具有POL模块的动态授予和撤销授权的基于属性的访问控制模型

本文所探讨的是动态授予和撤销授权的基于属性的访问控制模型，它通过引入了一个POL模块来提升现有模型的灵活性和功能性。该模型称为PABAC（属性基访问控制模型带有POL模块），它由一系列组件构成，包括权限属性(PA)、义务和日志记录功能。本文的作者Gang Liu、Huimin Song、Can Wang、Runnan Zhang和Lu Fang，致力于解决在访问控制政策中未能预测和描述的问题，增强系统安全性和资源共享的便捷性。 当前，资源的共享和系统的安全性是人们普遍关注的焦点。访问控制技术几乎应用在每一种系统中，如计算机系统或企业管理系统。它允许合法授权的主体访问受保护的资源，同时阻止未授权主体和非法主体对受保护资源的访问。目前，主流的访问控制模型包括强制访问控制(MAC)、自由裁量访问控制(DAC)、基于角色的访问控制(RBAC)、基于任务的访问控制(TBAC)和基于属性的访问控制(ABAC)。 ABAC模型通过将安全信息分布在多个属性和策略权威机构中，具有分散和灵活的特点。近年来，针对ABAC模型的研究，使得它越来越多地应用于诸如web服务、云计算和协作环境等领域。具体而言，参考文献[7]利用了ABAC模型中安全信息散布于众多属性和策略权威机构的特点，并将ABAC模型与RBAC模型进行对比，以进一步阐述ABAC模型的优势。参考文献[8]则利用了基于属性的策略授权能够保护用户隐私的特性。在[9]中，还讨论了访问控制策略的其他方面。 PABAC模型使用了POL模块来动态地授予和撤销授权。这个模块由权限属性(PA)、义务和日志组成，它不仅可以在实际应用中作为主体属性或资源属性的一部分，而且还能够应对那些之前未被预见和访问控制策略中未描述的问题。通过这种方式，PABAC模型相较于传统的ABAC模型更具有灵活性。 本文在介绍部分强调了，尽管上述访问控制模型在保护资源方面具有各自的优点，但在处理现实世界中动态和复杂的安全需求时仍存在不足。因此，提出PABAC模型的必要性和优势，旨在增强现有技术在资源访问方面的动态性和安全性。模型的POL模块结合了权限属性、义务和日志功能，提供了更为丰富的控制手段，进而提升了ABAC模型在现实应用场景中的表现和效能。 通过引入POL模块，PABAC模型能够更好地处理权限的动态授予和撤销，确保了访问控制的灵活性和效率。在实际应用中，POL模块可以根据具体情况被设置为与主体相关的属性或与资源相关的属性，这样一来，模型的适应性和灵活性得到显著提升。同时，该模型还能够记录和追踪访问控制过程中的活动和事件，通过日志功能来进一步增强安全性。 此外，PABAC模型还能够解决那些在设计访问控制策略时未能预料到的问题，这表明了该模型在应对突发事件或未规划情况时具有更高的适应性。PABAC模型的提出，为实现更加动态和安全的资源访问控制提供了一种新的思路和工具。 在介绍部分，作者们通过抽象的方式，强调了访问控制的重要性，并点出了传统访问控制模型在应对现代信息系统的挑战时面临的局限性。在此基础上，他们进一步阐述了PABAC模型的提出背景和目标，指出其在增强系统安全性和适应性方面的潜力。此外，作者还通过提供一个实际应用场景案例，展示了PABAC模型是如何被应用到现实世界中的，进一步强调了其研究的实际价值和意义。