e-works数字化企业网  »  文章频道  »  基础信息化  »  网络与安全

CipherGateway基于属性的访问控制(ABAC)技术白皮书

2017/12/7    来源:炼石        
关键字:CipherGateway  基于属性的访问控制  ABAC  
炼石CipherGateway能够在不改造企业原应用系统的前提下,为应用提供和补充近似于内建的ABAC功能,使企业以最小的成本获得有力的数据安全防护手段,为企业的数据资产安全保驾护航。

新一代的访问控制技术ABAC

    随着大数据、云计算以及物联网等新兴技术的快速发展,企业应用大集成,应用边界逐渐消失,传统的面向封闭环境的基于角色的访问控制(Role-Based Access Control,RBAC)面临着新的难题,例如在业务数据集成共享中,角色呈爆炸式增长,带来访问控制的配置复杂度也随之呈指数式提升,RBAC要随需求的变化不断进行控制策略的维护,工作量大且很难保证及时性,从而无法保证数据被安全访问。一种新型的基于属性的访问控制(Attribute-Based Access Control,ABAC)技术可以弥补RBAC的不足,成为新一代的访问控制技术。

    炼石CipherGateway能够在不改造企业原应用系统的前提下,为应用提供和补充近似于内建的ABAC功能,使企业以最小的成本获得有力的数据安全防护手段,为企业的数据资产安全保驾护航。

CipherGateway ABAC技术介绍

    在炼石CipherGateway平台中,分别建立了主体属性库、客体属性库和环境属性库,并具备相应的管理机制,同时,根据用户的需求,以主体、客体和环境的属性为依据,配置具体的数据访问控制策略,实时形成访问控制策略响应。

    炼石CipherGateway逻辑串联在应用用户端和服务端之间,当用户发出数据访问请求,首先到达CipherGateway,由独创的Broker引擎进行处理。Broker引擎将请求者的属性、被访问数据的属性以及当前的环境属性构建成一个基于属性的访问请求,并与策略库中的策略进行比对判定,根据判定的结果决定本次授予请求者相应的访问权限或者进行相应的数据处理:成功访问、禁止访问、访问有限的内容、访问脱敏后的内容、对上传的数据进行有选择加密。

图1 新一代的访问控制技术ABAC

图1 新一代的访问控制技术ABAC

技术优势

    无需改造用户端和服务端

    炼石CipherGateway无需修改原有应用的用户端和服务端,通过短时间部署即可“透明”实现和补充业务应用系统的ABAC能力,不需额外培训用户,即使发生问题,也可在分钟级别时间内恢复应用使用,不会影响现有业务的正常运营,使上线切换风险降到最低。

    能够适应数据实时动态变化

    面对数据频繁变化,炼石CipherGateway从整体角度考虑,使ABAC功能能够根据数据在不同阶段的属性配置相应的访问控制策略,通过实时获取请求者、环境和被访问数据三要素的属性信息,触发相应的访问控制策略,从而实现访问控制的动态管理,降低企业的管理和运营成本。

    能够适应跨应用的数据访问控制

    在企业应用大集成下,数据会在异构系统间流转,而对于数据的访问仍然由相应的应用各自进行管理。炼石CipherGateway的ABAC功能可以与数据的全生命周期相结合,将数据在流转和使用过程中的各种状态、所在应用环境等因素作为属性进行管理,并进一步作为访问控制策略的依据。

    能够适应数据保密性的要求

    为保证服务端数据安全,除了需加强数据安全访问控制外,还需考虑进行加密保护。炼石CipherGateway的ABAC功能可以根据企业敏感数据的属性特征值,使用专利加密技术,对数据进行有选择的加密,而不是“一刀切”加密,在不影响性能和正常工作效率的情况下,增强企业数据的安全性。

应用场景说明

    数据属性随时间变化而变化的访问控制

    常见于PLM等数据随生命周期不断变化的应用

    应用中的数据从产生、升级、发布、使用到最终的归档或者作废的整个生命周期中,是不断发生变化的,并非一成不变的静态情况。针对不同阶段具备的不同属性特征值,配置相应的访问控制策略,可由炼石CipherGateway实时进行执行。

    具有环境受限条件的访问控制

    常见于具有严格管控条件的数据共享系统

    在此类应用中,数据的访问受限于环境因素和访问请求者自身属性因素,请求者必须符合一定的条件才能成功访问到数据。炼石CipherGateway可以将访问时间、访问位置信息、历史信息等属性信息纳入到控制策略的构建中,多维度保证数据访问的安全。

    基于属性的敏感数据加密

    针对不具备但需要为敏感数据提供加密能力的应用

    应用中的数据并非全部需要加密,而是要对重要敏感的数据执行加密保护。炼石CipherGateway利用属性特征值作为加解密的条件,选择性的进行敏感数据的加解密。当请求者在访问数据时,只有符合相应的条件时才能够获得数据明文。

    访问数据的用户或者终端呈海量式增长

    常见于以万物互联为目标的物联网(IoT)应用

    炼石CipherGateway不需要维护不断增长的用户或者终端所对应的静态的访问控制列表,而是只需维护所关注的属性信息的变化,新增长的用户或者终端的属性只需符合基于属性的访问控制策略,即可获得访问授权。

责任编辑:郝秋红
本文为授权转载文章,任何人未经原授权方同意,不得复制、转载、摘编等任何方式进行使用,e-works不承担由此而产生的任何法律责任! 如有异议请及时告之,以便进行及时处理。联系方式:editor@e-works.net.cn tel:027-87592219/20/21。
e-works
官方微信
掌上
信息化
编辑推荐
新闻推荐
博客推荐
视频推荐