RBAC+ABAC混合访问控制模型
RBAC + ABAC hybrid access control model
我正在研究各种类型的访问控制模型。到目前为止,我遇到过 MAC、ABAC 和 RBAC,其中 RBAC 和 ABAC 是流行的。但是 none 它们适合作为所有现实生活场景的完整解决方案。
这就是为什么多次提出 RBAC 和 ABAC 的混合模型。我仍然无法理解这种混合模型以及这种模型如何克服 RBAC 和 ABAC 的缺点。
ABAC 本身是独立的,因为它可以用来实施 RBAC 策略。当人们提到混合 RBAC/ABAC 模型时,他们的意思是角色和权限仍然在身份管理系统中进行管理,例如一个 LDAP,但您现在依赖策略(例如 XACML)来驱动实际授权。
应用程序仍然可以直接使用这些角色,但可能依赖 PEP 来做出授权决定。
这不是一个容易回答的问题。缺点在持有人的眼中。但是,对于 RBAC 的局限性,有一些普遍的看法。例如,'role explosion' 问题。这篇由我撰写的文章描述了这个问题,以及它是如何在 Apache Fortress RBAC 解决方案中得到解决的。免责声明,我是 Apache Fortress 项目的贡献者。
https://iamfortress.net/2018/07/07/towards-an-attribute-based-role-based-access-control-system/
我正在研究各种类型的访问控制模型。到目前为止,我遇到过 MAC、ABAC 和 RBAC,其中 RBAC 和 ABAC 是流行的。但是 none 它们适合作为所有现实生活场景的完整解决方案。
这就是为什么多次提出 RBAC 和 ABAC 的混合模型。我仍然无法理解这种混合模型以及这种模型如何克服 RBAC 和 ABAC 的缺点。
ABAC 本身是独立的,因为它可以用来实施 RBAC 策略。当人们提到混合 RBAC/ABAC 模型时,他们的意思是角色和权限仍然在身份管理系统中进行管理,例如一个 LDAP,但您现在依赖策略(例如 XACML)来驱动实际授权。
应用程序仍然可以直接使用这些角色,但可能依赖 PEP 来做出授权决定。
这不是一个容易回答的问题。缺点在持有人的眼中。但是,对于 RBAC 的局限性,有一些普遍的看法。例如,'role explosion' 问题。这篇由我撰写的文章描述了这个问题,以及它是如何在 Apache Fortress RBAC 解决方案中得到解决的。免责声明,我是 Apache Fortress 项目的贡献者。
https://iamfortress.net/2018/07/07/towards-an-attribute-based-role-based-access-control-system/