課程：《密碼與安全新技術》

班級：2017級92班

學號：20179223

小組成員：劉霄、王孟亞

上課教師：謝四江

上課日期：2018年6月21日

必修/選修： 必修

論文題目：CAAC - 智能基礎設施中緊急情況的自適應和主動訪問控制方法

本文主要講述了緊急情況訪問控制方法在緊急情況下的主動和自適應訪問控制。是以醫療以及火災為例，這種智能訪問控制基礎設施可以檢測緊急情況，以最快速度應對各種發生的情況，減少各種情況發生的危害，同時應註意系統內隱私數據的保護問題。我們根據CAAC的主動性和適應性的主要特性對其進行了驗證，並在一個石油鉆機的情況下提供了一個詳細的例子，說明CAAC的功能。

一、背景介紹

CAAC：是Criticality Aware Access Control的簡稱，翻譯過來為臨界感知訪問控制模型，用於智能基礎設施中的臨界狀態（緊急）管理。
臨界事件（緊急事件）：被定義為系統中稱為關鍵事件的特定事件的不利後果。臨界事件是那些發生系統移動到異常/不穩定狀態的事件。
機會窗口（WO）：每個臨界狀態都有一個與其相關的時間段，在這個窗口內必須采取響應行為來控制臨界狀態。

1、臨界性管理的階段

臨界狀態管理分為四個階段：
（1）檢測負責及時檢測臨界狀態;
（2）響應促進了需要采取的措施來控制臨界情況;
（3）緩解措施涉及長期恢復工作;
（4）準備工作分析過去的臨界情況並為未來的臨界情況做好準備。
當臨界狀態得到控制時，或在系統部署之前執行，以確定和提高其他三個階段所需步驟的有效性

相應的對應於醫療事故中的各階段，如圖所示

面對患者的不同階段采取相應的不同的措施。

2、多重臨界狀態下的處理

（1）系統不僅跟蹤新的臨界事件的發生，並且關註現有臨界事件的到期情況（即臨界事件是否成功響應或關口，是否過期）;
（2）臨界事件的發生以及控制它們所需的響應行為由於在執行它們時出現人為錯誤的可能性而具有隨機性（因此，對危急情況作出反應可能會導致系統內的其他危急情況，並且隨時確定應對措施必須考慮到這些因素）;
（3）在多重臨界的情況下，我們必須優先考慮對一個臨界情況的控制，使所有臨界事件得到控制的可能性最大化。因此，根據系統中存在的重要性的組合，控制它們所需的響應行為可能會有所不同。

二、臨界感知訪問控制（CAAC）

1、CAAC的基本特征

（1）適應性。
（i）確定處理智能基礎設施內當前一系列臨界性所需的響應行為;
（ii）更改主體可用的權限，從而最大限度地控制其所有臨界性;
（2）主動性。
能夠確定執行響應操作的主體，並使其能夠以負責任的方式執行所需的一組響應操作（即使是在正常操作期間不允許的操作），從而避免需要任何明確的訪問請求。

2、CAAC的系統模型

基礎設施的組成實體視為
(1)客體:提供各種信息和服務的物理實體和虛擬實體
(2)主體:這些主體是用戶，他們獲得客體提供的信息和服務
註意：所有訪問控制系統都需要底層的認證系統才能正常工作

3、CAAC的設計目標

(1)正確性:只有在系統內發生臨界事件時，才能確保通過訪問權限來促進響應操作;
(2)活躍度:要求對臨界事件作出響應的任何訪問權限只在有限的時間內;
(3)響應性:這確保了臨界狀態的發生促進了響應行動，這需要向正確的主體集提供訪問權限，並進行主體通知;
(4)不可否認性:它要求系統在臨界期內采取的所有響應行動都是為了問責目的而記錄的;
(5)安全性:確保只有授權的更改資源和訪問控制結構才能在系統內發生.
前三項標準證明CAAC的適應性，後三項則表明其適用性。

4、CAAC的基礎類型

基於角色的訪問控制（RBAC）：用於控制主體（S）到系統中客體（O）的訪問，展示了如何將臨界意識融入現有的廣泛使用的訪問控制模型中。角色（R）代表主體的責任，並在他們成為系統的一部分時分配給他們。例如 加入醫院的醫生被分配了患者X的外科醫生和醫生的角色，雖然一個科目可以有很多角色，但一次只能激活一個。
訪問控制列表（ACL）：ACL是為系統中的每個客體定義的表，它將角色映射到關聯的特權。特權（PR）是允許主體對系統內特定客體執行特定操作的認證。例如，讀取文件，使用設備或刪除記錄的權限。

5、CAAC的緊急反應的階段

5.1 準備階段

包括識別響應動作，系統中可能發生的所有可能的關鍵組合的操作集都在此階段確定。例如，開發緊急程序手冊是為了管理建築物中的火災和地震等常見突發事件。它包括兩種狀態:正常狀態和臨界狀態。

將系統轉化為正常狀態的轉換稱為響應鏈接(RL)；增加系統中活躍臨界量的則稱為臨界鏈接(CL)；每個CL和RL都有一個與之相關的概率（所有CL和RL的概率之和為1 ）
基於臨界建模框架提出了動作生成模型(AGM)

選擇一個特定的RL取決於它的P *值，三個因素：
(1)通過RL成功地從當前狀態到達相鄰狀態的概率;
(2)從相鄰狀態成功到達正常狀態的概率，通過考慮所有可能的路徑到正常狀態，將其作為聚集值進行編譯;
(3)符合系統中所有活躍的臨界狀態的窗口。

AGM示例

藍色實線表示RL，紅色虛線表示CL
P（k，N）是從狀態i到所有可能的路徑到達正常狀態的總概率
數學式表示：p(2 N)=p(2 N)+ p(2,1)?p(1,N)+p(2,1)?p(1,3)?p(3,N)

使用P 值作為識別下一個RL的基礎存在兩個問題：
（1）計算P 值時狀態空間爆炸
（2）如果任何激活臨界點的Wo期滿，則P 值的計算返回零，在這種情況下，不從當前狀態返回RL。
為解決問題，使用了兩個啟發式的規劃標準，它們在本質上是貪婪的：

(1) 在當前狀態下選擇最大概率(MP)的RL，

(2) 在當前狀態下選擇最短時間(MT)的RL。

5.2 執行階段

確定主體並為其提供適當的訪問權限以執行這些行動。

行動主題選擇完成方式
（1）靜態，即控制它所需的一組主體可以預先確定並且根據臨界程度存儲在靜態列表中;
（2）動態，即確定取決於系統上下文的一組主體。
例如如果可能的臨界狀態是火災，那麽控制它的主體是最近消防站的消防員。
一旦確定了需要在當前系統狀態下執行的操作，並且選擇了執行操作的對象，就需要啟用這些操作，通知主體，然後在稍後時間取消行動。
在三個步驟中完成的:
(1)為所選的主體提供備用特權;
(2)告知所選主體的新特權;
(3)在執行響應或機會窗口過期後，取消備用特權。

三、政策 規範和實施

CAAC策略規範的主要組件：角色，主體，客體，特權和訪問控制列表的概念

1、管理控制策略

用於執行CAAC模型的基本功能，如添加和刪除對象、將對象與角色相關聯和分離、更新acl等。每個策略只能由智能基礎設施的管理員執行

2、訪問控制策略

訪問控制策略（ACP）用於評估特定主體的訪問請求，並在請求為真時提供請求的特權。

3、臨界控制策略

這些策略用於啟用CAAC模型來控制系統中存在的臨界狀態。完成這個任務有三個主要的策略:
(1)交替的特權 (2)通知主體 (3)解除特權

4、CAAC策略的實現和驗證

主要根據以下定理
定理1 響應性
當發生臨界事件時，(1)立即通知主體 (2)它的訪問權限被更改。
定理2 正確性
當且僅當系統中至少有一個不受控制的臨界時，主體才會獲得備用權限集。
定理3 活躍度
主體分配替代權限的最長持續時間受以下因素的限制--系統中活躍臨界狀態數目發生變化的時間點。
定理4 不可否認性
系統遇到臨界時惡意使用替代權限是不可重復的，並且僅限於有限的時間。
定論5 安全性
只允許授權訪問（1）模型中的對象（2）訪問控制結構

四、醫療和火災緊急情況案例研究

1、準備階段

為了處理環境中的關鍵問題，石油鉆井平臺的規劃人員和工程師必須執行CRET，以確定在特定緊急情況下需要采取的措施。
在這個例子中考慮了石油鉆井平臺中的四種可能的危險因素：
（1）鉆井平臺上的一名工人，他患有慢性高血壓，在控制室中心臟病發作;
（2）鉆機控制室的火警;
（3）控制室內有慢性高血壓患者，其中有一名工作人員患有不穩定型心絞痛;
（4）被困在控制室的人需要緊急援助。
除了確定針對特定臨界狀態的任務外，規劃人員還要確定針對特定臨界狀態的其他要求。

2、執行階段

考慮控制室中的高血壓船員發生心臟病發作（c1）的情況，確定達到正常狀態的路徑是直接響應臨界點c1。
為此設置的任務有兩個操作
（1）啟用除顫，並提供對X的健康信息的訪問。
（2）CAAC檢查SS和DS表格，以確定最佳的主體以達到臨界
鉆機醫生關於這些變化，采取必要的行動。

在初步工作中首先介紹了改變訪問控制權限以實現智能空間的關鍵性管理的概念，我們稱之為關鍵性導向訪問控制（COAC）。 [2006年]。然而，該方案的範圍有限，因為它只涉及具有單一關鍵性的系統。它沒有提供確定應對行動或處理關鍵性隨機性的機制。

學習中的問題和解決過程

對於老師課上提問有關“什麽是智能基礎設施？”的回答：
我組引用了《關於智慧醫院智能化基礎設施的規劃設計探討》，詳見中國知網。

智能化基礎設施就是您的網絡中的全球定位系統 (GPS)。它們能消除您的盲點，指引您沿著最有效的路徑到達您的目的地，為您節省時間和金錢。智能化基礎設施是難過軟件與硬件的結合，給用戶帶來洞察力、知識和控制權。
　　洞察力指智能基礎設施硬件能實時發現物理層變更的能力。
　　知識指軟件將系統觀測到的物理層變更的信息和來自其它資源，比如LAN交換機、SAN 交換機和 IP 終端的信息對應起來的能力。
　　控制權指智能基礎設施利用洞察力和知識，在大幅提升生產效率的同時，提供精確的變更管理、更多的定位信息、容量規劃、安全性和合規性的能力。

基礎設施在智能化方向的目標就是：
　　1. 提高操作效率
　　2. 減少基礎設施用料
　　3. 減少維護工作
　　4. 提高生產率
　　5. 實時報告和監控

訪問控制的嚴格定義：
訪問控制是信息安全保障機制的核心內容之一，是現實數據保密性和完整性的主要手段之一，是為了限制訪問主題對訪問客體的訪問權限。訪問限制的兩個重要過程：1.認證過程，檢驗主體的合法身份；2.授權管理，賦予用戶對某項資源的訪問權限。

根據上面的例子，如何能及時發現這種臨界緊急狀態？
對於每一個患者都配有相應的感應器械，當有緊急狀態發生時，會出發響應機制，使醫生及時了解到情況，對各種情況進行及時相應處理。

什麽是訪問控制列表以及作用？
ACL技術在路由器中被廣泛采用，它是一種基於包過濾的流控制技術。控制列表通過把源地址、目的地址及端口號作為數據包檢查的基本元素，並可以規定符合條件的數據包是否允許通過。ACL通常應用在企業的出口控制上，可以通過實施ACL，可以有效的部署企業網絡出網策略。
ACL技術可以有效的在三層上控制網絡用戶對網絡資源的訪問，它可以具體到兩臺網絡設備間的網絡應用，也可以按照網段進行大範圍的訪問控制管理，為網絡應用提供了一個有效的安全手段。
簡單說ACL是維護安全的一種技術手段。

其他（感悟、思考等）

此方案的優點
具有前瞻性，快速響應
創新點在哪？
CAAC通過向系統中特定選擇的對象提供訪問特權，以執行響應動作，而不需要人為的請求，從而促進了響應行為。動作生成模型（AGM）

感想與體會

通過此次論文的演講首先從知識上來說對訪問控制從概念到模型都有了進一步的認識。通過此論文我們認識了一個新的模型---CAAC模型。此篇論文以我們身邊的醫療等實例更方便了我們對新模型的接收和了解。在以後寫論文或者講述一個較難理解的問題時我們可以從身邊的實例講起，這樣更容易接受一個新知識。其次通過此次上臺講解論文我們發現看懂到給同學們講懂存在一定的差距，在這個過程中會引發我們更多的思考，不僅關於知識也關於描述方法。同時同學們也會想到我們沒有思考到的問題，這樣也促進了我們在知識方面的加深或者說是拓展。總之，通過此次上臺的機會我們在知識理論和表達方面都取得了一定的進步。

2017-2018-2 20179223 《密碼與安全新技術專題》 第7周作業