河北省住房和城市建设局采购网站,深圳公司注册登记中心,什么专业学网页设计制作,网站开发中如何实现gps定位目录 一、基于NGAC的低代码模型权限管理方案 二、多策略访问控制系统限制内部访问的线性时间算法 1、概述 2、权限控制图遍历算法 一、基于NGAC的低代码模型权限管理方案 NGAC在低代码平台的权限决策模型#xff1a;功能权限数据权限 案例#xff1a;对于七巧低代码开发平台功能权限数据权限 案例对于七巧低代码开发平台主策略组里有两个策略类功能权限、数据权限。功能权限策略类定义用户可以按照RBAC操作。数据权限类定义用户能访问哪些开发平台资源。 推进方案 1、针对七巧应用配置策略。可配置全局应用策略也可以配置单独应用的策略。 2、开放策略类定义、策略定义给用户。 3、初期用户能配置的用户属性、资源属性限制在小范围内避免性能要求太高影响系统运行。 4、后期随着对NGAC的理解加深和用户业务场景深入逐步增加可配置属性。 需要解决的问题使用场景 1、用户u1是否允许在对象o1上执行操作op1 2、用户u1可以访问对象的集合是什么能对每个对象执行什么操作 3、哪些用户可以访问到对象o1这些用户能对对象o1执行什么操作 4、审计—访问控制可视化权限控制图展示 为解决上述问题我们学习了ANSI推出的一个权限控制算法。 二、多策略访问控制系统限制内部访问的线性时间算法 1、概述 美国国家标准协会ANSI通过标准化一种交流过程控制方法即下一代访问控制NGAC[2,3]已经解决了这一需求。NGAC源于并与策略机器PM[11]保持一致这是美国国家标准与技术研究所NIST的一项研究工作旨在开发一个基于通用属性的访问控制ABAC框架[13]。NGAC旨在实现在单个访问控制机制中同时实例化多个访问控制策略从而实现统一的访问控制决策和用户访问功能的重新视图。关于如何使用NGAC来执行DAC、MAC、RBAC和中国墙政策的例子可以从[10]获得。NGAC规范描述了使用集理论符号构成有效实现但没有提供实现指导。这种方法为多种相互竞争的方法和实现留下了空间。虽然合适但这就留下了一个重要的问题即NGAC是否可伸缩。在这项工作中我们发现现有的参考实现是低效的使用三次算法这表明NGAC可能是不可扩展的。主要的NGAC参考模型版本1.5 [20]只能扩展到一个包含几百个节点的测试模型此时需要几分钟来可视化只有一个用户可用的对象集。回答NGAC的这个可伸缩性问题是至关重要的因为NGAC是唯一一种可用的访问控制方法可以同时为多个访问控制策略的实例化提供有效的决策和审查。 唯一可用的其他多策略访问控制方法是当前的市场领导者即来自OASIS [22]的可扩展访问控制标记语言XACML标准[21]。其他相关的基于逻辑的策略ABAC模型没有引用实现或不是多策略包括ABACα [13]、HGABAC [26]和ABAC for Web服务[29]。XACML已经被经验证明缺乏可伸缩性在[27]3不同的XACML实现所有经验每性能问题在访问控制决策的性能下降随着策略数量的增加XACML中的每个策略包含一组目标对象的访问规则。此外所有这些基于逻辑的策略ABAC模型都被证明是np完备的它们只需确定用户访问特定资源[7]所需的访问属性映射到可满足性问题。因此这些方法不能满足我们所说的对一个同时提供有效决策和审查的多政策系统的需要。因此在确保限制内部人员访问敏感数据以避免内部人员泄露信息方面它们对于大型企业系统来说是不可取的。 在这项工作中我们通过为访问控制决策和用户访问权限的审查提供线性时间算法证明了NGAC是可扩展的。为了提供高效的决策能力我们从图论的观点设计了一种有效的访问控制确定算法。我们首先将NGAC集理论转换为图表示这很简单因为规范本身经常使用图来说明示例。不幸的是合成的图表上有不寻常的特性和约束有五种不同类型的节点每种节点都有自己的语义。因此主要的挑战是如何将标准的图算法应用到这种表示中。我们的解决方案通常是使用宽度第一搜索BFS和深度第一搜索DFS变量执行一种拓扑排序原始操作允许我们级联信息从一种类型的节点到另一个和渗透信息通过图直到最终的答案。多次搜索的摊摊成本可以显示是线性的从而产生线性时间复杂度算法。此外它与整个访问控制图不是线性关系而仅仅是与特定用户相关的图的部分。这可以提供更大的加速避免甚至需要遍历整个图。 2、权限控制图遍历算法 使用NGAC规范[3]集理论定义我们可以形成如下的访问控制图。需要创建5种类型的节点用户(u) 、对象(o)、用户属性ua、对象属性oa和策略类pc。所有边都是定向的。根据每个规范所有对象节点都是对象属性节点但可能存在一个不是对象的对象属性。对象属性节点可能具有到oa节点和pc节点的边。但是没有一个对象属性节点可以指向对象节点。用户节点是具有边到ua节点的源。用户属性节点可能具有到ua、oa或pc节点的边2.策略类节点是接收节点。禁止进行循环和自循环。对象属性的用户属性的边缘被标记为a一个或多个允许的操作操作例如读取或写。所有其他边都未标记。所有节点必须有至少一个pc节点的路径不使用任何亚→o边。为了达到复杂度评估的目的u、o、ua和oa节点的数量是无界的。然而假设pc节点的数量和ops集的基数是较小的常数。 这些连接性限制导致了我们可以利用的几个特性。整个图是一个有向无环图DAG它可以分为两个DAG一个用户DAG带有u和ua节点和一个对象DAG带有o和oa节点。u个节点集作为用户DAG的源o个节点集作为对象DAG的源。ua到oa边缘的集合桥接两个dag这座桥是唯一一个标记边缘的地方有操作ops。我们将这些桥接边两侧的节点集称为边界节点。pc节点集作为两个dag的接收器。所得到的整体图是弱连通的。现在可以表示一个任意的访问控制图如图1所示。集合内的箭头表示该类型的节点可以有到该类型的其他节点的边不允许循环。这意味着在pc节点集合中的节点之间没有边u节点的集合和o节点的集合也是如此。从ua节点集到oa节点节点的箭头表示桥的边它们包含ops标签并连接用户和对象的dag。桥边是确定用户权限的焦点请参见下面的定义1。 对于用户u1执行操作操作1对某个物体o1必须存在一组具有标签op的ua到oa边 缘1这样每条边的尾巴都能从u处到达1每个边的头都可以从o到达1其中从头节点集可达的pc节点集是从o可达的pc节点集的超集1. 此定义有三个数据收集组件 1、确定“活动的”ua到oa桥的边缘。这是具有标签op的桥接边缘集1以及从你可以到达那里的尾 巴1并且头部可以从o连接到1.这些活动的边缘是使u1可能有特权的操作1在o上1. 2、确定从每个活动桥边的头部可到达的pc节点集。这些pc节点的联合是op的“覆盖”策略类的 集合1. 3、确定从o中可访问的pc节点集1.这些是“需要”要被覆盖的策略类。 点点关注下期精彩继续。 道一云七巧-与你在技术领域共同成长 更多技术知识分享https://bbs.qiqiao668.com/
