本文解析了访问控制领域的三种核心模型:IBAC、RBAC及ABAC。分别介绍了它们的工作原理、特点及其应用场景,并强调了ABAC模型在动态访问控制方面的优势。
说明:“考点拾遗”系列基于日常为学员和网友做的答疑整理,主要涉及教材中没有完全覆盖到的知识点。
以下内容主要参考的NIST SP 800-162和NIST SP 800-178,本人水平有限,请以原文为准。
ACL(IBAC):
注意ACL是以客体为出发点的权限控制实现(具体请查阅CISSP教材访问控制矩阵、访问控制列表、访问能力表相关知识点内容)。
在IBAC模型中,如果一个主体提供的凭证与ACL中要求的凭证相匹配,则该主体被给予对客体的访问权。每个主体对该客体可执行的操作(读、写、编辑、删除等)权限,由客体所有者单独管理。每个客体都有自己的ACL和分配给每个主体的一组特权。
在IBAC模型中,授权决定在任何特定的访问请求之前做出,并导致主体被添加到ACL中。这个决定是静态的,需要一个通知过程来应对主体、客体或上下文可能发生的变化,当上述因素变化时,通知客体所有者重新评估和修改ACL。
如果涉及跨机构访问,即机构A的用户需要访问机构B的资源时,需要在机构B中预先为机构A的用户创建账号,并在访问列表中预先填写许可的操作。
IBAC模型的特征:
-
每个客体对应一个ACL;
-
权限逐一的分配给单个主体。
RBAC
基于角色的访问控制模型采用了可分配给主体、具有特定权限集合的预定义角色。在处理主体的访问请求时,访问控制机制评估已分配给该主体的角色,以及该角色已被授权对客体执行的操作集(权限集合),然后呈现和执行访问决策。
与IBAC相似,授权决定是静态的,在访问请求之前做出。但IBAC的授权是直接关联主体和客体,刻板,调整权限时很不方便;RBAC是关联角色和客体,可以通过将主体移入或移出角色(组)来使得主体获得或失去权限,比IBAC灵活了不少。
但是,RBAC角色分配往往基于静态的机构职位,难以支持多因素决策,这在某些需要动态访问控制决策的场景中会面临挑战。比如要求“只有持有电子取证执照,并且在最近的12个月内接受过继续教育的法证实验室正式员工,才被允许在工作时间、通过第5实验室的两台PC之一访问存档的电子类证据”,就不可能靠RBAC来实现了。
另外,与IBAC一样,如果涉及跨机构访问,即机构A的用户需要访问机构B的资源时,需要在机构B中预先为机构A的用户创建用户账号(或组账号),并在访问列表中预先填写许可的操作。
RBAC的主要特征有:
-
基于工作职责的分类来做出访问决定;
-
简化了授权管理过程;
-
可以根据功能或组织结构对员工访问权建模。
注意:由于会用到特定的“属性”,ACL(IBAC)和RBAC实质上是ABAC的特例!!ACL作用于“身份identity”属性,RBAC则是“角色role”(见NIST SP 800-162 第5页)。
ABAC
ABAC避免在主体发出请求之前就将权限(即对某“客体”实施某种“操作”)直接分配给主体/角色/组。当主体请求访问时,ABAC引擎根据主体的已指派属性、客体的已指派属性、环境条件、以及根据这些属性和条件指定的一组策略,来做出访问决策。
在ABAC模型下,通过简单地改变属性值,访问决策可以在两次访问请求之间改变,而不需要改变定义底层规则集的主体/客体关系,这提供了更动态的访问控制管理能力。
对于跨机构的访问需求,可以依赖于在机构之间一致定义的主体和客体属性来做出访问控制决定,而不需要预先在一个机构的系统中准备其他成员成员的账号。这里所说的“一致定义”并不要求两个机构对所有主客体属性的定义完全相同,能够满足访问和做出访问控制决定的需要即可。
在最基本的组成形式中,ABAC主要包括对主体属性、客体属性、环境条件以及访问控制规则(定义了基于主、客体的属性组合的一些允许的操作)的评估,并执行通过这些属性所生成的访问决策。
ABAC的主要特征有:
-
动态的访问控制管理;
-
多因素访问决策,如环境条件、上下文等;
-
复杂布尔规则集;
-
通过添加条件来显著减少角色分配数量。
区分RBAC和ABAC(只是为了应付考试)
如果出现了一些非角色性的属性,比如时间、地点、个人持有的专业证书等,自然就跑不了的ABAC。
但如果题干中只涉及部门、职位等与角色(岗位)强相关的信息,比如说研发部的经理可以访问所有项目的源代码,这时RBAC和ABAC都有可能!!!
-
如果出现“组”这个字眼,比如表述为一个人如果同时属于“研发部”和“经理”两个组,那就是RBAC;
-
如果出现XACML的name-value形式的描述,如“department=研发部,role=经理”,ABAC可能性较大,因为XACML是ABAC的典型工具。
扫一扫
237
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
