访问控制模型概述

访问控制模型是信息安全领域的核心机制，用于定义和管理用户对系统资源的访问权限。其核心目标是确保只有授权用户能在特定条件下访问资源，防止未授权访问和数据泄露。

常见访问控制模型分类：

自主访问控制（DAC, Discretionary Access Control）

• 特点：资源所有者自主决定其他用户的访问权限。
• 实现方式：通过访问控制列表（ACL）或权限矩阵（如Linux文件系统的rwx权限）。
• 适用场景：灵活性要求高的环境，如个人文件共享。

强制访问控制（MAC, Mandatory Access Control）

• 特点：基于系统级策略（如安全标签）强制实施访问规则，用户无法自行修改权限。
• 实现方式：多级安全模型（如Bell-LaPadula模型、Biba模型）。
• 适用场景：军事、政府等高安全性需求场景。

基于角色的访问控制（RBAC, Role-Based Access Control）

• 特点：权限分配给角色，用户通过角色间接获得权限。
• 核心组件：角色（Role）、权限（Permission）、用户（User）的关联关系。
• 优势：简化权限管理，支持最小权限原则。

基于属性的访问控制（ABAC, Attribute-Based Access Control）

• 特点：动态评估用户、资源、环境属性（如时间、位置）决定访问权限。
• 策略语言：常用XACML（eXtensible Access Control Markup Language）。
• 适用场景：云计算、物联网等复杂环境。

---

访问控制模型的数学表示

以RBAC为例，其核心关系可形式化定义为：

1、用户 - 角色分配（User Assignment）

        UA⊆U×R

        表示：用户集合 U 与角色集合 R 之间的多对多映射关系。

2、权限 - 角色分配（Permission Assignment）

        PA⊆P×R

        表示：权限集合 P 与角色集合 R 之间的多对多映射关系。

实现示例（RBAC伪代码）

class RBAC:
    def __init__(self):
        self.roles = {}  # 角色字典
        self.users = {}  # 用户字典

    def assign_role(self, user_id, role):
        if user_id not in self.users:
            self.users[user_id] = set()
        self.users[user_id].add(role)

    def check_permission(self, user_id, permission):
        for role in self.users.get(user_id, []):
            if permission in self.roles.get(role, set()):
                return True
        return False

选择模型的考虑因素

• 安全性需求：MAC适用于高敏感数据，DAC适合低风险环境。
• 管理复杂度：RBAC适合大型组织，ABAC适合动态策略。
• 性能开销：ABAC属性评估可能增加延迟。

扩展模型

• 风险自适应访问控制（RAdAC）：结合实时风险评估动态调整权限。
• 区块链访问控制：利用智能合约实现去中心化权限管理。

---

上面的分类方法是基于“谁来控制、怎么强制”划分→ DAC / MAC / RBAC / ABAC

而下面的分类方法则色按“权限绑定在什么上面”划分→OBAC / TBAC / RBAC / ABAC

---

基于对象的访问控制 (OBAC)

OBAC 将访问权限直接关联到具体的数据对象（如文件、数据库记录），而非用户或角色。权限管理围绕对象的属性或上下文展开，适合细粒度控制需求。

特点：

• 权限与对象绑定，用户访问时动态检查对象属性。
• 适用于资源异构、权限需求差异大的场景（如文档管理系统）。
• 实现复杂度较高，需维护对象-权限映射关系。

典型应用：文件系统权限（如Linux文件ACL）、数据库行级权限控制。

---

基于任务的访问控制 (TBAC)

TBAC 在工作流或任务执行过程中动态授予权限，任务完成后权限自动回收。

关键机制：

• 生命周期绑定：权限仅在任务激活期间有效（如“审批流程”中的临时编辑权）。
• 上下文感知：权限依赖任务状态（如流程阶段、前置条件）。
• 动态调整：根据任务进展实时更新权限（如流程跳转时权限切换）。

适用场景：业务流程管理系统、医疗工作流等需时效性权限的场景。

---

基于角色的访问控制 (RBAC)

RBAC 通过角色桥梁关联用户与权限，用户通过角色间接获得权限，简化权限管理。

核心模型：

• 用户-角色分配：用户被赋予角色（如“管理员”“普通用户”）。
• 角色-权限分配：角色预定义权限集合（如“可删除文件”“可编辑配置”）。
• 角色层次：高级角色继承低级角色权限（如“经理”继承“员工”权限）。

优势：

• 降低直接管理用户权限的复杂度，适合组织架构稳定的场景。
• 支持最小权限原则和职责分离（如角色互斥约束）。

局限：动态权限需求（如临时任务）需通过角色扩展实现。

---

基于属性的访问控制 (ABAC)

ABAC 通过属性（用户、资源、环境等）的组合策略动态决定访问权限，支持高灵活性。

属性类型：

• 用户属性：部门、职务、安全等级。
• 资源属性：文件敏感性、创建时间。
• 环境属性：访问时间、地理位置。

策略示例：

IF user.department == "Finance" AND resource.type == "Budget" AND time.window == "9:00-17:00"  
THEN PERMIT access  

优势：

• 细粒度控制，适应复杂条件（如多云环境跨资源访问）。
• 策略可复用，减少冗余规则。

挑战：策略管理复杂度高，需依赖策略决策点（PDP）实时计算。

---

对比总结

模型	控制维度	动态性	适用场景
OBAC	对象属性	低	文件/数据库细粒度控制
RBAC	角色	静态	组织架构稳定的系统
TBAC	任务生命周期	高	工作流/临时任务
ABAC	多维属性	极高	跨域、条件复杂的访问控制

实际系统中常组合使用，如RBAC+ABAC实现角色基础下的属性细化。