ABAC 不是 RBAC： 欢迎来到（物联网）情境安全世界

从一个看似简单的application请求中可以收集到比乍一看更多的属性。 当然有IP地址。 由此便可确定一个人的位置。 这就是地理定位，如今获取该数据是相当标准的做法。 但由此也可以推断出一些其他属性，例如“公司财产内部”。 我们还可以使用更高级的数据挖掘技术，确定该位置对于尝试访问application的用户来说是否是典型的。

这只是来自 IP 地址的数据。 通过检查用于访问application的 HTTP 请求中的标头，可以轻松获取操作系统和设备参数。 当它是网络浏览器时，可以完成更具体的指纹识别，然后与以前的通信进行比较，以确定“Jim”是否实际上是您过去允许访问的同一个“Jim”。

所有这些信息、提取和推断的变量构成了application交付控制器 (ADC) 行业多年来所称的“上下文”。 这种背景可以为安全决策提供信息、推动交付创新，并协助应用加速技术来改善application体验。

因此，读到这篇宣告 RBAC 消亡和 ABAC（基于属性的访问控制）引入的文章并不奇怪。  它是基于上下文的，只是用一个更酷的缩写来描述，让它听起来更好听一些（并且听起来更正式一些）。  本文的重点（请继续阅读，您回来时我会在这里……）实际上是关于消除角色作为授权的主要手段并用属性进行替换，并且更多地谈论内部或企业对企业的访问控制机制，但这个概念具有广泛的适用性。 它广泛应用于反欺诈解决方案，例如银行业和金融业。 您以前登录进行银行业务或查看股票时可能与该应用程序进行过交互，在此过程中，该应用程序会用一个安全问题来骚扰您，因为您是从不常去的位置登录的，或者使用新设备或其他浏览器。

鉴于过去 15 年中很大一部分入侵行为都是由于application访问问题（主要是凭证被盗）造成的，从而导致了数百万美元的欺诈和个人信息丢失，这些技术对于保护公司和消费者数据变得越来越重要。 根据 Javelin Strategy & Research 的2014 年身份欺诈报告： 信用卡数据泄露和消费者密码设置不当加剧了令人不安的欺诈趋势，一般而言 61% 的泄露都是由于凭证被盗造成的。 

现在，鉴于与全球应用程序进行通信的“事物”数量不断增加，为“事物”提供访问应用程序的权限的需求是存在的。

这传统上意味着某种形式的凭证。 凭证可能被窃取并被滥用，从而破坏内部系统、网络和数据。

目前，据我所知，没有一个组织认真考虑分配他们可能需要的每一个“东西”来允许访问某个角色。 实现这一目标所需的规模是可能的，但不切实际。 同样，为每一个“事物”赋予个体身份似乎是一项难以克服的挑战；从数学上来说，这是一个永远无法达到的极限。 但事实是，这些东西（及其主人）将需要访问应用程序，至少其中一些可能位于您的数据中心内。 激活它、控制它并报告它的应用程序。

在部署之前考虑这一点很重要。 前 普遍适用。 前 数以百万计的消费者正在尝试访问这些应用程序。

在问题出现之前，请考虑如何提供安全访问。 在对无数设备进行固件或软件更新之前，设计一个基于上下文（基于属性）的解决方案。

可以通过 MAC 地址识别网络接口（以太网、蓝牙等）的供应商。 在本地网络上进行故障排除时，这是非常重要的信息，特别是如果工程师或操作员能够在数据包捕获中轻松识别它。 “事物”将有机会提供相同类型的基于属性的识别，以协助设计和实施 ABAC 系统。 不是 MAC 地址，因为它在本地域之外不存在，而是可以嵌入在通信交换中并由访问网守用来确定合法性的其他设备识别属性。

如果您参与物联网游戏，考虑到您需要识别许多事物，您将需要设计和实施一个。

因此，如果您正在深入研究物联网（我们即将发布的《2016 年application交付状况》报告数据显示，您中很多人都在研究物联网），那么开始考虑如何安全地管理访问还为时不晚。 称之为上下文，称之为 ABAC，或者称之为其他名称。 但无论你如何称呼它，都不要把它称为你忘记考虑并采取行动的事情。

*好吧我承认。 事实上，我的本科辅修专业是数学。 那里。 我说过了。