访问控制技术

因为我所参与的项目涉及到访问控制，所以总结出几种比较常见访问控制以及openstack内部的访问控制。
1.访问列表
2.基于角色
3.基于属性（ABAC）
基于属性的访问控制是以决策过程中涉及的相关实体的属性（而不仅仅是标识）为基础涉及的一种访问控制机制。它能够根据相关实体属性的动态变化，适时更新访问控制决策，从而提供一种细粒度、更灵活的访问控制方法。
ABAC利用现有实体（用户、资源、环境）的属性（不是身份）作为授权的基础。属性是指与安全相关的某些特性，基于访问控制的目的，可以将属性分为：主体属性，资源属性，环境属性。
4.信息流控制
信息流控制能够保证数据与隐私端到端的安全，私密性标签可以保护敏感数据不被非法和恶意用户读取，完整性标签可以保护重要信息或存储单元免受不可信或恶意用户破坏。
信息流控制的核心是信息流的跟踪与控制方式。我们的方法是对系统中的所有资源进行标记，并依据安全标记关系约束和控制信息流。资源包括：进程、线程、文件、进程间通信的数据等。
传统的访问控制无法控制敏感信息的传播。传统的IFC是由管理员分配所有的标签并管理请求，而DIFC则是每个用户和进程都有权限分配标签。判断的依据是根据私密性标签和完整性标签来进行的。判断的规则为：

5.openstack内部的访问控制
通过前面博客架构的说明，可知openstack的其他组件的信息流动是受到keystone组件的分析的，那么keystone怎么实现分析的呢。总体来说，openstack是基于角色的访问访问控制，实现原理为：
分为两个步骤：
1.用户身份验证
用户向keystone发起身份验证信息，keystone读取数据并对其验证，若通过验证，则分配给用户一个Token。最初，身份验证信息包括用户的用户名和密码，或者用户的名字和API键值。
2.访问控制
用户认证成功，返回Token，它是任意比特的文本，用作访问资源的记号，含有可访问资源的范围和有效时间。