訪問控制模型

項(xiàng)目中需要加入訪問控制，對(duì)訪問控制模型做了一些調(diào)研, 本文主要是介紹一些常用的訪問控制模型。

基本要素

訪問控制模型包括三個(gè)要素，即：

• 主體（Subject) 指主動(dòng)對(duì)其它實(shí)體施加動(dòng)作的實(shí)體

• 客體(Object) 是被動(dòng)接受其他實(shí)體訪問的實(shí)體

• 控制策略(Policy)為主體對(duì)客體的操作行為和約束條件

安全策略

主體、客體，控制策略三者需要滿足的基本安全策略：

• 最小特權(quán)原則：給主體分配權(quán)限時(shí)要遵循權(quán)限最小化原則，最小特權(quán)原則的優(yōu)點(diǎn)是最大限度地限制了主體實(shí)施授權(quán)行為，可以避免來自突發(fā)事件、錯(cuò)誤和未授權(quán)用主體的危險(xiǎn)。

• 最小泄漏原則：它是指主體執(zhí)行任務(wù)時(shí),按照主體所需要知道的信息最小化的原則分配給主體權(quán)利。也就是要保護(hù)敏感信息不要被無關(guān)人員知道，別人知道得越少越好。

• 多級(jí)安全策略：多級(jí)安全策略是指主體和客體間的數(shù)據(jù)流向和權(quán)限控制按照安全級(jí)別的絕密（TS）、秘密（S）、機(jī)密（C）、限制（RS）和無級(jí)別（U）五級(jí)來劃分。多級(jí)安全策略的優(yōu)點(diǎn)是避免敏感信息的擴(kuò)散，只有安全級(jí)別比他高的主體才能夠訪問。

發(fā)展

1985年美國(guó)軍方提出可信計(jì)算機(jī)系統(tǒng)評(píng)估準(zhǔn)則TCSE，描述了兩種著名的訪問控制策略，自主訪問控制模型（DAC）和強(qiáng)制訪問控制模型（MAC）。基于角色的訪問控制模型（RBAC）在1992年被提出。基于屬性的訪問控制模型(ABAC)則被認(rèn)為是訪問控制模型的未來。

自主訪問控制模型（DAC）

自主訪問控制模型（DAC，Discretionary Access Control）是根據(jù)自主訪問控制策略建立的一種模型，允許合法用戶以用戶或用戶組的身份訪問策略規(guī)定的客體，同時(shí)阻止非授權(quán)用戶訪問客體。擁有客體權(quán)限的用戶，可以將該客體的權(quán)限分配給其他用戶。例如沒有文件File1訪問權(quán)限的用戶可以從有訪問權(quán)限的B用戶那里得到訪問權(quán)限。

DAC訪問控制的實(shí)現(xiàn)

權(quán)限控制列表（ACL）

訪問控制列表(ACL, Access Control List)，每一個(gè)客體都配有一個(gè)列表，這個(gè)列表記錄了主體對(duì)客體進(jìn)行何種操作。當(dāng)系統(tǒng)試圖訪問客體時(shí)，先檢查這個(gè)列表中是否有關(guān)于當(dāng)前用戶的訪問權(quán)限。ACL是一種面向資源的訪問控制模型，它的機(jī)制是圍繞資源展開的。

對(duì)于一個(gè)文件對(duì)象的ACL：

• Alice: read,write
• Bob: read

表示Alice可以對(duì)該文件進(jìn)行讀寫操作，Bob只能讀取。

權(quán)限控制矩陣（ACM）

訪問控制矩陣(ACM,Access Control Matrix)是通過矩陣形式描述主體和客體之間的權(quán)限分配關(guān)系。每個(gè)主體而言，都擁有對(duì)哪些客體的哪些訪問權(quán)限；而對(duì)客體而言，又有哪些主體對(duì)他可以實(shí)施訪問；

Asset 1 Asset 2 File Device Role 1 Role 2

read, write, execute, own	execute	read	write
read	read, write, execute, own

DAC應(yīng)用場(chǎng)景

DAC常見于文件系統(tǒng)，LINUX，UNIX、WindowsNT版本的操作系統(tǒng)都提供DAC的支持。在實(shí)現(xiàn)上，先對(duì)用戶鑒權(quán)，然后根據(jù)控制列表決定用戶能否訪問資源。用戶控制權(quán)限的修改通常由特權(quán)用戶或者管理員組實(shí)現(xiàn)。DAC最大缺陷就是對(duì)權(quán)限控制比較分散，比如無法簡(jiǎn)單地將一組文件設(shè)置統(tǒng)一的權(quán)限開放給指定的一群用戶。主體的權(quán)限太大,無意間就可能泄露信息。

強(qiáng)制訪問控制模型（MAC）

強(qiáng)制訪問控制模型(MAC, Mandatory Access Control),是為了彌補(bǔ)DAC權(quán)限控制過于分散的問題而誕生的。

• Subject被賦予一定的安全級(jí)別
• Object被賦予一定的安全級(jí)別
• Subject能否訪問Object由雙方的關(guān)系安全級(jí)別決定，這個(gè)判斷通常有系統(tǒng)硬性限制

MAC非常適合機(jī)密機(jī)構(gòu)或者其他等級(jí)觀念強(qiáng)烈的行業(yè)，過重強(qiáng)調(diào)保密性，管理不夠靈活。在實(shí)現(xiàn)上，MAC和DAC通常為每個(gè)用戶賦予對(duì)客體的訪問權(quán)限規(guī)則集，考慮到管理的方便，在這一過程中還經(jīng)常將具有相同職能的用戶聚為組，然后再為每個(gè)組分配許可權(quán)。

基于角色的訪問控制(RBAC)

基于角色的訪問控制(RBAC, Role Based Access Control)在用戶和權(quán)限之間引入了“角色（Role）”的概念，角色解耦了用戶和權(quán)限之間的關(guān)系。
角色和組的主要區(qū)別：

• 組是用戶的集合
• 角色是權(quán)限的集合
• 角色/權(quán)限之間的變化比組/用戶關(guān)系之間的變化相對(duì)要慢得多，減小了授權(quán)管理的復(fù)雜性

RBAC0

RBAC0作為基礎(chǔ)模型，只包含核心的三要素，用戶，角色，權(quán)限。用戶和角色可以是多對(duì)多的關(guān)系，權(quán)限和角色也是多對(duì)多的關(guān)系。

RBAC1

RBAC1包括了RBAC0并且添加了角色繼承。顧名思義，角色繼承就是指角色可以繼承于其他角色，在擁有其他角色權(quán)限的同時(shí)，自己還可以關(guān)聯(lián)額外的權(quán)限。這種設(shè)計(jì)可以給角色分組和分層，一定程度簡(jiǎn)化了權(quán)限管理工作。也就是角色之間存在上下級(jí)的關(guān)系，對(duì)應(yīng)到實(shí)體設(shè)計(jì)中也就是角色實(shí)體的自身關(guān)聯(lián)。

RBAC2

RBAC2也包括RBAC0并且添加了約束。RBAC1和RBAC2相互獨(dú)立.
RBAC2的約束規(guī)定了權(quán)限被賦予角色時(shí),或角色被賦予用戶時(shí),以及當(dāng)用戶在某一時(shí)刻激活一個(gè)角色時(shí)所應(yīng)遵循的強(qiáng)制性規(guī)則。

• 互斥約束：包括互斥用戶，互斥角色，互斥權(quán)限。同一個(gè)用戶不能擁有相互排斥的角色，兩個(gè)互斥角色不能分配一樣的權(quán)限集，互斥的權(quán)限不能分配給同一個(gè)角色，在session中，同一個(gè)角色不能擁有互斥權(quán)限。
• 基數(shù)約束：一個(gè)角色被分配的用戶數(shù)量受限，它指的是有多少用戶能擁有這個(gè)角色。例如：一個(gè)角色專門為公司CEO創(chuàng)建的，那這個(gè)角色的數(shù)量是有限的。
• 先決條件角色：指要想獲得較高的權(quán)限，要首先擁有低一級(jí)的權(quán)限。例如：先有副總經(jīng)理權(quán)限，才能有總經(jīng)理權(quán)限。

RBAC3

RBAC3是一個(gè)全功能的RBAC，RBAC3合并了RBAC0，RBAC1，RBAC2.

基于屬性的訪問控制(ABAC)

基于屬性的訪問控制(ABAC, Attribute Based Access Control)通過動(dòng)態(tài)計(jì)算一個(gè)或一組屬性是否滿足某種條件來進(jìn)行授權(quán)判斷。可以按需實(shí)現(xiàn)不同顆粒度的權(quán)限控制，但定義權(quán)限時(shí)不易看出用戶和對(duì)象間的關(guān)系。如果規(guī)則復(fù)雜，容易給管理者帶來維護(hù)和追查帶來麻煩。

屬性通常來說分為四類：

• 用戶屬性（如用戶年齡)
• 環(huán)境屬性（如當(dāng)前時(shí)間）
• 操作屬性（如讀取)
• 對(duì)象屬性（如一篇文章，又稱資源屬性）

跟RBAC相比，ABAC對(duì)權(quán)限的控制粒度更細(xì)，如控制用戶的訪問速率。實(shí)際開發(fā)中可以結(jié)合RBAC角色管理的優(yōu)點(diǎn)和ABAC的靈活性一起使用。

用ABAC控制訪問速率

執(zhí)行代碼 package mainimport ("fmt""strconv""github.com/casbin/casbin""github.com/casbin/casbin/model" )type Request struct {Subject stringObject stringAction stringCount int }func (r Request) IsBelow(limit string) bool {a, err := strconv.Atoi(limit)if err != nil {return false}fmt.Printf("%d < %d %v\n", r.Count, a, r.Count < a)return r.Count < a }func main() {const modelText = ` [request_definition] r = sub, obj, act, count [policy_definition] p = sub, obj, act, limit [policy_effect] e = some(where (p.eft == allow)) [matchers] m = r.sub==p.sub && r.obj==p.obj && r.act==p.act && r.count.IsBelow(p.limit) `m := model.Model{}m.LoadModelFromText(modelText)e, _ := casbin.NewEnforcer(m)// 添加策略// 限制john訪問http_api的次數(shù)在500次以下e.AddPolicy("john", "http_api", "visit", "500")// john當(dāng)前訪問http_api的次數(shù)為90次request := Request{Subject: "john",Object: "http_api",Action: "visit",Count: 90}pass, err := e.Enforce(request.Subject, request.Object, request.Action, request)fmt.Println(pass, err) }

相關(guān)連接

• https://casbin.org/docs/en/overview
• https://en.wikipedia.org/wiki/Access_control
• http://www2.imm.dtu.dk/courses/02230/AdvancedAccessControl.pdf
  

總結(jié)

以上是生活随笔為你收集整理的访问控制模型（DAC,MAC,RBAC,ABAC）的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。