MAC/DAC/RBAC – سه روش متداول کنترل دسترسی

MAC سرنام Mandatory Access Control است.

در این مدل، دسترسی کاربران توسط یک ادمین تعیین میشود. تنها یک ادمین میتواند مجوزها یا حقوق را به اشیاء و منابع اختصاص دهد. دسترسی به یک منبع بر اساس سطح امنیتی یک شیء است، درحالیکه به کاربران مجوز امنیتی داده میشود. تنها ادمین ها میتوانند سطح امنیتی یک شیء یا مجوز امنیتی یک کاربر را تغییر دهند.

DAC سرنام Discretionary Access Control است.

در این مدل، دسترسی به منابع بر اساس هویت کاربران است. یک کاربر با قرار داده شدنش در یک لیست کنترل دسترسی مربوط به یک منبع، مجوزهای دسترسی نسبت به آن منبع را پیدا میکند. وقتی یک کاربر یا یک گروه، مالک شیء در مدل DAC باشد، میتواند به دیگر کاربران و گروه ها مجوز دسترسی نسبت به آن شیء را بدهد. مدل DAC بر اساس مالکیت منبع است.

RBAC سرنام Role-Based Access Control است.

در این مدل، دسترسی به منابع بر اساس نقش اختصاص داده شده به یک کاربر است. در این مدل، یک ادمین یک کاربر را به یک نقش اختصاص میدهد که حقوق و مجوزهای معینی دارد. به علت نگاشت شدن کاربر به آن نقش، کاربر میتواند به منابع معینی دسترسی پیدا کرده و کارهای خاصی را انجام دهد. RBAC همچنین بعنوان Non-Discretionary Access Control نیز شناخته میشود. نقشهای اختصاص یافته به کاربران بصورت مرکزی مدیریت میشوند.

نکته: البته در عمل اجباری نیست که هر سیستم فقط از یکی از این مدل های کنترل دسترسی استفاده کند. یک سیستم میتواند به دلایلی از ترکیبی از چند مدل به شکلی خاصی استفاده کند.

نمونه ای از DAC، سیستم کنترل دسترسی فایلها در ویندوز میباشد.
MAC بیشتر در سیستمهای نظامی استفاده میشود. البته سیستم عاملهای جدید مانند ویندوز7 نوعی از MAC را هم پشتیبانی میکنند.

منابع:
https://en.wikipedia.org/wiki/Inference_attack
http://security.stackexchange.com/questions/346/what-is-the-difference-between-rbac-and-dac-acl/348#348
http://security.stackexchange.com/questions/63518/mac-vs-dac-vs-rbac
http://www.webune.com/forums/differences-between-mac-dac-and-rbac.html

3 دیدگاه در “MAC/DAC/RBAC – سه روش متداول کنترل دسترسی

    • جان؟
      خب مثلا هر فایل روی سیستم فایل به یکسری اطلاعات جانبی نگاشت و وابسته شده. این اطلاعات شامل حقوق دسترسی هم میشه.
      البته شیء منظور فقط فایل نیست، موارد دیگری هم میتونه باشه، ولی خب اونا هم بسادگی به اطلاعات جانبی خودشون مرتبط شدن دیگه.

پاسخ دهید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

*

شما می‌توانید از این دستورات HTML استفاده کنید: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>