权限系统设计一: DAC、MAC、RBAC、ABAC模型

最新推荐文章于 2024-10-02 10:38:28 发布
最新推荐文章于 2024-10-02 10:38:28 发布
阅读量2.5k 收藏
点赞数
分类专栏: 产品经理 功能逻辑 产品设计 文章标签: 产品 设计 系统 权限 用户
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42058609/article/details/101030808
版权
本文介绍了自主访问控制(DAC)和强制访问控制(MAC)两种权限模型。DAC允许用户根据权限列表控制对象访问,但在权限管理上存在分散问题。MAC则由系统管理员设定访问策略,用户无法更改,常用于高保密性环境。MAC通过限制访问控制、过程控制和系统限制等手段确保安全性。
摘要由CSDN通过智能技术生成

自主访问控制(DAC: Discretionary Access Control)

 

自主访问控制中,产品中的操作对象被设置了权限等级。

 

在用户登陆时,系统识别用户,根据被操作对象(Subject)的权限控制列表(ACL: Access Control List)或者权限控制矩阵(ACL: AccessControl Matrix)信息设置用户能对哪些操作对象进行何种操作,例读取操作或能够修改操作对象。

 

更具特点的是,拥有对象权限的用户,还可以将对象权限分配给其他用户,所以叫“自主(Discretionary)”控制。

 

Windows中的文档系统的权限设计就是“自主访问控制”模型的典型应用。

 

 

Windows的文件权限

 

然而DAC最大缺陷是权限控制分散,不便于管理。例如在文档权限管理中,我们无法将一组文件设置成统一权限开放给指定的一群用户。

 

强制访问控制(MAC: Mandatory Access Control)

 

MAC弥补DAC权限控制过于分散的问题。

 

MAC设计中所有的访问控制策略都由系统管理员来制定,用户无法改变。每个对象都有权限标识,每个用户也会有权限标识,用户能否操作某个对象判断在于两个权限标识的关系,

最低0.47元/天 解锁文章
陪学
关注
专栏目录
【JavaWeb】你这么厉害,知道RBAC权限模型ABAC权限模型吗?
墩墩分墩
09-22 2325
**ABAC(Attribute Base Access Control)** - 基于 `属性`的权限控制不同于常见的将用户通过某种方式关联到权限的方式,ABAC则**是通过动态计算一个或一组属性来是否满足某种条件来进行授权判断**(可以编写简单的逻辑)。 - 属性通常来说分为四类:`用户属性(如用户龄)`, `环境属性(如当前时间)`, `操作属性(如读取)和对象属性`,所以理论上能够实现非常灵活的权限控制,几乎能满足所有类型的需求。
零信任架构和访问控制模型ABAC
mlynb的博客
06-22 1236
近几权限访问控制模型被反复提及,目前常用的是RBAC(Role-Based Access Control),RBAC是迄今为止最为普及的权限设计模型,其优点是简单,实现起来非常容易。 但是随着授权需求复杂度的提升和对控制逻辑灵活性的高度要求,ABAC(attribute-based access control)访问控制模型将会越来越普及。近期火爆的零信任架构里,ABAC模型就比RBAC更加合适。 ABAC既然是针对属性(attributes)的,那我们先来看看它一般是针对哪些属性进行授权控制的。属性可
ABAC模型
IT界的奇葩
07-05 933
ABAC模型通过属性和策略的灵活组合,实现了比传统RBAC更细粒度和动态的访问控制。在复杂和动态变化的环境中,ABAC可以提供更强的灵活性和安全性。通过结合RBACABAC,可以设计出更加健壮和适应性强的权限管理系统ABAC模型提供了比传统RBAC更灵活和精细的访问控制方式,适用于复杂、多变的权限需求场景。通过引入多种属性并动态评估权限ABAC能够实现更强大和细粒度的访问控制策略。
基于RBAC的通用权限管理系统的详细分析与实现(理念篇——权限对象、权限项、功能权限、数据权限权限组、权限设计
最新发布
晓风残月淡的博客
10-02 1387
在与人沟通的过程中,我们很多次提到了权限,但是权限具体的含义每个人理解的含义都不明确,这样很容易造成双方信息不对称,有的人就只是把权限理解成某个页面的是否可访问,但是有的人却理解成其他的东西。 所以我们要彻底的定义一下权限是什么? “权限”这个词语,我们谈论时到底是名词属性还是动词属性?这对于权限的含义很重要。 如果是名词属性的话,那么它应该是有具体的指代物;如果是动词,则应该具有行为表示。 - 权限的名词属性:api接口、页面、业务功能等。 - 权限的动词属性:可访问、新增、编辑、可操作、不可操作等
ABAC - 基于属性的访问控制 - 复杂场景下访问控制解决之道
热门推荐
Yuchen 的博客
09-12 2万+
引言 引言 在一个典型的软件开发场景中,你作为一名开发人员加入到某个项目后,假设是“超人组”,你往往需要访问这个项目的代码库然后才能开始工作。当你的 Team Lead 将你加入 Git Organization 后,你自然可以访问到“超人组”的代码仓库,然后就可以愉快的进行开发工作了。但是,当你的任务完成后,可能你需要参与另一个项目,你自然就没有权利去访问“超人组”的代码库,所以你的 TL 会将...
复杂场景下的权限系统该怎么玩?ABAC权限模型帮你搞定它!
Java知音
11-28 624
点击关注公众号,实用技术文章及时了解ABAC授权模型常用的授权模型ABAC的访问控制表达式语言SpEL性能ABAC实践crud代码security上下文数据库设计java程序测试类Spring Security 和 Apache Shiro整合最近有点无聊,以至于我很已经很久没有写出高质量的博客,为了挽回自己的这种无聊感打算手撕一下ABAC模型,毕竟RBAC模型五张基础表玩来玩去也玩不出来多少火花...
基于属性的访问控制模型ABAC
mlynb的博客
06-23 2991
针对传统访问控制模型难以解决的动态、细粒度访问控制问题,研究人员提出了基于属性的访问控制模型(attribute-based access control,简称ABAC).ABAC 模型基于实体属性而不是用户身份来判决允许或拒绝用户对 资源的访问控制请求.ABAC 模型的核心要素包括主体、资源、操作以及环境约束,这些要素统一使用属性和属性值来进行表示,属性间的关系可以根据访问控制需求进行灵活的设置,提高了访问控制策略语义的表达能力和模型的灵活性,并且能够将其他访问控制模型权限、安全标签、角色等概念用属性来
权限系统设计模型分析(DACMACRBACABAC
qq_34376868的博客
03-12 2291
术语 这里对后面会用到的词汇做一个说明 用户 发起操作的主体。 对象(Subject) 指操作所针对的客体对象,比如订单数据或图片文件。 权限控制表 (ACL: Access Control List) 用来描述权限规则或用户权限之间关系的数据表。 权限 (Permission) 用来指代对某种对象的某一种操作,例如“添加文章的操作”。 权限标识 权限的代号,例如用“ARTICLE_ADD”来指代“添加文章的操作”权限。 常见设计模式 自主访问控制(DAC: Discretion
权限系统设计二: DACMACRBACABAC模型
10-09 1522
1 基于角色的访问控制 (RBAC: Role-Based Access Control) 在DACMAC的基础上, RBAC出现了,RBAC是迄今为止最为普及的权限设计模型RBAC模型中在用户权限之间引入“角色(Role)”概念。 RBAC权限管理过程抽象为“判断逻辑表达式的值是否为True”的求解过程,而逻辑表达式为: Who是否可以对What进...
权限设计设计模型分析(DAC,MAC,RBAC,ABAC) 之 RBAC
qq_40861800的博客
07-09 3675
权限设计设计模型分析(DAC,MAC,RBAC,ABAC) 之 RBAC:角色的权限控制
访问控制基础(DAC,MAC,RBAC,ABAC,BLP)
qq_36735125的博客
04-05 4014
访问控制基础,包含对DAC,MAC,RBAC,ABAC,BLP的简要介绍。
Linux DAC 权限管理详解
pwl999的博客
12-08 1万+
文章目录1. 背景简介2. 主体(subject)2.1 用户2.2 进程2.2.1 凭证(credentials)2.2.2 uid/suid/euid/fsuid2.2.3 初始uid (fork())2.2.4 uid权限升级 (SUID execve())2.2.5 uid权限降级 (setreuid()/setuid()/setresuid()/setfsuid())3. 客体(object)4. 规则(policy)4.1 UGO(User、Ggroup、Other)规则4.2 ACL(Acce
常用的访问控制权限模型DAC RBAC
coding and writing
07-13 915
常用的访问控制权限模型DAC RBAC
权限系统设计详解(三):ABAC 基于属性的访问控制
路多辛的所思所想
02-04 5715
ABAC(Attribute-Based Access Control,基于属性的访问控制)是一种灵活的访问控制机制,可以根据多个属性来控制用户对资源的访问。这些属性可以是用户属性(如职位、龄、部门)、资源属性(如文档分类、创建日期)、环境属性(如访问时间、网络位置)和行为属性(如读取、写入、执行)等。ABAC 通过定义一系列的访问策略,这些策略基于属性进行评估,以决定是否允许用户执行特定的操作。ABAC 提供了比传统的访问控制模型(如基于角色的访问控制 RBAC)更高的灵活性和更细的粒度。
Linux DAC权限的简单应用
李老板的移动安全杂货铺
12-08 939
这意味着只有文件的属主 "admin" 可以读取和写入 "data.txt",属组 "data_group" 的成员 "manager" 只能读取 "data.txt",而其他用户 "employee" 则无法进行任何操作。在该例子中,第一个字符 "-" 表示这是一个文件,接下来的三个字符 "rw-" 表示属主的权限,紧接着的三个字符 "r--" 表示属组的权限,最后的三个字符 "---" 表示其他用户权限。- 用户2:名为 "manager",属于文件的属组 "data_group"。
【访问控制之DAC】简述Linux中的主动访问控制
刘元林的博客
03-20 1270
在计算机安全中,自主访问控制(英语:,缩写DAC)由《可信计算机系统评估准则》[1]所定义的访问控制中的一种类型。Linux 内核的也叫,用户身份问题和文件管理方式就是受控于这种机制。Linux 系统中的用户主要分为(系统管理员)和两种,并将他/她们划分到不同的中。而这两种用户是否能够访问系统中的某个文件则与该文件的rwx 权限属性有关。如果某个程序想要访问这个文件,Linux 内核会根据该程序的和与该文件UID和GID的进行对比来决定是否允许操作。
权限设计种类【RBACABAC
m0_60469045的博客
03-19 2926
ACL(Access Control List):每一个客体都有一个列表,列表中记录的是哪些主体可以对哪些客体做什么。缺点:当主体的数量较多时,配置和维护成本大,易出错。 DAC(Discretionary Access control):是ACL的扩展,在其基础上,允许主体可以将自己拥有的 权限自主地授予其他主体,权限可以随意传递。缺点:权限控制比较分散,主体权限太大,有泄露信息的危险。 MAC(Mandatory Access Control):双向验证机制,常用于机密机构或
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值