کنترل دسترسی RBAC

RBAC

 کاربرد محدودیت ورود به یک جا

کنترل ورودی و خروجی

 استفاده از RBAC برای مدیریت دسترسی های کاربر را در درون یک سیستم واحد و یا کاربردی به طور گسترده ای به عنوان بهترین روش پذیرفته شده است. سیستم هایی که شامل آن شده اند از جمله Microsoft Active Directory, Microsoft SQL Server, SELinux, grsecurity, FreeBSD, Solaris, Oracle DBMS, PostgreSQL 8.1, SAP R/3, ISIS Papyrus, FusionForge و بسیاری دیگر به طور موثر از بعضی از ابزار های RBAC استفاده می کنند.

 در امنیت سیستم های کامپیوتری، مبتنی بر وظیفه کنترل دسترسی(RBAC) یک روش به محدود کردن سیستم دسترسی به مجاز بودن کابران است. و این توسط اکثریت شرکت ها با بیش از ۵۰۰ کارمند استفاده می شود و جایگزین روش جدیدتر برای کنترل دسترسی اجباری (MAC) و کنترل دسترسی اختیاری (DAC) است. RBAC گاهی اوقات به عنوان مبتنی بر وظیفه امنیت بر می گردد.

 مدل RBAC

 در درون سازمان ، نقش هایی برای عملکرد کار های مختلف ایجاد می شوند. اجازه به انجام عملیات خاص به نقش های خاصی اختصاص داده می شوند. اعضای کارکنان (یا کاربران سیستم های دیگر) نقش های ویژه ای اختصاص داده و از طریق آن نقش های اختصاص داده شده مجوز برای انجام عملکردهای سیستم خاص را به دست می آورد. به کاربرانی به طور مستقیم مجوزی  اختصاص نداده ، اما فقط به آنها از طریق دستیابی به نقش خودشان (یا نقش هایی) را می دهد. مدیریت حقوق فردی کاربر مسئله ای ساده ای است که نقش های مناسب را به کاربر اختصاص می دهد، این عملیات معمول ساده، مانند اضافه کردن یک کاربر ، یا تغییر حوزه ی کاری کاربران باشد.

 سه قانون اولیه برای RBAC تعریف می شود :

 ۱. انتساب نقش : موضوع معامله می تواند تنها در صورتی که موضوع را انتخاب و یا اختصاص داده شده اند نقش را اجرا کند.

 ۲. مجوز نقش : نقش فعال سوژه باید برای موضوع مجاز باشد. با دستور ۱ بالا ، این قانون تضمین می کند که کاربران می توانند نقش هایی که  برای آن ها مجاز است بگیرند.

 ۳. مجوز تراکنش : تنها در صورتی تراکنش مجاز برای نقش فعال موضوع مجاز است موضوع می تواند در یک تراکنش اجرا شود. با قوانین ۱ و ۲، این قانون تضمین می کند که کاربران می توانند تنها تراکنش هایی را که برای آن ها مجاز است اجرا کنند.

 محدودیت های اضافی ممکن است استفاده شود و همچنین  نقش ها می توانند در یک سلسله مراتب ترکیب شوند که در آن نقش های سطح بالا اجازه رده بندی زیر نقش ها را دارند.

 با مفهوم سلسله مراتب نقش و محدودیت ها، می توان RBAC که در ایجاد یا شبیه سازی شبکه های مبتنی بر کنترل دسترسی (LBAC) کنترل کرد. بنابراین RBAC می تواند یک مجموعه ای از LBAC را رسیدگی کند.

 وقتی یک مدل RBAC را تعریف می کنیم، قراردادهای زیر مفید هستند :

S = موضوع = شخص یا عامل خودکار

R = نقش = عملکرد شغلی یا عنوانی که یک سطح توانایی را تعریف می کند.

P = اجازه = تجویز یک نوعی از دسترسی، به منابع

SE = جلسه = نقشه برداری شامل S ، R  و یا P

SA = اختصاص دادن موضوع

PA = اختصاص دادن مجوز

RH = قسمتی که دستور یک سلسله مراتب نقش را می دهد. RH هم چنین می تواند <  نوشته شود. (نماد گذاری  y< x بدان معنی است که x به ارث برده مجوز از Y.)

یک موضوع می تواند نقش های متعددی داشته باشد.

یک نقش می تواند موضوع های متعددی داشته باشد.

یک نقش می تواند مجوزهای بسیاری داشته باشد.

یک اجازه می تواند به چندین نقش اختصاص داده شود.

 محدودیت های مکانی بر اساس یک ارث بری بالقوه مجوزها را از نقش های متضاد یک قاعده محدود سازی می گیرند، بنابراین می توان برای رسیدن به تفکیک مناسب وظایف استفاده کرد. برای مثال، شخص نباید هم اجازه ی  ایجاد کردن یک حساب کاربری و ورود به سایت و هم اجازه ایجاد حساب.

 بنابراین ، با استفاده از نظریه مجموعه ها :

     و بسیاری از مجوز ها برای اختصاص دادن نقش های مرتبط.

      و بسیاری از موضوع ها برای اختصاص دادن نقش های مرتبط.

     موضوعی که ممکن چندین جلسه همزمان با مجوز های مختلف داشته باشد.

 ارتباطات به سایر مدل ها

 RBAC یک سیاست بی طرف و قابل انعطاف تکنولوژی دسترسی کنترل موثر قدرتمند برای شبیه سازی DAC و MAC است. برعکس ، MAC می تواند RBAC  شبیه سازی کند اگر گراف نقش محدود به درخت به جای مجموعه پاره مرتب (partially ordered set) باشد. قبل از توسعه RBAC ،  MAC و DAC مطرح بودند و تنها مدل های شناخته شده برای کنترل دسترسی در نظر گرفته می شدند. تحقیقات در اواخر ۱۹۹۰ نشان داد که RBAC در هیچ یک از دسته ها نمی افتد. بر خلاف کنترل دسترسی مبتنی بر متن (CBAC) ، RBAC درحوزه پیام (مثل منبع ارتباط ) نمی نگرد.

 RBAC متفاوت از لیست های کنترل دسترسی (ACLs) که مورد استفاده در سیستم های کنترل دسترسی  سنتی که در آن مجوز ها به عملگر های خاصی با مفهوم در سازمان استفاده می شد، بیشتر از اجزای داده های سطح پایین است. RBAC خصوصا نشان داده است به خوبی به تفکیک وظایف (SoD) مورد نیاز است که اطمینان حاصل شود که دو یا تعداد بیشتری از مردم باید درگیر اختیار دادن عملیات بحرانی شوند. شرایط لازم و کافی برای ایمنی از SoD در RBAC آنالیز شده اند.

 استفاده و دسترسی

 RBAC

 کاربرد محدودیت ورود به یک جا

  • کنترل ورودی و خروجی

استفاده از RBAC برای مدیریت دسترسی های کاربر را در درون یک سیستم واحد و یا کاربردی به طور گسترده ای به عنوان بهترین روش پذیرفته شده است. سیستم هایی که شامل آن شده اند از جمله Microsoft Active Directory, Microsoft SQL Server, SELinux, grsecurity, FreeBSD, Solaris, Oracle DBMS, PostgreSQL 8.1, SAP R/3, ISIS Papyrus, FusionForge و بسیاری دیگر به طور موثر از بعضی از ابزار های RBAC استفاده می کنند.

یا

ابوالفضل محمدی

درباره من

شاید این مطالب را هم دوست داشته باشید

پاسخ دهید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *