基于属性的访问控制模型ABAC

针对传统访问控制模型难以解决的动态、细粒度访问控制问题,研究人员提出了基于属性的访问控制模型(attribute-based access control,简称ABAC).ABAC 模型基于实体属性而不是用户身份来判决允许或拒绝用户对
资源的访问控制请求.ABAC 模型的核心要素包括主体、资源、操作以及环境约束,这些要素统一使用属性和属性值来进行表示,属性间的关系可以根据访问控制需求进行灵活的设置,提高了访问控制策略语义的表达能力和模型的灵活性,并且能够将其他访问控制模型中权限、安全标签、角色等概念用属性来进行统一描述,适用于解决分布式环境下动态大数据的访问控制问题.基于如下原因,我们认为,ABAC 模型相比其他模型能更好地适用于大数据访问控制场景.

(1) 细粒度访问控制:ABAC 模型通过属性来对实体及约束进行描述,能够严格控制访问者取得权限的各 种条件,精确设定属性-权限关系,实现最小权限原则;
(2) 自主授权:ABAC 模型可为资源拥有者提供策略管理接口,策略无需由管理员统一设定,资源拥有者可以根据自身实际资源保护需求发布、更新、撤销策略,保证资源能够按照资源拥有者的意愿被访问;
(3) 动态访问控制:ABAC模型依据请求者所具有的属性集合决定是否赋予其访问权限,实现了策略管理和权限判定的分离,且属性的设置与更新具有极大的灵活性和扩展性,可满足不同应用场景需求;
(4)较小的系统开销:在用户和资源数量大幅度增加的情形下,传统 DAC,RBAC 等访问控制模型策略数目将呈指数级增长,系统维护难度及开销将极大增加.而 ABAC 模型中,策略随用户和资源的增长呈线性增加,当达到一定规模后,系统开销趋于平稳[35].

为了便于本文的叙述,给出如下定义.

定义 1. 属性项(attributeitem)是表示属性的基本单元,{xAttrName=attrValue}(xAttrName∈attrSet,attrValue∈Range(xAttrName),x∈{s,r,a,e})表示,xAttrName 表示属性名,attrValue 表示属性值.为了对不同类型的属性表