如何存儲權利？替代XACML

Question

爲我想存儲權利的概念證明。我知道有不同的訪問控制方式（DAC，MAC，RBAC，..）。我的第一個想法是使用數據庫，但我正在尋找更多已建立的標準，如XACML，但不幸的是，我還沒有找到一些真正的選擇。 感謝任何tipps！

Answer 1

首先，退後一步，看看可比項目。

在訪問控制中，您有不同的模型已經提出了時間。從歷史上看，你首先擁有DAC和MAC。您有訪問控制列表（也稱爲基於身份的訪問控制或IBAC）的概念。

然後突然，用戶的唯一身份已經不夠了。我們開始將用戶組織到角色和組中。這導致了NIST正式成爲標準的RBAC或基於角色的訪問控制的創建。

快進10多年，角色不夠了。 ACL和RBAC太以用戶爲中心。他們不適合上下文或關係。它們不夠細緻。出現了稱爲ABAC或基於屬性的訪問控制的新模型。 NIST也正在對ABAC進行標準化。 ABAC能夠實現任何類型的訪問控制要求，並可以滿足用戶，資源，操作和上下文屬性。

你可以在ABAC here瞭解更多。

那麼，XACML呢？ XACML - eXtensible Access Control Markup Language - 是ABAC模型的一個實現。這是ABAC最廣泛的實施。你問是否有其他選擇。有些想到的包括：

• SecPal：這是（是？）微軟的一項研究計劃。據我所知，這不是用於外部研究。
• Permis是基於策略的訪問控制模型。它也沒有廣泛傳播。
• Microsoft有自己的稱爲SDDL的Windows Server語言。您可以閱讀more on that from Microsoft。

實際上，我見過的大多數ABAC實現都使用XACML或本地代碼+ RBAC的混合。毋庸置疑，後者的規模並不好，難以維持。

如果您想了解更多，請查看以下資源：

• my own personal blog
• 我個人SlideShare