في أمن الحاسوب، يتضمن التحكم بالوصول بشكلٍ عام التعريف والتفويض والمصادقة وسماحية الوصول والتدقيق. ولا يشمل التعريف الأكثر تحديدًا للتحكم بالوصول سوى سماحية الوصول، حيث يتخذ النظام قرارًا بقبول طلب الوصول أو رفضه من قبل جهة مُصادق عليها بالفعل، استنادًا إلى ما هو مخول للجهة بالوصول إليه. غالبًا ما تُدمج المصادقة مع التحكم بالوصول في عملية واحدة، بحيث يُسمح بالوصول بناءً على المصادقة الناجحة، أو بناءً على رمز وصول مجهول. تتضمن أساليب المصادقة والرموز المميزة كلمات المرور وعمليات الاستدلال البيولوجي والمفاتيح المادية والمفاتيح الإلكترونية والأجهزة والمسارات المخفية والحواجز الاجتماعية والمراقبة بواسطة البشر والأنظمة الآلية.
إن الاحتمالان لفرض التحكم بالوصول إلى الحاسوب هي تلك المعتمدة على الإمكانيات والأخرى المعتمدة على قوائم التحكم بالوصول (إيه سي إل):
- في النموذج المعتمد على الإمكانيات، يؤدي الاحتفاظ بمرجع أو إمكانية غير قابلة للتطبيق على أي جهة، إلى توفير الوصول إلى الجهة المستهدفة (يشبه تقريبًا كيف أن امتلاك مفتاح المنزل يمنح الشخص حق الوصول إلى منزله)؛ يُمنح الوصول إلى طرف آخر عن طريق إرسال مثل هذه الإمكانية عبر قناة آمنة.
- في النموذج المعتمد على قائمة التحكم بالوصول (إيه سي إل)، يعتمد وصول الشخص إلى جهةٍ ما على ما إذا كانت هويته تظهر في قائمة مرتبطة بهذه الجهة (يشبه بشكلٍ تقريبي كيفية قيام الحارس في طرف خاص بالتحقق من بطاقة الهوية لمعرفة ما إذا كان الاسم يظهر على قائمة الزوار)؛ يُمنح الوصول عن طريق تحرير القائمة. (تحتوي أنظمة إيه سي إل المختلفة على مجموعة متنوعة من الاصطلاحات المختلفة فيما يتعلق بمن هو المسؤول عن تحرير القائمة وبكيفية تحريرها.)
لدى كل من نماذج الإمكانيات والنماذج المعتمدة على قوائم التحكم بالوصول، آليات للسماح بمنح حقوق الوصول لجميع أعضاء مجموعة التوابع (غالبًا ما تكون المجموعة نفسها مُصممة باعتبارها تابع واحد).
خدمات
توفر أنظمة التحكم بالوصول الخدمات الأساسية للتفويض وتحديد الهوية والمصادقة (آي آند إيه) وسماحية الوصول والمساءلة حيث:
- يحدد التفويض ما يمكن أن يفعله التابع
- يضمن تحديد الهوية والمصادقة أن الأشخاص الشرعيين فقط يمكنهم تسجيل الدخول إلى النظام
- إن سماحية الوصول تمنح الوصول أثناء إجراء العمليات، من خلال ربط المستخدمين بالموارد المسموح لهم بالوصول إليها، بناءً على سياسة التفويض.
- تحدد المساءلة ما فعله التابع (أو جميع التوابع المرتبطة بالمستخدم)
التفويض
يتضمن التفويض تحديد حقوق الوصول للمستندات. تحدد سياسة التفويض العمليات التي يُسمح للمشاركين بتنفيذها داخل النظام.[1]
تطبق معظم أنظمة التشغيل الحديثة سياسات الترخيص باعتبارها مجموعات رسمية من الأذونات التي تمثل اختلافات أو امتدادات لثلاثة أنواع أساسية من الوصول:
- القراءة (آر): يمكن للجهة المعنية
- قراءة محتويات الملف
- فهرسة محتويات الدليل
- الكتابة (دبليو): يمكن للجهة المعنية تغيير محتويات ملف أو دليل بالمهام التالية:
- إضافة
- تحديث
- حذف
- إعادة تسمية
- التنفيذ (إكس): إذا كان الملف عبارة عن برنامج، يمكن أن يتسبب التابع في تشغيل البرنامج. (في أنظمة نمط يونكس، يتضاعف إذن «التنفيذ» كإذن «تجاوز الدليل» عند منحه للدليل.)
تُطبق هذه الحقوق والأذونات بشكلٍ مختلف في الأنظمة القائمة على التحكم بالوصول التقديري (دي إيه سي) والتحكم الإلزامي بالوصول (ماك).
سماحية الوصول
سماحية الوصول هي الوظيفة التي تمنح حق الوصول أو ترفضه أثناء إجراء العمليات.[2]
خلال إعطاء سماحية الوصول، يقارن النظام الإذن الرسمي لسياسة التفويض مع طلب الوصول، لتحديد ما إذا كان سيمنح الطلب أو يرفضه. علاوةً على ذلك، يمكن إجراء تقييم الوصول عبر الإنترنت / بشكلٍ مستمر.[3]
المراجع
- "Unifying identity management and access control". sourcesecurity.com. مؤرشف من الأصل في 19 مايو 201715 يوليو 2013.
- Dieter Gollmann. Computer Security, 3rd ed. Wiley Publishing, 2011, p. 387, bottom
- Marcon, A. L.; Olivo Santin, A.; Stihler, M.; Bachtold, J., "A UCONabc Resilient Authorization Evaluation for Cloud Computing," Parallel and Distributed Systems, IEEE Transactions on, vol. 25, no. 2, pp. 457–467, Feb. 2014 doi:10.1109/TPDS.2013.113, bottom