Arttribute-Based Access Control (ABAC)
基于属性的访问控制, 一种适用开放环境的访问控制技术. 用安全属性来定义授权, 可以有效保护用户身份等隐私信息, 不同属性由不同属性权威定义和维护.
三个概念
- 实体: 系统中的主体, 客体, 权限, 环境
- 环境: 访问控制发生的系统环境
- 属性: 描述实体的安全信息, 包括属性名和属性值. 主体, 客体, 权限, 环境都有各自的属性.
ABAC架构图
AA属性权威, 负责实体属性创建, 管理和查询
PAP策略管理点, 访问控制策略的创建, 管理, 查询
PEP策略执行点, 根据访问请求向AA查询属性, 生成基于属性访问请求发送给PDP, 根据判定结果访问资源.
PDP策略判定点, 接收PEP的基于属性访问请求, 从PAP接收策略集, 然后根据策略对访问请求进行判定, 将判定结果返回PEP.
总结
类似于基于角色的访问控制, ABAC依然需要安全管理员对属性的标记和管理的大量人力劳动, 在大数据场景下就显得捉襟见肘.