研究ノート-15

属性ベースのアクセス制御

（属性ベースのアクセス制御、ABAC）

簡単に言えば、ユーザーがリソースにアクセスできるかどうかを判断するために私たちのためにABACは、それが得られた異なる属性を計算するのがたくさんあります。

アクセス制御

アクセス制御は、企業の情報やリソースにアクセスし、使用できるユーザーを指定し、安全なデータセクションの必須成分です。認証および承認を経て、アクセス制御ポリシーは、ユーザーの本当の身元を確認し、アクセス企業データへの適切な権限を持つことができます。アクセス制御はまた、公園、建物、部屋やデータセンターへの物理的アクセスを制限するために適用されます。作品
ユーザー名とパスワード、PIN、バイオメトリクススキャンおよびセキュリティ・トークンを含むユーザー、これらの資格情報を、識別するために、複数のログイン資格情報を検証することによって、アクセス制御を。多くのアクセス制御システムはまた、マルチファクタ認証を含み、多要素認証は、ユーザーが近づい認証するために、複数の認証方法を使用する必要があります。

ユーザーの身元を確認した後、アクセス制御が適切なレベルのアクセスを許可し、ユーザーの資格情報とIPアドレスに関連付けられた動作を可能にします。

アクセス制御の4つの主要な種類があります。組織は、多くの場合、効果的な方法を選択し、独自のセキュリティおよびコンプライアンス要件に基づいて。これらの4つのアクセス制御モデルは以下のとおりです。

1. **任意アクセス制御（DAC）**
   この方法で、保護システムの所有者や管理者を使用する場合は、データやリソースにアクセスすることができ、関連する政策、規制を設定することができます。
2. **強制アクセス制御（MAC）**
   このモデルは、アクセス権を付与するために、情報の不随意のリリースに基づいて行われます。政府や軍の環境では非常に一般的であるセキュリティレベルに応じてアクセス権を管理する中央機関。
3. *ロールベースのアクセス制御（RBAC）**
   RBACのビジネス機能ではなく、個々のユーザー定義の許可するアクセスのアイデンティティ。このアプローチの目標は、必要なデータのみの観点で、組織内の役割にアクセスできるようにするユーザーのための適切なアクセスを提供することです。この方法は、ロールの割り当て、権限とアクセス権の複雑な組み合わせに基づいており、非常に広範囲に使用。
4. 属性ベースのアクセス制御（ABAC）
   この動的なアプローチでは、アクセスは、時間や場所などのユーザに割り当てられた属性及び環境条件とリソースのリストに基づいています。

関連用語

1. 属性：属性は、私の会社は、役割の開発者であるなどの属性は、店舗情報、にキーと値の形で使用する、の主語、目的や環境条件の特性を表すために使用され、役割がキーである、開発者は値であり、私のチームのニックネームウォンバット、キー値はウォンバットで、チームです。
2. 件名：システムは、多くの場合、ユーザまたは他の人（非人物の実体、NPE）を意味するために使用され 、 例えば、クライアントプログラムは、クライアントAPIへのアクセスやモバイル機器。ユーザーたちは同じ用語を使用していた属性などもちろん、被験者は、より多くの属性を持つことができます。
3. オブジェクト：ACMはそのような機械やWebサイトなどの特定のレコードとしてファイル、として、私たちが管理するために必要なリソースを意味し、あなたが任意のリソースコントロールにアクセスする必要があるオブジェクトを呼び出すことができ、同じオブジェクトが数を持つことができますプロパティには、そのようなテーブルのウォンバットグループ、またはロックのオンライン例のグループとして、私たちはしばしば、これらのリソースを記述するためのリソースを使用しますが、ABAC環境では、我々は、オブジェクトと呼ばれます。
4. 操作：サブジェクトとオブジェクトを使用すると、自然な主題が償還またはビューの求職者へのSaaSサービスを使用し、サーバ上の記録、ログを見て、行われる必要があります。私たちはしばしば、多くの場合、読み取り、書き込み、修正、コピー、などが含まれ、一般的な操作は、このようなHTTPメソッドとして、要求に表現されることを言います。
5. ポリシー要求は、たとえば、関係の主題は言う許可できるかどうかを判断するために一緒に属性のサブジェクト、オブジェクトや環境条件によって：ウォンバットグループのみの人は、これらのサーバーにアクセスするように、ポリシーは、人間の言葉で表現することができ、またはのみオフィスでこれらのリソースへのアクセスが、マシンのための、より多くの裁判官文ベールよりも何もありません。もちろん、政策はサービスにアクセスするために、このような企業の唯一のフルタイムスタッフの判断のような組み合わせのブール論理の束、および会社のネットワークの6階領域であってもよいです。ポリシーを実装するための仕様のパターンを使用することができ、実際には、それはそれほど複雑ではありません。
6. 条件環境は、現在発生し、オペレーティング・コンテキストまたはコンテキストへのアクセス要求を示しています。環境条件は、多くの場合、環境特性を記述するために使用され、それは、対象から独立しており、オブジェクト、ケースを記述するために使用されるシステムであって、そのような時間、現在のセキュリティレベル、および本番環境またはテスト環境ので。

ABACの承認手続き

属性に関連する独自の属性値を運んでユーザー結果、リソース属性、環境属性、およびリソースへの要求を送信し、認証が搭載エンジンの件名属性に応じて決定され、に同意を与えたり、ユーザーを拒否することができる、そうすれば、リソースへのアクセス。

1. リソースへのユーザーアクセスは、元の要求を送りました。
2. ポリシー実行ポイント（PEP）への要求は、PEPコンストラクトXACMLは、フォーマットを要求しました。
3. PEPは、ポリシー決定ポイント（PDP）に要求をXACMLます。
4. ポリシーファイルポリシー管理ポイント（PAP）にするためのXACML要求に応じPDP。
5. PDPの検索属性値（件名、資源、環境属性）ポリシー情報ポイント（PIP）から必要なポリシーファイル。
6. PDPの判定結果（許可、拒否、NA、不確実な）PEPに戻りました。
7. PEPは、リソースへの要求を送信し、ユーザーにリソースを返します。

技術的な優位性

1. クライアントとサーバーの修正ません

   Lianshi CipherGateway達成するために、「透明」ABAC能力や付加サービスアプリケーションシステム、追加のユーザートレーニング、レベル分で問題が発生した場合でも、だけでなく、時間に短い時間を展開することで、元のクライアントおよびサーバーアプリケーションを変更せず回復アプリケーション内で使用することは、リスクを最小限に抑えるためのオンラインスイッチを既存事業の正常な動作には影響しません。

2. リアルタイムの動的データの変化に適応することができます

   頻繁にデータを変更するの顔が、Lianshi CipherGatewayビューの全体的な観点から、ABAC機能は、リクエスタによってリアルタイムアクセスは、環境およびプロパティ情報は、データの3つの要素がアクセスされるデータの異なるステージの特性にアクセス制御ポリシーを設定することができ、トリガーアクセス制御の動的な管理を実現し、管理および運用コストを削減するために、適切なアクセス制御ポリシー。

3. クロスアプリケーションデータアクセス制御に適応することができます

   大規模なエンタープライズアプリケーション統合では、データは、異種システム間を流れ、データへのアクセスはまだ、それぞれのアプリケーションによって管理されています。ABAC機能のLianshi CipherGatewayは、データの完全なライフサイクルと組み合わせることができる、種々の状態のデータを転送し、アプリケーションを使用する場合、そのような財産管理などの環境要因、及び前記アクセス制御ポリシーの基礎として。

4. データの機密性の要件に適応することができます

   データセキュリティ、アクセス制御、暗号化を検討する必要性を強化する必要性に加えて、データのセキュリティサーバを確実にするために。性能と作業効率に影響を与えることなく、暗号化「ワンサイズはすべてに合う」のではなく、特許取得済みの暗号化技術、データの選択的暗号化を使用して属性の特徴量、企業の機密データに基づいて、ABAC機能のLianshi CipherGateway、強化データセキュリティ。