PBAC(Policy-Based Access Control,基於策略的訪問控制)是一種訪問控制模型,它通過定義策略來管理訪問控制。這些策略可以由管理員根據組織的需求進行定製,以決策具體的訪問許可權。PBAC模型允許更細粒度的控制,並支持動態的訪問控制策略。
PBAC模型基於角色訪問許可權的控制,簡單來說就是「誰(who)能對什麼(what)進行什麼樣的操作(how)」。who、what、how構成了訪問許可權三元組。PBAC支持最小許可權原則、責任分離原則、數據抽象原則等安全原則。例如,最小許可權原則指的是被分配角色許可權不得高於許可權分配的角色。責任分離原則指的是你可以指定責任上兩個互相約束的角色來完成敏感性的工作。數據抽象原則指的在某些抽像的數據上,比如信用,借款等抽象的許可權利,安全管理員可以不遵守這些原則,使用靈活的細節配置來實現,而不是通過系統提供的許可權讀寫來實現。
PBAC模型的主要套用目標是為現有的作業系統增加安全性。在PBAC的實現中,應優先考慮採用自主訪問控制(DAC)方定義的許可權配置集合。PBAC的規格說明用形式化描述語言Z進行描述。