写在前面
今日主题
访问控制
上一期讨论了身份的验真和鉴权。鉴权的过程就进入了访问控制的流程。如果说,身份是安全的基础,那么访问控制就是安全的关键能力。
访问控制的本质是控制人(主体,Subject)对物(客体,Object)执行某种操作(Action)的一种方法。那么主体、客体的身份真实性就是前文所说的验真过程。在确定了参与这一个过程的主客体的真实性后,访问控制就进入了鉴权的过程,即确定主体对客体的操作权限。尽管我们的日常的应用中,可能定义了很多类的操作,但其大抵都是创建、读、写(更新)、删除(CRUD,Create,Read,Update,Delete)这四种基本操作及其拓展。
因此,主体、客体和操作构成了访问控制的最基本要素。各种访问控制模型就是根据这三项基本要素所包含的信息进行判断和决策。
在访问控制的过程中,模型根据既定的策略进行决策与执行。各种访问控制模型对策略的存储与查询的模块可能不尽相同,但策略决策点(PDP,Policy Desicion Point)和策略执行点(PEP,Policy Enforcement Point)是绕不过的关键模块。
鉴权的过程发生在决策点,而鉴权的结果最终由执行点实施执行。
由于“最小权限”始终是安全管理的最终目标,人们对细粒度权限管理的需求越来越强烈。同时,随着数字化的进程,各类信息系统的复杂性也在不断增加。人们对访问控制模型的灵活性、动态性、扩展性的要求也日益增加。传统的访问控制模型,如自主访问控制模型(DAC,Discretionary Access Control),强制访问控制模型(MAC,Mandatory Access Control)以及甚至基于角色的访问控制模型(RBAC,Role Based Access Control)在这些方面都有其局限性。因此,基于属性的访问控制模型(ABAC,Attribute Based Access Control)在这种背景下应运而生。
ABAC在将主体、客体和操作细化为各种属性集合的基础上,引入了环境条件等上下文属性,既有助于细粒度的权限配置、决策与执行,又在扩展性、动态性和灵活性上有了很大的提升,日渐成为主流的访问控制模型。不过基于属性的访问控制模型较为复杂,因此在实际应用中,需要根据实际情况进行合理的抽象和实现。比如,通过较为简单的基于角色的访问控制模型与基于属性的访问控制模型的结合,可以在保证灵活性的同时降低实施的复杂度。
除了基于属性的访问控制模型之外,基于能力的访问控制(CapBAC,Capability Based Access Control)也在一些领域中得以应用。通过令牌(Token)或者票据(Ticket)将能力(权限)嵌入访问请求,CapBAC很好的实现了完全仲裁原则(Complete mediation)。受访对象甚至无需通过策略决策点(实际上是PDP前置了),就能够完成鉴权。CapBAC同样能够引入基于属性的思想,从而实现能力(权限)的细粒度配置。
鉴于人们对“最小权限”的执着,基于属性的方法几乎是唯一解。唯一需要注意的是,如何降低其在实际应用中的复杂度,即如何将复杂的属性集合抽象为更容易理解的概念,比如角色。
基于能力的访问控制本质上是将能力(权限)与访问请求一同发送至受访对象(客体),这种方法提升了访问的效率也降低了访问控制机制的复杂度,尽管没有ABAC应用广泛,在一些特定领域(比如物联网)还是很值得推广的。
参考文献
•Bertin E, Hussein D, Sengul C, et al.Access control in the Internet of Things: a survey of existing approaches and open research questions[J].Annals of Telecommunications,2019, 74 (7-8): 375-388.•Khalil A, Mbarek N, Togni O. IoT-MAAC: Multiple Attribute Access Control for IoT environments[C].2020 IEEE 17th Annual Consumer Communications & Networking Conference (CCNC),2020: 1-6.•Bodin U, Christofferson A, Chiquito A, et al. Application-scoped Access Control for the Construction Industry[C].26th IEEE International Conference on Emerging Technologies and Factory Automation (ETFA 2021), Västerås, Sweden, September 7-10, 2021,2021: 1-8.•Thakare A, Lee E, Kumar A, et al.PARBAC: Priority-Attribute-Based RBAC Model for Azure IoT Cloud[J].IEEE Internet of Things Journal,2020, 7 (4): 2890-2900.•Dramé-Maigné S, Laurent M, Castillo L, et al.Centralized, Distributed, and Everything in between: Reviewing Access Control Solutions for the IoT[J].ACM Comput. Surv.,2021, 54 (7): Article 138.•Gusmeroli S, Piccione S, Rotondi D.A capability-based security approach to manage access control in the Internet of Things[J].Mathematical and Computer Modelling,2013, 58 (5-6): 1189-1205.•Hussein D, Bertin E, Frey V.A Community-Driven Access Control Approach in Distributed IoT Environments[J].IEEE Communications Magazine,2017, 55 (3): 146-153.
