艾拉物联：RBAC基于角色的访问控制.pdf

我们正在引领

物联网新纪元的到来

基于角色的访问控制

是物联网的成功基石

AylaNetworks©2016www.

基于角色的访问控制

是物联网的成功基石

恰如物联网（IoT）本身那样，基于角色的

访问控制（RBAC）在概念上很简单，但

在实现上极具挑战，且随着时间推移愈发难

以管理。不过，从物联网市场的整体出发，

基于角色的访问控制是非常重要的，物联网

产品制造商必须花时间去理解RBAC是什

么，它意味着什么，以及在一个可扩展的

RBAC解决方案中可以实现些什么。

作为一种基础的技术，RBAC在正确应用

的情况下，可以让制造商得以实现物联网用

户体验的期望，同时提供灵活性，让联网产

品的设计具有面向未来的前瞻性。然而如果

被错误的应用，RBAC不仅会削弱制造商

的产品竞争力，而且会影响其长期的物联网

战略。

本文将定义和总结RBAC在物联网领域的

应用目标。

基于角色的访问控制，到底是什么呢

让我们先从技术目标（TechTarget）的定义来看：

基于角色的访问控制(RBAC)是一种基于企业内个人用户角色，配置对计算机或网络资源

访问权限的方法。其中，访问是用户执行明确任务的能力，如查阅、创建或修改文件。角色是

根据其在企业内的工作胜任程度、权力和职责而设定的。

这个定义对于物联网的应用而言并不完美，但它抓住了RBAC的重要概念：

它能够让用户基于各种角色（稍后详述）或者各种条件（时间，地点，和其他因素）对有

形产品进行不同的控制。

RBAC包含多个组件。通常，RBAC包括：

•资源：一个物联网系统有很多资源，包括用户、设备/对象、特性和功能，应用程序和数据。

这些资源是可以被控制的资产，或者是按照RBAC方法授权可控制的其他资源。

•角色：个人可以承担多种角色，如制造商的工程师、管理员、质检人员、销售人员、会计

师，或客户服务代表；经销商；技术服务人员或终端用户。在家庭环境中，角色可能包括父

母、孩子、朋友、邻居、租客、清洁人员或修理工。

•权限：每个角色拥有与之关联的不同权限，用来限制或控制每一个人与物联网系统之间的互

动。权限可决定个人所能控制的功能，个人所能看到的使用数据，以及何时何地可被授予控

制权。

•强制执行：所有的RBAC系统必须包括每个角色的权限执行方法。一个简单的例子是，当

某项活动禁用时，RBAC能在用户界面隐藏该活动，甚至不会显示为选项。

对于RBAC而言，物联网数据是特别的

物联网产品生成的数据与传统的计算和通信设备（比如笔记本电脑和智能手机）所产生的

数据是不同的。因为物联网产品的主要目的并不是作为计算机或通信设备，物联网产品的数据

能够以比我们所熟悉的电脑，平板电脑和手机披露出更多的信息。

3

例如，联网的恒温器可以形成一个家庭进进出出的数据，假期和其他活动的数据，以及有关恒

温器本身是否正常运转的数据。联网的热水器就可以揭示出一个家庭消耗多少水量和热能的详细信

息，同时，也能就软管或垫圈即将失效而发出告警信息。联网门锁的数据可以揭示谁有权进入某所

房子，车库，或附属建筑物；这些建筑的使用频率，以及哪些其他设备可以连接到这些锁。

RBAC给物联网的制造商以及用户提供了一种方法，即在产品使用上的控制力，以及对所生成数

据的控制力。同时，作为物联网数据分析在反馈闭环中的一部分，RBAC也能帮助制造商在部署

了物联网产品后，更好的进行数据分析。

RBAC有三种总体模型，或者说是根据不同使用场景的三种分层

一般来说，制造商可以在三种模型中进行选择，以确定谁有权访问特定的物联网操作和物

联网数据，以及何时，何地，如何进行。

平台RBAC

平台RBAC主要从制造商的内部来解决问题，有助于将部署物联网的困难和风险降到最低。

顾名思义，平台RBAC是指，将RBAC