权限系统设计详解(三):ABAC 基于属性的访问控制

最新推荐文章于 2024-08-27 10:34:31 发布
最新推荐文章于 2024-08-27 10:34:31 发布
阅读量4.8k 收藏 28
点赞数 16
分类专栏: 身份认证与授权 后端系列知识讲解 文章标签: 服务器 网络 运维 后端 访问控制 ABAC
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/luduoyuan/article/details/136032899
版权
本文详细介绍了ABAC的概念、工作原理、关键组件、实施步骤、优势和局限性,探讨了如何在实际环境中扩展和应用这种灵活的访问控制模型以提升系统安全和可控性。
摘要由CSDN通过智能技术生成

目录

ABAC 的概念

ABAC 的工作原理

ABAC 的关键组件

实施 ABAC 的步骤

ABAC 的优势

ABAC 的局限性

ABAC 扩展

小结

ABAC(Attribute-Based Access Control,基于属性的访问控制)是一种灵活的访问控制机制,可以根据多个属性来控制用户对资源的访问。这些属性可以是用户属性(如职位、年龄、部门)、资源属性(如文档分类、创建日期)、环境属性(如访问时间、网络位置)和行为属性(如读取、写入、执行)等。ABAC 通过定义一系列的访问策略,这些策略基于属性进行评估,以决定是否允许用户执行特定的操作。ABAC 提供了比传统的访问控制模型(如基于角色的访问控制 RBAC)更高的灵活性和更细的粒度。

ABAC 的概念

ABAC 模型基于四个核心元素:用户、资源、环境和操作。用户是请求访问系统资源的实体,可以是个人、程序或设备。资源是需要保护的系统实体,如文件、数据库、应用程序等。环境包括访问发生时的上下文信息,如时间、地点、安全级别等。操作是用户请求对资源执行的行为,如读取、写入、删除等。

ABAC 模型通过将用户、资源、环境和操作与一组属性相关联,实现了细粒度的访问控制。这些属性可以是静态的,如用户的角色或部门的标识符;也可以是动态的,如当前的时间或用户的地理位置。ABAC 策略定义了这些属性之间的关系,以及它们如何影响访问决策。

ABAC 的工作原理

ABAC 通过评估一系列预定义的策略来决定是否授予权限。这些策略是基于属性的逻辑语句,定义了访问控制的规则。当用户尝试访问资源时,ABAC 系统会检查相关的属性和策略,如果属性满足策略条件,则授权访问。

ABAC 的关键组件

  • 属性(Attributes):属性是 ABAC 中的核心概念,是关于用户、资源、操作和环境的描述性信息。属性的值可以是静态的(例如用户的部门)或动态的(例如当前时间)。
  • 策略(Policies):策略是定义访问规则的语句,描述了在什么条件下可以执行哪些操作。策略通常由安全管理员定义,并可以随时更新以适应组织的变化。
  • 策略决策点(Policy Decision Point,PDP):PDP 是 ABAC 系统中的一个组件,负责评估策略并做出访问控制决策。接收访问请求和相关属性,然后根据策略做出决策。
  • 策略执行点(Policy Enforcement Point,PEP):在资源上执行 PDP 做出的访问决策的组件。拦截用户的访问请求,并在允许访问之前要求 PDP 做出决策。
  • 策略管理点(Policy Administration Point,PAP):PAP 用于创建、管理和存储访问控制策略。通常提供图形界面供管理员使用。
  • 属性服务(Attribute Service):是一个存储和管理属性的系统,可以是目录服务、数据库或其他类型的信息存储系统。

实施 ABAC 的步骤

  1. 定义属性:根据业务需求和安全策略,确定哪些用户、资源、操作和环境属性是相关的,并定义对应的数据来源和格式。
  2. 设计策略:根据组织的安全需求和合规要求,为每个资源或操作定义相应的访问策略,这些策略基于属性进行评估。
  3. 策略部署:将策略存储在策略存储库中,以便在 PDP 检索和评估。
  4. 集成属性服务:实现属性管理机制,确保属性的正确性和一致性。
  5. 策略决策:实现 PDP,评估策略并做出访问决策。
  6. 策略执行:实现 PEP,根据 PDP 的决策执行相应的访问控制。
  7. 测试和验证:在生产环境之前,测试策略以确保按照预期工作,并且不会导致意外的访问拒绝或允许。
  8. 监控和审计:监控系统的访问行为,确保策略的正确实施,并对违规行为进行审计。
  9. 持续维护:定期审查和更新策略以反映组织的变化,如新的合规要求或业务需求。

ABAC 的优势

ABAC 模型具有以下优势:

  • 精细化访问控制:ABAC 可以基于多个属性实现细粒度的访问控制,例如,可以控制特定用户在特定时间对特定资源的访问。
  • 可扩展性:由于 ABAC 不依赖于固定的角色或权限列表,可以根据需要轻松地添加新的属性和策略,以适应不断变化的安全需求和组织变化。
  • 可维护性:由于策略是基于属性定义的,因此在需要修改策略时,只需调整属性和关系,无需修改底层代码。
  • 动态访问控制:ABAC 可以根据动态变化的环境属性(如时间或位置)来控制访问,使得策略能够适应不断变化的条件。

ABAC 的局限性

  • 策略管理:随着策略数量的增加,管理这些策略会变得非常复杂和耗时,需要专门的管理员来维护和更新这些设置。
  • 性能问题:在高负载下,评估复杂的策略和属性可能会导致性能下降。
  • 属性集成:集成和维护来自多个源的属性数据可能会非常有挑战性。
  • 策略冲突:不同策略之间可能会出现冲突,需要仔细的设计和测试以确保策略的一致性。

ABAC 扩展

在实际应用中,ABAC 模型可以根据需求进行扩展,以适应不同的场景。以下是一些常见的 ABAC 扩展:

  • 基于角色的 ABAC(RBAC):将 ABAC 与 RBAC 结合,实现基于角色的访问控制。
  • 基于规则的 ABAC:使用规则语言定义策略,提高策略的表达能力。
  • 基于模型的 ABAC:使用模型来描述策略,实现更高级别的抽象和自动化。

小结

ABAC 权限控制提供了一种更为精细且灵活的权限管理模式,能更好地满足现今复杂多变的信息系统环境下的安全需求。尽管实施过程中可能会面临一些挑战,但只要充分理解和运用其核心原理,结合实际情况制定合理策略,就能够有效提升系统的安全性与可控性。

路多辛
关注
专栏目录
【JavaWeb】你这么厉害,知道RBAC权限模型ABAC权限模型吗?
墩墩分墩
09-22 2167
**ABAC(Attribute Base Access Control)** - 基于 `属性`的权限控制不同于常见的将用户通过某种方式关联到权限的方式,ABAC则**是通过动态计算一个或一组属性来是否满足某种条件来进行授权判断**(可以编写简单的逻辑)。 - 属性通常来说分为四类:`用户属性(如用户年龄)`, `环境属性(如当前时间)`, `操作属性(如读取)和对象属性`,所以理论上能够实现非常灵活的权限控制,几乎能满足所有类型的需求。
基于属性访问控制ABAC
每天都要开心呀(#^.^#)
05-26 2696
基于属性访问控制ABAC,表示使用用户配置的授权规则对用户请求进行匹配和控制!
基于属性访问控制模型及其展望Attribute-Based Access Control Models and Beyond
01-29
基于属性访问控制模型及其展望Attribute-Based Access Control Models and Beyond 云计算
权限管理】RBAC 和 ABAC的对比
最新发布
老师好我叫付十一的博客
08-27 479
基于属性访问控制(attribute-based access control ABAC)当用户访问系统时,根据用户请求时具备的属性,允许用户访问哪些菜单、允许访问那些资源。基于角色的访问控制(role-based access control RBAC)
ABAC 数据访问控制
weixin_43156294的博客
07-24 1060
ABAC 即基于属性访问控制(Attribute-Based Access Control)。在这种模型中,访问决策是基于主体(如用户、进程等)、客体(如数据、资源等)、环境(如时间、地点等)以及操作(如读取、写入、删除等)的属性来确定的。例如,一个用户能否访问特定的数据,不仅取决于其身份(主体属性),还可能取决于当前的时间(环境属性)、数据的敏感性(客体属性)以及所需执行的操作类型(操作属性)。
OPA 实现 ABAC 权限模型
qq798280904的博客
03-28 1669
基于角色的访问控制(Role-based access control,简称 RBAC),指的是通过用户的角色(Role)赋予其相关权限,这实现了细粒度的访问控制,并提供了一个相比直接授予单个用户权限,更简单、可控的管理方式。当使用 RBAC 时,通过分析系统用户的实际情况,基于共同的职责和需求,将他们分配给不同的角色。
基于属性访问控制模型ABAC
mlynb的博客
06-23 2925
针对传统访问控制模型难以解决的动态、细粒度访问控制问题,研究人员提出了基于属性访问控制模型(attribute-based access control,简称ABAC).ABAC 模型基于实体属性而不是用户身份来判决允许或拒绝用户对 资源的访问控制请求.ABAC 模型的核心要素包括主体、资源、操作以及环境约束,这些要素统一使用属性属性值来进行表示,属性间的关系可以根据访问控制需求进行灵活的设置,提高了访问控制策略语义的表达能力和模型的灵活性,并且能够将其他访问控制模型权限、安全标签、角色等概念用属性
ABAC基于属性访问控制
blog_empire的专栏
08-20 1万+
一、简单介绍     常用的基于角色的访问控制,最近研究关于基于属性访问控制,感觉这个东西确实是个好东西,把自己的研究内容拿出来跟大家分享下。先简单了解下    用户在携带自身的属性值包括主题属性,资源属性,环境属性,然后向资源发送请求,授权引擎 会根据subject所携带的属性进行判断,然后会给出拒绝或者同意的结果给用户,然后就可以访问资源。   二、详细步骤  ABAC授权的...
基于属性访问控制ABAC)定义与思考 ——ABAC的基本概念
Enlink_Young的博客
08-25 4458
本文件为联邦机构提供了基于属性访问控制ABAC)的定义。ABAC是一种逻辑访问控制方法,在这种方法中,对执行操作的授权是通过评估与主体、客体、申请操作相关联的属性来确定的,在某些情况下,还会根据描述许可操作的策略的环境条件来确定。本文档还提供了使用ABAC改进组织内部和组织之间的信息共享的注意事项,同时保持对该信息的控制。 关键词:访问控制访问控制机制;访问控制模型访问控制策略;基于属性访问控制ABAC);授权;权限。 第一部分 ABAC的基本概念 理解ABAC...
ABAC - 基于属性访问控制 - 复杂场景下访问控制解决之道
热门推荐
Yuchen 的博客
09-12 2万+
引言 引言 在一个典型的软件开发场景中,你作为一名开发人员加入到某个项目后,假设是“超人组”,你往往需要访问这个项目的代码库然后才能开始工作。当你的 Team Lead 将你加入 Git Organization 后,你自然可以访问到“超人组”的代码仓库,然后就可以愉快的进行开发工作了。但是,当你的任务完成后,可能你需要参与另一个项目,你自然就没有权利去访问“超人组”的代码库,所以你的 TL 会将...
ABAC权限模型设计
Passerby_one的博客
11-03 8610
ABAC(Attribute Base Access Control) 基于属性权限控制 ​ 不同于常见的将用户通过某些方式关联到权限的方式,ABAC则是通过动态计算一个或一组属性来 ​ 判断是否满足某种条件来进行授权判断(可以编写简单的逻辑)。 属性通常来说分为四类: ​ 用户属性(如用户年龄 用户地址) ​ 环境属性(比如当前时间) ​ 操作属性(增、删、改、查) ​ 对象属性(比如一篇文章,又称资源属性) 例如: ​ 规则:“允许所有班主任在上课时间可以自由出入校门”这条规则,其中,“班主任”是用户
论文研究-Cooperative Attribute-Based Access Control.pdf
08-15
支持协作的基于属性访问控制,李梦婷,黄欣沂,本文介绍了一种为企业计算系统设计的 支持协作的基于属性访问控制机制。该系统中用户被划分为不同的群体,且都关联着不同的属性。�
ABAC基于属性的安全访问相关摘要
05-11
ABAC基于属性的安全访问相关摘要 详细介绍的ACBC具体内容,为基于ABAC系统开发提供参考资料
HOW - 权限系统设计
weixin_58540586的博客
05-20 993
设计一个服务于多个 web 应用的权限系统,需要考虑多方面的需求和最佳实践,确保系统的灵活性、可扩展性、安全性和易维护性。
权限管理模型 ---- ACL、RBAC和ABAC(详解)
brother_Cheng_Py的博客
12-17 1万+
前言 在管理系统中会涉及到很多用户权限相关问题,对于不同的系统所使用的的权限管理模型也是多样的。 ACL 基于用户的权限管理模型 基于用户的概念就是说直接对用户进行权限分配管理,好处是模型构建简单,只需要给用户授予或者取消对应权限即可。但是相对的,如果用户数量庞大的情况下,这套模型就很不实用。因为需要对每一位用户对应权限进行维护,这导致维护成本太高。 ACL模型表结构很简单,只需要用户user表和权限节点node以及user和node的多对多关系表us...
【程序设计权限管理
一杯柠檬茶。
09-10 1065
文章目录权限模型授权的演进使用属性来调节访问使用PBAC简化访问控制和智能化权限设置以自动化应对永恒的挑战ACLRBACABAC主要组成部分使用属性动态计算出决策结果应用场景PBAC权限模型的选择总结ABACRBAC基于组的访问 vs. 基于资源的访问 权限模型 ACL Access Control List(访问控制列表) RBAC Role-Based Access Control(基于角色的权限访问控制ABAC Attribute-Based Access Control(基于属性权限访问控制
【类的保护机制详解】:深入理解访问修饰符,确保代码的安全性与可维护性
类的保护机制是指一系列规则和方法,用以控制类的成员(包括属性、方法等)是否以及如何被外部访问和修改。这种机制不仅有助于防止数据的意外改变,还能增加代码的可维护性和安全性。理解并正确运用类的保护机制,...
权限系统设计模型分析(DAC,MAC,RBAC,ABAC
勇往直前的专栏
10-08 6784
此篇文章主要尝试将世面上现有的一些权限系统设计做一下简单的总结分析,个人水平有限,如有错误请不吝指出。 术语 这里对后面会用到的词汇做一个说明,老司机请直接翻到常见设计模式。 用户 发起操作的主体。 对象(Subject) 指操作所针对的客体对象,比如订单数据或图片文件。 权限控制表 (ACL: Access Control List) 用来描述权限规则或用户和权限之间关系的数据表...
Spring Expression Language(SpEL)实现ABAC鉴权模型, 动态计算实体的属性、操作类型、相关的环境来控制是否有对操作对象的权限
小魏的奇妙世界
11-28 3139
基于ABAC访问控制动态计算实体的属性、操作类型、相关的环境来控制是否有对操作对象的权限
ABAC基于属性访问控制权限
05-26
ABAC(Attribute-Based Access Control,基于属性访问控制)是一种访问控制模型,它使用属性来定义和控制访问权限。在ABAC中,访问请求者的属性(如用户ID、角色、部门、位置等)被用来判断是否允许访问资源。资源本身也可以被赋予属性,如敏感度、类型、所有者等。基于这些属性,可以定义策略来控制哪些用户可以访问哪些资源。 ABAC相对于其他访问控制模型有很多优势,比如它可以灵活地适应不断变化的环境,可以处理复杂的授权场景,可以根据需要定义细粒度的权限,而且可以集成外部身份验证和授权服务。因此,ABAC在企业安全中得到了广泛的应用。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

路多辛

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值