Predix 安全服务漫谈

本文主要是介绍Predix 安全服务漫谈，希望对大家解决编程问题提供一定的参考价值，需要的开发者们随着小编来一起学习吧！

作者：陶育蓉，前端开发工程师，GE Healthcare

如果您还没有Predix试用帐号，请访问
https://supportcentral.ge.com/esurvey/GE_survey/takeSurvey.html?form_id=18446744073709715720 申请。请务必准确提供您的信息，我们会以邮件方式通知您注册结果。

想要搭建一个成功的Saas服务，你需要认真考虑你将要采用的技术栈。而如果你希望自己的产品能够被在市场中认真对待，那你必须提供一个足够安全的应用。

假设你同意上面的观点，那么你就需要具体考虑一下自己在安全方面的需求有哪些。这往往取决于你开发的应用。在物联网的世界，你的应用通常需要同时具备身份验证（authentication）和授权（authorization）的能力，因为你的客户需要控制谁拥有访问他们设备的权限以及在他们的系统上做些什么。

那我们应该用什么技术来实现身份验证和授权呢？值得庆幸的是，你不需要从头造轮子就可以获得这些能力。有许多诸如OAuth 2.0，SAML，TLS 1.2这样的开源标准已经在市场上得到了广泛的使用。安全社区的专家也反复审阅并修订了这些安全标准并且对这些标准的安全性达成了共识。成熟的安全标准进一步促进了它们的普及，与此同时在搭建应用的过程中集成这些安全标准的成本也进一步降低了。而降低的开发成本也意味着更敏捷的开发。

然而你不得不承认的是，如果你想要依靠自己的努力去集成这些安全标准将会是一条不归路。你应该做的是寻求第三方服务商为你提供一键集成安全标准的服务。

PaaS提供商非常了解用户集成安全标准的痛点，因此知名的PaaS服务商往往会提供基于开源安全标准的身份管理、验证和授权服务。Predix作为工业Paas平台的翘楚为身份验证和用户授权分别提供了UAA（User Account and Authentication）和ACS（Access Control Service）作为解决方案。这两个服务都可以在Predix.io catalog里面找到。

UAA原本是Cloud Foundry用于提供身份管理和验证的开源项目。UAA提供：

OAuth2.0验证服务器
一个基于SCIM的身份验证解决方案
对基于SAML Web SSO profile的身份验证的支持

Predix采用了这个开源的项目并将其作为一个service在Predix.io catalog中提供。

ACS是Predix为细粒度访问控制需求提供的解决方案。UAA生成的token虽然也可以包括访问控制的信息，但是这样的访问控制信息是和token的生命周期绑定的。为了让用户的权限修改生效，用户必须先登出再登入。除此之外，权限本身也受到了token最大体积的限制。ACS通过提供基于属性的（attribute-based）访问控制（ABAC）来解决这些问题。ACS可以存储用户属性，资源属性以及访问控制策略来一并定义用户的权限。

下图展示了基于属性的访问控制是如何工作的。在最上方我们定义了ACS基本的实体模型：subjects和resources。这两个模型各自拥有一些属性。属性可以是任何能够定义subject和resource的东西，并且能够被用来决定访问权限。在下面的例子中，subject的属性（alice@ge）包括了group和role。resource的属性（/assets/1123）包括了site和group。当另一个微服务向ACS发起一个访问权限请求时，它需要提供subject和resource的标识以及subject要对resource发起的d动作（比如GET）。当ACS收到请求后，它将查看属于subject和resource的属性，并且将这些信息发送给一个策略评估引擎来决定这项操作是否被允许。一个安全策略包括了一系列用于决定所需许可的规则。在这个例子中的安全策略将会通过对比subject属性和resource属性来决定一个操作是否被允许。因为这个subect和resource同属于一个group，操作就被允许了。

这里写图片描述