控

訪問控制的嚴格定義：
訪問控制是信息安全保障機制的核心內容之一，是現實數據保密性和完整性的主要手段之一，是爲了限制訪問主題對訪問客體的訪問權限。訪問限制的兩個重要過程：1.認證過程，檢驗主體的合法身份；2.受權管理，賦予用戶對某項資源的訪問權限。

根據上面的例子，如何能及時發現這種臨界緊急狀態？
對於每個患者都配有相應的感應器械，當有緊急狀態發生時，會出發響應機制，使醫生及時瞭解到狀況，對各類狀況進行及時相應處理。

什麼是訪問控制列表以及做用？
ACL技術在路由器中被普遍採用，它是一種基於包過濾的流控制技術。控制列表經過把源地址、目的地址及端口號做爲數據包檢查的基本元素，並能夠規定符合條件的數據包是否容許經過。ACL一般應用在企業的出口控制上，能夠經過實施ACL，能夠有效的部署企業網絡出網策略。
ACL技術能夠有效的在三層上控制網絡用戶對網絡資源的訪問，它能夠具體到兩臺網絡設備間的網絡應用，也能夠按照網段進行大範圍的訪問控制管理，爲網絡應用提供了一個有效的安全手段。
簡單說ACL是維護安全的一種技術手段。

其餘（感悟、思考等）

此方案的優勢
具備前瞻性，快速響應
創新點在哪？
CAAC經過向系統中特定選擇的對象提供訪問特權，以執行響應動做，而不須要人爲的請求，從而促進了響應行爲。動做生成模型（AGM）

感想與體會

經過這次論文的演講首先從知識上來講對訪問控制從概念到模型都有了進一步的認識。經過此論文咱們認識了一個新的模型---CAAC模型。此篇論文以咱們身邊的醫療等實例更方便了咱們對新模型的接收和了解。在之後寫論文或者講述一個較難理解的問題時咱們能夠從身邊的實例講起，這樣更容易接受一個新知識。其次經過這次上臺講解論文咱們發現看懂到給同窗們講懂存在必定的差距，在這個過程當中會引起咱們更多的思考，不只關於知識也關於描述方法。同時同窗們也會想到咱們沒有思考到的問題，這樣也促進了咱們在知識方面的加深或者說是拓展。總之，經過這次上臺的機會咱們在知識理論和表達方面都取得了必定的進步。