零信任架构和访问控制模型ABAC

最新推荐文章于 2025-01-05 06:37:11 发布
原创 最新推荐文章于 2025-01-05 06:37:11 发布 · 1.4k 阅读 · 5 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#区块链

近几年,权限访问控制模型被反复提及,目前常用的是RBAC(Role-Based Access Control),RBAC是迄今为止最为普及的权限设计模型,其优点是简单,实现起来非常容易。
但是随着授权需求复杂度的提升和对控制逻辑灵活性的高度要求,ABAC(attribute-based access control)访问控制模型将会越来越普及。近期火爆的零信任架构里,ABAC模型就比RBAC更加合适。
ABAC既然是针对属性(attributes)的,那我们先来看看它一般是针对哪些属性进行授权控制的。属性可以是任意的对象,一般会涉及的属性主要是以下四类:

1、访问主体属性:访问者自带的属性,比如年龄,性别,部门,角色等;

2、动作属性:比如读取,删除,查看等;

3、对象属性:被访问对象的属性,比如一条记录的修改时间,创建者等;

4、环境属性:比如时间信息,地理位置信息,访问平台信息等。

基于属性,ABAC可以设置很多灵活的策略来进行访问的控制,比如:

1、当一个文档的所属部门跟用户的部门相同时,用户可以访问这个文档;

2、当用户是一个文档的额拥有者并且文档的状态是草稿,用户可以编辑这个文档;

3、早上九点前禁止A部门的人访问B系统;

4、在除了上海以外的地方禁止以管理员身份访问A系统。

看起来是不是挺强大的。

因为模型是基于策略,而策略又是基于各种灵活的属性动态控制的,所以ABAC模型里通常有配置文件(XML、YAML等)或DSL配合规则解析引擎使用。规则引擎负责控制逻辑的处理,配置文件负责策略的定义和描述。

XACML(eXtensible Access Control Markup Language)就是基于ABAC访问模型的一个实现(可能也是最复杂的一种实现)。

在XACML的架构中,有5种控制节点:

最低0.47元/天 解锁文章
于小野
关注
网络安全 | 信任架构:重构安全防线的未来趋势
优快云博客专家,系统架构师,有合作、疑惑请私信博主。
02-06 6万+
网络安全 | 信任架构:重构安全防线的未来趋势,在当今数字化飞速发展的时代,网络安全面临着前所未有的挑战。传统的网络安全模型在应对复杂多变的威胁时逐渐暴露出诸多局限性。信任架构作为一种新兴的网络安全理念与方法,正逐渐崭露头角并引领着网络安全防线的重构。本文深入探讨信任架构的核心概念、原理、关键技术组件、与传统安全模型的对比、在不同应用场景中的实践以及面临的挑战与未来发展趋势等多方面内容,旨在全面剖析信任架构如何重塑网络安全格局,为网络安全领域的专业人士、研究人员以及相关从业者提供深入的知识……
大数据架构中的信任安全模型:细粒度访问控制实现
操作系统内核探秘的博客
09-07 1082
随着全球数据量以每年50%的速度增长(IDC 2023数据),大数据平台已成为企业核心资产的存储与处理中枢。物理边界消失:数据在HDFS、对象存储、数据湖之间流动,传统防火墙无法覆盖所有访问路径;内部威胁加剧:2022年IBM《数据泄露成本报告》显示,34%的安全事件源于内部越权访问;动态访问需求:实时分析、流计算场景要求访问控制策略能随用户角色、设备状态、网络位置动态调整。如何将信任的"永不信任,始终验证"原则与大数据的分布式特性结合?细粒度访问控制的技术边界在哪里?
ABAC模型
IT界的奇葩
07-05 2089
ABAC模型通过属性策略的灵活组合,实现了比传统RBAC更细粒度动态的访问控制。在复杂动态变化的环境中,ABAC可以提供更强的灵活性安全性。通过结合RBACABAC,可以设计出更加健壮适应性强的权限管理系统。ABAC模型提供了比传统RBAC更灵活精细的访问控制方式,适用于复杂、多变的权限需求场景。通过引入多种属性并动态评估权限,ABAC能够实现更强大细粒度的访问控制策略。
基于属性的访问控制模型ABAC
mlynb的博客
06-23 3515
针对传统访问控制模型难以解决的动态、细粒度访问控制问题,研究人员提出了基于属性的访问控制模型(attribute-based access control,简称ABAC).ABAC 模型基于实体属性而不是用户身份来判决允许或拒绝用户对 资源的访问控制请求.ABAC 模型的核心要素包括主体、资源、操作以及环境约束,这些要素统一使用属性属性值来进行表示,属性间的关系可以根据访问控制需求进行灵活的设置,提高了访问控制策略语义的表达能力模型的灵活性,并且能够将其他访问控制模型中权限、安全标签、角色等概念用属性来
权限系统设计一: DAC、MAC、RBAC、ABAC模型
09-19 2628
自主访问控制(DAC: Discretionary Access Control) 自主访问控制中,产品中的操作对象被设置了权限等级。 在用户登陆时,系统识别用户,根据被操作对象(Subject)的权限控制列表(ACL: Access Control List)或者权限控制矩阵(ACL: AccessControl Matrix)信息设置用户能对哪些操作对象进行何种操作,例读取操作...
信任架构下的访问控制技术
weixin_70101757的博客
07-17 2062
基于信任理念构建信任架构,打破传统安全架构基于网络边界构筑信任域的理念,基于各类主体的身份进行细粒度的风险度量访问授权,通过持续信任评估实现动态访问控制,避免核心资产直接暴露,最大程度减少被攻击面以及被攻击的风险。身份认证、信任评估、动态访问控制、业务安全访问是信任的核心能力。访问控制模块持续依据评估结果建立访问主体被访问资源之间的映射关系,调整并下发执行控制策略,构建对核心业务资产的保护屏障,将核心业务资产的暴露面隐藏。传统访问控制模型中,访问主体通过角色属性获取相应权限。但是在信任架构下,以
信任安全】基于Java+Vue的企业内网访问控制系统设计: 基于java+vue的信任架构的企业内网访问控制系统设计与实现的详细项目实例(含完整的程序,数据库GUI设计,代码详解)
最新发布
11-12
内容概要:本文详细介绍了一个基于Java+Vue技术栈的信任架构企业内网访问控制系统的设计与实现,涵盖项目背景、目标、模型架构、核心功能模块、数据库设计、前后端代码实现及部署应用。系统融合多因素身份认证...
使用信任架构提升工业控制系统安全性:从网络隔离到细粒度访问控制的实践路径
qq_36287830的博客
01-05 1319
信任是一种全新的安全理念,它假设内外网均不可信,任何尝试访问资源的行为都必须经过严格验证。ZTA通过身份认证、授权管理加密通信等手段,确保只有合法用户设备才能获取所需服务。
信任架构下的访问控制——前序
Enlink_Young的博客
08-16 758
计算机系统及其创建、处理、传输存储的数据已成为现代企业组织不可或缺的组成部分。企业组织的IT部门使用访问控制机制来降低未经授权访问其数据、资源系统的风险。 “云大物移”等前沿信息技术的快速发展应用,极大地增加了网络信息基础设施的复杂性,为应对基础设施面临的复杂安全风险日益严峻的网络安全问题,“永不信任,始终验证”的信任安全理念开始吸引越来越多的关注。 信任安全架构通过身份、环境、动态权限等层面定义,缓解身份滥用、高风险终端、非授权访问等安全风险,建立端到端的动态访问控制机制,极大收缩
深入探讨ABAC
hello.reader
12-11 2758
ABAC(Attribute-Based Access Control,基于属性的访问控制)是一种先进的访问控制模型,它通过对属性进行评估来决定是否允许用户访问资源。与传统的基于角色(RBAC)或基于规则(PBAC)的访问控制模型不同,ABAC访问控制的决策建立在多维度的属性之上,而这些属性可以是用户的身份、资源的特征、环境的状态等多个方面。主体(Subject):请求访问资源的实体,通常是用户。对象(Object):受保护的资源,可以是文件、数据、应用程序等。动作(Action)
权限系统设计详解(三):ABAC 基于属性的访问控制
热门推荐
路多辛的所思所想
02-04 1万+
ABAC(Attribute-Based Access Control,基于属性的访问控制)是一种灵活的访问控制机制,可以根据多个属性来控制用户对资源的访问。这些属性可以是用户属性(如职位、年龄、部门)、资源属性(如文档分类、创建日期)、环境属性(如访问时间、网络位置)行为属性(如读取、写入、执行)等。ABAC 通过定义一系列的访问策略,这些策略基于属性进行评估,以决定是否允许用户执行特定的操作。ABAC 提供了比传统的访问控制模型(如基于角色的访问控制 RBAC)更高的灵活性更细的粒度。
【概念】权限管理模型(RBAC、ABAC、ACL)
颜淡慕潇
10-13 1万+
这三种权限管理模型,也可以说是设计理念;在web后端的开发中都是以用户为主体,构建起来都较为简单。当然,它们各自都有优缺,只是两权相难取其轻,具体开发过程中还需要权衡开发成本而选择。
信任数据动态授权实现方案
m0_73803866的博客
09-26 520
随着数字化的深入,数据成为重要生产要素。数据伴随着业务 应用,在不同载体间流动留存,贯穿信息化业务系统的各层面、 各环节,在复杂的应用环境下,保证重要数据、核心数据以及用户个 人隐私数据等敏感数据不发生外泄,是数据安全保障工作的重要挑战。数据安全靠的不是单点技术,而是能力体系。
基于信任思路构建数据安全保护体系建设过程
m0_73803866的博客
09-26 2030
如图 1 所示,信任架构围绕身份、设备、应用等主体与数据 资源、接口等客体通过多个维度的策略管理,构建动态访问控制能 力,通过统一的平台,对用户访问应用、应用之间的相互访问、数 据访问、特权访问等典型的企业访问场景进行动态策略管控。数字化时代安全理念方法需要演进,数字化时代的信息化环 境是动态的,业务需求是动态的,风险也是动态的,数据管控需求 必然也是动态的,需要用动态的安全思路来应对这些新需求、新挑 战,信任就是这样一种基于动态策略的安全理念方法。信任动态授权体系,则是授权能力的落地。
复杂场景下的权限系统该怎么玩?ABAC权限模型帮你搞定它!
芋艿V
12-06 930
点击上方“芋道源码”,选择“设为星标”管她前浪,还是后浪?能浪的浪,才是好浪!每天 10:33更新文章,每天掉亿点点头发...源码精品专栏原创 | Java 2021超神之路,很肝~中文详细注释的开源项目RPC 框架 Dubbo 源码解析网络应用框架 Netty 源码解析消息中间件 RocketMQ 源码解析数据库中间件 Sharding-JDBC MyCAT 源码解析作业调度中间件 E...
构建信任数据动态授权能力的关键步骤.
m0_73803866的博客
09-26 472
构建信任数据动态授权能力的关键举措(一)Gartner 将数据安全治理(DSG)定义为“信息治理的一个子集, 基于良好定义的数据策略流程对企业数据(结构化数据库基于文 件的非结构化数据)进行保护”,数据分级分类工作是数据安全治理 的首要基础工作。组织有哪些敏感数据?谁在使用这些数据?这些 数据存储在哪里?如何描述这些数据,组织需要对其数据资产有完整的视图。
云中的XACML
danpu0978的博客
04-16 354
可扩展访问控制标记语言 (XACML)是事实上的授权标准。 该规范定义了一种架构 (请参见右图),该架构关联了组成基于XACML的系统的不同组件。 这篇文章探讨了更适合在云中使用的标准体系结构的一种变体。 云端授权 在云计算中 ,多个租户 共享他们通过网络到达的相同资源 。 当然,必须使用策略执行点 (PEP)保护进入云的入口点。 由于XACML实现了基于属性的访问控...
ABAC模型简单介绍——通过casbin进行简单举例
qq_57150526的博客
02-04 1592
通过casbin进行简单的ABAC模型表达,简单介绍了ABAC原理
基于信任模型的计算机网络安全访问控制研究
其中,访问控制理论主要包括自主访问控制(DAC)、强制访问控制(MAC)基于角色的访问控制(RBAC)等经典模型,这些模型为后续的信任访问控制策略设计提供了理论支撑。信任模型的研究进展部分则梳理了Google ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值