مدل ها و مکانیزم های کنترل دسترسی

پس از آنکه یک فرد توسط سیستم شناسایی و احراز هویت شد و امکان پاسخگویی در مورد آن برقرار گشت، باید مجوزهای لازم برای دسترسی به منابع یا اجرای کنش‌ها برای وی صادر شود. تفویض اختیار تنها می‌تواند بعد از تایید هویت فرد از طریق فرآیند احراز هویت، اتفاق بیفتد. سیستم‌ها، تفویض اختیار را از طریق استفاده از مدل‌ها و مکانیزم‌های کنترل‌ دسترسی انجام می‌دهند. در زیر به توصیف این مدل‌ها و مکانیزم‌ها می‌پردازیم.

مدل های کنترل دسترسی

مدل‌های کنترل دسترسی، شکل و گستره‌ی دسترسی افراد به اشیاء را مدیریت می‌نماید. مدل‌های کنترل دسترسی به طور کلی به دو دسته مبتنی بر صلاحدید و احتراز تقسیم می‌شوند. مدل‌ کنترل دسترسی احترازی نیز به روش‌های مشخصی همچون روش اجباری، مبتنی بر نقش و مبتنی بر وظیفه تقسیم می‌گردد.

سیستمی که از کنترل دسترسی مبتنی بر صلاحدید استفاده می‌کند (DAC) به مالک یا ایجاد کننده یک موضوع اجازه می‌دهد تا دسترسی نهاده­ها به موضوع مذکور را تعریف و کنترل نماید. به عبارت دیگر، کنترل دسترسی مبتنی بر تصمیم مالک موضوع است.

کنترل دسترسی احترازی در سیستم‌های مبتنی بر قواعد استفاده می‌شود که در آن مجموعه‌ای از قواعد، محدودیت‌ها و فیلترها تعیین کننده آن است که چه چیزی در سیستم می‌تواند یا نمی‌تواند اتفاق بیفتد.

کنترل دسترسی اجباری بر مبنای برچسب‌های طبقه‌بندی استوار است. هر برچسب طبقه‌بندی نماینده یک دامنه امنیتی است. هر دامنه امنیتی در واقع قلمرویی از اعتماد است که حدود آن توسط سیاست امنیتی خاص آن دامنه مشخص شده است. در این روش، برچسب‌هایی بر مبنای سطح اعتبار نهاده­ها به آن­ها داده می‌شود. موضوع­ها نیز برچسب‌هایی بر مبنای سطح طبقه‌بندی یا حساسیت خود دریافت می‌دارند. برای مثال می توان به برچسب‌های فوق محرمانه، محرمانه و عادی اشاره کرد.

سیستم‌هایی که از کنترل دسترسی مبتنی بر نقش و یا مبتنی بر وظیفه استفاده می‌کنند، در واقع توانایی نهاده برای دسترسی به موضوعات را از طریق نقش‌ها یا وظیفه‌ وی تعریف می‌کنند. برای مثال نهاده‌ای که در جایگاه مدیریتی است، نسبت به نهاده‌ای که در یک موقعیت موقتی است، دسترسی بیشتری به منابع دارد. کنترل دسترسی مبتنی بر نقش برای محیط‌هایی مناسب است که پرسنل مرتباً در آن تغییر می‌کنند، زیرا دسترسی بر مبنای توصیف شغل و نه بر مبنای هویت فرد، تعریف می‌گردد.

کنترل دسترسی‌ مبتنی بر شبکه یک حد بالایی و یک حد پایینی دسترسی برای هر نوع رابطه بین فرد و موضوع تعریف می‌کند. با وجود اینکه تعریف حدود به صورت دلخواه صورت می‌گیرد ولی معمولاً از همان برچسب‌های امنیتی متداول در جامعه مانند فوق محرمانه، محرمانه و عادی استفاده می‌شود.

• کنترل دسترسی مبتنی بر صلاحدید (DAC)
• کنترل دسترسی احترازی
• کنترل دسترسی اجباری
• کنترل دسترسی مبتنی بر نقش ( RBAC)
• کنترل دسترسی مبتنی بر شبکه‌بندی

مکانیزم های کنترل دسترسی

دو روش اصلی برای کنترل دسترسی وجود دارد: روش متمرکز و روش غیر متمرکز (توزیع شده). در کنترل دسترسی متمرکز، کلیه بررسی‌های صدور مجوز توسط یک نهاد واحد، درون سیستم انجام می‌شود. در کنترل دسترسی غیر متمرکز یا کنترل دسترسی توزیع شده، بررسی‌های صدور مجوز توسط نهادهای مختلف، درون سیستم انجام می‌شود. روش‌های کنترل دسترسی متمرکز و غیر متمرکز همان فواید و اشکالاتی را دارند که دیگر سیستم‌های متمرکز و غیر متمرکز آن­ها را دارا هستند. کنترل دسترسی متمرکز می‌تواند توسط یک گروه کوچک و یا حتی یک نفر اداره شود. سربار مدیریتی بسیار پایین‌تر است زیرا همه تغییرات از یک محل انجام می‌شود. هر تغییری بر روی کل سیستم اثر می‌گذارد. به همین دلیل است که روش کنترل دسترسی متمرکز از یک نقطه شکست می‌خورد.

به عنوان مثال RADIUS یا احراز هویت از راه دور سرویس Dial-In، برای متمرکز کردن احراز هویت اتصالات dial-up از راه دور استفاده می‌شود. شبکه‌ای که از سرور RADIUS استفاده می‌کند، طوری پیکربندی می‌شود که سرور دسترسی از راه دور، اطلاعات ورود به سیستم کاربر dial-up را به سرور RADIUS برای احراز هویت ارسال می‌کند. استفاده از سرورهای احراز هویت مانند RADIUS یا TACACS که جدا از سرور دسترسی از راه دور اولیه هستند، امنیت بیشتری را فراهم می‌سازد زیرا تنظیمات دسترسی و ممیزی را بر روی یک سیستم جداگانه نگهداری می‌نماید.