写点什么

访问控制相关概念及常见模型

用户头像
龙归科技
关注
发布于: 2021 年 04 月 01 日
访问控制相关概念及常见模型

访问控制旨在通过身份标识、身份验证和授权来允许,拒绝,限制和撤销对资源的访问。在讨论数据访问管理时,我们必须先把物理访问和逻辑访问弄明白。物理访问是指建筑物,设备和文档,而逻辑访问是指计算机或系统访问。


访问管理概念

让我们仔细探讨一下安全和身份管理概念,这些概念已包含在某些身份管理协会认证计划和考试的范围内了。


身份标识


身份标识是一种能够确保主体(用户、程序或进程)就是其所声称实体的方法。


身份验证


身份验证是将实体提供的凭据与存储在系统上的实体信息进行比较以验证身份的过程。


授权


授权发生在实体的标识和身份验证发生之后,以确定允许他们执行的操作。授权是通过使用访问控制来实现的。


最小特权原则


最小特权原则规定,我们应该只允许对一个实体的最小访问权限,这个实体可以是用户、设备、帐户或进程,使其能够执行所需功能的实体。该概念也适用于计算机服务,这些服务可能被授予比通过不当编程运行系统所需的更多的访问权限和功能。


职责分离原则


职责分离原则是企业各业务部门及业务操作人员之间责任和权限的相互分离机制。主要目的是通过允许两个人完成一项任务来防止剥削和欺诈。例如,为了确保在线转移资金时的安全性,系统可能需要两个人进入系统并批准交易。


访问控制列表


访问控制列表或 ACL 是一个文件,通常指计算机文件系统,它将权限附加到对象或实体。ACL 指定向哪些用户或系统进程授予对对象的访问权限,以及允许对象进行哪些操作。典型 ACL 中的每个条目都指定一个主题和一个操作。例如,如果一个文件对象有一个包含(Alice:read,write;Bob:read)的 ACL,这将授予 Alice 读写该文件的权限,而 Bob 只读取该文件。


功能


如果 ACL 在给定身份和一组权限的情况下定义权限,那么基于功能的访问提供了一种完全基于我们拥有的东西(如令牌,通行证或密码)授予访问权限的替代方法。在基于功能的系统中,应用程序可以与其他应用程序共享定义其访问级别的令牌。

访问控制方法

根据访问控制方法,可以基于我们已知,拥有和存在的事物来授予访问权限。


例如,我们知道的是密码或 token,我们拥有的是通行证,一直存在的是指纹或其他生物识别数据。

访问控制模型

常见访问控制模型包括:自主访问控制,强制访问控制,基于角色的访问控制和基于属性的访问控制。


自主访问控制


自由访问控制(Discretionary Access Control,DAC)是一种基于目标资源所有者确定访问权限的访问控制模型。资源的拥有者可以决定谁拥有访问权限,以及他们到底拥有哪些资源的访问权限。


强制访问控制


强制访问控制(Mandatory Access Control,MAC)是一种访问控制模型,其中资源的所有者无法决定谁可以访问它,而是由有权设置资源访问权限的组织或个人来决定谁拥有访问权限。我们经常可以在政府组织中发现 MAC 的实施,在这些组织中,对给定资源的访问主要由以下因素决定:


  • 应用于数据(机密,最高机密等)的敏感标签,

  • 根据个人被允许访问的敏感信息的级别,

  • 通过个人是否真的有必要访问资源,这是最小特权原则。


基于角色的访问控制


基于角色的访问控制(Role-Based Access Control ,RBAC)是一种访问控制模型,与 MAC 相似,它的功能是由权限而不是资源所有者设置的访问控制。RBAC 和 MAC 之间的区别在于 RBAC 中的访问控制是基于访问资源的个体角色。


基于属性的访问控制


基于属性的访问控制(ABAC)是基于属性的。这些属性可以是特定人员、资源或环境的属性。属性可以是主体(游乐园中人的身高)、资源(仅在特定操作系统或网站上运行的软件)或环境(一天中的时间或经过的活动时间长度)。


军事和政府组织可以使用多级访问控制模型,我们刚才讨论的简单访问控制模型可能不足以保护我们控制访问的信息。

物理访问控制

在讨论物理访问控制时,我们通常主要关注个人,设备和车辆的访问控制。


个人的访问控制通常围绕着控制个人进出建筑物或设施。我们可以看到许多建筑物实施此类控制,它们以通行证的形式来控制对设施的门禁。此类通行证通常配置在 ACL 上,以允许或拒绝可以将其用于哪些门并规定一天中可以使用的时间。


车辆的物理访问控制通常围绕着阻止车辆进入限制区域。


尾随


物理访问控制最常见的问题之一是尾随问题。当我们对物理访问控制措施进行身份验证时(例如,使用通行证时),就有可能发生尾随,然后另一个人直接跟随我们而未对其自身进行身份验证。


文章来源:https://www.identitymanagementinstitute.org/access-control-types-and-models/

关于我们


「龙归科技」 是一个专注于低代码赋能企业级信息化服务提供商。核心创始人团队来自绿盟安全、红帽开源操作系统、知名游戏玩蟹科技、知名开源社区等专家共同创立。


「龙归科技」 致力于让中国每一个企业拥有专属的自动化办公操作系统,助力企业或政府拥抱 (Cloud Native First)云原生优先战略,帮助客户构筑以「身份与应用」为中心的现代化 IT 基础设施!从而实现 「数字化转型」「软件行业工业化生产」


主打产品:ArkOS 方舟操作系统:一个企业级办公自动化操作系统 ,结合自研低代码应用开发平台,构建产业生态,专注为各类企业与组织机构打造一体化全栈云原生平台。系统自带应用包括:ArkID 统一身份认证,ArkIDE,ArkPlatform,App Store 等产品。截至目前,公司已经获得 15 个 软件著作权、2 个发明专利,并与 2020 年 11 月份,获得北京海淀区中关村国家高新技术企业认定。

相关链接:

官网:https://www.longguikeji.com/


文档:https://docs.arkid.longguikeji.com/


开源代码仓库地址:


https://github.com/longguikeji


https://gitee.com/longguikeji


历史文章


  1. 登录的轮子,你还在造?

  2. 企业级单点登录——信息化体系建设基础

  3. 远程办公,你准备好了吗?

  4. 企业信息化,怎样才算数?

  5. 龙归科技 | 对未来的若干猜测

  6. 龙归科技 | 企业办公自动化的未来

  7. 龙归科技 | 软件的成本下降

用户头像

龙归科技

关注

还未添加个人签名 2021.01.11 加入

「龙归科技」致力于让每个组织拥有专属的自动化办公操作系统,助力企业或政府拥抱(Cloud Native First)云原生优先战略,帮助客户构筑以「身份与应用」为中心的现代化 IT 基础设施!

评论

发布
暂无评论
访问控制相关概念及常见模型