- ข้อความ
- ประวัติศาสตร์
Abstract. Access control is the pro
Abstract. Access control is the process of mediating every request to resources
and data maintained by a system and determining whether the request should
be granted or denied. The access control decision is enforced by a mechanism
implementing regulations established by a security policy. Different access control
policies can be applied, corresponding to different criteria for defining what
should, and what should not, be allowed, and, in some sense, to different defi-
nitions of what ensuring security means. In this chapter we investigate the basic
concepts behind access control design and enforcement, and point out different
security requirements that may need to be taken into consideration. We discuss
several access control policies, and models formalizing them, that have been proposed
in the literature or that are currently under investigation.
1 Introduction
An important requirement of any information management system is to protect data
and resources against unauthorized disclosure (secrecy) and unauthorized or improper
modifications (integrity), while at the same time ensuring their availability to legitimate
users (no denials-of-service). Enforcing protection therefore requires that every access
to a system and its resources be controlled and that all and only authorized accesses can
take place. This process goes under the name of access control. The development of an
access control system requires the definition of the regulations according to which access
is to be controlled and their implementation as functions executable by a computer
system. The development process is usually carried out with a multi-phase approach
based on the following concepts:
Security policy: it defines the (high-level) rules according to which access control
must be regulated.1
Security model: it provides a formal representation of the access control security policy
and its working. The formalization allows the proof of properties on the security
provided by the access control system being designed.
1 Often, the term policy is also used to refer to particular instances of a policy, that is, actual
authorizations and access restrictions to be enforced (e.g., Employees can read bulletin-board).2 Pierangela Samarati and Sabrina De Capitani di Vimercati
Security mechanism: it defines the low level (software and hardware) functions that
implement the controls imposed by the policy and formally stated in the model.
The three concepts above correspond to a conceptual separation between different
levels of abstraction of the design, and provides the traditional advantages of multiphase
software development. In particular, the separation between policies and mechanisms
introduces an independence between protection requirements to be enforced
on the one side, and mechanisms enforcing them on the other. It is then possible to:
i) discuss protection requirements independently of their implementation, ii) compare
different access control policies as well as different mechanisms that enforce the same
policy, and iii) design mechanisms able to enforce multiple policies. This latter aspect is
particularly important: if a mechanism is tied to a specific policy, a change in the policy
would require changing the whole access control system; mechanisms able to enforce
multiple policies avoid this drawback. The formalization phase between the policy definition
and its implementation as a mechanism allows the definition of a formal model
representing the policy and its working, making it possible to define and prove security
properties that systems enforcing the model will enjoy [54]. Therefore, by proving that
the model is “secure” and that the mechanism correctly implements the model, we can
argue that the system is “secure” (w.r.t. the definition of security considered). The implementation
of a correct mechanism is far from being trivial and is complicated by the
need to cope with possible security weaknesses due to the implementation itself and by
the difficulty of mapping the access control primitives to a computer system. The access
control mechanism must work as a reference monitor, that is, a trusted component
intercepting each and every request to the system [5]. It must also enjoy the following
properties:
– tamper-proof : it should not be possible to alter it (or at least it should not be possible
for alterations to go undetected);
– non-bypassable: it must mediate all accesses to the system and its resources;
– security kernel: it must be confined in a limited part of the system (scattering security
functions all over the system implies that all the code must be verified);
– small: it must be of limited size to be susceptible of rigorous verification methods.
Even the definition of access control policies (and their corresponding models) is
far from being a trivial process. One of the major difficulty lies in the interpretation
of, often complex and sometimes ambiguous, real world security policies and in their
translation in well defined and unambiguous rules enforceable by a computer system.
Many real world situations have complex policies, where access decisions depend on
the application of different rules coming, for example, from laws, practices, and organizational
regulations. A security policy must capture all the different regulations to be
enforced and, in addition, must also consider possible additional threats due to the use
of a computer system. Access control policies can be grouped into three main classes:
Discretionary (DAC) (authorization-based) policies control access based on the identity
of the requestor and on access rules stating what requestors are (or are not)
allowed to do.Access Control: Policies, Models, and Mechanisms 3
Mandatory (MAC) policies control access based on mandated regulations determined
by a central authority.
Role-based (RBAC) policies control access depending on the roles that users have
within the system and on rules stating what accesses are allowed to users in given
roles.
Discretionary and role-based policies are usually coupled with (or include) an administrative
policy that defines who can specify authorizations/rules governing access
control.
In this chapter we illustrate different access control policies and models that have
been proposed in the literature, also investigating their low level implementation in
terms of security mechanisms. In illustrating the literature and the current status of access
control systems, of course, the chapter does not pretend to be exhaustive. However,
by discussing different approaches with their advantages and limitations, this chapter
hopes to give an idea of the different issues to be tackled in the development of an access
control system, and of good security principles that should be taken into account
in the design.
The chapter is structured as follows. Section 2 introduces the basic concepts of
discretionary policies and authorization-based models. Section 3 shows the limitation
of authorization-based controls to introduce the basis for the need of mandatory policies,
which are then discussed in Section 4. Section 5 illustrates approaches combining
mandatory and discretionary principles to the goal of achieving mandatory information
flow protection without loosing the flexibility of discretionary authorizations. Section 6
illustrates several discretionary policies and models that have been proposed. Section 7
illustrates role-based access control policies. Finally, Section 8 discusses advanced approaches
and directions in the specification and enforcement of access control regulations
and data maintained by a system and determining whether the request should
be granted or denied. The access control decision is enforced by a mechanism
implementing regulations established by a security policy. Different access control
policies can be applied, corresponding to different criteria for defining what
should, and what should not, be allowed, and, in some sense, to different defi-
nitions of what ensuring security means. In this chapter we investigate the basic
concepts behind access control design and enforcement, and point out different
security requirements that may need to be taken into consideration. We discuss
several access control policies, and models formalizing them, that have been proposed
in the literature or that are currently under investigation.
1 Introduction
An important requirement of any information management system is to protect data
and resources against unauthorized disclosure (secrecy) and unauthorized or improper
modifications (integrity), while at the same time ensuring their availability to legitimate
users (no denials-of-service). Enforcing protection therefore requires that every access
to a system and its resources be controlled and that all and only authorized accesses can
take place. This process goes under the name of access control. The development of an
access control system requires the definition of the regulations according to which access
is to be controlled and their implementation as functions executable by a computer
system. The development process is usually carried out with a multi-phase approach
based on the following concepts:
Security policy: it defines the (high-level) rules according to which access control
must be regulated.1
Security model: it provides a formal representation of the access control security policy
and its working. The formalization allows the proof of properties on the security
provided by the access control system being designed.
1 Often, the term policy is also used to refer to particular instances of a policy, that is, actual
authorizations and access restrictions to be enforced (e.g., Employees can read bulletin-board).2 Pierangela Samarati and Sabrina De Capitani di Vimercati
Security mechanism: it defines the low level (software and hardware) functions that
implement the controls imposed by the policy and formally stated in the model.
The three concepts above correspond to a conceptual separation between different
levels of abstraction of the design, and provides the traditional advantages of multiphase
software development. In particular, the separation between policies and mechanisms
introduces an independence between protection requirements to be enforced
on the one side, and mechanisms enforcing them on the other. It is then possible to:
i) discuss protection requirements independently of their implementation, ii) compare
different access control policies as well as different mechanisms that enforce the same
policy, and iii) design mechanisms able to enforce multiple policies. This latter aspect is
particularly important: if a mechanism is tied to a specific policy, a change in the policy
would require changing the whole access control system; mechanisms able to enforce
multiple policies avoid this drawback. The formalization phase between the policy definition
and its implementation as a mechanism allows the definition of a formal model
representing the policy and its working, making it possible to define and prove security
properties that systems enforcing the model will enjoy [54]. Therefore, by proving that
the model is “secure” and that the mechanism correctly implements the model, we can
argue that the system is “secure” (w.r.t. the definition of security considered). The implementation
of a correct mechanism is far from being trivial and is complicated by the
need to cope with possible security weaknesses due to the implementation itself and by
the difficulty of mapping the access control primitives to a computer system. The access
control mechanism must work as a reference monitor, that is, a trusted component
intercepting each and every request to the system [5]. It must also enjoy the following
properties:
– tamper-proof : it should not be possible to alter it (or at least it should not be possible
for alterations to go undetected);
– non-bypassable: it must mediate all accesses to the system and its resources;
– security kernel: it must be confined in a limited part of the system (scattering security
functions all over the system implies that all the code must be verified);
– small: it must be of limited size to be susceptible of rigorous verification methods.
Even the definition of access control policies (and their corresponding models) is
far from being a trivial process. One of the major difficulty lies in the interpretation
of, often complex and sometimes ambiguous, real world security policies and in their
translation in well defined and unambiguous rules enforceable by a computer system.
Many real world situations have complex policies, where access decisions depend on
the application of different rules coming, for example, from laws, practices, and organizational
regulations. A security policy must capture all the different regulations to be
enforced and, in addition, must also consider possible additional threats due to the use
of a computer system. Access control policies can be grouped into three main classes:
Discretionary (DAC) (authorization-based) policies control access based on the identity
of the requestor and on access rules stating what requestors are (or are not)
allowed to do.Access Control: Policies, Models, and Mechanisms 3
Mandatory (MAC) policies control access based on mandated regulations determined
by a central authority.
Role-based (RBAC) policies control access depending on the roles that users have
within the system and on rules stating what accesses are allowed to users in given
roles.
Discretionary and role-based policies are usually coupled with (or include) an administrative
policy that defines who can specify authorizations/rules governing access
control.
In this chapter we illustrate different access control policies and models that have
been proposed in the literature, also investigating their low level implementation in
terms of security mechanisms. In illustrating the literature and the current status of access
control systems, of course, the chapter does not pretend to be exhaustive. However,
by discussing different approaches with their advantages and limitations, this chapter
hopes to give an idea of the different issues to be tackled in the development of an access
control system, and of good security principles that should be taken into account
in the design.
The chapter is structured as follows. Section 2 introduces the basic concepts of
discretionary policies and authorization-based models. Section 3 shows the limitation
of authorization-based controls to introduce the basis for the need of mandatory policies,
which are then discussed in Section 4. Section 5 illustrates approaches combining
mandatory and discretionary principles to the goal of achieving mandatory information
flow protection without loosing the flexibility of discretionary authorizations. Section 6
illustrates several discretionary policies and models that have been proposed. Section 7
illustrates role-based access control policies. Finally, Section 8 discusses advanced approaches
and directions in the specification and enforcement of access control regulations
0/5000
บทคัดย่อ ควบคุมการเข้าถึงคือ กระบวนการทุกคำขอทรัพยากรที่เป็นสื่อกลางและข้อมูลโดยระบบ และกำหนดว่า ควรคำสามารถอนุมัติ หรือปฏิเสธ ตัดสินใจเข้าควบคุมบังคับใช้ โดยระบบปฏิบัติตามกฎระเบียบที่ตั้งขึ้น โดยนโยบายความปลอดภัย ควบคุมการเข้าถึงที่แตกต่างกันนโยบายสามารถใช้ ที่สอดคล้องกับเงื่อนไขต่าง ๆ ในการกำหนดอะไรควร และอะไรไม่ควร สามารถ และ ในภาวะ การ defi ต่าง ๆ -nitions ความปลอดภัยที่แน่ใจว่าความหมายของ ในบทนี้ เราตรวจสอบพื้นฐานแนวคิดเบื้องหลังเข้าควบคุมออกแบบและการบังคับใช้ และชี้ให้เห็นแตกต่างกันข้อกำหนดความปลอดภัยที่อาจจำเป็นต้องนำมาพิจารณา เราพูดคุยหลายเข้าถึงนโยบายการควบคุม และรุ่น formalizing พวกเขา ที่ได้รับการเสนอชื่อในวรรณคดีหรือว่าจะอยู่ภายใต้การตรวจสอบบทนำ 1ความต้องการสำคัญของระบบการจัดการข้อมูลคือการ ปกป้องข้อมูลและทรัพยากรกับไม่เปิดเผย (ความลับ) และไม่ได้รับอนุญาต หรือไม่เหมาะสมปรับเปลี่ยน (ความซื่อสัตย์), ในขณะที่เวลาเดียวกันใจความให้ถูกต้องตามกฎหมายผู้ใช้ (ไม่ปฏิเสธการให้บริการ) บังคับใช้การป้องกันจึงจำเป็นต้องเข้าถึงทุกกับระบบ และควบคุมทรัพยากร และที่ทั้งหมดและสามารถหาได้รับอนุญาตเท่านั้นเกิดขึ้น กระบวนการนี้ไปภายใต้ชื่อของการควบคุมการเข้าถึง การพัฒนาการระบบควบคุมการเข้าถึงต้องมีการกำหนดระเบียบตามเข้าถึงการควบคุม และการปฏิบัติการเป็นฟังก์ชันที่สามารถดำเนินการได้ โดยคอมพิวเตอร์ระบบ การพัฒนามักจะดำเนิน ด้วยวิธีการหลายขั้นตอนตามแนวคิดดังต่อไปนี้:นโยบายความปลอดภัย: กำหนดเกณฑ์ (ระดับสูง) ตามการควบคุมการเข้าถึงต้อง regulated.1รูปแบบการรักษาความปลอดภัย: มีตัวแทนอย่างเป็นทางการของนโยบายความปลอดภัยควบคุมการเข้าถึงและการทำงาน Formalization หมายให้พิสูจน์คุณสมบัติในการรักษาความปลอดภัยโดยระบบควบคุมการเข้าออกแบบ1 Often นโยบายระยะก็ใช้ในการอ้างถึงอินสแตนซ์เฉพาะของนโยบาย ที่ แท้จริงตรวจสอบและข้อจำกัดในการเข้าถึงการบังคับใช้ (เช่น พนักงานสามารถอ่านกระดาน) .2 Pierangela Samarati และซาบเด Capitani di Vimercatiกลไกการรักษาความปลอดภัย: กำหนดต่ำสุดระดับซอฟต์แวร์และฮาร์ดแวร์) ทำงานที่ใช้การควบคุมกำหนด โดยนโยบาย และระบุไว้ในแบบจำลองอย่างเป็นกิจจะลักษณะแนวคิดสามข้างต้นสอดคล้องกับที่แนวคิดการแบ่งแตกต่างกันระดับของ abstraction ออกแบบ และข้อดีของกลศาสตร์ดั้งเดิมการพัฒนาซอฟต์แวร์ เฉพาะ การแยกระหว่างนโยบายและกลไกแนะนำเป็นเอกราชระหว่างความต้องการป้องกันการบังคับใช้ในด้านหนึ่ง และกลไกการบังคับใช้ได้อีกด้วย ก็แล้วไป:ค่ะปรึกษาป้องกันความเป็นอิสระจากการปฏิบัติการ ii) เปรียบเทียบนโยบายควบคุมการเข้าถึงต่าง ๆ ตลอดจนกลไกต่าง ๆ ที่บังคับใช้เหมือนกันนโยบาย และ iii) ออกแบบกลไกที่สามารถบังคับใช้นโยบายหลาย ด้านหลังนี้เป็นสำคัญอย่างยิ่ง: ถ้ากลไกเชื่อมโยงกับนโยบายเฉพาะ การเปลี่ยนแปลงในนโยบายจะต้องมีการเปลี่ยนระบบควบคุมการเข้าถึงทั้งหมด กลไกที่จะบังคับใช้หลายนโยบายหลีกเลี่ยงการคืนเงินนี้ ขั้นตอนการ formalization ระหว่างการกำหนดนโยบายและการนำไปใช้เป็นกลไกช่วยให้คำจำกัดความของแบบจำลองทางแสดงถึงนโยบายการทำงาน ทำให้สามารถกำหนด และพิสูจน์ความปลอดภัยคุณสมบัติที่ว่า ระบบบังคับแบบคลาย [54] ดังนั้น โดยการพิสูจน์ที่รูปแบบเป็น "ปลอดภัย" และว่า กลไกที่ถูกต้องใช้รูปแบบ ที่เราสามารถโต้แย้งว่า ระบบ "ปลอดภัย" (w.r.t. นิยามของความปลอดภัยที่พิจารณา) การใช้งานกลไกต้องเป็นแหล่งอยู่เล็กน้อย และมีการต้องรับมือกับการทำงานจุดอ่อนเนื่อง จากใช้งานเอง และโดยความยากของการแมปนำการควบคุมการเข้าถึงระบบคอมพิวเตอร์ การเข้าถึงกลไกการควบคุมต้องทำงานเป็นจอภาพอ้างอิง กล่าวคือ ส่วนประกอบเชื่อถือได้ตรวจคำขอและทุกระบบ [5] มันต้องสนุกกับต่อไปนี้คุณสมบัติ:-หลักฐานทรอ: ควรไม่สามารถเปลี่ยนแปลงแก้ไข (หรือน้อย ก็ไม่ควรจะเป็นไปได้การเปลี่ยนแปลงไปตรวจไม่พบ);– ไม่ใช่ bypassable: มันต้องบรรเทาหาทุกระบบและทรัพยากร– เคอร์เนลความปลอดภัย: ต้องถูกขังในระบบ (scattering ความปลอดภัยจำกัดฟังก์ชันทั้งหมดกว่าระบบหมายความว่า ต้องสามารถตรวจสอบรหัสทั้งหมด);-ขนาดเล็ก: จะต้องจำกัดขนาดการควบคู่ของวิธีการตรวจสอบอย่างเข้มงวดแม้ข้อกำหนดของนโยบายควบคุมการเข้าถึง (และรุ่นของพวกเขาที่สอดคล้องกัน)จากการกระบวนการเล็กน้อย หนึ่งในปัญหาใหญ่ที่อยู่ในการตีความของ มักจะซับซ้อน และบางครั้งไม่ ชัดเจน นโยบายความปลอดภัยของโลกจริง และในการแปลในกฎกำหนด และชัดเจนดีบุคลากร โดยระบบคอมพิวเตอร์หลายสถานการณ์โลกได้ซับซ้อนนโยบาย ซึ่งตัดสินใจเข้าพึ่งใช้กฎที่แตกต่างกันมา เช่น กฎหมาย ปฏิบัติ และองค์กรระเบียบข้อบังคับ นโยบายการรักษาความปลอดภัยต้องจับบังคับแตกต่างกันทั้งหมดให้บังคับ และ แห่ง ยังต้องพิจารณาภัยคุกคามได้เพิ่มเติมเนื่องจากการใช้ของระบบคอมพิวเตอร์ นโยบายควบคุมการเข้าถึงสามารถถูกจัดกลุ่มเป็นสามระดับ:(DAC) discretionary (จากการตรวจสอบ) นโยบายควบคุมการเข้าใช้ข้อมูลประจำตัวผู้ และ ในการเข้าถึงกฎที่ระบุว่า requestors มี (หรือไม่)สามารถทำควบคุมการเข้าถึง: นโยบาย รูปแบบ และกลไก 3บังคับ (MAC) นโยบายควบคุมการเข้าถึงตามข้อบังคับที่กำหนดโดยอำนาจกลางตามบทบาท (ม.รัตนบัณฑิต) นโยบายควบคุมการเข้าถึงตามบทบาทที่ผู้ใช้ได้ภาย ในระบบและกฎที่ระบุหาสิ่งที่อนุญาตให้ผู้ใช้ในบทบาทการนโยบาย discretionary และ ตามบทบาทมักจะควบคู่กับ (หรือรวม) การจัดการนโยบายที่กำหนดซึ่งสามารถตรวจสอบ/ควบคุมการเข้าถึงกฎควบคุมในบทนี้ เราอธิบายนโยบายควบคุมการเข้าถึงแตกต่างกันและรูปแบบที่มีรับการเสนอชื่อในวรรณคดี นอกจากนี้ยัง ตรวจสอบการปฏิบัติการในระดับต่ำเงื่อนไขของระบบความปลอดภัย ในการแสดงวรรณคดีและสถานะปัจจุบันของการเข้าถึงควบคุมระบบ หลักสูตร บทไม่ทำเป็นจะหมดแรง อย่างไรก็ตามโดยการอภิปรายวิธีแตกต่างกันของข้อดี และข้อจำกัด บทนี้หวังให้แนวความคิดปัญหาต่าง ๆ แก้ได้ในการพัฒนาของ accessควบคุมระบบ และหลักการรักษาความปลอดภัยที่ดีที่ควรนำมาพิจารณาในการออกแบบบทมีโครงสร้างดังนี้ ส่วน 2 แนะนำแนวคิดพื้นฐานของdiscretionary นโยบายและรูปแบบการตรวจสอบตาม 3 ส่วนแสดงข้อจำกัดควบคุมโดยการตรวจสอบจะแนะนำพื้นฐานสำหรับนโยบายบังคับ จำเป็นต้องแล้วที่กล่าวถึงใน 4 ส่วน 5 ส่วนแสดงวิธีรวมหลักการบังคับ และ discretionary เป้าหมายบรรลุข้อมูลบังคับป้องกันกระแสไม่ปรึกษายืดหยุ่นในการตรวจสอบ discretionary ส่วน 6แสดงหลาย discretionary นโยบายและรูปแบบที่ได้รับการเสนอ ส่วน 7แสดงนโยบายการควบคุมการเข้าถึงตามบทบาท สุดท้าย 8 ส่วนกล่าวถึงแนวทางขั้นสูงและคำแนะนำในข้อกำหนดและบังคับใช้กฎระเบียบควบคุมการเข้าถึง
การแปล กรุณารอสักครู่..
Abstract. Access control is the process of mediating every request to resources
and data maintained by a system and determining whether the request should
be granted or denied. The access control decision is enforced by a mechanism
implementing regulations established by a security policy. Different access control
policies can be applied, corresponding to different criteria for defining what
should, and what should not, be allowed, and, in some sense, to different defi-
nitions of what ensuring security means. In this chapter we investigate the basic
concepts behind access control design and enforcement, and point out different
security requirements that may need to be taken into consideration. We discuss
several access control policies, and models formalizing them, that have been proposed
in the literature or that are currently under investigation.
1 Introduction
An important requirement of any information management system is to protect data
and resources against unauthorized disclosure (secrecy) and unauthorized or improper
modifications (integrity), while at the same time ensuring their availability to legitimate
users (no denials-of-service). Enforcing protection therefore requires that every access
to a system and its resources be controlled and that all and only authorized accesses can
take place. This process goes under the name of access control. The development of an
access control system requires the definition of the regulations according to which access
is to be controlled and their implementation as functions executable by a computer
system. The development process is usually carried out with a multi-phase approach
based on the following concepts:
Security policy: it defines the (high-level) rules according to which access control
must be regulated.1
Security model: it provides a formal representation of the access control security policy
and its working. The formalization allows the proof of properties on the security
provided by the access control system being designed.
1 Often, the term policy is also used to refer to particular instances of a policy, that is, actual
authorizations and access restrictions to be enforced (e.g., Employees can read bulletin-board).2 Pierangela Samarati and Sabrina De Capitani di Vimercati
Security mechanism: it defines the low level (software and hardware) functions that
implement the controls imposed by the policy and formally stated in the model.
The three concepts above correspond to a conceptual separation between different
levels of abstraction of the design, and provides the traditional advantages of multiphase
software development. In particular, the separation between policies and mechanisms
introduces an independence between protection requirements to be enforced
on the one side, and mechanisms enforcing them on the other. It is then possible to:
i) discuss protection requirements independently of their implementation, ii) compare
different access control policies as well as different mechanisms that enforce the same
policy, and iii) design mechanisms able to enforce multiple policies. This latter aspect is
particularly important: if a mechanism is tied to a specific policy, a change in the policy
would require changing the whole access control system; mechanisms able to enforce
multiple policies avoid this drawback. The formalization phase between the policy definition
and its implementation as a mechanism allows the definition of a formal model
representing the policy and its working, making it possible to define and prove security
properties that systems enforcing the model will enjoy [54]. Therefore, by proving that
the model is “secure” and that the mechanism correctly implements the model, we can
argue that the system is “secure” (w.r.t. the definition of security considered). The implementation
of a correct mechanism is far from being trivial and is complicated by the
need to cope with possible security weaknesses due to the implementation itself and by
the difficulty of mapping the access control primitives to a computer system. The access
control mechanism must work as a reference monitor, that is, a trusted component
intercepting each and every request to the system [5]. It must also enjoy the following
properties:
– tamper-proof : it should not be possible to alter it (or at least it should not be possible
for alterations to go undetected);
– non-bypassable: it must mediate all accesses to the system and its resources;
– security kernel: it must be confined in a limited part of the system (scattering security
functions all over the system implies that all the code must be verified);
– small: it must be of limited size to be susceptible of rigorous verification methods.
Even the definition of access control policies (and their corresponding models) is
far from being a trivial process. One of the major difficulty lies in the interpretation
of, often complex and sometimes ambiguous, real world security policies and in their
translation in well defined and unambiguous rules enforceable by a computer system.
Many real world situations have complex policies, where access decisions depend on
the application of different rules coming, for example, from laws, practices, and organizational
regulations. A security policy must capture all the different regulations to be
enforced and, in addition, must also consider possible additional threats due to the use
of a computer system. Access control policies can be grouped into three main classes:
Discretionary (DAC) (authorization-based) policies control access based on the identity
of the requestor and on access rules stating what requestors are (or are not)
allowed to do.Access Control: Policies, Models, and Mechanisms 3
Mandatory (MAC) policies control access based on mandated regulations determined
by a central authority.
Role-based (RBAC) policies control access depending on the roles that users have
within the system and on rules stating what accesses are allowed to users in given
roles.
Discretionary and role-based policies are usually coupled with (or include) an administrative
policy that defines who can specify authorizations/rules governing access
control.
In this chapter we illustrate different access control policies and models that have
been proposed in the literature, also investigating their low level implementation in
terms of security mechanisms. In illustrating the literature and the current status of access
control systems, of course, the chapter does not pretend to be exhaustive. However,
by discussing different approaches with their advantages and limitations, this chapter
hopes to give an idea of the different issues to be tackled in the development of an access
control system, and of good security principles that should be taken into account
in the design.
The chapter is structured as follows. Section 2 introduces the basic concepts of
discretionary policies and authorization-based models. Section 3 shows the limitation
of authorization-based controls to introduce the basis for the need of mandatory policies,
which are then discussed in Section 4. Section 5 illustrates approaches combining
mandatory and discretionary principles to the goal of achieving mandatory information
flow protection without loosing the flexibility of discretionary authorizations. Section 6
illustrates several discretionary policies and models that have been proposed. Section 7
illustrates role-based access control policies. Finally, Section 8 discusses advanced approaches
and directions in the specification and enforcement of access control regulations
and data maintained by a system and determining whether the request should
be granted or denied. The access control decision is enforced by a mechanism
implementing regulations established by a security policy. Different access control
policies can be applied, corresponding to different criteria for defining what
should, and what should not, be allowed, and, in some sense, to different defi-
nitions of what ensuring security means. In this chapter we investigate the basic
concepts behind access control design and enforcement, and point out different
security requirements that may need to be taken into consideration. We discuss
several access control policies, and models formalizing them, that have been proposed
in the literature or that are currently under investigation.
1 Introduction
An important requirement of any information management system is to protect data
and resources against unauthorized disclosure (secrecy) and unauthorized or improper
modifications (integrity), while at the same time ensuring their availability to legitimate
users (no denials-of-service). Enforcing protection therefore requires that every access
to a system and its resources be controlled and that all and only authorized accesses can
take place. This process goes under the name of access control. The development of an
access control system requires the definition of the regulations according to which access
is to be controlled and their implementation as functions executable by a computer
system. The development process is usually carried out with a multi-phase approach
based on the following concepts:
Security policy: it defines the (high-level) rules according to which access control
must be regulated.1
Security model: it provides a formal representation of the access control security policy
and its working. The formalization allows the proof of properties on the security
provided by the access control system being designed.
1 Often, the term policy is also used to refer to particular instances of a policy, that is, actual
authorizations and access restrictions to be enforced (e.g., Employees can read bulletin-board).2 Pierangela Samarati and Sabrina De Capitani di Vimercati
Security mechanism: it defines the low level (software and hardware) functions that
implement the controls imposed by the policy and formally stated in the model.
The three concepts above correspond to a conceptual separation between different
levels of abstraction of the design, and provides the traditional advantages of multiphase
software development. In particular, the separation between policies and mechanisms
introduces an independence between protection requirements to be enforced
on the one side, and mechanisms enforcing them on the other. It is then possible to:
i) discuss protection requirements independently of their implementation, ii) compare
different access control policies as well as different mechanisms that enforce the same
policy, and iii) design mechanisms able to enforce multiple policies. This latter aspect is
particularly important: if a mechanism is tied to a specific policy, a change in the policy
would require changing the whole access control system; mechanisms able to enforce
multiple policies avoid this drawback. The formalization phase between the policy definition
and its implementation as a mechanism allows the definition of a formal model
representing the policy and its working, making it possible to define and prove security
properties that systems enforcing the model will enjoy [54]. Therefore, by proving that
the model is “secure” and that the mechanism correctly implements the model, we can
argue that the system is “secure” (w.r.t. the definition of security considered). The implementation
of a correct mechanism is far from being trivial and is complicated by the
need to cope with possible security weaknesses due to the implementation itself and by
the difficulty of mapping the access control primitives to a computer system. The access
control mechanism must work as a reference monitor, that is, a trusted component
intercepting each and every request to the system [5]. It must also enjoy the following
properties:
– tamper-proof : it should not be possible to alter it (or at least it should not be possible
for alterations to go undetected);
– non-bypassable: it must mediate all accesses to the system and its resources;
– security kernel: it must be confined in a limited part of the system (scattering security
functions all over the system implies that all the code must be verified);
– small: it must be of limited size to be susceptible of rigorous verification methods.
Even the definition of access control policies (and their corresponding models) is
far from being a trivial process. One of the major difficulty lies in the interpretation
of, often complex and sometimes ambiguous, real world security policies and in their
translation in well defined and unambiguous rules enforceable by a computer system.
Many real world situations have complex policies, where access decisions depend on
the application of different rules coming, for example, from laws, practices, and organizational
regulations. A security policy must capture all the different regulations to be
enforced and, in addition, must also consider possible additional threats due to the use
of a computer system. Access control policies can be grouped into three main classes:
Discretionary (DAC) (authorization-based) policies control access based on the identity
of the requestor and on access rules stating what requestors are (or are not)
allowed to do.Access Control: Policies, Models, and Mechanisms 3
Mandatory (MAC) policies control access based on mandated regulations determined
by a central authority.
Role-based (RBAC) policies control access depending on the roles that users have
within the system and on rules stating what accesses are allowed to users in given
roles.
Discretionary and role-based policies are usually coupled with (or include) an administrative
policy that defines who can specify authorizations/rules governing access
control.
In this chapter we illustrate different access control policies and models that have
been proposed in the literature, also investigating their low level implementation in
terms of security mechanisms. In illustrating the literature and the current status of access
control systems, of course, the chapter does not pretend to be exhaustive. However,
by discussing different approaches with their advantages and limitations, this chapter
hopes to give an idea of the different issues to be tackled in the development of an access
control system, and of good security principles that should be taken into account
in the design.
The chapter is structured as follows. Section 2 introduces the basic concepts of
discretionary policies and authorization-based models. Section 3 shows the limitation
of authorization-based controls to introduce the basis for the need of mandatory policies,
which are then discussed in Section 4. Section 5 illustrates approaches combining
mandatory and discretionary principles to the goal of achieving mandatory information
flow protection without loosing the flexibility of discretionary authorizations. Section 6
illustrates several discretionary policies and models that have been proposed. Section 7
illustrates role-based access control policies. Finally, Section 8 discusses advanced approaches
and directions in the specification and enforcement of access control regulations
การแปล กรุณารอสักครู่..
นามธรรม การควบคุมการเข้าถึงคือกระบวนการไกล่เกลี่ยทุกการร้องขอทรัพยากร
และข้อมูลดูแลโดยระบบและการพิจารณาว่าคำขอควรจะ
ได้รับหรือปฏิเสธ การตัดสินใจในการควบคุมการเข้าถึงที่บังคับใช้โดยการใช้กฎระเบียบกลไก
จัดตั้งขึ้นโดยนโยบายการรักษาความปลอดภัย นโยบายการควบคุม
การเข้าถึงที่แตกต่างกัน สามารถ ใช้ ที่สอดคล้องกับเงื่อนไขที่แตกต่างกันสำหรับการกำหนดสิ่งที่
ควร และอะไรไม่ควร ได้รับอนุญาต และในบางความรู้สึก ที่แตกต่างกันเดฟี -
nitions อะไรให้หมายถึงความปลอดภัย ในบทนี้เราจะศึกษาขั้นพื้นฐาน
แนวคิดที่อยู่เบื้องหลังการออกแบบการควบคุมการเข้าถึงและการบังคับใช้ และชี้ที่แตกต่างกัน
ความต้องการความปลอดภัยที่อาจต้องมีการพิจารณา . เราคุยกัน
นโยบายการควบคุมการเข้าถึงหลายและรูปแบบ formalizing พวกเขาที่ได้รับการเสนอ
ในวรรณคดี หรือว่า ขณะนี้อยู่ระหว่างการสอบสวน เบื้องต้น
1 มีความต้องการที่สำคัญของระบบการจัดการข้อมูลคือการปกป้องข้อมูล
และทรัพยากรกับการเปิดเผยข้อมูลไม่ได้รับอนุญาต ( ความลับ ) และไม่ได้รับอนุญาต หรือไม่เหมาะสม
ปรับเปลี่ยน ( สมบูรณ์ ) ในขณะที่ในเวลาเดียวกันมั่นใจความพร้อมของผู้ใช้ที่ถูกต้องตามกฎหมาย
( ไม่ การปฏิเสธการให้บริการ )ดังนั้นจึงต้องมีการคุ้มครองทุกการเข้าถึง
ต่อระบบและทรัพยากรที่จะควบคุมและที่ทั้งหมดและได้รับอนุญาตเท่านั้นที่สามารถเข้าถึง
ใช้สถานที่ กระบวนการนี้ไปภายใต้ชื่อของการควบคุมการเข้าถึง การพัฒนาระบบการควบคุมการเข้าถึงต้อง
ความหมายของ กฎระเบียบ ซึ่งเข้าถึง
จะต้องมีการควบคุม และการเป็นฟังก์ชั่นที่ปฏิบัติการด้วยระบบคอมพิวเตอร์
กระบวนการพัฒนามักจะดำเนินการด้วยวิธีการ multi-phase
ตามแนวคิดต่อไปนี้ :
นโยบายความปลอดภัย : มันกำหนด ( ระดับสูง ) กฎที่ควบคุมการเข้าถึงตาม
ต้องควบคุม 1 รูปแบบการรักษาความปลอดภัย : มีตัวแทนอย่างเป็นทางการของนโยบายการเข้าถึงการควบคุมความปลอดภัย
และการทำงาน formalization ช่วยให้หลักฐานในคุณสมบัติความปลอดภัย
โดยระบบการควบคุมการเข้าถึงถูกออกแบบ .
1 บ่อย นโยบายนี้ยังใช้เพื่ออ้างถึงกรณีเฉพาะของนโยบาย นั่นคืออำนาจที่แท้จริงและข้อ จำกัด การเข้าถึง
ถูกบังคับ ( เช่น พนักงานสามารถอ่านกระดานข่าว 2 pierangela samarati ) ซาบีน่า เดอ ดิ vimercati
capitani และกลไกการรักษาความปลอดภัย : จะกำหนดระดับต่ำ ( ฮาร์ดแวร์และซอฟต์แวร์ ) ฟังก์ชันที่
ใช้การควบคุมที่กำหนดโดยนโยบายและระบุไว้อย่างเป็นทางการในรูปแบบ .
3 แนวคิดข้างต้นสอดคล้องกับแนวคิดของการแยกระหว่างระดับที่แตกต่างกัน
นามธรรมของการออกแบบ และให้ประโยชน์แบบดั้งเดิมของการพัฒนาซอฟต์แวร์แบบหลาย
โดยเฉพาะอย่างยิ่งการแยกระหว่างนโยบายและกลไก
แนะนำเป็นอิสระระหว่างความคุ้มครองที่จะบังคับใช้
ข้างหนึ่ง และกลไกการบังคับพวกเขาในอื่น ๆ มันเป็นไปได้แล้ว :
) หารือเกี่ยวกับความต้องการการเป็นอิสระจากการ 2 ) เปรียบเทียบ
นโยบายการควบคุมการเข้าถึงที่แตกต่างกันเช่นเดียวกับที่แตกต่างกันกลไกที่บังคับใช้นโยบายเดียวกัน
,และ 3 ) กลไกที่ออกแบบสามารถบังคับใช้นโยบายหลาย นี้ด้านหลัง
ที่สำคัญโดยเฉพาะ : ถ้าเป็นกลไกที่เชื่อมโยงกับนโยบาย โดยเฉพาะการเปลี่ยนแปลงในนโยบาย
จะต้องเปลี่ยนระบบการควบคุมการเข้าถึงทั้ง กลไกสามารถบังคับใช้
หลายนโยบายหลีกเลี่ยงอุปสรรคนี้ formalization ระยะระหว่างนโยบาย
นิยามและใช้เป็นกลไกช่วยให้นิยามแบบเป็นทางการ
แสดงนโยบายและการทำงานของมัน ทำให้มันเป็นไปได้ที่จะกำหนดและพิสูจน์คุณสมบัติด้านความปลอดภัยที่บังคับใช้
ระบบรูปแบบจะเพลิดเพลินกับ [ 54 ] ดังนั้น โดยพิสูจน์ว่า
รูปแบบเป็น " ปลอดภัย " และที่ถูกต้องใช้กลไกแบบที่เราสามารถ
ยืนยันว่าระบบคือ " ความปลอดภัย " ( w.r.t.ความหมายของการรักษาความปลอดภัยพิจารณา ) การดำเนินการของกลไกที่ถูกต้อง
อยู่ไกลจากการเป็นเล็กน้อยและมีความซับซ้อนโดย
ต้องรับมือกับจุดอ่อนด้านความปลอดภัยที่เป็นไปได้เนื่องจากการใช้เอง และด้วย
ความยากของแผนที่การควบคุมการเข้าถึงของ primitives กับระบบคอมพิวเตอร์ กลไกการควบคุมการเข้าถึง
ต้องทำงานเป็นข้อมูลอ้างอิงการตรวจสอบที่เป็นส่วนประกอบ
เชื่อถือสกัดกั้นทุกขอให้ระบบ [ 5 ] มันต้องสนุกกับคุณสมบัติต่อไปนี้ :
( หลักฐานการงัดแงะ : มันไม่ควรเป็นไปได้ที่จะแก้ไขมัน ( หรืออย่างน้อยก็ไม่ควรเป็นไปได้
สำหรับดัดแปลงไปตรวจไม่พบ ) ;
) ไม่ผ่านได้ : มันต้องไกล่เกลี่ยทั้งหมดเข้าสู่ระบบและทรัพยากร ;
–ความปลอดภัยเคอร์เนล :มันต้องถูกกักขังอยู่ในส่วนที่ จำกัด ของระบบ ( การรักษาความปลอดภัย
ฟังก์ชันทั่วระบบ หมายถึงว่ารหัสจะต้องมีการตรวจสอบ ) ;
) ขนาดเล็ก : มันต้องมีขนาดจำกัด จะอ่อนแอของวิธีการตรวจสอบอย่างเข้มงวด
แม้แต่ความหมายของนโยบายการควบคุมการเข้าถึง ( และรุ่นที่สอดคล้องกันของพวกเขา )
ห่างไกลจากการกระบวนการที่ไม่สำคัญหนึ่งในปัญหาหลักอยู่ที่การตีความ
, มักจะซับซ้อนและบางครั้งคลุมเครือจริง ความมั่นคงของโลก และนโยบายในการแปลของพวกเขาในการกำหนดกฎบังคับใช้
ดีโดยระบบคอมพิวเตอร์ที่ชัดเจน .
สถานการณ์ในชีวิตจริงมีหลายนโยบายที่ซับซ้อน ซึ่งการตัดสินใจเข้าถึงขึ้นอยู่กับ
ใบสมัครของกฎที่แตกต่างกันไป เช่น จากกฎหมาย , การปฏิบัติ ,และข้อบังคับขององค์การ
นโยบายการรักษาความปลอดภัยจะต้องจับภาพทั้งหมดแตกต่างกันกฎระเบียบที่จะ
บังคับใช้ และ นอกจากนี้ ยังต้องพิจารณาภัยคุกคามเพิ่มเติมเป็นไปได้เนื่องจากการใช้
ของระบบคอมพิวเตอร์ นโยบายการควบคุมการเข้าถึงที่สามารถแบ่งออกเป็นสามคลาสหลัก :
) ( DAC ) ( การอนุญาตตามนโยบายการควบคุมการเข้าถึงตามเอกลักษณ์
ของ requestor และเข้าถึงกฎระบุว่า requestors มี ( หรือไม่ )
รับอนุญาตให้ทำ การควบคุมการเข้าถึงนโยบาย รูปแบบ และกลไก 3
ข้อบังคับ ( Mac ) นโยบายการควบคุมการเข้าถึงตามบังคับ กฎระเบียบ กำหนดโดยหน่วยงานส่วนกลาง
.
( มหาวิทยาลัยรัตนบัณฑิต ) บทบาทตามนโยบายการควบคุมการเข้าถึง ทั้งนี้ขึ้นอยู่กับบทบาทที่ มีผู้ใช้
ภายในระบบและกฎที่ระบุว่าได้รับอนุญาตให้ผู้ใช้ในการเข้าถึงให้
( ตามนโยบาย บทบาท และมักจะคู่กับ ( หรือรวม ) มีนโยบายการบริหารที่กำหนด
ที่สามารถระบุการอนุญาต / กฎระเบียบในการควบคุมการเข้าถึง
.
ในบทนี้เราแสดงให้เห็นที่แตกต่างกันการควบคุมการเข้าถึงนโยบายและรุ่นที่มี
ถูกเสนอในวรรณคดียังตรวจสอบระดับต่ำ ใช้ใน
แง่ของกลไกในการรักษาความปลอดภัย . ในวรรณคดีและแสดงสถานะปัจจุบันของระบบการควบคุมการเข้าถึง
แน่นอน บทไม่ได้แกล้งทำเป็นหมดแรง . อย่างไรก็ตาม แนวทางที่แตกต่างกับ
โดยพูดถึงข้อดีและข้อจำกัดของตน บทนี้
หวังที่จะให้ความคิดของปัญหาที่แตกต่างกันจะถูกท้าทายในการพัฒนาระบบการควบคุมการเข้าถึง
และหลักการรักษาความปลอดภัยที่ดีที่ควรพิจารณาในการออกแบบ
.
บทที่มีโครงสร้างดังนี้ ส่วนที่ 2 แนะนำแนวคิดพื้นฐานของนโยบายและการอนุญาตตามแบบ (
. ส่วนที่ 3 แสดงข้อจำกัด
อนุมัติตามการควบคุมแนะนำพื้นฐานที่จำเป็นของนโยบายบังคับ
ซึ่งแล้วกล่าวถึงในมาตรา 4 ส่วนที่ 5 แสดงให้เห็นถึงแนวทางและหลักการรวม
บังคับ ) ไปยังเป้าหมายของขบวนการป้องกันการไหลข้อมูล
ข้อบังคับโดยไม่สูญเสียความยืดหยุ่นในการตัดสินใจอนุมัติ . มาตรา 6
แสดงให้เห็นถึงการตัดสินใจและนโยบายหลายรุ่นที่ได้รับการเสนอ มาตรา 7
แสดงตามนโยบายการควบคุมการเข้าถึง ในที่สุด ส่วน 8 กล่าวถึง
วิธีการขั้นสูงและทิศทางในการกำหนดและบังคับใช้กฎระเบียบการควบคุมการเข้าถึง
และข้อมูลดูแลโดยระบบและการพิจารณาว่าคำขอควรจะ
ได้รับหรือปฏิเสธ การตัดสินใจในการควบคุมการเข้าถึงที่บังคับใช้โดยการใช้กฎระเบียบกลไก
จัดตั้งขึ้นโดยนโยบายการรักษาความปลอดภัย นโยบายการควบคุม
การเข้าถึงที่แตกต่างกัน สามารถ ใช้ ที่สอดคล้องกับเงื่อนไขที่แตกต่างกันสำหรับการกำหนดสิ่งที่
ควร และอะไรไม่ควร ได้รับอนุญาต และในบางความรู้สึก ที่แตกต่างกันเดฟี -
nitions อะไรให้หมายถึงความปลอดภัย ในบทนี้เราจะศึกษาขั้นพื้นฐาน
แนวคิดที่อยู่เบื้องหลังการออกแบบการควบคุมการเข้าถึงและการบังคับใช้ และชี้ที่แตกต่างกัน
ความต้องการความปลอดภัยที่อาจต้องมีการพิจารณา . เราคุยกัน
นโยบายการควบคุมการเข้าถึงหลายและรูปแบบ formalizing พวกเขาที่ได้รับการเสนอ
ในวรรณคดี หรือว่า ขณะนี้อยู่ระหว่างการสอบสวน เบื้องต้น
1 มีความต้องการที่สำคัญของระบบการจัดการข้อมูลคือการปกป้องข้อมูล
และทรัพยากรกับการเปิดเผยข้อมูลไม่ได้รับอนุญาต ( ความลับ ) และไม่ได้รับอนุญาต หรือไม่เหมาะสม
ปรับเปลี่ยน ( สมบูรณ์ ) ในขณะที่ในเวลาเดียวกันมั่นใจความพร้อมของผู้ใช้ที่ถูกต้องตามกฎหมาย
( ไม่ การปฏิเสธการให้บริการ )ดังนั้นจึงต้องมีการคุ้มครองทุกการเข้าถึง
ต่อระบบและทรัพยากรที่จะควบคุมและที่ทั้งหมดและได้รับอนุญาตเท่านั้นที่สามารถเข้าถึง
ใช้สถานที่ กระบวนการนี้ไปภายใต้ชื่อของการควบคุมการเข้าถึง การพัฒนาระบบการควบคุมการเข้าถึงต้อง
ความหมายของ กฎระเบียบ ซึ่งเข้าถึง
จะต้องมีการควบคุม และการเป็นฟังก์ชั่นที่ปฏิบัติการด้วยระบบคอมพิวเตอร์
กระบวนการพัฒนามักจะดำเนินการด้วยวิธีการ multi-phase
ตามแนวคิดต่อไปนี้ :
นโยบายความปลอดภัย : มันกำหนด ( ระดับสูง ) กฎที่ควบคุมการเข้าถึงตาม
ต้องควบคุม 1 รูปแบบการรักษาความปลอดภัย : มีตัวแทนอย่างเป็นทางการของนโยบายการเข้าถึงการควบคุมความปลอดภัย
และการทำงาน formalization ช่วยให้หลักฐานในคุณสมบัติความปลอดภัย
โดยระบบการควบคุมการเข้าถึงถูกออกแบบ .
1 บ่อย นโยบายนี้ยังใช้เพื่ออ้างถึงกรณีเฉพาะของนโยบาย นั่นคืออำนาจที่แท้จริงและข้อ จำกัด การเข้าถึง
ถูกบังคับ ( เช่น พนักงานสามารถอ่านกระดานข่าว 2 pierangela samarati ) ซาบีน่า เดอ ดิ vimercati
capitani และกลไกการรักษาความปลอดภัย : จะกำหนดระดับต่ำ ( ฮาร์ดแวร์และซอฟต์แวร์ ) ฟังก์ชันที่
ใช้การควบคุมที่กำหนดโดยนโยบายและระบุไว้อย่างเป็นทางการในรูปแบบ .
3 แนวคิดข้างต้นสอดคล้องกับแนวคิดของการแยกระหว่างระดับที่แตกต่างกัน
นามธรรมของการออกแบบ และให้ประโยชน์แบบดั้งเดิมของการพัฒนาซอฟต์แวร์แบบหลาย
โดยเฉพาะอย่างยิ่งการแยกระหว่างนโยบายและกลไก
แนะนำเป็นอิสระระหว่างความคุ้มครองที่จะบังคับใช้
ข้างหนึ่ง และกลไกการบังคับพวกเขาในอื่น ๆ มันเป็นไปได้แล้ว :
) หารือเกี่ยวกับความต้องการการเป็นอิสระจากการ 2 ) เปรียบเทียบ
นโยบายการควบคุมการเข้าถึงที่แตกต่างกันเช่นเดียวกับที่แตกต่างกันกลไกที่บังคับใช้นโยบายเดียวกัน
,และ 3 ) กลไกที่ออกแบบสามารถบังคับใช้นโยบายหลาย นี้ด้านหลัง
ที่สำคัญโดยเฉพาะ : ถ้าเป็นกลไกที่เชื่อมโยงกับนโยบาย โดยเฉพาะการเปลี่ยนแปลงในนโยบาย
จะต้องเปลี่ยนระบบการควบคุมการเข้าถึงทั้ง กลไกสามารถบังคับใช้
หลายนโยบายหลีกเลี่ยงอุปสรรคนี้ formalization ระยะระหว่างนโยบาย
นิยามและใช้เป็นกลไกช่วยให้นิยามแบบเป็นทางการ
แสดงนโยบายและการทำงานของมัน ทำให้มันเป็นไปได้ที่จะกำหนดและพิสูจน์คุณสมบัติด้านความปลอดภัยที่บังคับใช้
ระบบรูปแบบจะเพลิดเพลินกับ [ 54 ] ดังนั้น โดยพิสูจน์ว่า
รูปแบบเป็น " ปลอดภัย " และที่ถูกต้องใช้กลไกแบบที่เราสามารถ
ยืนยันว่าระบบคือ " ความปลอดภัย " ( w.r.t.ความหมายของการรักษาความปลอดภัยพิจารณา ) การดำเนินการของกลไกที่ถูกต้อง
อยู่ไกลจากการเป็นเล็กน้อยและมีความซับซ้อนโดย
ต้องรับมือกับจุดอ่อนด้านความปลอดภัยที่เป็นไปได้เนื่องจากการใช้เอง และด้วย
ความยากของแผนที่การควบคุมการเข้าถึงของ primitives กับระบบคอมพิวเตอร์ กลไกการควบคุมการเข้าถึง
ต้องทำงานเป็นข้อมูลอ้างอิงการตรวจสอบที่เป็นส่วนประกอบ
เชื่อถือสกัดกั้นทุกขอให้ระบบ [ 5 ] มันต้องสนุกกับคุณสมบัติต่อไปนี้ :
( หลักฐานการงัดแงะ : มันไม่ควรเป็นไปได้ที่จะแก้ไขมัน ( หรืออย่างน้อยก็ไม่ควรเป็นไปได้
สำหรับดัดแปลงไปตรวจไม่พบ ) ;
) ไม่ผ่านได้ : มันต้องไกล่เกลี่ยทั้งหมดเข้าสู่ระบบและทรัพยากร ;
–ความปลอดภัยเคอร์เนล :มันต้องถูกกักขังอยู่ในส่วนที่ จำกัด ของระบบ ( การรักษาความปลอดภัย
ฟังก์ชันทั่วระบบ หมายถึงว่ารหัสจะต้องมีการตรวจสอบ ) ;
) ขนาดเล็ก : มันต้องมีขนาดจำกัด จะอ่อนแอของวิธีการตรวจสอบอย่างเข้มงวด
แม้แต่ความหมายของนโยบายการควบคุมการเข้าถึง ( และรุ่นที่สอดคล้องกันของพวกเขา )
ห่างไกลจากการกระบวนการที่ไม่สำคัญหนึ่งในปัญหาหลักอยู่ที่การตีความ
, มักจะซับซ้อนและบางครั้งคลุมเครือจริง ความมั่นคงของโลก และนโยบายในการแปลของพวกเขาในการกำหนดกฎบังคับใช้
ดีโดยระบบคอมพิวเตอร์ที่ชัดเจน .
สถานการณ์ในชีวิตจริงมีหลายนโยบายที่ซับซ้อน ซึ่งการตัดสินใจเข้าถึงขึ้นอยู่กับ
ใบสมัครของกฎที่แตกต่างกันไป เช่น จากกฎหมาย , การปฏิบัติ ,และข้อบังคับขององค์การ
นโยบายการรักษาความปลอดภัยจะต้องจับภาพทั้งหมดแตกต่างกันกฎระเบียบที่จะ
บังคับใช้ และ นอกจากนี้ ยังต้องพิจารณาภัยคุกคามเพิ่มเติมเป็นไปได้เนื่องจากการใช้
ของระบบคอมพิวเตอร์ นโยบายการควบคุมการเข้าถึงที่สามารถแบ่งออกเป็นสามคลาสหลัก :
) ( DAC ) ( การอนุญาตตามนโยบายการควบคุมการเข้าถึงตามเอกลักษณ์
ของ requestor และเข้าถึงกฎระบุว่า requestors มี ( หรือไม่ )
รับอนุญาตให้ทำ การควบคุมการเข้าถึงนโยบาย รูปแบบ และกลไก 3
ข้อบังคับ ( Mac ) นโยบายการควบคุมการเข้าถึงตามบังคับ กฎระเบียบ กำหนดโดยหน่วยงานส่วนกลาง
.
( มหาวิทยาลัยรัตนบัณฑิต ) บทบาทตามนโยบายการควบคุมการเข้าถึง ทั้งนี้ขึ้นอยู่กับบทบาทที่ มีผู้ใช้
ภายในระบบและกฎที่ระบุว่าได้รับอนุญาตให้ผู้ใช้ในการเข้าถึงให้
( ตามนโยบาย บทบาท และมักจะคู่กับ ( หรือรวม ) มีนโยบายการบริหารที่กำหนด
ที่สามารถระบุการอนุญาต / กฎระเบียบในการควบคุมการเข้าถึง
.
ในบทนี้เราแสดงให้เห็นที่แตกต่างกันการควบคุมการเข้าถึงนโยบายและรุ่นที่มี
ถูกเสนอในวรรณคดียังตรวจสอบระดับต่ำ ใช้ใน
แง่ของกลไกในการรักษาความปลอดภัย . ในวรรณคดีและแสดงสถานะปัจจุบันของระบบการควบคุมการเข้าถึง
แน่นอน บทไม่ได้แกล้งทำเป็นหมดแรง . อย่างไรก็ตาม แนวทางที่แตกต่างกับ
โดยพูดถึงข้อดีและข้อจำกัดของตน บทนี้
หวังที่จะให้ความคิดของปัญหาที่แตกต่างกันจะถูกท้าทายในการพัฒนาระบบการควบคุมการเข้าถึง
และหลักการรักษาความปลอดภัยที่ดีที่ควรพิจารณาในการออกแบบ
.
บทที่มีโครงสร้างดังนี้ ส่วนที่ 2 แนะนำแนวคิดพื้นฐานของนโยบายและการอนุญาตตามแบบ (
. ส่วนที่ 3 แสดงข้อจำกัด
อนุมัติตามการควบคุมแนะนำพื้นฐานที่จำเป็นของนโยบายบังคับ
ซึ่งแล้วกล่าวถึงในมาตรา 4 ส่วนที่ 5 แสดงให้เห็นถึงแนวทางและหลักการรวม
บังคับ ) ไปยังเป้าหมายของขบวนการป้องกันการไหลข้อมูล
ข้อบังคับโดยไม่สูญเสียความยืดหยุ่นในการตัดสินใจอนุมัติ . มาตรา 6
แสดงให้เห็นถึงการตัดสินใจและนโยบายหลายรุ่นที่ได้รับการเสนอ มาตรา 7
แสดงตามนโยบายการควบคุมการเข้าถึง ในที่สุด ส่วน 8 กล่าวถึง
วิธีการขั้นสูงและทิศทางในการกำหนดและบังคับใช้กฎระเบียบการควบคุมการเข้าถึง
การแปล กรุณารอสักครู่..
ภาษาอื่น ๆ
การสนับสนุนเครื่องมือแปลภาษา: กรีก, กันนาดา, กาลิเชียน, คลิงออน, คอร์สิกา, คาซัค, คาตาลัน, คินยารวันดา, คีร์กิซ, คุชราต, จอร์เจีย, จีน, จีนดั้งเดิม, ชวา, ชิเชวา, ซามัว, ซีบัวโน, ซุนดา, ซูลู, ญี่ปุ่น, ดัตช์, ตรวจหาภาษา, ตุรกี, ทมิฬ, ทาจิก, ทาทาร์, นอร์เวย์, บอสเนีย, บัลแกเรีย, บาสก์, ปัญจาป, ฝรั่งเศส, พาชตู, ฟริเชียน, ฟินแลนด์, ฟิลิปปินส์, ภาษาอินโดนีเซี, มองโกเลีย, มัลทีส, มาซีโดเนีย, มาราฐี, มาลากาซี, มาลายาลัม, มาเลย์, ม้ง, ยิดดิช, ยูเครน, รัสเซีย, ละติน, ลักเซมเบิร์ก, ลัตเวีย, ลาว, ลิทัวเนีย, สวาฮิลี, สวีเดน, สิงหล, สินธี, สเปน, สโลวัก, สโลวีเนีย, อังกฤษ, อัมฮาริก, อาร์เซอร์ไบจัน, อาร์เมเนีย, อาหรับ, อิกโบ, อิตาลี, อุยกูร์, อุสเบกิสถาน, อูรดู, ฮังการี, ฮัวซา, ฮาวาย, ฮินดี, ฮีบรู, เกลิกสกอต, เกาหลี, เขมร, เคิร์ด, เช็ก, เซอร์เบียน, เซโซโท, เดนมาร์ก, เตลูกู, เติร์กเมน, เนปาล, เบงกอล, เบลารุส, เปอร์เซีย, เมารี, เมียนมา (พม่า), เยอรมัน, เวลส์, เวียดนาม, เอสเปอแรนโต, เอสโทเนีย, เฮติครีโอล, แอฟริกา, แอลเบเนีย, โคซา, โครเอเชีย, โชนา, โซมาลี, โปรตุเกส, โปแลนด์, โยรูบา, โรมาเนีย, โอเดีย (โอริยา), ไทย, ไอซ์แลนด์, ไอร์แลนด์, การแปลภาษา.
- ฉันว่านางเอกมิวสิกสวยแต่สวยไม่เท่าฉัน
- ภูมิใจ
- ทำการเปรียบเทียบการเปลี่ยนแปลงการใช้ที่ด
- The Sustainability Collection consists o
- เช่น สัตว์น้ำหลากหลายชนิด ปะการัง และพืช
- i want him to return my call, so I'll ha
- cartilage
- Rates are as posted in the trade thread.
- ยาก
- คุณเลิกเงี่ยนใส่ฉันได้ไหม
- ถ้าไม่มีคุณฉันคงตาย
- เพื่อนในมหาวิทยาลัย
- รับราชการ
- ความรู้สึกหลังจากการดูหนังเรื่อง
- Don't worry I will try to get the pictur
- แล้วพบกัน
- I hope king's day be as bright as your s
- ฉันไม่เคยไปภูเก็ตมาก่อน
- เป็นแหล่งอาหาร,สร้างอาชีพและยารักษาโรค
- Wheat germ and other sources of plant le
- สัญญาเงินกู้
- fucking shit!
- สิ่งนี้เองที่เป็นจุดเริ่มต้นของศิลปินไทย
- สิ่งใหม่ในการค้นหา
