مدل‌ها و مكانيزم‌های كنترل دسترسی

IRCAR201210155
تاريخ: 30/07/91

پس از آن­كه يك فرد شناسايي و احراز هويت شد و امكان پاسخگويي در مورد آن برقرار گشت، بايد مجوزهاي لازم براي دسترسي به منابع يا اجراي كنش‌ها براي وي صادر شود. تفويض اختيار تنها مي‌تواند بعد از تاييد هويت فرد از طريق فرآيند احراز هويت، اتفاق بيفتد. سيستم‌ها، تفويض اختيار را از طريق استفاده از مدل‌ها و مكانيزم‌هاي كنترل‌ دسترسي انجام مي‌دهند. در زير به توصيف اين مدل‌ها و مكانيزم‌ها مي‌پردازيم.

مدل­هاي كنترل دسترسي
مدل‌هاي كنترل دسترسي، شكل و گستره‌ي دسترسي افراد به اشياء را مديريت مي‌نمايد. مدل‌هاي كنترل دسترسي به طور كلي به دو دسته مبتني بر صلاحديد و احتراز تقسيم مي‌شوند. مدل‌ كنترل دسترسي احترازي نيز به روش‌هاي مشخصي همچون روش اجباري، مبتني بر نقش و مبتني بر وظيفه تقسيم مي‌گردد.

• كنترل دسترسي مبتني بر صلاحديد (DAC)
  سيستمي كه از كنترل دسترسي مبتني بر صلاحديد استفاده مي‌كند (DAC) به مالك يا ايجاد كننده يك موضوع اجازه مي‌دهد تا دسترسي نهاده­‌ها به موضوع مذكور را تعريف و كنترل نمايد. به عبارت ديگر، كنترل دسترسي مبتني بر تصميم مالك موضوع است.
• كنترل دسترسي احترازي
  كنترل دسترسي احترازي در سيستم‌هاي مبتني بر قواعد استفاده مي‌شود كه در آن مجموعه‌اي از قواعد، محدوديت‌ها و فيلترها تعيين كننده آن است كه چه چيزي در سيستم مي‌تواند يا نمي‌تواند اتفاق بيفتد.
• كنترل دسترسي اجباري
  كنترل دسترسي اجباري بر مبناي برچسب‌هاي طبقه‌بندي استوار است. هر برچسب طبقه‌بندي نماينده يك دامنه امنيتي است. هر دامنه امنيتي در واقع قلمرويي از اعتماد است كه حدود آن توسط سياست امنيتي خاص آن دامنه مشخص شده است. در اين روش، برچسب‌هايي بر مبناي سطح اعتبار نهاده­ها به آن­ها داده مي‌شود. موضوع­ها نيز برچسب‌هايي بر مبناي سطح طبقه‌بندي يا حساسيت خود دريافت مي‌دارند. براي مثال مي توان به برچسب‌هاي فوق محرمانه، محرمانه و عادي اشاره كرد.
• كنترل دسترسي مبتني بر نقش (RBAC)
  سيستم‌هايي كه از كنترل دسترسي مبتني بر نقش و يا مبتني بر وظيفه استفاده مي‌كنند، در واقع توانايي نهاده براي دسترسي به موضوعات را از طريق نقش‌ها يا وظيفه‌ وي تعريف مي‌كنند. براي مثال نهاده‌اي كه در جايگاه مديريتي است، نسبت به نهاده‌اي كه در يك موقعيت موقتي است، دسترسي بيشتري به منابع دارد. كنترل دسترسي مبتني بر نقش براي محيط‌هايي مناسب است كه پرسنل مرتباً در آن تغيير مي‌كنند، زيرا دسترسي بر مبناي توصيف شغل و نه بر مبناي هويت فرد، تعريف مي‌گردد.
• كنترل دسترسي مبتني بر شبكه‌بندي
  كنترل دسترسي‌ مبتني بر شبكه يك حد بالايي و يك حد پاييني دسترسي براي هر نوع رابطه بين فرد و موضوع تعريف مي‌كند. با وجود اينكه تعريف حدود به صورت دلخواه صورت مي‌گيرد ولي معمولاً از همان برچسب‌هاي امنيتي متداول در جامعه مانند فوق محرمانه، محرمانه و عادي استفاده مي‌شود.

مكانيزم‌­های كنترل دسترسي
دو روش اصلي براي كنترل دسترسي وجود دارد: روش متمركز و روش غير متمركز (توزيع شده). در كنترل دسترسي متمركز، كليه بررسي‌هاي صدور مجوز توسط يك نهاد واحد، درون سيستم انجام مي‌شود. در كنترل دسترسي غير متمركز يا كنترل دسترسي توزيع شده، بررسي‌هاي صدور مجوز توسط نهادهاي مختلف، درون سيستم انجام مي‌شود. روش‌هاي كنترل دسترسي متمركز و غير متمركز همان فوايد و اشكالاتي را دارند كه ديگر سيستم‌هاي متمركز و غير متمركز آن­ها را دارا هستند. كنترل دسترسي متمركز مي‌تواند توسط يك گروه كوچك و يا حتي يك نفر اداره شود. سربار مديريتي بسيار پايين‌تر است زيرا همه تغييرات از يك محل انجام مي‌شود. هر تغييري بر روي كل سيستم اثر مي‌گذارد. به همين دليل است كه روش كنترل دسترسي متمركز از يك نقطه شكست مي‌خورد.
به عنوان مثال RADIUS يا احراز هويت از راه دور سرويس Dial-In، براي متمركز كردن احراز هويت اتصالات dial-up از راه دور استفاده مي‌شود. شبكه‌اي كه از سرور RADIUS استفاده مي‌كند، طوري پيكربندي مي‌شود كه سرور دسترسي از راه دور، اطلاعات ورود به سيستم كاربر dial-up را به سرور RADIUS براي احراز هويت ارسال مي‌كند. استفاده از سرورهاي احراز هويت مانند RADIUS يا TACACS كه جدا از سرور دسترسي از راه دور اوليه هستند، امنيت بيشتري را فراهم مي‌سازد زيرا تنظيمات دسترسي و مميزي را بر روي يك سيستم جداگانه نگهداري مي‌نمايد.