針對傳統(tǒng)訪問控制模型難以解決的動態(tài)、細(xì)粒度訪問控制問題,研究人員提出了基于屬性的訪問控制模型(attribute-based access control,簡稱ABAC).ABAC 模型基于實體屬性而不是用戶身份來判決允許或拒絕用戶對
資源的訪問控制請求.ABAC 模型的核心要素包括主體、資源、操作以及環(huán)境約束,這些要素統(tǒng)一使用屬性和屬性值來進(jìn)行表示,屬性間的關(guān)系可以根據(jù)訪問控制需求進(jìn)行靈活的設(shè)置,提高了訪問控制策略語義的表達(dá)能力和模型的靈活性,并且能夠?qū)⑵渌L問控制模型中權(quán)限、安全標(biāo)簽、角色等概念用屬性來進(jìn)行統(tǒng)一描述,適用于解決分布式環(huán)境下動態(tài)大數(shù)據(jù)的訪問控制問題.基于如下原因,我們認(rèn)為,ABAC 模型相比其他模型能更好地適用于大數(shù)據(jù)訪問控制場景.

(1) 細(xì)粒度訪問控制:ABAC 模型通過屬性來對實體及約束進(jìn)行描述,能夠嚴(yán)格控制訪問者取得權(quán)限的各 種條件,精確設(shè)定屬性-權(quán)限關(guān)系,實現(xiàn)最小權(quán)限原則;
(2) 自主授權(quán):ABAC 模型可為資源擁有者提供策略管理接口,策略無需由管理員統(tǒng)一設(shè)定,資源擁有者可以根據(jù)自身實際資源保護(hù)需求發(fā)布、更新、撤銷策略,保證資源能夠按照資源擁有者的意愿被訪問;
(3) 動態(tài)訪問控制:ABAC模型依據(jù)請求者所具有的屬性集合決定是否賦予其訪問權(quán)限,實現(xiàn)了策略管理和權(quán)限判定的分離,且屬性的設(shè)置與更新具有極大的靈活性和擴展性,可滿足不同應(yīng)用場景需求;
(4)較小的系統(tǒng)開銷:在用戶和資源數(shù)量大幅度增加的情形下,傳統(tǒng) DAC,RBAC 等訪問控制模型策略數(shù)目將呈指數(shù)級增長,系統(tǒng)維護(hù)難度及開銷將極大增加.而 ABAC 模型中,策略隨用戶和資源的增長呈線性增加,當(dāng)達(dá)到一定規(guī)模后,系統(tǒng)開銷趨于平穩(wěn)[35].

為了便于本文的敘述,給出如下定義.

定義 1. 屬性項(attributeitem)是表示屬性的基本單元,{xAttrName=attrValue}(xAttrName∈attrSet,attrValue∈Range(xAttrName),x∈{s,r,a,e})表示,xAttrName 表示屬性名,attrValue 表示屬性值.為了對不同類型的屬性表示方便,用 x 表示屬性類型,s,r,a,e 分別代表主體屬性、資源屬性、動作屬性和環(huán)境屬性.

定義 2. 屬性元組(attribute tuple)是同類型屬性項的集合,用 xAttrTuple,x∈{s,r,a,e}表示,即:
xAttrTuple{(xAttrName1=attrValue1)∧(xAttrName2=attrValue2)∧…∧(xAttrNamei=attrValuei)}.

定義 3. 屬性訪問請求(attribute access request,簡稱 AAR)由一組主體屬性、資源屬性、動作屬性和環(huán)境屬
性組成,用 AAR:{sAttrTuple∧rAttrTuple∧aAttrTuple∧eAttrTuple}來表示,AAR
的含義是:屬性為 sAttrTuple 的請求 者在環(huán)境屬性 eAttrTuple 下,對資源 rAttrTuple 請求進(jìn)行操作
aAttrTuple.

定義 4(訪問控制策略). 針對資源的訪問控制規(guī)則,體現(xiàn)了資源擁有者的授權(quán)行為,規(guī)定了訪問受保護(hù)資源所需要具有的屬性集合 , 記 為 Policy:result(R,action,pid)←Θ{xAttrTupleSet}signature_owner,x∈{s,r,a,e}. 其 中 ,
Θ{xAttrTupleSet}表示由屬性項集合 xAttrTupleSet 中的屬性通過合取、析取等邏輯關(guān)系構(gòu)成的邏輯表達(dá)式,pid
表示策略 ID.當(dāng)請求方所擁有的屬性使Θ{xAttrTupleSet}為真時,請求方能夠被允許或拒絕對資源 R 進(jìn)行 action
操作,result∈{Permit,Deny}.另外,策略需要被資源擁有者或策略發(fā)行方簽名后在區(qū)塊鏈中保存,從而保證發(fā)布
策略的真實性.

總結(jié)

以上是生活随笔為你收集整理的基于属性的访问控制模型ABAC的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。