abac

ABAC是一種為解決行業分散式套用可信關係訪問控制模型,它利用相關實體(如主體、客體、環境)的屬性作為授權的基礎來研究如何進行訪問控制。基於這樣的目的,可將實體的屬性分為主體屬性、客體屬性和環境屬性,這與傳統的基於身份的訪問控制（IBAC）不同。在基於屬性的訪問控制中，訪問判定是基於請求者和資源具有的屬性，請求者和資源在ABAC 中通過特性來標識，而不像IBAC 那樣只通過ID 來標識，這使得ABAC 具有足夠的靈活性和可擴展性，同時使得安全的匿名訪問成為可能，這在大型分散式環境下是十分重要的。

在ABAC中,主體是對客體(資源)實施訪問行為的實體,如用戶、服務、通信實體等;

主體有定義其身份和特性的屬性,包括主體的身份、角色、職位、能力、位置、行政關係以及CA 證書等,如用戶這一主體,它可以以所處行業中用戶屬性特徵為基礎,將這些用戶的某些屬性進行標準化定義,包括某用戶所屬的部門、職務、主管業務等;

客體是被主體操作的實體,如檔案、數據、服務、系統設備等,客體屬性包括身份、位置(URL) 、大小、值,這些屬性可從客體的“元數據”中獲取,同樣也可以由對其操的主體來繼承。這就是說,客體屬性與主體屬性具有一定的相關性;

環境屬性是與事務(或業務)處理關聯的屬性,它通常與身份無關,但適用於授權決策,如時間、日期、系統狀態、安全級別等。

ABAC 與IBAC 顯著不同之處在於其對請求者、被請求資源通過屬性來描述，而一些限制條件同樣也使用環境屬性來描述，這就是說在ABAC 中所有實體的描述都統一採用同一種方式——屬性來進行描述，不同的是不同實體的屬性權威可能不同，這使得訪問控制判定功能在判定時，對訪問控制判定依據能夠採取統一處理。同時，基於屬性的策略描述也擺脫了基於身份的策略描述的限制，其能夠利用請求者所具有的一些屬性來決定是否賦予其訪問許可權，在開放的環境下，訪問控制判定功能並不關心訪問者是誰（有時也可能根本無法獲取這類信息）。在系統運行過程中，屬性是一個易變數，而策略比較穩定，基於屬性的策略描述方式可以很好地將屬性管理和訪問判定相分離。基於角色的訪問控制（RBAC）通過引入角色中間元素，使得許可權先經過角色進行聚合，然後再將許可權分配給主體，通過這種方式可以簡化授權，可將角色信息看成是一種屬性，這樣RBAC 就成為了ABAC 的一種單屬性特例。XACML 是一個基於XML 的訪問控制標記語言，其採用訪問者、被請求資源、被請求行為和環境屬性來描述策略，是一個典型的在ABAC 環境下的策略描述語言。目前針對ABAC 的研究大多集中在套用方面，而對其理論模型的研究較少，這使得ABAC 中很多概念沒有一個規範的定義。