标签:场景 角色 DAC 访问控制 模型 用户 详解 权限
自主访问控制模型(DAC)
- 原理:资源的所有者可以自主地决定哪些用户或组可以访问该资源以及对资源的访问权限,如读、写、执行等。
- 特点:灵活性高,资源所有者对资源有绝对的控制权;但安全性相对较低,容易导致权限滥用。
- 应用场景:适用于小型、相对简单的系统或组织内部,如个人电脑上的文件系统,用户可以自行决定哪些文件可以被其他用户访问。
强制访问控制模型(MAC)
- 原理:系统根据主体(如用户、进程等)和客体(如文件、设备等)的安全级别来决定访问权限,主体对客体的访问必须满足一定的安全规则,安全级别通常由系统管理员预先定义。
- 特点:安全性高,能够有效地防止信息泄露和非法访问;但灵活性较差,用户对资源的访问权限受到严格限制。
- 应用场景:常用于对安全性要求极高的系统,如军事、政府等机密信息系统。
基于角色的访问控制模型(RBAC)
- 原理:将用户分配到不同的角色,每个角色拥有特定的权限,用户通过所属的角色来获取相应的权限。
- 特点:简化了权限管理的复杂性,便于大规模的用户和权限管理;提高了安全性,减少了因用户权限设置不当而导致的安全风险;同时具有一定的灵活性,可根据业务需求灵活调整角色和权限。
- 核心要素:包括用户、角色、权限和会话。用户与角色之间是多对多的关系,角色与权限之间也是多对多的关系,用户通过会话激活相应的角色从而获得权限。
- 应用场景:广泛应用于企业级信息系统,如ERP、OA等系统中,根据员工的职位和职责分配不同的角色和权限。
基于属性的访问控制模型(ABAC)
- 原理:根据主体、客体以及环境的属性来决定访问权限,这些属性可以包括用户的身份、角色、部门、时间、地点等,以及客体的类型、安全级别、所属部门等,通过定义访问策略来判断是否允许访问。
- 特点:具有高度的灵活性和细粒度的访问控制能力,能够更好地适应复杂多变的业务需求;但策略管理相对复杂,需要对大量的属性和规则进行定义和维护。
- 应用场景:适用于云计算、物联网等复杂的分布式环境,以及对访问控制有高度定制化需求的系统。
基于任务的访问控制模型(TBAC)
- 原理:以任务为中心,根据任务的执行过程和上下文来动态地分配和管理权限,任务在不同的阶段可能需要不同的权限,权限随着任务的进展而变化。
- 特点:能够更好地满足工作流和业务流程的需求,提高了权限管理的动态性和灵活性;但实现相对复杂,需要对任务和权限的关系进行详细的定义和管理。
- 应用场景:常用于工作流管理系统、项目管理系统等需要按照任务流程进行权限控制的系统中。
混合访问控制模型
- 原理:将多种不同的访问控制模型结合起来使用,以充分发挥各模型的优势,弥补单一模型的不足。
- 特点:可以根据具体的应用场景和安全需求,灵活地选择和组合不同的模型,实现更强大、更灵活的权限管理。
- 应用场景:在大型、复杂的企业信息系统中,往往采用混合访问控制模型,如将RBAC和ABAC结合使用,在基于角色的基础上,再根据用户和资源的属性进行更细粒度的权限控制。
标签:场景,
角色,
DAC,
访问控制,
模型,
用户,
详解,
权限
From: https://www.cnblogs.com/java-note/p/18640465