请输入您要查询的百科知识:

 

词条 abac
释义

基于属性的访问控制(ABAC)

ABAC是一种为解决行业分布式应用可信关系访问控制模型,它利用相关实体(如主体、客体、环境)的属性作为授权的基础来研究如何进行访问控制。基于这样的目的,可将实体的属性分为主体属性、实体属性和环境属性,这与传统的基于身份的访问控制(IBAC)不同。在基于属性的访问控制中,访问判定是基于请求者和资源具有的属性,请求者和资源在ABAC 中通过特性来标识,而不像IBAC 那样只通过ID 来标识,这使得ABAC 具有足够的灵活性和可扩展性,同时使得安全的匿名访问成为可能,这在大型分布式环境下是十分重要的。

在ABAC中,主体是对客体(资源)实施访问行为的实体,如用户、服务、通信实体等;

主体有定义其身份和特性的属性,包括主体的身份、角色、职位、能力、位置、行政关系以及CA 证书等,如用户这一主体,它可以以所处行业中用户属性特征为基础,将这些用户的某些属性进行标准化定义,包括某用户所属的部门、职务、主管业务等;

客体是被主体操作的实体,如文件、数据、服务、系统设备等,客体属性包括身份、位置(URL) 、大小、值,这些属性可从客体的“元数据”中获取,同样也可以由对其操的主体来继承。这就是说,客体属性与主体属性具有一定的相关性;

环境属性是与事务(或业务)处理关联的属性,它通常与身份无关,但适用于授权决策,如时间、日期、系统状态、安全级别等。

ABAC 与IBAC 显著不同之处在于其对请求者、被请求资源通过属性来描述,而一些限制条件同样也使用环境属性来描述,这就是说在ABAC 中所有实体的描述都统一采用同一种方式——属性来进行描述,不同的是不同实体的属性权威可能不同,这使得访问控制判定功能在判定时,对访问控制判定依据能够采取统一处理。同时,基于属性的策略描述也摆脱了基于身份的策略描述的限制,其能够利用请求者所具有的一些属性来决定是否赋予其访问权限,在开放的环境下,访问控制判定功能并不关心访问者是谁(有时也可能根本无法获取这类信息)。在系统运行过程中,属性是一个易变量,而策略比较稳定,基于属性的策略描述方式可以很好地将属性管理和访问判定相分离。基于角色的访问控制(RBAC)通过引入角色中间元素,使得权限先经过角色进行聚合,然后再将权限分配给主体,通过这种方式可以简化授权,可将角色信息看成是一种属性,这样RBAC 就成为了ABAC 的一种单属性特例。XACML 是一个基于XML 的访问控制标记语言,其采用访问者、被请求资源、被请求行为和环境属性来描述策略,是一个典型的在ABAC 环境下的策略描述语言。目前针对ABAC 的研究大多集中在应用方面,而对其理论模型的研究较少,这使得ABAC 中很多概念没有一个规范的定义。

ABAC式词语

基本信息

表示第一个和第三个字重复,另外字体为近义字。

毕恭毕敬

悖入悖出

匪石匪席

藏头藏尾

碍手碍脚

不三不四

成双成对

暴饮暴食

笨手笨脚

难分难舍

若即若离

若隐若现

彻头彻尾

称王称霸

诚惶诚恐

楚弓楚得

大手大脚

呆头呆脑

多才多艺

独来独往

动手动脚

恶衣恶食

吠形吠声

风言风语

非驴非马

非亲非故

怪模怪样

古色古香

敢作敢为

活灵活现

绘声绘色

诲盗诲淫

忽明忽暗

忽隐忽现

患得患失

将信将疑

戒骄戒躁

假仁假义

见仁见智

尽善尽美

尽心尽力

可歌可泣

刻肌刻骨

快人快语

克勤克俭

快人快事

可亲可敬

旅进旅退

离心离德

冷言冷语

屡战屡胜

屡战屡败

利人利己

满谷满坑

美轮美奂

能屈能伸

捏手捏脚

蹑手蹑脚

疑神疑鬼

偏听偏信

平起平坐

全心全意

群威群胆

倾城倾国

窃钓窃国

群策群力

任劳任怨

人山人海

如痴如醉

如火如荼

如诉如泣

十全十美

缩手缩脚

速战速决

数一数二

善始善终

所作所为

同心同德

土头土脑

土生土长

惟妙惟肖

畏首畏尾

我行我素

先知先觉

亦步亦趋

倚门倚闾

宜室宜家

疑神疑鬼

忧国忧民

再接再厉

作威作福

载歌载舞

知彼知己

各种各样

真心真意

随便看

 

百科全书收录4421916条中文百科知识,基本涵盖了大多数领域的百科知识,是一部内容开放、自由的电子版百科全书。

 

Copyright © 2004-2023 Cnenc.net All Rights Reserved
更新时间:2025/2/25 5:03:24