基于上下文感知的访问控制模型CaRBAC
- 格式:pdf
- 大小:524.40 KB
- 文档页数:6


访问控制策略一般有以下几种方式:∙自主型访问控制(Discretionary Access Control-DAC):用户/对象来决定访问权限。
信息的所有者来设定谁有权限来访问信息以及操作类型(读、写、执行。
)。
是一种基于身份的访问控制。
例如UNIX权限管理。
∙强制性访问控制(Mandatory Access Control-MAC):系统来决定访问权限。
安全属性是强制型的规定,它由安全管理员或操作系统根据限定的规则确定的,是一种规则的访问控制。
∙基于角色的访问控制(格/角色/任务):角色决定访问权限。
用组织角色来同意或拒绝访问。
比MAC、DAC更灵活,适合作为大多数公司的安全策略,但对一些机密性高的政府系统部适用。
∙规则驱动的基于角色的访问控制:提供了一种基于约束的访问控制,用一种灵活的规则描述语言和一种ixn的信任规则执行机制来实现。
∙基于属性证书的访问控制:访问权限信息存放在用户属性证书的权限属性中,每个权限属性描述了一个或多个用户的访问权限。
但用户对某一资源提出访问请求时,系统根据用户的属性证书中的权限来判断是否允许或句句模型的主要元素∙可视化授权策略生成器∙授权语言控制台∙用户、组、角色管理模块∙API接口∙授权决策引擎∙授权语言解释器H.1. RBAC模型介绍RBAC(Role-Based Access Control - 基于角色的访问控制)模型是20世纪90年代研究出来的一种新模型,但从本质上讲,这种模型是对前面描述的访问矩阵模型的扩展。
这种模型的基本概念是把许可权(Permission)与角色(Role)联系在一起,用户通过充当合适角色的成员而获得该角色的许可权。
这种思想世纪上早在20世纪70年代的多用户计算时期就被提出来了,但直到20世纪90年代中后期,RBAC才在研究团体中得到一些重视。
本章将重点介绍美国George Mason大学的RBAC96模型。
H.2. 有关概念在实际的组织中,为了完成组织的业务工作,需要在组织内部设置不同的职位,职位既表示一种业务分工,又表示一种责任与权利。
rbac概念-回复什么是RBAC?RBAC,全称为Role-Based Access Control,即基于角色的访问控制。
它是一种广泛应用于信息安全领域的访问控制模型,通过授权用户使用特定的角色来限制其对资源的访问权限。
与之前的访问控制模型相比,RBAC 模型具有更高的灵活性、可扩展性和管理效率。
RBAC的基本概念和组成部分是什么?RBAC模型包括三个基本概念和三个重要组成部分。
基本概念:1. 用户:拥有系统账户的人,用户通过角色来访问资源;2. 角色:代表用户在组织中的职能或工作角色,拥有一组权限;3. 资源:需要被保护的系统资源,如文件、数据库、应用程序等。
组成部分:1. 用户角色和权限关系:定义了哪些用户属于哪些角色,以及每个角色拥有的权限;2. 角色和资源关系:规定了每个角色可以访问哪些资源;3. 权限控制策略:用于限制用户在特定角色下的访问权限,从而实现资源保护。
通过这三个基本概念和三个组成部分的配合使用,RBAC模型能够实现更精细、更灵活的访问控制。
RBAC模型的优势是什么?RBAC模型相比其他访问控制模型具有以下优势:1. 灵活性:RBAC模型允许更好地适应组织的变化,通过简单地授权和解除授权角色,而不需要逐个定义和授权用户。
当有新用户加入组织或者有用户离开组织时,只需要调整其角色即可。
2. 可扩展性:RBAC模型能够很好地应对组织规模的扩大。
随着系统的增长,只需要添加新的用户角色和资源,而不需要改变现有角色和权限的定义。
3. 管理效率:RBAC模型简化了用户和权限管理过程,减少了管理的复杂性。
通过授权和解除授权角色,管理员只需要管理少数角色,而不需要逐个管理用户的权限。
4. 增强安全性:由于RBAC模型只授权角色,而不直接授权用户,所以即使某个用户的账户被黑客入侵,黑客也只能获取该用户被授权的角色,而无法获取其他用户的权限。
通过这些优势,RBAC模型成为了许多组织在实施权限管理和访问控制时的首选模型。
面向泛在网络的C A-R B A C访问控制李梁磊u邵立嵩3王传勇4刘勇5王坤4(1.中国科学院信息工程研究所北京100093曰2.中国科学院数据与通信保护研究教育中心北京100093;3.南瑞集团公司江苏南京211000;4.国网山东省电力公司奉庄供电公司山东奉庄277100;5.国网山东省电力公司山东济南250001)【摘要】传统的访问控制模型大多是以系统为视角来保护资源,权限控制缺少对上下文因素的考虑。
随着泛 在网络时代的到来,实现网络服务的过程中产生大量关于用户上下文方面的信息,如何实现具有上下文特征 的安全访问机制已成为亟待解决的问题。
论文在以往的研究基础上,提出了基于上下文感知和角色的访问控 制(CA-RBAC)机制,从应用环境中获取与安全相关的用户上下文信息与资源上下文信息,分别调整角色分配 关系和权限分配关系,来实现动态授予角色权限。
【关键词】访问控制;上下文;角色;泛在网络;动态Context-aware Access Control for Ubiquitous NetworkLi Liang-lei12 Shao Li-song3Wang Chuan-yong4Liu Yong5 Wang Kun4(1. Institute o f Information Engineering, Chinese Academy o f S ciences Beijing 100093;2. D ata Assurance and Communication Security Research Center, Chinese Academy o f Sciences Beijing 100093;3.Nari Group Corporation JiangsuNanjing 211000;4.STATE GRID Zaozhuang Power Supply Company ShandongZaozhuang 277100;5. STA TE GRID Shandong Power Supply Company ShandongJinan 250001)【Abstract 】Most of the traditional access control modelsprotect resource in the view of asystem. when controlling the permissions,they lack consideration of context factors.With the advent of the era of ubiquitous network,?the implementation process of network services produces a large amount of information on user context. howto implement the secure access mechanism with the characteristics of the context has become a problem to be solved. With the help of previous research,the paper presents a new access control?mechanism (called CA-RBAC) based on context-awareness and roles. It gets user context and resource context which are related to security from the application environment,adjusts the relations of role assignment and permissions assignment, grants the roles permissions dynamically in the end.【Keywords 】accesscontrol;context;role;ubiquitousnetwork;dynamici引言当前信息技术正处于不断发展的态势中,世界正在从传统桌面计算的人机交互时代过渡到泛在网络 时代。
NGAC vs RBAC vs ABAC 及为何选择 NGAC 作为权限控制模型本文为我跟 Ignasi Barrera 共同创作,本文英文版首发于TheNewStack。
不同的公司或软件供应商已经设计了无数种方法来控制用户对功能或资源的访问,如酌情访问控制(DAC)、强制访问控制(MAC)、基于角色的访问控制(RBAC)和基于属性的访问控制(ABAC)。
从本质上讲,无论何种类型的访问控制模型,都可以抽象出三个基本要素:用户、系统 / 应用和策略。
在本文中,我们将介绍 ABAC、RBAC 以及一种新的访问控制模型——下一代访问控制(NGAC),并比较三者之间的异同,以及为什么你应该考虑 NGAC。
什么是 RBAC?RBAC,即基于角色的访问控制,采用的方法是根据用户在组织中的角色授予(或拒绝)对资源的访问。
每个角色都被分配了一系列的权限和限制,这很好,因为你不需要跟踪每个系统用户和他们的属性。
你只需要更新相应的角色,将角色分配给用户,或者删除分配。
但这可能很难管理和扩展。
使用 RBAC 静态角色模型的企业经历了角色爆炸:大公司可能有数万个相似但不同的角色或用户,他们的角色会随着时间的推移而改变,因此很难跟踪角色或审计不需要的权限。
RBAC 具有固定的访问权限,没有规定短暂的权限,也没有考虑位置、时间或设备等属性。
使用 RBAC 的企业很难满足复杂的访问控制要求,以满足其他组织需求的监管要求。
RBAC 示例下面是 Kubernetes 中 default 命名空间中的一个 Role,可以用来授予 pod 的读取权限。
apiVersion:rbac.authorization.k8s.io/v1kind:Rolemetada ta:namespace:defaultname:pod-readerrules:- apiGroups:["v1"]resources:["pods"]verbs:["get","watch" ,"list"]什么是 ABAC?ABAC 是“基于属性的访问控制“的缩写。