Abstract:本文在介绍了基本概念之后,简单介绍了4种访问控制模型。自主访问控制(DAC)的特点是客体的创建者可以授予其他主体对客体的访问权限,十分灵活,实现方式有访问控制矩阵,访问控制列表,访问控制能力列表。访问控制矩阵是一个三元组,包括主体,客体和访问权限;访问控制列表是以文件为中心创建的,而访问控制能力列表则是基于用户为中心创建的。第二种访问控制策略是强访问控制(MAC),这是一种基于安全级别的访问控制,每一个主体和客体都被授予了不同的安全级别,通过判断主客体之间的安全级别进行访问控制。第三种策略是基于角色的访问控制(RBAC),与上面两种访问控制不同的是这种策略不直接对用户授予权限,而是给用户赋予不同的角色,每个角色有不同的权限。由于基于角色的访问控制可能带来角色爆炸的情况,因此有第四种访问控制,即基于属性的访问控制(ABAC),每个用户携带自己的属性,包括主体属性,资源属性和环境属性来访问客体,授权引擎根据这些属性进行访问控制。
目录
1.自主访问控制(Discretionary Access Control DAC)
2.强访问控制(Mandatory Access Control MAC)
3.基于角色的访问控制(Role-based Access Control҅ RBAC)
4.基于属性的访问控制(Attribute-based Access Control ABAC)
基本概念
访问控制发生在身份认证之后,限制访问主体对访问客体的访问权限,是计算机系统在合法范围内使用。身份认证完整的工作是“我是谁”,访问控制完成的工作是“我能干什么”
实体:计算机资源或者合法用户;实体又分为主体和客体
主体:用户或访问者
客体:接受主体访问的被动实体
访问控制策略:主体对客体的访问规则集,直接定义了主体对客体的作用行为和约束条件
访问控制策略
1.自主访问控制(Discretionary Access Control DAC)
特点:自主访问控制规定客体的创建者为其所有者,可以完全控制该客体,有权将客体的访问权授予别人
优点:灵活性高,被大量采用
缺点:信息总是可以从一个实体流向另一个实体,安全级别低
实现方式:
1.访问控制矩阵:三元组,包括主题,客体访问权限
2.访问控制列表:以文件为中心建立权限表
3.访问控制能力列表:以用户为中心建立权限表
2.强访问控制(Mandatory Access Control MAC)
特点:每个用户及文件都有一定的安全级别,只有系统管理员可以确定用户和组的访问权限,通过比较主体和客体的安全级别来决定是否可以访问该文件
3.基于角色的访问控制(Role-based Access Control҅ RBAC)
特点:将访问权限赋予一定的角色,用户通过扮演不同的角色获得角色所拥有的访问权限。(MAC,DAC都是将权限直接授予用户)
缺点:在更加动态并且要求更细粒度的网络环境中,会带来“角色爆炸”的情况,产生很多不必要的角色,例如“曹操”和“曹操小时候”。
4.基于属性的访问控制(Attribute-based Access Control ABAC)
特点: 用户在携带自身的属性值包括主体属性,资源属性,环境属性,然后向资源发送请求,授权引擎 会根据主体所携带的属性进行判断,然后会给出拒绝或者同意的结果给用户,然后就可以访问资源。