abac

访问控制

ABAC是一种为解决行业分布式应用可信关系访问控制模型，它利用相关实体(如主体、客体、环境)的属性作为授权的基础来研究如何进行访问控制。基于这样的目的，可将实体的属性分为主体属性、客体属性和环境属性，这与传统的基于身份的访问控制（IBAC）不同。在基于属性的访问控制中，访问判定是基于请求者和资源具有的属性，请求者和资源在ABAC 中通过特性来标识，而不像IBAC 那样只通过ID 来标识，这使得ABAC 具有足够的灵活性和可扩展性，同时使得安全的匿名访问成为可能，这在大型分布式环境下是十分重要的。

访问对象

在ABAC中，主体是对客体(资源)实施访问行为的实体，如用户、服务、通信实体等;

主体有定义其身份和特性的属性，包括主体的身份、角色、职位、能力、位置、行政关系以及CA 证书等，如用户这一主体，它可以以所处行业中用户属性特征为基础，将这些用户的某些属性进行标准化定义，包括某用户所属的部门、职务、主管业务等;

客体是被主体操作的实体，如文件、数据、服务、系统设备等，客体属性包括身份、位置(URL) 、大小、值，这些属性可从客体的“元数据”中获取，同样也可以由对其操的主体来继承。这就是说，客体属性与主体属性具有一定的相关性;

环境属性是与事务(或业务)处理关联的属性，它通常与身份无关，但适用于授权决策，如时间、日期、系统状态、安全级别等。

ABAC 与IBAC 显著不同之处在于其对请求者、被请求资源通过属性来描述，而一些限制条件同样也使用环境属性来描述，这就是说在ABAC 中所有实体的描述都统一采用同一种方式——属性来进行描述，不同的是不同实体的属性权威可能不同，这使得访问控制判定功能在判定时，对访问控制判定依据能够采取统一处理。同时，基于属性的策略描述也摆脱了基于身份的策略描述的限制，其能够利用请求者所具有的一些属性来决定是否赋予其访问权限，在开放的环境下，访问控制判定功能并不关心访问者是谁（有时也可能根本无法获取这类信息）。在系统运行过程中，属性是一个易变量，而策略比较稳定，基于属性的策略描述方式可以很好地将属性管理和访问判定相分离。基于角色的访问控制（RBAC）通过引入角色中间元素，使得权限先经过角色进行聚合，然后再将权限分配给主体，通过这种方式可以简化授权，可将角色信息看成是一种属性，这样RBAC 就成为了ABAC 的一种单属性特例。XACML 是一个基于XML 的访问控制标记语言，其采用访问者、被请求资源、被请求行为和环境属性来描述策略，是一个典型的在ABAC 环境下的策略描述语言。目前针对ABAC 的研究大多集中在应用方面，而对其理论模型的研究较少，这使得ABAC 中很多概念没有一个规范的定义。