上QQ阅读APP看书,第一时间看更新
3.5 小结
授权是允许各方访问资源的过程中(身份识别、身份验证和授权过程)的关键步骤。你可以使用访问控制来实现授权。通常情况下,你可以使用其中两种访问控制方法:访问控制列表或能力。虽然能力可以提供保护,防止混淆代理攻击,但运用并不那样频繁。
在构建访问控制系统时,你可以使用访问控制模型,概括出哪些人应该被授予对哪些资源的访问权限。在日常生活中,我们经常会遇到更简单的访问控制模型,如自主访问控制、强制访问控制、基于角色的访问控制、基于属性的访问控制等。在处理敏感数据的环境中,如涉及政府、军事、医疗或法律行业,通常使用多级访问控制模型,包括Bell-LaPadula模型、Biba模型,以及Brewer&Nash模型等。
下一章将讨论审计和问责,即如何跟踪在身份识别、身份验证和授权完成后的活动。