Jump to content

Контроль доступа на основе отношений

В безопасности компьютерных систем контроль доступа на основе отношений (ReBAC) определяет парадигму авторизации , при которой разрешение субъекта на доступ к ресурсу определяется наличием связей между этими субъектами и ресурсами.

В общем случае авторизация в ReBAC осуществляется путем обхода направленного графа связей. Узлы и ребра этого графа очень похожи на тройки в формате данных Resource Description Framework (RDF) . [1] Системы ReBAC допускают иерархию отношений, а некоторые допускают более сложные определения, включающие алгебраические операторы для отношений, таких как объединение, пересечение и различие. [2]

ReBAC приобрел популярность с появлением веб-приложений социальных сетей, в которых пользователям необходимо контролировать свою личную информацию на основе их отношений с получателем данных, а не роли получателя. [3] Использование ReBAC позволило коллективно определять разрешения для команд и групп, устраняя тем самым необходимость устанавливать разрешения индивидуально для каждого ресурса. [4]

В отличие от управления доступом на основе ролей (RBAC) , которое определяет роли, которые несут определенный набор связанных с ними привилегий и которым назначаются субъекты, [5] ReBAC (например, ABAC [6] ), позволяет определить более детальные разрешения. [5] Например, если система ReBAC определяет ресурсы типа document , которые могут разрешить одно действие редактора , если система содержит отношения («алиса», «редактор», «документ:бюджет») , то субъект Алиса может редактировать конкретный ресурс. документ: бюджет . Недостатком ReBAC является то, что, хотя он обеспечивает более детальный доступ, это означает, что приложению может потребоваться выполнить больше проверок авторизации.

Системы ReBAC по умолчанию запрещают доступ и позволяют создавать поверх них системы RBAC. [2]

Термин ReBAC был придуман Кэрри Э. Гейтс в 2006 году. [3]

В 2019 году Google опубликовал статью «Занзибар: согласованная глобальная система авторизации Google». [2] В документе определяется система, состоящая из конфигурации пространства имен и данных отношений, выраженных в виде троек.

С момента публикации этого документа несколько компаний создали коммерческие предложения систем ReBAC и системы ReBAC с открытым исходным кодом.

Реализации

[ редактировать ]

См. также

[ редактировать ]
  1. ^ «Букварь по RDF 1.1: тройки» . www.w3.org . Проверено 7 июля 2022 г.
  2. ^ Jump up to: а б с д Панг, Руомин; Касерес, Рамон; Берроуз, Майк; Чен, Чжифэн; Дэйв, Пратик; Гермер, Натан; Голинский, Александр; Грейни, Кевин; Канг, Нина; Кисснер, Леа; Корн, Джеффри Л. (2019). «Занзибар: Единая глобальная система авторизации Google» . Ежегодная техническая конференция USENIX 2019 (USENIX ATC '19) . Рентон, Вашингтон.
  3. ^ Jump up to: а б Гейтс, Кэрри (2007). «Требования к контролю доступа для обеспечения безопасности и конфиденциальности Web 2.0» . Интернет IEEE . 2 : 12–15.
  4. ^ «Что такое контроль доступа на основе отношений» . www.permit.io/блог/ .
  5. ^ Jump up to: а б «Авторизация — серия шпаргалок OWASP» . cheatsheetseries.owasp.org . Проверено 21 июня 2022 г.
  6. ^ Ху, Винсент С.; Феррайоло, Дэвид; Кун, Рик; Шнитцер, Адам; Сэндлин, Кеннет; Миллер, Роберт; Скарфоне, Карен (январь 2014 г.). «Руководство по определению и соображениям управления доступом на основе атрибутов (ABAC)» . НИСТ . дои : 10.6028/nist.sp.800-162 . Проверено 7 июля 2022 г.
  7. ^ «SpiceDB GitHub» . Гитхаб . 24 ноября 2021 г. Проверено 16 ноября 2023 г.
  8. ^ «Репозиторий Topaz GitHub» . Гитхаб . 24 октября 2022 г.
[ редактировать ]
Arc.Ask3.Ru: конец переведенного документа.
Arc.Ask3.Ru
Номер скриншота №: 49d748f53e09a1db46de694f16b42611__1715340960
URL1:https://arc.ask3.ru/arc/aa/49/11/49d748f53e09a1db46de694f16b42611.html
Заголовок, (Title) документа по адресу, URL1:
Relationship-based access control - Wikipedia
Данный printscreen веб страницы (снимок веб страницы, скриншот веб страницы), визуально-программная копия документа расположенного по адресу URL1 и сохраненная в файл, имеет: квалифицированную, усовершенствованную (подтверждены: метки времени, валидность сертификата), открепленную ЭЦП (приложена к данному файлу), что может быть использовано для подтверждения содержания и факта существования документа в этот момент времени. Права на данный скриншот принадлежат администрации Ask3.ru, использование в качестве доказательства только с письменного разрешения правообладателя скриншота. Администрация Ask3.ru не несет ответственности за информацию размещенную на данном скриншоте. Права на прочие зарегистрированные элементы любого права, изображенные на снимках принадлежат их владельцам. Качество перевода предоставляется как есть. Любые претензии, иски не могут быть предъявлены. Если вы не согласны с любым пунктом перечисленным выше, вы не можете использовать данный сайт и информация размещенную на нем (сайте/странице), немедленно покиньте данный сайт. В случае нарушения любого пункта перечисленного выше, штраф 55! (Пятьдесят пять факториал, Денежную единицу (имеющую самостоятельную стоимость) можете выбрать самостоятельно, выплаичвается товарами в течение 7 дней с момента нарушения.)