转载 | 术有专攻,谈一谈访问控制

2024-05-27 01:58

本文主要是介绍转载 | 术有专攻,谈一谈访问控制,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

说起访问控制,不同的人会有不同的理解。不过其最基本的解释,简单地讲,就是“限制对资源的访问”。然而,具体到我们各自的组织,要弄明白访问控制的实际意义,却远非说起来那么简单。

对于有些人来讲,只需基于用户身份验证机制有选择性地授予用户对账户的访问即可;对于有些人来讲,只需厘清用户角色即可;对于有些人来讲,只需控制好访问的许可即可。但对于另外一些人来讲,可能就需要对虚拟局域网进行锁定,这已经超出了用户的范畴,而是机器与机器之间的交互问题。

当然,还有很多的访问控制技术,并不是基于允许访问列表(即白名单)的访问控制,而是基于不允许访问列表(即黑名单)的访问控制,比如进行潜在流量过滤的WEB应用程序安全工具。

综上所述,访问控制在IT组织可以说是无处不在,并且在很多情况下又各有不同。

具体到“访问策略”,大多数的访问控制方法都依赖于完全专业人士所制定的安全策略。特别是白名单方法,该策略通常是由组织指定的。

黑名单则通常容易一些,因为对付不必要的访问(如恶意软件)通常不需要为每个用户设定个性化的访问控制技术。因此,尽管通过阻止一些不必要的访问的黑名单形式是一项非常棒的安全基准,但真正的访问控制通常只有通过基于组织特定的安全需求的附加的白名单才能够达成。

这正是访问控制麻烦的地方。在极端情况下,访问控制方法可以很简单、很流行并且可控,比如:

  • 基于身份识别的访问控制(IBAC):请求者进行身份验证,通过验证获得所有访问权限,否则被拒绝访问
  • 基于角色的访问控制(RBAC):请求者进行身份验证,并获得基于角色的访问权限;
  • 多层安全(MLS):请求者拥有一定级别的身份标识,可以访问不高于其身份级别的分类资源。

这些方法的问题在于,其大部分对于组织至关重要的策略的实际执行都过于简单。例如,HIPAA法案要求,法案覆盖范围内的实体要努力限制自己“完成使用、披露、或请求目的的最低必要”。

这种通用的(我们称之为“高级”的)策略都是基于人类直觉的,使用的都是像IBAC、RBAC、MLS或列入黑名单之类的传统而又简单的访问控制方法,但却并不容易实现,。

相反地,这些通用的高级策略需要重新解读为可以在实际技术中实现的“低级的”、复杂的策略,比如“护士只允许查看其当前所服务的治疗医师所负责的患者的病历,并且该护士和患者应当属于同一病区”。这样的访问策略往往非常复杂、详细、包含动态信息和应用场景。

在过去的10到15年间,设计出了许多这样先进的访问控制方法来支持这样的复杂性。这些方法如属性访问控制(ABAC)——简单地讲,就是基于访问者、资源和场景的规则与属性来决定访问控制;风险自适应访问控制——基于风险计算实行访问权限变化的访问控制;还有基于邻近度的访问控制、基于业务流程的访问控制、基于历史记录的访问控制等等。

要弥补通用性高级访问策略和技术性可实现性低级策略之间的“语义鸿沟”通常是具有挑战性的。正确地实现这样的以及其他的先进访问控制策略需要很好地理解以下要点:

  • 当前日益复杂的安全策略需求及其对技术性访问控制实现的影响;
  • 越来越复杂的IT环境的影响,如云计算、物联网等访问策略;
  • 可用的高级访问控制方法所带来的好处与所面临的复杂性挑战;
  • 克服复杂性和动态性,管理高级访问策略的方法和流程;
  • 了解高级访问控制最适合的用例(如企业、大数据、云计算、物联网等)。

相关阅读

  • Authing 是什么以及为什么需要 Authing
  • 我们为什么坚持做 ToB 的慢生意
  • Authing 知识库

原文链接:https://www.aqniu.com/learn/14547.html 作者:nana 星期五, 三月 25, 2016

什么是 Authing?

Authing 提供专业的身份认证和授权服务。
我们为开发者和企业提供用以保证应用程序安全所需的认证模块,这让开发人员无需成为安全专家。
你可以将任意平台的应用接入到 Authing(无论是新开发的应用还是老应用都可以),同时你还可以自定义应用程序的登录方式(如:邮箱/密码、短信/验证码、扫码登录等)。
你可以根据你使用的技术,来选择我们的 SDK 或调用相关 API 来接入你的应用。当用户发起授权请求时,Authing 会帮助你认证他们的身份和返回必要的用户信息到你的应用中。

Authing 在应用交互中的位置

  • 官网:http://authing.cn
  • 小登录:https://wxapp.authing.cn/#/
  • 仓库: 欢迎 Star,欢迎 PR
    • https://gitee.com/Authi_ng
    • https://github.com/authing
  • Demo:
    • https://sample.authing.cn
    • https://github.com/Authing/qrcode-sample
  • 文档:https://docs.authing.cn/authing/

欢迎关注 Authing 技术专栏

Authing 社区

这篇关于转载 | 术有专攻,谈一谈访问控制的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/1006210

相关文章

提问的智慧(转载)

此文让我受益良多。值得一读,大家如果也觉得不错就一起来推~~~   ---------------------------------      在黑客世界里,当提出一个技术问题时,你能得到怎样的回答?这取决于挖出答案的难度,同样取决于你提问的方法。本指南旨在帮助你提高发问技巧,以获取你最想要的答案。       首先你必须明白,黑客们只偏爱艰巨的任务,或者能激发他们

Struts2常用标签总结--转载

Struts2常用标签总结 一 介绍 1.Struts2的作用 Struts2标签库提供了主题、模板支持,极大地简化了视图页面的编写,而且,struts2的主题、模板都提供了很好的扩展性。实现了更好的代码复用。Struts2允许在页面中使用自定义组件,这完全能满足项目中页面显示复杂,多变的需求。 Struts2的标签库有一个巨大的改进之处,struts2标签库的标签不依赖于

【转载】ACM感悟

今天看了一篇我们学校前辈的ACM的感悟,觉得写的十分有道理,这里转载,文章还会不断的改进和更新。 原文链接:http://www.cnblogs.com/Chierush/p/3760870.html?ADUIN=1339764596&ADSESSION=1401536826&ADTAG=CLIENT.QQ.5329_.0&ADPUBNO=26349 声明:本文是写给弱校ACM新手的一点

【Kubernetes知识点问答题】资源配额 / 访问控制

目录 1. 解释 ResourceQuota 的作用。 2. 解释 Service Account 的用途。 3. 详细解释 Role 和 ClusterRole。 4. 什么是 K8s 的 NetworkPolicy? 5. 详细描述在 K8s 中如何控制跨 Namespace 的 Pod 访问? 1. 解释 ResourceQuota 的作用。 - ResourceQu

转载 SPI的比喻理解

SPI 传输是一个虚拟的移位寄存器方式。 你这么理解就可以: 主机和从机之间有一条 16 格的传送带。主机一格一格拨动它转动(相当于发送时钟)。 如果是主机发送,它就把一个个的东西放在传送带上,转动 8 次,就传到从机一侧了。这时,从机可以从传送带上将东西取下。如果从机没有取东西,这些东西再转 8 次又回到主机一侧。 如果是主机接收,从机就要把 8 个东西一次放上传送带。当主机转动 8 次,东西就

等保测评中的访问控制与用户认证

在等保测评中,访问控制和用户认证是确保信息系统安全的关键组成部分。访问控制要求系统能够根据用户的身份和角色来限制对敏感资源的访问,以最小化安全风险。用户认证则是验证用户身份的过程,确保只有合法用户才能访问系统资源。 访问控制的核心要素         等保测评中的访问控制要求企业根据信息资源的敏感性和重要性,实施多层次的访问控制策略。这包括最小权限原则、访问控制列表(ACL)、

谈一谈MVCC

一 MVCC的定义 MVCC(Multi-Version Concurrency Control,多版本并发控制)是一种用于数据库管理系统(DBMS)中的并发控制方法,它允许数据库读写操作不加锁地并发执行,从而提高了数据库系统的并发性能。MVCC 主要是通过维护数据的多个版本来实现这一点的,每个事务在执行时都会基于数据的某个版本进行操作,这样即使多个事务同时操作同一数据,也不会相互干扰。 二 M

转载:从小白鼠试毒问题-海明码

问题提出: 有1000瓶水,其中有一瓶有毒,小白鼠只要尝一点带毒的水24小时后就会死亡,至少要多少只小白鼠才能在24小时时鉴别出哪瓶水有毒? 问题分析: 需要多少只小白鼠?这个很容易想到是10只(二进制),但是如何鉴别哪一瓶水有毒?(即如何安排小白鼠?)原贴如下:https://blog.csdn.net/mengtnt/article/details/8477747 海明码计算: 转载

[转载]20本经典云计算书籍和内容简介

云计算 : 深刻改变未来 内容简介 · · · · · · 本书概述了云计算的起源、发展以及商业模式,介绍了云计算的关键技术、典型应用以及开源软件和社区。 云计算既是机遇也是挑战,中国科技何去何从?需要从国家层面重视云计算,在教育、普及、重点研发、示范工程等诸多领域对其进行统筹规划,从而推动云计算在中国的发展,并最终使云计算造福百姓,惠及国民经济,推动科

谈一谈一条SQL查询语句究竟是如何执行的?

这里写目录标题 理解执行流程衍生知识最后 本篇文章是基于《MySQL45讲》来写的个人理解与感悟。 理解 先看下图: 大体来说,MySQL可以分为Server层和存储引擎层两部分。就是对应着图中的两个圈。 server层包含查询缓存、分析器、优化器、执行器等,以及及所有的内置函数(如日期、时间…)所有跨存储引擎的功能都在这一层实现,比如存储过程、触发器、视图等。 存