大数据平台上基于属性的角色访问控制模型
基于角色和属性的访问控制模型
20 0 6年 第 1 O期
福
建 电
脑
8 7
基 于角色和属性 的访 问控制模型
朱益 盛 .顾 绍 元
( 同济大学计算机科 学与技术 系 上 海 20 9 ) 0 0 2
【 要】 摘 :针对现有 R A ( o — a dAcs C n 1 B C R l Bs ce ot ) e e s m 模型在应用中出现的对于角色的管理较为复杂的情况, 本文提
出一种基于属性和 角色的访 问控制模 型 . 能够在不影响控制效果 的前提 下有效减 少角 色数量 , 于管理 。然后在角 色和权限 便 之 间 相 应 地 引入 规 则 , 方 面适 应 属 性 的 出现 , 一 方 面 可 以适 应 工 作 流 访 问控制 中对 于 时 问 , 间 的 种 种 限制 要 求 。 一 另 空
.
一
但 是传 统 R A B C模 型 在 实 际应 用 中 也暴 露 出一 些 问 题 对 于 内 部拥 有 多个 组 织 单 元 的 企业 ( 多 个 部 门 。 个 子 公 司 )每 如 多 . 个 职 员所 能 访 问 的资 源 经 常 与 该 职 员所 在 组 织 单 元 有 关 我 们 来 看 一 个银 行 的例 子 , 某银 行在 ABC三 地 都设 有 支 行 , 于 A ,。 对 支行 的贷款发放职员 . 他对 该 银 行 中 的 所 有 贷 款 记 录 都 拥 有 读 的权 限 . 是 只有 对 该 支 但 ,指定角色路径 行的贷款记录有写的权限 . 而 ・ 径的通配符 路 无 法对 BC两支行 的 贷款 记 . l 逻辑 或 录 进 行 写 操 作 .C 两 地 的 贷 B @ 属性 No t逻 辑非 款 发 放 员 同 样 只 能 够 对 自 己 / prn: 角 色 A 的 所 有 父 亲 角 色 M ae|* : 所在分行 的贷款记 录进行写操作 .而总行 的贷款发放职员可以 / hl: 角 色 A 的 所 有 子 角 色 Mc i : d・ 对 所 有 的贷 款 记 录进 行 写 操 作 在 R A B C模 型 中对 该 问题 的传 // s nat Ad c d n: ee : *角色 A的所有 后代角色 统解决方法是定义父角色” 贷款发放职员” 为三地银行 分别定 . //neI = A a e5 r・角色 A 的所有祖先 角色 o: / / c5 ro l 角色 A及其所有祖先角色 A a et _ ∞ f n o 义 3个子角色并继承父角色” 贷款发放职员” . 闭 如图 l 。 ,, 搴 naI r"f A d c d n- - l 角色 A及其所有后代角色 ee o 对 于 大 型银 行 来 说 , 国的 支行 可 能 有 数 十 家甚 至数 百 家 . 全 回到上面 的例子 . 首先定义 角色贷款发放员 . 角色拥有属 该 如果 为 每 个 分 支 银 行 都 分 别 创 建 相 应 的贷 款 发 放 员 角 色 和 权 性 L ct I 在用户角色映射时 自动完成 属性赋值。 义操作对 oai1 o。 定 限 , 然会 给 角 色 和 权 限 的管 理 维 护 带来 极 大 的 麻 烦 。 必 针对 上 述 象 ” 款 记 录 ” 为其 定 义 属 性 L ct n 添 加 ” 色 一 则 一 限 ” 贷 。 oa o 。 i 角 规 权 上诉 问 题 . 本 文 提 出 一 种 基 于 属 性 和 角 色 的 访 问 控 制 方 案 之 间 的对 应 关 系 P AC。 RB 角 色 : 款 发放 员 贷 2 P B C方 案 中的 元 素 定 义 .R A 规则 : 用 户 ( sr: {l… , l和 R A U e)U=u 。 u , n B C模 型 中 提 到 的 用 户 意 Ru 1rl I/ l : e n贷款发放员/ecn ato-e ( e o dse dn- rsl 是贷款发放 f 义相同, 代表系统中所有 用户的集合 员或其子角色) 角色( 0e : R l) 这里 角色的概念与 R A 9 型中有 着比较 B C 6模 R l2m e . a o= 贷 款 记 录 @Ie t n u :l@Ic t n = e o i . ao o i : 区别 。 B C 6中 的角 色 可 以理 解 为 是 静 态 的 . 与具 体 的 大的 R A9 它 ( 色位 置 属性 与 贷款 记 录 位置 属 性 相 同 ) 角 权 限进 行 绑 定 。 在 角 色 激 活前 . 角色 所 拥 有 的权 限 就 已经 被 即 该 权限 : 操作× 对象= 贷款记录 写× 确 定 了 。 我 们这 里 提 出的 角 色 可 以被 理 解 为是 动 态 的 . 会 因 而 它 这 样就只需要定义 ” 款发 放员” 个 角色就 能满足需求 . 贷 一 为在 被 激 活 时 , 有 不 同 的属 性 值 而 拥 有 不 同 的权 限 . 它 所 拥 拥 即 方便 了角色的刨建和维护 。 有 的权 限 在 激 活之 后 被 确 定 为适应工作流中对于时间 、 空问等 的限制要求 , 我们对规则 属  ̄(rpr ) Poet :角色 的构成要 素 . 以理解为 对角 色在 某 y 可 做 进 一 步 的扩 展 。 引入 限 制 规 则集 R s i e ue fieI a etc d R l Tm , . rt = 观察角度上的描述 。例如我们可以对” 贷款发放员” 这一角色 to in, 增加地理位置属性来描述其所在的支行信息 根据上述角色和 S s m s ts。只有 当所有规则都为真时 。 yt _t u} e a 用户才能够对指 属性的定义 , ,, ABC行贷款发放员可以分别定义为 : 定对象进行操作。例如贷款 发放员只有 在工作时 间可以写贷款 贷款 发 放 员 . ct n A L ao: o i 记 录, 其他时问只能够对贷款记录进行读操作 。 贷 款 发 放员 .oa o = L ct n B i Ru e Tme CurnTmei R sr t _ i l i : r ti n e t e d - me e ie T 贷 款 发 放员 .oa o= L ct n C l 进行写操作 , 须保证 R l l ue 2 ue T me T u ue ^R l ^R l_ i = re _ 规则fde)在 传统 R A a s: B C模型中 。 权限被定义为操作和操 4 P B C模 型 的 实现 .R A 作 对 象 的直 积 。 在 实 际 的权 限控 制 设 计 中 往 会设 计 到 许 多 但 往 1 建立数据库表格 . ( 下转第 12页) 0
空间约束的基于属性和角色的访问控制研究
贵州大学学报 ( 自然科 学版 ) Junl f uzo nvr t N tr c ne ) ora i uU i sy( a a S i cs oG h ei ul e
V0 .2 .6 1 7 No
De .2 l e OO
信 息 系 统 ( eg p i I o ao y e , 称 G or hc n r tn Ss m 简 a fm i t GS 技术 的 广 泛应 用 ,GS的安 全 访 问控 制 研 究 I) I 已成为 计算 机科 学 的研究 热点 之一 。
20 03年 Hasn和 Oehhk提 出 了一个 基 于 ne l eu s RA B C的空 间 数 据 的访 问控 制 授 权 模 型 【 。2 0 2 05 ] 年 ,et o 提出 了 G OR A Brn 等 i E .B C模 型 【 , 中 的空 3其 ] 间角色是 受地 理位 置约束 的角色 , 用户 角色 是否 被 激 活取决 于用 户所 在 的地 理位 置 , 并且 引入 了角 色 模式 的概 念 。20 0 6年 ,iaaK smi aak 根 Lln au s oa等 i S
采用 O eGSC noi O C 定义 的基于 pn I os tm( G ) ru 简单空间特征概念的矢量数据 。这种数据模型 ]
实 际上是 O C采 用 的抽 象 特 征 模 型 的 一 种 ; 些 G 一
商用的空间数据管理平台对这个模型进行了改进 。 在这个模型中, 空间特征通过专题属性和几何属性
要: 传统 的访 问控 制模 型难 以满足 空间环 境 下 的 需求 。本 文提 出 了一 个 空 间约 束 的基 于属
性 和 角 色的空 间数据访 问控 制模 型( pt l R A , 用 网络 本体 语 言 ( WLD ) 模 型本 体 Saa- B C) 利 i A O L 对 进 行 了描 述 并对 空 间约束 进 行 了形 式化 定 义 。 系统 根 据 用 户 的属 性 和 资源 的 属 性 动 态 分 配 角 色, 实现 了细粒度 的 、 活的 空间约 束 的访 问控 制 。 并将 其应 用到 GS城 市 消防 系统 。 灵 I
基于属性的访问控制模型
摘
要 :利用受限数据库为理论对访 问请求、属性权威 、策略和判定过程的抽象描述,给 出了一个基于属性的访
问控 制模 型 ,讨 论 了模 型 中访 问请 求 、属性 权 威 、策 略和 判 定 过程 之 间的 关 系 ,给 出 了 一 访 问控 制判 定 过 程可 个
终止的一种特定条件。
关键词:访 问控制;基于属性的访 问控制 ;属性;受 限数据库 中图分类号 :T 1 .1 N9 8 9 文献标识码 :A 文章编号:10 —3 X(0 80 —0 00 0 04 6 2 0 )409 —9
3 B in h n d nS c r y eh oo yD v lp n o B rn 0 0 4 C ia e ig o g u eu t T c n l e e me t . e ig10 4 , hn j Z i g o C , 4 T e i t ee r s tt o ns f u l e u t o RC B rn 0 0 , hn ) h r sa hI t u f F sR c n i e Miir o bi S c r y f . , e ig1 0 4 C ia t y P c i P
网络环境 。在基 于属性 的访 问控制 中 ,访 问判定是 基 于请 求 者 和 资源 具 有 的属 性 ,请求 者 和 资源 在 A A 中通 过特性来 标识 ,而不像 I AC那 样只通 B C B 过 I 来标 识,这使得 AB C具有 足够 的灵活性和 D A
Ab t a t Co s a n d d t b s su e b ta t e c b c e sr q e t at b t u h rt, o iis a d d c so s r c : n t i e aa a ewa s d t a sr cl d s r e a c s e u s, t i u e a t o y p l e n e ii n r o y i r i c p o e u e An a t b t a e c e s c n o d l sp o o e . h e ai n h p mo g a c s e u s, t i u ea — r c d r . t i u eb s d a c s o t l r r mo e wa r p s d T e r lt s i s a n c e sr q e t a t b t u o r h rt p l e dd cso r c d r r ic se . s ca n i o nwh c e ii n p o e u ei t mi a l t o i , o ii s n e iin p o e u ewe ed s u s d A e il o d t no ih t ed c so r c d r r n b e y c a p c i h se
基于属性机制的Web Services访问控制模型
基于属性机制的Web Services访问控制模型摘要:基于属性的访问控制(ABAC)是面向Web Service应用的一种新的访问控制方法。
而访问控制策略合成则是确定分布式聚合资源访问控制策略的关键。
为了规范策略合成和保障策略合成正确性,基于属性刻画了实体间的授权关系,通过属性值的计算结构扩展了现有的策略合成形式化框架,建立了新的基于属性的策略合成代数模型。
用代数表达式形式化地描述聚合资源的访问控制策略,说明可借助策略表达式的代数性质去验证策略合成结果是否符合各方对聚合资源的保护性需求,为聚合资源的访问控制策略评估和应用提供基础。
关键词:基于属性;访问策略;代数模型;策略合成代数在基于属性的访问控制(ABAC)中,访问判定是基于请求者和资源具有的属性,请求者和资源在基于属性的访问控制中通过特性来标识,而不像基于身份的访问控制那样只通过ID来标识,这使得基于属性的访问控制具有足够的灵活性和可扩展性。
对一些复杂的授权可能需要一种细化的控制策略,针对某一特性进行授权,在Web Services访问控制中,“服务请求者”对“服务”进行的某种操作权限也是基于服务请求者和服务的特性而作出的,因此可以“将服务请求者”对“服务”都作为对象处理,用属性对它们进行描述,则属性的动态变化会引起授权的相应调整,从而实现动态授权。
有了属性,可以对角色做更细致的刻画,那么基于属性的访问控制比基于角色的访问控制就拥有更细的控制粒度,能够展现出表述含义更加丰富而灵活的访问控制策略。
基于属性的访问控制模型是根据参与决策的相关实体的属性来进行授权决策的。
这里提到的实体分3类:主体(Subject)、资源(Resource)和环境(Environment)。
(1)主体属性:主体是对资源进行操作的实体。
每个主体都有很多与其身份和特点相关的很多属性,比如身份、角色、年龄、职位、PI地址等。
(2)资源属性:资源是被主体操作的实体。
它可以是一个文档,一个文件夹或一组数据库中的数据。
云计算环境下数据安全访问控制技术
云计算环境下数据安全访问控制技术在云计算环境下,数据安全的重要性不言而喻。
随着云计算技术的广泛应用,大量的用户数据被存储在云端,因此确保数据的安全性成为了一个亟待解决的问题。
而数据安全访问控制技术正是为了满足这一需求而应运而生。
本文将重点探讨云计算环境下数据安全访问控制技术的原理与应用。
一、云计算环境下数据安全的挑战在传统的计算环境中,数据的存储和访问都是在本地进行的,因此可通过传统的访问控制技术来保护数据的安全性。
然而,在云计算环境下,数据存储在虚拟化的资源池中,用户无法直接访问和控制数据,这给数据的安全带来了新的挑战。
首先,云计算环境下存在访问控制的复杂性。
由于云服务提供商需要为不同的用户提供不同的服务,因此需要实现细粒度的访问控制策略。
这就要求访问控制技术能够满足用户对数据访问权限的精细化控制需求。
其次,云计算环境下存在数据共享的需求。
许多用户希望将自己的数据存储在云端,并授权其他用户对其进行访问。
然而,数据的共享必然会增加数据的风险,因此需要一种能够确保数据安全的访问控制技术来实现数据共享。
最后,云计算环境下存在隐私保护的需求。
用户在将数据存储在云端之前,往往希望对自己的数据进行加密等安全处理,以保护自己的隐私。
因此,在云计算环境下,访问控制技术不仅需要考虑到数据的访问权限,还需要考虑到对数据的加密与解密等操作的控制。
二、云计算环境下的数据安全访问控制技术为了解决云计算环境下的数据安全访问控制问题,研究者们提出了一系列的技术方案。
其中,基于属性的访问控制(ABAC)和基于角色的访问控制(RBAC)是目前应用较为广泛的两种技术。
1. 基于属性的访问控制(ABAC)基于属性的访问控制技术是一种以属性为基础的访问控制模型。
在该模型中,用户和资源的属性被用来定义访问控制策略,从而实现对用户对资源的访问权限的细粒度控制。
ABAC的核心思想是将访问控制策略建立在用户属性、资源属性和上下文属性之上,通过逻辑规则来进行判断和决策。
新型网络环境下的访问控制技术
新型网络环境下的访问控制技术随着互联网的普及和发展,新型网络环境下的访问控制技术成为了网络安全领域的关键课题。
传统的网络环境下,访问控制主要是基于网络边界的防火墙和路由器来实现的,但是在新型网络环境下,访问控制技术需要适应云计算、大数据、物联网等新技术和新应用的需求,具有更高的性能、更灵活的策略、更全面的监管等特点。
本文将从新型网络环境下的特点、访问控制技术的发展趋势以及一些典型的访问控制技术进行介绍,旨在为读者提供一个全面的了解新型网络环境下的访问控制技术。
一、新型网络环境下的特点新型网络环境主要包括云计算、大数据、物联网等技术,具有以下特点:1. 虚拟化和多租户:云计算环境下的虚拟机技术和容器技术使得服务器资源能够灵活地划分和管理,多个租户可以共享同一套硬件资源,因此访问控制需要对不同的租户和虚拟机进行细粒度的管控。
2. 大规模和高性能:大数据环境下对数据的处理速度和存储容量有特别的要求,访问控制需要在保证高性能的同时能够对数据进行有效的筛选和监管。
3. 多样性和复杂性:物联网环境下的终端设备类型多样,工作环境复杂,访问控制需要对不同的终端设备和应用场景进行智能的管控。
以上特点使得新型网络环境下的访问控制技术需要具备更高的灵活性、高性能和智能化的特点。
二、访问控制技术的发展趋势在新型网络环境下,访问控制技术的发展趋势主要体现在以下几个方面:1. 智能化:访问控制技术需要具备智能识别和智能决策的能力,能够根据用户的身份、行为和设备特征进行动态的访问控制。
2. 细粒度控制:随着虚拟化和多租户的普及,访问控制需要对网络、应用、数据和用户等进行更加细粒度的控制。
3. 自适应性:访问控制技术需要具备自适应性,能够根据网络环境的变化和威胁的变化进行自动的调整和优化。
4. 集中化和分布式:访问控制技术需要在集中管理和分布式管理之间取得平衡,能够集中管理全局的访问策略,又能够在本地快速响应访问请求。
5. 透明化和隐私保护:访问控制技术需要在确保访问透明的能够对用户的隐私进行有效的保护。
基于XACML访问控制模型在Web服务中的应用
基于XACML访问控制模型在Web服务中的应用XACML是一种广泛应用于访问控制的模型,它提供了一种规范化的方式来定义和管理访问策略。
在Web服务领域中,XACML可用于保护应用程序和数据资源,以确保只有授权用户能够获取到相关信息。
本文将探讨XACML访问控制模型在Web服务中的应用,介绍它的优势和使用方法。
XACML是一个面向策略的访问控制标准,它提供了一种灵活的方式来管理授权策略,并可与现有的身份验证和授权机制集成。
通常情况下,XACML包含一组政策和规则,这些规则定义了用户可以访问的资源以及他们可以执行的操作。
XACML 将访问控制过程划分为三个主要部分:访问请求,访问控制决策,和访问响应。
对于一个Web服务应用来说,XACML模型可通过一组授权策略来保护其数据资源,当用户请求访问资源时,应用程序将把请求发送给XACML引擎进行决策。
要通过XACML进行授权,Web应用必须显式地定义它提供的资源以及资源上用户可以执行的操作。
具体而言,这意味着将资源标识符,操作和相关的XACML规则,配置到应用程序的访问控制或授权配置文件中。
在XACML模型的内部,策略和规则是基于属性的,它们可以基于用户提供的属性或从其保存的属性中动态生成。
例如,XACML模型可以使用用户所在的地理位置或其上下文操作记录来确定用户的授权。
通过这种方式,XACML模型能够提供更加动态的和个性化的授权策略,而不是静态的、基于角色和权限的方法。
此外,XACML模型还可以提高Web服务的安全性和可扩展性。
出于安全性考虑,当XACML引擎接收到一个请求时,它可以执行一些安全检查来确保请求来源是一个合法的应用程序,并且用户是一个有效的和授权的用户。
对于可扩展性,XACML模型使得访问控制策略可以中心化管理,因此,在各个应用程序和服务之间共享这些策略更具可行性。
这种方式避免了在Web服务应用中实现访问控制时出现诸如代码冗余和不一致性等问题。
访问控制模型总结汇报
访问控制模型总结汇报访问控制模型是一个重要的信息安全概念,用于确保只有经过授权的用户可以访问受保护的资源。
这篇文章将总结几种常见的访问控制模型,包括强制访问控制(MAC)、自主访问控制(DAC)、基于角色的访问控制(RBAC)和属性访问控制(ABAC)。
强制访问控制(MAC)是一种严格的访问控制模型,它通过强制规则来控制谁可以访问资源。
在这个模型中,系统管理员决定了资源的分类等级,然后根据用户的需要和授权来控制对资源的访问。
这种模型适用于高度机密的环境,如军事和政府组织。
自主访问控制(DAC)是一个更为灵活的访问控制模型,它基于资源的所有者来控制对资源的访问。
资源的所有者具有决定是否授权其他用户访问资源的权力。
这种模型适用于商业环境中的文件和文件夹的保护,其中组织中的员工需要共享文件,但需要保持对文件的控制。
基于角色的访问控制(RBAC)是一种广泛应用的访问控制模型,尤其适用于大型组织。
在这个模型中,每个用户被分配到不同的角色,并且每个角色具有特定的权限和访问级别。
用户被分配到角色,而不是直接授予特定的访问权限,从而简化了访问控制的管理。
这种模型也支持将权限集中管理,以便快速更改和更新。
属性访问控制(ABAC)是一种基于属性的访问控制模型,它使用用户和资源的属性来决定是否允许访问资源。
这些属性可以包括用户的角色、所在部门、地理位置等。
这种模型特别适用于企业环境中的复杂访问控制需求,因为它可以根据特定情况对访问进行动态调整。
总的来说,访问控制模型是信息安全中非常重要的一部分。
它通过规定谁可以访问资源,以及何时和如何访问资源来确保系统的机密性、完整性和可用性。
不同的访问控制模型适用于不同的环境,根据组织的具体需求和安全策略来选择适合的模型。
同时,访问控制模型也可以与其他安全措施相结合,如身份验证和加密,以构建更为健壮的安全体系。
基于属性加密的数据访问控制方法研究
基于属性加密的数据访问控制方法研究基于属性加密的数据访问控制方法研究随着互联网和云计算技术的发展,数据的隐私和安全性问题变得越来越重要。
在传统的数据访问控制中,通常使用基于角色的访问控制(RBAC)模型或访问控制列表(ACL)模型来限制数据的访问权限。
然而,这些方法在面对复杂的数据环境和动态的访问需求时存在一些局限性。
为解决这些问题,研究者们提出了基于属性加密的数据访问控制(ABAC)方法。
基于属性加密的数据访问控制方法通过使用属性来描述用户和数据,并将属性与访问策略进行关联,从而实现对数据的访问控制。
在ABAC模型中,用户和资源被赋予各种属性,并使用访问规则来规定哪些用户可以访问哪些资源,并且以什么条件可以访问。
这样一来,ABAC模型可以灵活地根据实际需求进行访问权限的控制。
首先,属性在ABAC方法中起到了关键的作用。
属性可以是与用户特征相关的事实,如用户的职位、所属部门、所在地等,也可以是与数据特征相关的事实,如数据的敏感级别、所有者、创建时间等。
通过将属性赋予用户和数据,并使用属性之间的关系来描述访问策略,ABAC模型可以更细粒度地控制访问权限,提高数据的安全性。
其次,ABAC方法支持动态的访问控制。
在传统的RBAC或ACL模型中,访问权限往往是预先定义好的,而且很难灵活地适应实际情况的变化。
而在ABAC模型中,由于属性和访问规则的灵活性,可以根据实际需求动态地调整访问权限。
例如,当某个用户的角色发生变化、数据的敏感级别发生变化或其他特定条件发生变化时,ABAC模型可以很容易地调整访问策略来适应变化的需求。
此外,ABAC方法还可以与加密技术相结合,提高数据的安全性。
在ABAC模型中,数据可以通过加密算法进行加密,只有拥有相应属性的用户才能解密和访问数据。
这有效保护了数据的机密性,确保数据只被授权的用户访问。
然而,ABAC方法也存在一些挑战和限制。
首先,属性的定义和管理可能变得复杂。
由于属性可以是各种各样的事实,属性的定义和管理可能需要一定的人力和技术支持。
基于属性和角色的访问控制模型
( 解放 军信 息 工程 大 学 电子技 术 学院 ,河 南 郑 州 5 0 4 I 00 ) 4
摘 要 :针对 we b资源访 问控 制对访 问控制策略 灵活性 、动态性以及权限管理便捷性的需 求 ,提 出一种基 于属性和 角色的
访 问控 制 模 型 AC A B R, 对模 型 中的 元 素 、关 系及 规 则 进 行 了 形 式 化 定 义 。给 出 了 AC AR 模 型 的 应 用 实例 及 相 关 访 问控 B
c s o t o o e e o r e . e s c n r 1f rW b r s u c s Ke r s y wo d :a ti u e o e u e trb t ;r l ;r l ;Ⅵrb r s u c ;a c s o to d l e e o re ce sc n r I mo e
制 策略 ,并对模 型的安全性和应 用复 杂度进行 了分析。A B R模 型在 遵循 最 小特 权和 职责分 离等安全 原则 的基 础上 ,相 C A 对 于 R AC模 型有效降低 了角色管理 的复 杂度 ,支持 灵活、动态的 We B b资源访 问控制 策略 。
关 键 词 :属 性 ;角 色 ;规 则 ;We b资 源 ;访 问控 制 模 型
0 引 言
基 于角色 的访问控制模 型 R A B C根据职能将用 户划分为 不 同的角色 ,降低 了权 限管理的复杂度 ,近几年一直是访 问 控制领域的研究热点。在 We 环境下 ,由于用户数量大 、资 b 源类型多 、动态性强 ,使得采用 R A B C模 型时,为用户分 配
角 色 和 权 限 成 为一 项 非 常 繁 重 的工 作 l , 因此 ,需 要 一 种 适 】 ]
Ab ta t I r e o s t f l xb l y a d d n mi fa c s o t o o iy n a c s o to d l a e n a t i u ea d r l sr c : n o d rt a i y fe i i t n y a c o c e s c n r lp l ,a c e sc n r l s i c mo e s d o t r t n o e b b
常用的权限管理模型
权限管理是确保系统安全的重要方面,它涉及到对用户或角色进行授权,以访问或执行特定的系统资源。
以下是一些常用的权限管理模型:1. **基于角色的访问控制(RBAC)**:- RBAC是一种广泛使用的权限管理模型,它通过角色来分配权限。
- 角色是根据用户的职责和所需访问资源来定义的。
- 用户被分配到一个或多个角色,每个角色拥有一组权限。
- 当用户的职责发生变化时,可以轻松调整其角色和相应的权限。
2. **基于属性的访问控制(ABAC)**:- ABAC是一种更为细粒度的访问控制模型,它考虑了更多的访问决策因素,如用户属性、资源属性、环境属性等。
- 权限的授予不仅仅是基于用户的角色,还基于用户和资源的特定属性。
- 这使得ABAC能够提供更为灵活和细粒度的访问控制策略。
3. **自主访问控制(DAC)**:- DAC是最基本的访问控制模型,它依赖于对象所有者的授权决策。
- 对象所有者可以决定谁可以访问其对象,以及可以执行哪些操作。
- DAC通常用于个人文件系统等场景,所有者对资源的控制力度很大。
4. **强制访问控制(MAC)**:- MAC是一种基于安全标签的访问控制模型,它由系统管理员定义安全策略。
- 用户和资源被分配安全标签,访问决策由安全策略决定。
- MAC模型通常用于高安全需求的系统,如政府机构和企业内部网络。
5. **访问控制列表(ACL)**:- ACL是一种简单的访问控制模型,它列出了谁被授权访问或执行特定资源。
- 每个资源都可以有一个单独的ACL,指定哪些用户或组被授权访问。
- ACL通常用于文件系统、网络设备等,它们定义了特定资源的访问权限。
6. **权限矩阵(Permission Matrix)**:- 权限矩阵是一种用于表示用户与资源之间权限关系的二维表格。
- 它显示了每个用户或角色对每种资源的访问权限。
- 权限矩阵有助于可视化复杂的权限配置,并确保权限的准确性。
7. **属性基权限管理(PBAC)**:- PBAC是一种结合了属性以及策略的权限管理模型。
基于属性的访问控制模型与应用研究的开题报告
基于属性的访问控制模型与应用研究的开题报告开题报告题目:基于属性的访问控制模型与应用研究一、研究背景随着信息技术的发展和普及,信息安全问题变得越来越重要。
对于包含有敏感数据的应用来说,保证访问者只能获取到他们可以访问的数据是极其重要的。
因此访问控制成为了信息安全领域研究的重点之一。
相较于传统的基于角色的访问控制模型,基于属性的访问控制模型提供了更为灵活、精细的访问控制策略,在访问控制领域中备受关注。
二、研究意义基于属性的访问控制模型相对于传统的基于角色的访问控制模型具有更为灵活、可扩展的特性,更适合现代化、复杂的网络环境。
该模型已经在数据共享、身份认证、网络安全等领域得到了广泛应用,但仍存在许多问题需要进一步研究和探讨。
本研究的意义在于理清基于属性的访问控制模型的本质特征、研究该模型在各个领域的具体应用、总结该模型存在的问题并探索解决方案。
三、研究内容1. 基于属性的访问控制模型的基本概念、思想及发展历程2. 基于属性的访问控制模型在数据共享、身份认证、网络安全等领域的具体应用3. 基于属性的访问控制模型的优点、局限性及存在的问题4. 基于属性的访问控制模型优化的研究方向和方法四、研究方法1. 文献综述:对国内外关于基于属性的访问控制模型的相关研究进行系统、全面的梳理和归纳;2. 实证研究:通过实际案例和实验数据进行验证和分析,总结基于属性的访问控制模型在各个领域的应用情况,并探索基于属性的访问控制模型存在的问题及解决方案;3. 计算机仿真:通过构建多种基于属性的访问控制模型的计算机仿真,分析不同的访问控制策略对系统性能影响,进一步探讨该模型的优化方向和方法。
五、预期成果1. 对基于属性的访问控制模型的概念、特征、发展历程和应用进行系统梳理和分析;2. 根据实证研究和计算机仿真的结果,总结基于属性的访问控制模型存在的问题,并提出针对性强的解决方案;3. 提出基于属性的访问控制模型优化的研究方向和方法,为该领域的后续研究提供参考。
数据库中数据访问控制模型的比较与分析
数据库中数据访问控制模型的比较与分析随着信息技术的快速发展,数据库的应用越来越广泛。
然而,随之而来的数据安全问题也成为了一个亟待解决的挑战。
数据访问控制模型作为一种重要的安全机制,在数据库中发挥着关键作用。
本文将比较和分析几种常见的数据库数据访问控制模型,以期帮助读者更好地理解和选择适合自己需求的模型。
1. 强制访问控制(MAC)强制访问控制(MAC)是一种基于标签的访问控制模型,它通过为每个数据对象和用户分配一个标签,并根据标签的安全级别来限制访问。
这种模型适用于对数据安全性要求非常高的环境,如军事和政府机构。
然而,由于其严格的安全要求和复杂的实施过程,MAC模型在一般企业和个人用户中的应用相对较少。
2. 自主访问控制(DAC)自主访问控制(DAC)是一种基于主体的访问控制模型,它将访问权限授予数据的所有者,并允许所有者自主决定其他用户对其数据的访问权限。
这种模型简单易用,适用于大多数企业和个人用户。
然而,由于缺乏对数据访问的统一管理和控制,DAC模型容易导致数据泄露和滥用的风险。
3. 角色访问控制(RBAC)角色访问控制(RBAC)是一种基于角色的访问控制模型,它将用户分配给不同的角色,并为每个角色定义相应的权限。
RBAC模型通过角色的授权和撤销来管理用户对数据的访问,提高了系统的安全性和管理效率。
这种模型适用于大型组织和企业,可以灵活地管理和调整用户的访问权限。
4. 基于属性的访问控制(ABAC)基于属性的访问控制(ABAC)是一种基于属性的访问控制模型,它根据用户的属性和数据的属性来决定访问权限。
ABAC模型通过定义访问策略和规则来灵活地控制数据的访问,可以满足复杂的安全需求。
这种模型适用于需要精细控制和动态调整访问权限的场景,如金融和医疗领域。
综上所述,不同的数据库数据访问控制模型有不同的特点和适用场景。
在选择合适的模型时,需要综合考虑数据的安全性要求、管理效率和用户体验等因素。
对于一般企业和个人用户,DAC和RBAC模型是较为常见和实用的选择;而对于安全性要求非常高的环境,如军事和政府机构,则可以考虑使用MAC或ABAC模型。
数据库访问控制与权限管理的新方法研究
数据库访问控制与权限管理的新方法研究随着信息技术的飞速发展,数据库的使用越来越广泛。
然而,随之而来的数据泄露和擅自访问等安全问题也逐渐浮现。
对于数据库来说,访问控制与权限管理是确保数据安全性的重要环节。
为了解决当前存在的问题,研究人员不断努力寻找新的方法来改进数据库的访问控制与权限管理。
当前的数据库访问控制主要采用了传统的访问控制模型,例如基于角色的访问控制模型(RBAC)和基于属性的访问控制模型(ABAC)。
然而,这些模型存在一些问题,如权限过度授权、授权管理复杂等。
因此,研究人员提出了一些新的方法来应对这些问题。
一种新的方法是基于上下文的访问控制模型(CBAC)。
CBAC能够根据用户的上下文信息动态地进行访问控制与权限管理。
它可以考虑用户的位置、设备、时间、行为等因素,从而更准确地判断用户是否有权限访问特定数据。
这种方法可以使访问控制更加智能化和个性化,提高数据库的安全性。
另一种新的方法是基于机器学习的访问控制模型(MLAC)。
MLAC利用机器学习算法来分析和预测用户的行为模式和访问习惯,从而进行访问控制决策。
通过对大量数据进行分析和学习,MLAC能够准确地判断用户是否有权限访问数据,从而提高数据库的安全性和准确性。
然而,MLAC也存在一些挑战,如数据隐私保护和模型迁移等问题,需要进一步的研究和改进。
除了上述方法,还有一种新颖的方法是基于密码学的访问控制模型(CAC)。
CAC利用密码学技术来确保数据的机密性和完整性。
它采用了安全哈希函数、数字签名、公钥密码和身份认证等技术,对用户的访问进行加密和验证。
这种方法可以有效地防止数据泄漏和擅自访问,提升数据库的安全性。
此外,还有一种新的方法是基于区块链的访问控制模型(BCAC)。
BCAC利用区块链技术来管理和验证用户的访问控制权限。
区块链作为一种分布式记账技术,可以确保访问控制的透明性和可追溯性。
它通过使用智能合约来管理用户的访问权限,并记录所有的访问事件和变更。
大数据平台上基于属性的角色访问控制模型
大数据平台上基于属性的角色访问控制模型苏秋月【摘要】针对传统访问控制模型难以满足大数据平台中大规模用户对海量数据灵活动态访问控制的问题.提出大数据平台上基于属性的角色访问控制模型,该模型将基于属性的策略应用到基于角色的访问控制模型.用户根据自身属性和环境属性分配角色,从而访问不同属性的数据;引入大数据平台多层访问框架,将权限访问对象分为组件和数据,利用属性策略统一管理访问权限.【期刊名称】《现代计算机(专业版)》【年(卷),期】2019(000)003【总页数】4页(P21-24)【关键词】大数据平台;访问控制;属性;动态【作者】苏秋月【作者单位】四川大学计算机学院,成都 610065【正文语种】中文0 引言大数据时代下,随着政府、企业的信息系统越来越多,系统之间的资源共享与业务协同的需求越来越迫切。
而大数据平台可以帮助政府和企业打破部门间的数据孤岛,支持多源异构数据源的集成,支持跨行业、跨部门、跨平台的数据共享与交换[1]。
但平台上数据安全问题也随之而来,如何保证数据不被未授权访问是数据使用过程中必须解决的问题。
学者Gupta 等人[2-3]总结开源项目Apache Ranger、Sentry 以及Hadoop 原生基于访问控制列表(Access Control List,ACL)这三种访问控制机制的特点,提出了Hadoop 生态系统的多层授权框架和Hadoop 生态系统授权(HeAC)模型。
陈垚坤等人[4]将基于属性的访问控制(Attribute-Based Access Control,ABAC)模型应用到Hadoop 平台中,提供了细粒度、灵活的访问控制。
但是当平台中存在大量的属性时,属性管理难度增大,并且访问控制策略由多个实体属性组成的集合,访问权限判定过程也较为复杂。
最近,Gupta 等人[5]在Hadoop 生态系统中讨论了角色与属性结合的方法,将对象标签作为对象属性添加到RBAC 模型中,提出基于对象标签的角色访问控制(OT-RBAC)模型。
支持组和属性层级的基于属性的访问控制模型
支持组和属性层级的基于属性的访问控制模型沈海波【摘要】基于属性的访问控制(attribute-based access control,ABAC)机制越来越受到学术界和工业界的重视,因其灵活的策略定义和动态的授权决定能力.但目前ABAC存在着属性分配与管理、策略创建工作量大的问题.基于组层级和属性层级的ABAC模型(称作GHAHABAC),通过引进组层级和属性值层级,实现属性值和访问权限的继承,从而减少属性分配和策略规则构建的工作量.给出GHAHABAC模型的形式化定义,通过应用实例说明了模型的可用性.【期刊名称】《广东第二师范学院学报》【年(卷),期】2018(038)005【总页数】7页(P78-84)【关键词】基于属性的访问控制;组层级;属性层级;属性继承;约束;模型【作者】沈海波【作者单位】广东第二师范学院计算机科学系,广东广州510303【正文语种】中文【中图分类】TP309.20 引言基于属性的访问控制(attribute-based access control,ABAC)[1]不像基于身份或基于角色的访问控制,它是基于策略逻辑的访问控制模型,是通过策略将访问权限授予用户;其访问策略是基于系统中相关实体(包括用户、资源、环境等)的属性,只有当这些属性满足系统制定的策略中访问规则的条件时,才允许用户访问其请求的资源.很多研究者对ABAC模型和应用进行了研究[2-5],但直到美国国家信息技术委员会将其推荐为美国企业级安全应用标准[6]以及美国国家标准与技术研究院正式给出ABAC的定义和应用指导[7]后,特别是随着互联网、云计算、大数据、物联网等技术的快速发展和深入应用,才引起学术界和企业界对ABAC的更加重视[10-11].但文献[6]和[7]中并没有给出ABAC的正式模型和形式化定义,而且ABAC中存在属性分配和管理、策略构建工作量较大的问题,例如有n个用户,需要分配m个属性,每个属性有k个值,则属性分配工作量为m*n,而策略数为km,当m或n较大时,这些工作量是非常大的.针对如何给出ABAC模型的形式化定义并解决属性分配困难的问题,一些研究者进行了尝试.作者Servos等通过引进用户组、客体组和组属性及其继承性等概念,提出了HGABAC模型[12],但没有讨论属性自身的层级和继承问题;作者Singh通过引进用户属性值层级概念,提出了AHCSABAC模型[13],但没有引进用户组和客体组,也没有讨论客体属性层级问题.作者Bhatt等在HGABAC模型基础上,基于策略机(Policy Machine)[14]和属性层级,提出了rHGABAC模型[15],但没有处理环境属性和约束等问题.本文在前述研究的基础上,通过引进组层级(包括用户组和客体组层级)和属性层级(用户属性值和客体属性值层级,不是属性自身的层级)概念,提出了GHAHABAC 模型.该模型不仅可直接分配属性给相关实体,还可利用组的层级和组成员资格继承属性,也可利用属性值层级关系来间接继承属性和属性值以及相应的操作权限,实现属性的继承和层级管理,从而简化ABAC的属性分配和管理、访问策略构建等工作;同时,本文也在模型中添加了用户属性的约束处理,可处理ABAC中的主要约束[16],如职责分离、基数、先决条件等,以解决属性和访问规则的冲突等问题,从而使得GHAHABAC模型更加灵活和细粒度.本文不仅详细讨论了模型的构造和形式化,而且以应用实例说明了模型的特点和可用性.1 GHAHABAC模型在本节,我们将对GHAHABAC模型的组件进行描述,并对相关概念进行详细说明.1.1 模型定义GHAHABAC概念模型如图1所示.模型中的构件定义如下.图1 GHAHABAC概念模型1.1.1 核心构件1) U、O、OP分别表示用户集(Users)、资源客体集(Objects)、用户对资源客体的操作集(Operations,即访问权限的集合),它们都是有限集合.2) UG、OG分别表示用户组集(User Groups)、客体组集(Object Groups),它们都是有限集合.3) UA、OA、EA分别表示用户属性集(User Attributes)、客体属性集(Object Attributes)、环境属性集(Environment Attributes),它们都是有限集合.4) ∀att∈UA∪OA∪EA,Range(att)表示属性att的原子值的有限集合.5) ∀attu∈UA,attu:U∪UG→2Range(attu)表示每个用户和用户组到Range(attu)中值集的映射.6) ∀atto∈OA,atto:O∪OG→2Range(atto)表示每个客体和客体组到Range(atto)中值集的映射.7) ∀attea∈EA,attea:EA→2Range(attea)表示每个环境属性到Range(attea)中值集的映射.8) directUg:U→2UG,表示每个用户到用户组集的映射.9) directOg:O→2OG,表示每个客体到客体组集的映射.10) UGH⊆UG×UG,表示UG上的编序关系,用≥ug表示.11) OGH⊆OG×OG表示OG上的编序关系,用≥og表示.12) UAH表示UA上用户属性值之间的偏序关系UAHi的集合,∀UAHi⊆UAH定义为UAHi⊆Range(attui×Range(attui)它是Range(attui)(其中attui∈UA)上的偏序关系.13) OAH表示OA上客体属性值之间的偏序关系OAHi的集合,∀OAHi∈OAH 定义为OAHi⊆Range(attoi×R ange(attoi)它是Range(attoi)(其中attoi∈OA)上的偏序关系.14) Policies(P)是访问策略集.15) PUA⊆UA×P是一个多对多的用户属性到策略集的分配关系.16) POA⊆OA×P是一个多对多的客体属性到策略集的分配关系.17) PEA⊆EA×P是一个多对多的环境属性到策略集的分配关系.18) C是约束的集合.1.1.2 导出构件在模型中,用户和客体既有直接分配的属性,也有间接(继承)获取的属性,这些属性通过合并后,称为有效属性.属性合并是指对属性名相同但值不同的几个属性,合并为只有一个名字,但属性值是几个属性值的并集.例如,若用户有直接分配的属性(skills:{C++}),又有继承的属性(skills:{Java}),则合并后的属性为(skills:{C++,Java}).∀attu∈UA,定义如下两个映射.19) effectiveUGattu:UG→2Range(attu)定义为effectiveUGattu(ugi)=attu(ugi)∪(U∀g∈{ugi|ugi≥ugugj}effectiveUGattu(g)),即用户组ugi的有效属性值包括直接分配给该组的属性值attu(ugi)和从所有比该组层级低的用户组中继承的有效属性值U∀g∈{ugi|ugi≥ugugj}effectiveUGattu(g).20) effectiveattu:U→2Range(attu)定义为effectiveattu:(u)=attu(u)∪(U∀g∈directug(u)effectiveUGattu(g)).即用户u的有效属性值包括直接分配给该用户的属性值attu(u)和从所有该用户从所在组获取(继承)的有效属性值U∀g∈directug(u)effectiveUGattu(g).类似地,∀atto∈OA,可定义如下两个映射.21) effectiveOGatto:OG→2Range(atto)定义为22) effectiveatto:O→2Range(atto)定义为1.1.3 策略定义对每一个操作op∈OP,我们将对应的访问策略Policyop定义为一个与用户属性值、要访问的客体的属性值、与操作环境相关的环境属性的值、要进行的操作相关的四元组(uai,oaj,eak,op),而策略集Policies(P)是对应所有操作的策略的集合,因此:23)policyop⊆(uai,oaj,eak,op)|uai∈Range(attul),oaj∈Range(attom),eak∈Range (attean),op∈OP},其中attul∈UA,attom∈OA,attean∈EA.24) P={Policyop|op∈OP}1.1.4 授权功能对用户的访问请求(u,o,op)(意指用户u请求对资源客体o进行操作op),我们定义授权函数Authorization(u:U,o:O,op:OP)对其进行授权决策,该函数基于相应的访问策略集P进行判断,返回值true或false;如果有至少一个策略存在,许可用户u对客体o进行操作op,则返回true,用户访问被许可;否则,用户访问请求被否决.授权函数定义为25) Authorization(u:U,o:O,op:OP)=(∃νu∈effectiveattui(u)|attui∈UA)and(∃νo∈effectiveattoj(u)|attoj∈O A)and(∃νea∈effectiveatteak(u)|atteaik∈EA)and((∃νu≥attuiνu′)and(∃νo≥attojνo′)|(νu′,νo′,eak,op)∈Policyop).1.2 组属性和组层级在GHAHABAC模型中引进了用户组(User Groups)、资源客体组(Object Groups)、组属性(Group Attributes)、组层级(Group Hierarchy)等与组相关的概念,目的是通过组层级实现属性和属性值的继承,减少属性分配工作量.组是属性分配的单位与载体,是被分配给特定属性集的实体的集合,分为用户组和资源客体组,属性和属性值可以直接分配给用户组或资源客体组,构成组属性,用于描述用户组或资源客体组的特征.当用户或客体被分配给相应的用户组或客体组、成为所在组的成员后,组成员便可自动获得(继承)所在组的属性和属性值.同时,组与组之间可以构成层级关系,它是一个偏序关系.UG上的层级关系记作≥ug,意指层级高的组将继承比它层级低的组的所有属性和属性值.例如,若有ug1≥ugug2,则用户组ug1除了自己直接分配的组属性和属性值外,还将通过组层级关系获得(继承)分配给用户组ug2的所有属性和属性值.在层级图中,层级高的用户组位于层级低的组的上方,层组高的组从层级低的组继承组属性和属性值.类似的,OG上也有层级关系≥og.总之,当一个用户(客体)被分配到一个用户(客体)组后,不仅能利用组成员资格获取该组的所有属性和属性值,也可利用组层级关系继承比该组的层级低的组的属性和属性值.因此,利用组及其层级关系,不仅可以满足不同层级属性控制的要求,也可简化属性分配和管理任务.一个用户组层级图如图2所示.共有4个用户组Development、Develoyment、DeveOPs和IT,其中前3个构成组层级关系.高层级的组Development和Develoyment从低层级的组DeveOPs继承了属性depart(部门)和对应的属性值DevOPs.图中粗体表示的属性和值是用户组直接分配的属性和属性值.类似地,一个资源客体组层级图如图3所示.1.3 属性层级本文中定义的属性层级不是指属性本身之间的层级关系,而是指属性的值之间的层级关系(一种偏序关系),属性层级用≥att表示,意指如果层级高的属性值被分配给用户或客体,则层级低的属性值通过属性值继承关系被用户或客体自动获取(继承).例如,如果对一个用户属性attu∈UA,有νi≥attuνj,则拥有属性值νi的用户或用户组也将通过属性值继承关系自动获取属性值νj以及其对应的权限.一个属性层级图如图4所示.在上述属性层级示例图中,C和C++的用户属性skills的值,C≥skillsC++意指C 和C++之间存在层级关系且C的层级比C++高,因此,如果C被分配给一个用户,则根据属性值的继承性,该用户也将获得属性值C++以及与此属性值相关联的访问权限.类似地,Deploy和Dev的客体属性type的值,Deploy≥typeDeν意指Deploy和Dev之间存在层级关系且Deploy的层级比Dev高,因此,如果Deploy被分配给一个客体,则根据属性值的继承性,该客体也将自动获得属性值Dev.属性层级有利于属性管理和策略管理,也可简化将属性和属性值分配给用户和客体的管理工作.1.4 约束处理重要的约束(Constraints)主要包括职责分离(separation of duty,SoD)、基数(cardinality)、先决条件(prerequisite)等,表示对用户属性或属性值的某方面的限制,能够影响访问控制策略的执行效果.SoD约束通过相互排斥的属性或属性值来实现,确保两个相互排斥的属性或属性值不可能分配给同一个用户.像每个属性关联的用户的最大值、能够分配给每个用户的属性(属性值)的最大值等都属于基数约束.先决条件指属性或属性值的先决约束,主要强调了将属性或属性值分配给用户的先后次序问题,它是一种判断性的约束,验证某个分配行为是否可行.例如,一个用户如果要获得属性att2必须先获得属性att1,则称属性att1先决于att2.利用约束机制,可实现访问控制的细粒度和适用性.2 实例分析假定某应用系统,其相关构件如下.——UG={DevOPs,IT,Development,Develoyment}——OG={Projects,Networking_Project,Development_Project,Develoyment_Project}——U={user_IT1,user_IT2,user_DevOPs1,user_Dev1,user_Depl1}——O={obj_Net1,obj_Project1,obj_Dev1,obj_Depl1}——UA={skills,depart,title}——OA={type}——EA={Time }——OP={read}——UGH如图2所示,OGH如图3所示,UAH和OAH如图4所示.用户user_IT1和user_IT2被分配到IT组,user_DevOPs1、user_Dev1、user_Depl1分别被分配到DevOPs组、Develoyment组和Development组.客体obj_Net1,obj_Project1,obj_Dev1,obj_Depl1分别被分配到Networking_Project组、Projects组、Develoyment_Project组和Development_Project组.——∀attu∈UA,对应的Range(attu)分别如下:skills={C,C++,JAVA}depart={DevOPs,IT}title={CTO,IT_Manager,DevOPs_Manager}——∀atto∈OA,对应的Range(atto)如下:type={General,Networking,Dev,Deploy}——∀attea∈EA,对应的Range(attea)如下:Time={day_of_week,time_of_day,anytime}假设有一资源客体obj_Net1,属于Networking_Project组;有一用户user_IT1工作在IT部门并且其职务为IT_Manager.对于访问策略Policy1:“担任IT_Manager或工作在IT部门的用户可以读类型为Networking的资源客体”,若user_IT1要求访问obj_Net1,则授权决策结果为true.因为obj_Net1属于Networking_Project组,拥有组的属性type和对应的值Networking;用户的属性值和客体的属性值都满足要求.对于访问策略Policy2:“担任DevOPs_Manager职务或拥有JAVA技能的用户可以读类型为Dev的资源客体”和策略Policy3:“担任DevOPs_Manager职务或拥有JAVA或C或C++技能的用户可以读类型为Deploy的资源客体”,若没有用户属性skills和客体属性type的属性值之间的层级关系(见图4),则对应六条相应的Policyread:(DevOPs_Manager,read,Dev)、(JAVA,read,Dev)、(DevOPs_Manager,read,Deploy)、(C,read,Deploy)、(C++,read,Deploy)、(JAVA,read,Deploy),但由于有属性值之间的层级关系C≥s killsC++、Deploy≥typeDev和属性值继承性,则可简化只需要三条策略(DevOPs_Manager,read,Dev)、(JAVA,read,Dev)、(C++,read,Deploy)即可.由此可见,属性值之间的层级关系可以减少策略创建的数量.3 结语访问控制技术是保障信息安全访问的重要机制,传统的基于身份的访问控制方式已不能满足信息安全访问的需求,而基于属性的访问控制(ABAC)因具有的良好特性而受到学术界和工业界的重视,正在物联网、云计算、大数据等新的IT领域得到应用.但属性分配和管理、策略构建和管理是其应用于实际所面临的一大问题.本文提出的基于组层级和属性层级的ABAC模型,利用层级关系实现属性的继承,可减少属性分配和管理的工作量,减少策略的构建工作量,增强其适用性.接下来的主要工作,是研究相应的管理模型和基于策略机的实现机制,实现其实用性.参考文献:【相关文献】[1] YUAN E,TONG J. Attributed based accesscontrol (ABAC) for web services[C]//Proceedings of the IEEE International Conference on Web Services.Washington DC,USA:IEEE Press,2005: 561-569.[2] SHEN Haibo,HONG Fan. An attribute-based access control model for webservices[C]//Proceedings of the7th International Conference on Parallel and Distributed Computing,Applications and Technologies. Washington D C,USA:IEEE Press,2006:74-79. [3] LANG B,FOSTER L,SIEBENLIST F,et al. A flexible attribute based accesscontrol method for grid computing [J]. Journal of Grid Computing,2009,7(2):169-180.[4] 李晓峰,冯登国,陈朝武,等. 基于属性的访问控制模型[J].通信学报,2008,29(4):90-98.[5] JIN X,KRISHMAN R,SANDHU R. A unified attribute based access control model covering DAC,MAC and RBAC[C]//Proceedings of theIFIP Annual Conference on Data and Applications Security and Privacy. Berlin,Heidelberg:Springer,2012:41-65.[6] Federal identity,credential,and access management (FICAM) roadmap and implementation guidance (Version 2.0)[R]. Federal Chief Information Officers Council,2012.[7] HU V C,FERRAIOLO D,KUHN R,et al. Guide to attribute based access control definition and considerations[R]. NIST Special Publication 800-162,U S Department of Commerce,2014[8] 房梁,殷丽华,郭云川,等. 基于属性的访问控制关键技术研究综述[J]. 计算机学报,2017,40(7):1680-1698.[9] SERVOS D,OSBORN S. Current research and open problems in attribute-based access control [J]. ACM Computing Surveys,2017,49(4):1-46.[10] SCIANCALEPORE S,PILC M,SCHRODER S,et al. Attribute-based access controlscheme in federated IoT platforms [C]//Proceedings of the International Workshop on Interoperability & Open-source Solutions. Berlin,Heidelberg:Springer,2016:123-138.[11] SOOKHAK M,YU F R,KHAN M K,et al. Attribute based data access control in mobile cloud computing: taxonomy and open issues [J]. Future Generation Computer Systems, 2017,72:273-287.[12] SERVOS D,OSBORN S L. HGABAC: towards a formal model of hierarchical attribute-based access control [C]//Proceedings of the 7th International Symposium on Foundations and Practice of Security. Berlin,Heidelberg:Springer,2014:187-204. [13] SINGH M P. AHCSABAC:Attribute value hierarchies and constraints specification in attribute-based access control [C]// Proceedings of the 14th Annual Conference onPrivacy,Security & Trust. Washington D C,USA:IEEE Xplore,2016:26-32.[14] FERRAIOLOA D,ATHUNRIAB V,GAVRILA S. The policy machine: a novel architecture and framework for access control policy specification and enforcement[J]. Journal of Systems Architecture,2011,57(4):412-424.[15] BHATT S,PATWA F,SANDHU R. ABAC with group attributes and attribute hierarchies utilizing the policy machine [C]//Proceedings of the 2nd ACM Workshop on Attribute-Based Access Control. Washington D C,USA: ACM Press,2017:17-28.[16] BIJON K Z,KRISHMAN R,SANDHU R. Constraints specification in attribute based access control [J]. Science,2013,2(3):1-14.。
基于属性加密的数据访问控制方法
基于属性加密的数据访问控制方法摘要:在当今世界,科学技术突飞猛进,出现了许多类似于大数据、云计算等高级技术,基于这类技术,信息全球化的步伐进一步加快。
互联网已经融入到人们的日常生活中,QQ、微信、抖音等一系列的软件给我们的生活带来了极大的便利,在这些便利的背后,还有一些安全问题值得我们去思考。
关键字:加密;访问;信息;1.背景研究近年来,数据安全成为热门话题,国内外都有不少学者对此进行专门的研究。
由于互联网用户增长迅速,后台每天所需要处理的信息量也在快速增加,传统的数据处理技术已经无法满足当今时代的需求,大数据技术的出现才解决了这一问题,使用大数据技术能够减少一部分的技术开支,提高技术人员的工作效率。
世界上没有完全完美的东西,大数据技术也是这样的,除了能够减少运营成本的优点之外,它还有一个不得不提的缺点,就是数据安全性不能得到保证,许多企业和用户都因为数据泄露的问题遭受了不少的损失。
例如,在2013年美国Adobe公司出现的重大信息泄露事件,Adobe公司的用户后台被黑客攻破,造成了300万客户的信用卡记录被盗取,3800万用户的ID和密码被黑客泄露[1]。
这次的事件不仅给Adobe公司带来了巨额的经济损失,也对公司形象造成了不可磨灭的影响。
在中国类似的信息泄露事件也是层出不穷,在2020年4月,重庆大学、西北工业大学等几所的上千名学生发现自己在校学习期间,从网络上就可以查到自己的就业信息,还有多条交税信息[2]。
经过调查发现,是有些不法公司利用学生的身份信息,在进行偷税漏税的勾当。
这些现象还有很多,全球每天有上亿人遭受骚扰电话和诈骗电话的困扰,为了整治这一现象,数据访问的加密研究迫在眉睫。
2.访问控制技术访问控制技术一直以来都是大家比较关注的一个安全问题,访问控制技术是指一种主体根据用户需求来访问客体的技术,客体的访问权限受主体的影响,为了信息安全,禁止一些没有访问权限的操作。
在云计算技术的支持下,数据访问可以直接在云环境下进行,在云环境中进行操作时,用户需要先把信息和数据交给云环境的服务器,再由服务器进行转发,很多企业都有自己的云环境,用户无法了解这些云环境的安全性,为了保证用户信息不被泄露,各个企业都在加强访问技术的安全性。
基于属性的访问控制策略模型
基于属性的访问控制策略模型
程相然;陈性元;张斌;杨艳
【期刊名称】《计算机工程》
【年(卷),期】2010(036)015
【摘要】研究属性、属性谓词、属性名值对的抽象与描述,提出一种基于属性的访问控制策略模型,对策略、策略评估进行形式化定义.描述在设置策略合并算法和系统缺省授权下的访问控制判决过程,设计一种改进的策略管理框架并对其进行仿真测试.结果表明,该框架具有较强的可扩展性,能够为实施基于属性的访问控制提供依据.
【总页数】3页(P131-133)
【作者】程相然;陈性元;张斌;杨艳
【作者单位】解放军信息工程大学电子技术学院,郑州,450004;解放军信息工程大学电子技术学院,郑州,450004;解放军信息工程大学电子技术学院,郑州,450004;解放军信息工程大学电子技术学院,郑州,450004
【正文语种】中文
【中图分类】TP309
【相关文献】
1.基于属性访问控制中的敏感属性保护研究 [J], 沈海波
2.基于蜂群算法的多属性反向拍卖中供应商投标策略模型 [J], 高珊;张惠珍;马良
3.基于多级安全和属性证书实施网络基于角色访问控制策略 [J], 王建军;宁洪;朱政
坚
4.支持组和属性层级的基于属性的访问控制模型 [J], 沈海波
5.支持组和属性层级的基于属性的访问控制模型 [J], 沈海波
因版权原因,仅展示原文概要,查看原文内容请购买。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
大数据平台上基于属性的角色访问控制模型3500
摘要:随着计算机技术的不断发展与普及,大数据已经在社会经济的各个领域发挥不可忽视的作用。
然而,在面对大数据平台海量用户时数据安全成为了首要考量的问题之一。
传统动态访问控制数据量巨大,需要对其进行有效的多层访问控制进行合理区隔后配合其他管理手段,从而实现有效的安全防控。
本文以角色访问控制为手段,探究此种分层访问控制框架的制定与应用。
关键词:大数据;角色属性;访问控制;数据安全
大数据是现阶段互联网应用的主要技术之一,已经在越来越多的行业内产生一定的经济效益。
其中不乏有政府机关、金融机构、商务平台等敏感领域。
这些领域内对于数据安全性的要求相对较高。
在传统的平台安全策略中采用较为灵活的动态控制方式予以校正。
但是在面对大数据的海量用户时,服务器很难承担此种校正方式。
为此,研究基于属性的角色访问控制模型有助于对大数据系统内的用户进行分级管理,并做到有效的安全控制。
一、模型的选取与建立
在大数据安全控制实践体系中用用ARAC模型相对普遍,此种控制策略允许设计方通过对不同参数调取来获取客户的基本属性,并按照属性的类别差异来进行有效的分类。
从核心体系上来看,在经过了计算机的自动交互分类基础上,大数据平台上的海量用户被合理分割为不同的若干群体,而针对不同群体间的安全特性来给予不同方式与等级的效验模式,从而达到综合降低平台系统负载的根本目的。
在模型的设计实践中其一般包括了如下几个核心部分:第一,用户,该群体是平台所需要面对的全体用户单元,一般用U来进行表示;第二,用户组,是经过适当区分后所形成的用户单元,一般用G来表示;第三,角色,用户组内的实际用户经过了系统初步判断与分配后所形成的用户集合,一般用R来表示;组件,认证的基本方式,一般用C来进行表示等。
通过上述单元内的基本构建形成
了大数据平台上针对角色属性判断的不同认证方式,进而构建出本文所探讨的ARAC模型。
在具体的逻辑设计层面上,首先对用户的属性信息进行提取,将用户属性就一种在UAT数据集合中去。
在具体的属性信息选择上可以以硬件编码、软件信息、固态IP信息等作为依据,其中硬件编码比较普遍,硬件编码代表着大数据使用群体的固定场所(计算机)从而对于应用人的识别功能相对较强。
在收集到有效的属性基础上,对固定群体内的属性进行分析,并按照具体的算法进行有效的分组建议。
其中落实到具体的算法上来则主要可以分为RA策略与PA策略两种。
其中RA策略是基于一种预设的策略,即在分组体系中采用人为预设的方式形成有效的分组模式,常见的分组规范包括了UAT和EAT等两种。
而PA策略则是一种基于历史数据的建议分组模式,系统按照角色属性识别与其对于大数据平台的应用习惯产生严格的对应,从而给出可行的分组建议。
常见的策略包括了CAT和OAT模式。
无论上述何种算法策略其本质上是将用户的角色属性与用户的使用行为进行对应,从而为后续的不同层级下的安全策略构建提供必要依据。
最后,按照不同的分组策略,将登陆大数据平台的用户进行分组,从而为不同给定的组别提供不同的效验方式。
就一般情况而言可以采用动态访问控制的方式来予以实现。
通过上述的方式能够在分组的情况下降低不同组别动态访问控制的数据运算量,从而达到在保障数据安全的情况下降低系统荷载的根本目的。
从上述的模型选取与构建过程中不难发现,在具体的属性角色访问控制模型体系中其依赖的基本范式是对于固定用户的识别,从而达到用户角色与用户行为之间的对等,系统在根据不同用户行为对于数据安全之间的差异化来提供不同等级与水平的效验模式,从而达到降低综合系统负担的根本目的。
二、模型的应用及其属性控制
通过上文的研究对角色的访问控制下的具体模型选择及其构建方式进行了系统说明。
在实际的应用中还应该对具体的控制策略进行分析与构建。
如果说模型的建设是为具体的行为单元提供了骨架,则策略的制定则是为骨架提供了丰满的肌肉。
只有二者的有效结合才能够产生切实有效的数据保护。
在具体的策略层面上,主要分为了角色分配策略、权限分配策略等两种。
在角色的分配策略上:此种控制模型的核心是通过对角色的分类从而降低效验的有效计算量。
基于此则必须要对角色的分配进行有效的限制。
如果角色的设定为无限大的话,按照用户操作不可能完全一致的基本理论则产生的角色必然也是海量的,同时也就失去了角色集合所存在的根本意义。
从实际的效果来看也无法达到有效降低运算律的根本目的。
从这一角度出发,系统角色的总数必须根据服务器的载荷控制在一个比较有益的范围之内。
因此,需要明确角色分配的具体策略。
按照本文所构建的ABAR模型,其在角色分配的过程中采用了自动分配与手动分配相结合的方式来进行。
其中允许管理人员对不同的用户身份进行人工的限定,也就是上文中所提到里的CAT模式。
此种分配方式的优点在于能够有效的规避系统分配所带来的溢出可能,同时能够形成更为精准的用户预设。
与此同时,按照管理员分配的方式可以对用户自身的属性进行直接的分级,从而在考虑了数据安全性的同时还能够映射到现实的用户逻辑关系内部,从而达到更为有效的管理模式。
另一方面,在大数据平台系统内部可以完成通过属性及其关系对用户的描述。
除了单一的用户属性之外,用户与用户之间的联系也能够成为属性的一种。
如上下级关系、认可关系等。
这类逻辑策略的引入可以使得在角色分配上更为合规,并形成有效的层级管理。
在权限分配策略层面上:对用户的分组只是实现基于属性管理的基础,其根本目的是通过用户分组之间的权限差异来限制用户在大数据平台中的危害程度。
试想任何客户如果都具有对大数据平台内数据的删减权限,则大数据平台的运行稳定性则会受到严重的挑战。
在另一个极端,如果任何访问者都无法对数据信息删减的话,那么大数据平台将成为固定数据的“图片网站”,毫无应用的价值。
针对这一情况,按照不同的角色分配结果给予不同的权限分配是十分必要的,事实上也是该模型能够发挥实效的根本。
在实际的策略过程中要依据“应用为准”的基本原则来进行不同层级间的权限分配。
具体而言将具有大数据平台管理权限进行严格的控制,将对大数据平台应用的权限进行多维度的细分。
在细分中可以对不同功能进行系统的组合,从而提供更为多样化的权限分支。
通过这一权限分配策略一方面可以支持更多的角色分类,从而使得不同需求的使用者均能够得到大数据平台的最大化支持,同时不会对平台的总体数据单元形成威胁;另一方面还能够在多元化权限上整合部分的管理与限制功能,进一步保障了数据的安全性。
除此之外,在权限的分配上还可以通过“影子数据”的方向予以实现,即按照不同用户权限分配影子数据,此部分数据仅仅保存在权限范围内所生成的独立用户空间之内,对于大数据平台的初始数据不造成反向反馈。
三、模型应用效能
为了进一步认证本模型的有效性,在系统设计的基础上将从如下五个方面来对系统的具体效能进行认证。
(1)细粒度访问控制。
此指标反馈了本模型对于用户细分的有效性,也客观上反馈了具体分级处理在降低系统荷载上的效能。
在ARAC 模型使用中,通过属性来描述访问请求过程中用户、环境、组件和数据对象,有效的达到了严格控制访问请求者获得权限的各种条件,并且访问范围可以精确到表、字段级别的数据,客观上反馈了系统分组的有效性。
(2)动态授权。
该指标认证了分组模式下的分别授权,是提供数据保护的根本。
在ARAC 模型应用中,各种实体属性具有很大的灵活性,并支持大规模的动态扩展,可以满足各种应用系统的访问控制需求。
(3)授权复杂程度。
ARAC 模型保留了RBAC 模型的优势,使用角色来间接地建立用户和权限之间的关系,避免在用户和数据之间设置很多关系参数,系统管理员只需要设置角色与权限的映射,降低了授权复杂程度。
(4)属性管理复杂度。
ARAC 模型使用用户组层次结构来管理用户属性,用户可以通过从所在组及组继承其他组获得用户的属性。
管理员无需为每一个用户设置属性,实现了用户属性的简单管理。
(5)大数据平台中多组件数据权限统一管理。
结合Hadoop 平台多层访问框架的特点,针对组件属性和数据对象属性授权,统一控制平台中数据的访问权限。
四、总结
本文从模型的选取与建立、模型的具体应用及其利用属性的控制策略以及具体的应用实效等三个方面探究了基于属性的角色访问控制模型。
希望能够通过此种方式来解决大数据平台的海量用户分级校正问题,并进一步为提升大数据平台的数据安全作出应有的贡献。
参考文献
[1]苏秋月,陈兴蜀,罗永刚.大数据环境下多源异构数据的访问控制模型[J].网络与信息安全学报,2019,5(01):78-86.
[2]邓辉.大数据背景下的计算机网络信息安全及防护措施[J].通讯世界,2018(07):58-59.
[3]黄河清.大数据下学习流访问控制安全模型及算法研究[J].闽南师范大学学报(自然科学版),2018,31(02):24-33.
[4]庄浩霖,尚涛,刘建伟.基于角色的大数据认证授权一体化方案[J].信息网络安全,2017(11):55-61.。