做徽标的网站,株洲网站制作公司,做网站app要多少钱,手机主题制作网站概述
权限模型是一种用于定义和管理系统资源访问权限的规则集合。它规定了谁可以访问系统资源#xff0c;以及在何种条件下可以访问。
常用的权限模型
DAC#xff08;Discretionary Access Control#xff09;#xff1a;自主访问控制#xff0c;是基于用户身份或组织属…概述
权限模型是一种用于定义和管理系统资源访问权限的规则集合。它规定了谁可以访问系统资源以及在何种条件下可以访问。
常用的权限模型
DACDiscretionary Access Control自主访问控制是基于用户身份或组织属性进行访问控制的一种模型。相对灵活但缺乏对访问控制的统一管理。
MACMandatory Access Control强制访问控制是基于系统级策略的访问控制模型适用于需高度安全保护、严格审计和监管的场景。相对严格但实现复杂。
RBACRole-Based Access Control基于角色的访问控制是基于角色分配权限的一种模型注重系统资源使用者间的关系和角色结构设计通常用于较大规模的企业应用系统中。
ABACAttribute-Based Access Control基于属性的访问控制是根据条件来控制资源访问的模型其中属性可以是用户属性、环境属性或资源属性等适用于精细化权限管理的场景。
DAC
DAC (Discretionary Access Control) 是一种基于主体和对象之间的关系进行访问控制的模型。在 DAC 模型中每个对象比如文件或资源都有一个所有者所有权决定了谁可以访问该对象以及访问级别。每个主体比如用户或进程在访问对象时需要获得该对象的所有者授予的权限。
DAC 模型的实现通常涉及以下步骤
对象创建当创建一个对象时需要指定它的所有者。 访问请求当主体想要访问某个对象时它会向对象的所有者发出访问请求。 访问授予所有者再根据配置文件或其他规则来确定是否授权访问并授予相应的权限。 访问执行一旦获得了访问授权主体就可以执行相应的操作只能执行其被授权的操作。 由于 DAC 模型是由对象的所有者确定权限因此 DAC 较为灵活和易于管理但也很难维护对象间的精细访问控制。
MAC
MAC (Mandatory Access Control) 是一种安全机制是一种基于系统强制规则的访问控制模型。相对于DAC自主访问控制它并不依赖于对象所有者对访问进行授权而是由系统管理员在一个中央策略文件中配置规则这些规则会被系统应用于整个系统。
MAC 模型的实现通常涉及以下步骤
安全标签创建每个对象和主体都被分配一个安全标签这个安全标签用来描述对象或主体的属性比如拥有哪些权限等。策略文件指定系统管理员需要制定一个策略文件来定义允许哪些主体访问哪些对象并指定对这些对象的操作权限。访问请求当主体试图访问一个对象时系统将检查该主体的安全标签和该对象的安全标签是否匹配并根据策略文件来判断该主体是否被授权执行该操作。访问执行如果主体获得了访问授权它就可以执行操作否则系统会拒绝此次访问。
MAC 的优点在于它提供了一种高度可控且灵活的访问控制机制能够保护所有对象和主体免受未经授权的访问和攻击。但缺点是较为复杂需要系统管理员具备相应的技术知识和管理能力。
RBAC
RBACRole-Based Access Control是一种基于角色的访问控制模型。它通过在系统中定义角色来控制用户对资源的访问权限。
实现 RBAC 通常需要以下步骤 确定角色和权限根据业务需求确定需要哪些角色以及这些角色应该拥有哪些权限。 分配角色将角色分配给用户或用户组在系统中建立角色和用户组之间的关系。 授权访问当一个用户被分配了一个角色后系统需要检查该用户是否有权访问所请求的资源。如果用户有权限则允许访问否则拒绝访问。 管理角色和权限需要管理和维护角色、权限和用户之间的关系。例如添加或删除角色、更改角色的权限等。 审计日志记录所有的安全事件和审计日志以便追溯和故障排查。
简单说就是通过角色去管理用户的权限。所有的权限是配置在角色上的。再给用户配置不同的角色这样用户就可以继承配置的权限了。
ABAC
ABACAttribute-Based Access Control是一种基于属性的访问控制模型它允许系统管理员使用更加精细和灵活的方式来定义访问策略。相比于 RBACABAC 可以引入更多的信息如时间、地点、设备等属性以决定一个用户是否有权访问某个资源。
实现 ABAC 通常需要以下步骤
定义属性根据业务需求定义一组属性这些属性可以描述用户、资源或者上下文信息。例如身份证号、工作职责、批准级别等。
赋值属性为每个实体包括用户、资源和上下文分配对应的属性值。例如给用户 A 分配身份证号码为 123456 的属性值。
创建策略规则根据业务需求定义一组策略规则这些规则会使用上述属性来判断用户是否有权访问资源。例如如果用户的身份证号码等于某个特定值并且用户的职责是经理则允许访问某个资源。
审计日志记录所有的安全事件和审计日志以便追溯和故障排查。
总结各自的常用场景
DAC DAC 是最常见的一种访问控制模型它将对象的访问控制权限交给对象所有者。因此这种模型在许多小型组织或个人设备上被广泛使用。例如个人电脑、智能手机等。
MAC MAC 通常适用于需要高度严格控制资源和数据安全的系统。这种模型通常被用于军事、政府和金融领域的操作系统。另外由于应用程序对于敏感数据的保护需求越来越高所以 MAC 的应用也越来越广泛。
RBAC RBAC 最常用于需要管理大量用户和复杂的权限分配的系统环境比如企业内部的 HR 系统、医院信息系统等。通过角色的概念RBAC 可以有效地简化权限管理过程减少管理负担。并且 RBAC 可以为不同公司部门中的员工提供定制策略确保他们只获得实现其职能所必需的权限。
ABAC ABAC 可以根据诸如用户 ID、角色、时间、网络位置、设备类型和其他上下文元素等属性来进行访问控制。这种模型通常被用于高度动态、基于风险的环境中例如云原生应用程序、物联网系统、大数据平台。
