转载 | 术有专攻,谈一谈访问控制
提及访问控制,不一样的人会有不一样的理解。不过其最基本的解释,简单地讲,就是“限制对资源的访问”。然而,具体到咱们各自的组织,要弄明白访问控制的实际意义,却远非提及来那么简单。
html
对于有些人来说,只需基于用户身份验证机制有选择性地授予用户对帐户的访问便可;对于有些人来说,只需厘清用户角色便可;对于有些人来说,只需控制好访问的许可便可。但对于另一些人来说,可能就须要对虚拟局域网进行锁定,这已经超出了用户的范畴,而是机器与机器之间的交互问题。git
固然,还有不少的访问控制技术,并非基于容许访问列表(即白名单)的访问控制,而是基于不容许访问列表(即黑名单)的访问控制,好比进行潜在流量过滤的WEB应用程序安全工具。github
综上所述,访问控制在IT组织能够说是无处不在,而且在不少状况下又各有不一样。安全
具体到“访问策略”,大多数的访问控制方法都依赖于彻底专业人士所制定的安全策略。特别是白名单方法,该策略一般是由组织指定的。app
黑名单则一般容易一些,由于对付没必要要的访问(如恶意软件)一般不须要为每一个用户设定个性化的访问控制技术。所以,尽管经过阻止一些没必要要的访问的黑名单形式是一项很是棒的安全基准,但真正的访问控制一般只有经过基于组织特定的安全需求的附加的白名单才可以达成。工具
这正是访问控制麻烦的地方。在极端状况下,访问控制方法能够很简单、很流行而且可控,好比:大数据
- 基于身份识别的访问控制(IBAC):请求者进行身份验证,经过验证得到全部访问权限,不然被拒绝访问
- 基于角色的访问控制(RBAC):请求者进行身份验证,并得到基于角色的访问权限;
- 多层安全(MLS):请求者拥有必定级别的身份标识,能够访问不高于其身份级别的分类资源。
这些方法的问题在于,其大部分对于组织相当重要的策略的实际执行都过于简单。例如,HIPAA法案要求,法案覆盖范围内的实体要努力限制本身“完成使用、披露、或请求目的的最低必要”。云计算
这种通用的(咱们称之为“高级”的)策略都是基于人类直觉的,使用的都是像IBAC、RBAC、MLS或列入黑名单之类的传统而又简单的访问控制方法,但却并不容易实现,。设计
相反地,这些通用的高级策略须要从新解读为能够在实际技术中实现的“低级的”、复杂的策略,好比“护士只容许查看其当前所服务的治疗医师所负责的患者的病历,而且该护士和患者应当属于同一病区”。这样的访问策略每每很是复杂、详细、包含动态信息和应用场景。code
在过去的10到15年间,设计出了许多这样先进的访问控制方法来支持这样的复杂性。这些方法如属性访问控制(ABAC)——简单地讲,就是基于访问者、资源和场景的规则与属性来决定访问控制;风险自适应访问控制——基于风险计算实行访问权限变化的访问控制;还有基于邻近度的访问控制、基于业务流程的访问控制、基于历史记录的访问控制等等。
要弥补通用性高级访问策略和技术性可实现性低级策略之间的“语义鸿沟”一般是具备挑战性的。正确地实现这样的以及其余的先进访问控制策略须要很好地理解如下要点:
- 当前日益复杂的安全策略需求及其对技术性访问控制实现的影响;
- 愈来愈复杂的IT环境的影响,如云计算、物联网等访问策略;
- 可用的高级访问控制方法所带来的好处与所面临的复杂性挑战;
- 克服复杂性和动态性,管理高级访问策略的方法和流程;
- 了解高级访问控制最适合的用例(如企业、大数据、云计算、物联网等)。
相关阅读
原文连接:https://www.aqniu.com/learn/14547.html 做者:nana 星期五, 三月 25, 2016
什么是 Authing?
Authing 提供专业的身份认证和受权服务。
咱们为开发者和企业提供用以保证应用程序安全所需的认证模块,这让开发人员无需成为安全专家。
你能够将任意平台的应用接入到 Authing(不管是新开发的应用仍是老应用均可以),同时你还能够自定义应用程序的登陆方式(如:邮箱/密码、短信/验证码、扫码登陆等)。
你能够根据你使用的技术,来选择咱们的 SDK 或调用相关 API 来接入你的应用。当用户发起受权请求时,Authing 会帮助你认证他们的身份和返回必要的用户信息到你的应用中。
- 官网:http://authing.cn
- 小登陆:https://wxapp.authing.cn/#/
- 仓库: 欢迎 Star,欢迎 PR
- https://gitee.com/Authi_ng
- https://github.com/authing
- Demo:
- https://sample.authing.cn
- https://github.com/Authing/qrcode-sample
- 文档:https://docs.authing.cn/authing/
欢迎关注 Authing 技术专栏
- 1. 浅谈 Apache 的访问控制配置
- 2. 谈谈监控(转)
- 3. 谈谈对Spring IOC(控制反转)的理解--转 谈谈对Spring IOC(控制反转)的理解--转
- 4. 攻击访问控制
- 5. 谈谈javascript语法里一些难点问题(一)《转载》
- 6. 谈谈类加载机制
- 7. 谈谈Unicode编码[转载]
- 8. 转载 谈谈Unicode编码
- 9. 杂谈转载
- 10. RD访谈问题
- 更多相关文章...
- • Swift 访问控制 - Swift 教程
- • XML DOM - 访问节点 - XML DOM 教程
- • 漫谈MySQL的锁机制
- • 三篇文章了解 TiDB 技术内幕 —— 谈调度
-
每一个你不满意的现在,都有一个你没有努力的曾经。
- 1. 浅谈 Apache 的访问控制配置
- 2. 谈谈监控(转)
- 3. 谈谈对Spring IOC(控制反转)的理解--转 谈谈对Spring IOC(控制反转)的理解--转
- 4. 攻击访问控制
- 5. 谈谈javascript语法里一些难点问题(一)《转载》
- 6. 谈谈类加载机制
- 7. 谈谈Unicode编码[转载]
- 8. 转载 谈谈Unicode编码
- 9. 杂谈转载
- 10. RD访谈问题