Mô hình phân quyền : ACL, DAC, MAC, RBAC

ACL (Access Control List – Danh sách điều khiển truy cập)

Là hình thức phân quyền dựa trên một list những quyền truy vấn .Nội dung chính

• Mô hình phân quyền : ACL, DAC, MAC, RBAC
• ACL (Access Control List – Danh sách điều khiển truy cập)
• DAC (Discretionary Access Control – Điều khiển truy cập tùy quyền)
• MAC (Mandatory access control – Điều khiển truy cập bắt buộc)
• RBAC (Role-Based Access Control – Điều khiển truy cập theo vai)
• Mô Hình Phân Quyền – Access Control
• Giới thiệu
• 1. Tổng quan về kiểm soát truy cập?
• 2. Khái niệm ma trận điều khiển truy cập
• Ghi chúSửa đổi
• Xem thêmSửa đổi
• Liên kết ngoàiSửa đổi
• Định nghĩa Role-Based Access Control (RBAC) là gì?
• Thuật ngữ Role-Based Access Control (RBAC)
• Role-Based Access Control (RBAC) là gì? Đây là một thuật ngữ Kỹ thuật và công nghệ
• ✅ Mô hình phân quyền : ACL, DAC, MAC, RBAC – Kipalog
• Điều khiển truy cập trên cơ sở vai trò
• Không gian tên
• Tác vụ trang
• Video liên quan

• Subject có thể Action tới Object.
• Dựa vào người dùng và nhóm người dùng.

Ví dụ

• Cho phép Nguyễn Văn A tạo bài viết

‘Subject’ : ‘Nguyễn Văn A’
‘Action’ : ‘Tạo’
‘Đối tượng’ : ‘Bài viết’

• Nguyễn Văn A có thể tạo bài viết..

Ví dụ : Phân quyền trong MySql.

DAC (Discretionary Access Control – Điều khiển truy cập tùy quyền)

Là hình thức phân quyền dựa trên một list những quyền truy vấn, DAC khác ACL ở chỗ chủ thể của đối tượng người dùng hoàn toàn có thể ủy quyền cho một chủ thể khác .

• Subject có thể Action tới Object.
• Subject có thể Grant cho Subject khác.
• Dựa vào người dùng và nhóm người dùng.

Ví dụ

• Cho phép Nguyễn Văn A tạo bài viết

‘Subject’ : ‘Nguyễn Văn A’
‘Action’ : ‘Tạo’
‘Đối tượng’ : ‘Bài viết’

• Nguyễn Văn A có thể tạo bài viết.
• Nguyễn Văn A cho phép Lê Văn B tạo bài viết

‘Subject’ : ‘Lê Văn B’
‘Action’ : ‘Tạo’
‘Đối tượng’ : ‘Bài viết’

• Lê Văn B có thể tạo bài viết.

Ví dụ : Phân quyền file trong những hệ quản lý và điều hành .

MAC (Mandatory access control – Điều khiển truy cập bắt buộc)

Là hình thức phân quyền dựa trên một list những quyền truy vấn, tuy nhiên thay vì hướng chủ thể thì MAC hoàn toàn có thể hướng cả đối tượng người tiêu dùng nữa .

• Subject có thể Action tới Object.
• Object có thể Action bởi Object.
• Dựa vào người dùng và nhóm người dùng.

Ví dụ

• Cho phép Nguyễn Văn A tạo bài viết

‘Subject’ : ‘Nguyễn Văn A’
‘Action’ : ‘Tạo’
‘Đối tượng’ : ‘Bài viết’

• Nguyễn Văn A có thể tạo bài viết.
• Bài viết có thể sửa bởi Lê Văn B

‘Đối tượng’ : ‘Bài viết’
‘Action’ : ‘Tạo’
‘Subject’ : ‘Lê Văn B’

• Lê Văn B có thể tạo bài viết.

Ví dụ : SELinux .

RBAC (Role-Based Access Control – Điều khiển truy cập theo vai)

Là hình thức phân quyền dựa vào vai, mỗi Subject sẽ thuộc một hoặc nhiều Role. Mỗi Role lại có một hoặc nhiều Permission thực thi kích hoạt tới Object .

• Một Subject thuộc một hoặc nhiều Vai
• Một Vai có một hoặc nhiều Quyền.

Ví dụ

• Người dùng Nguyễn Văn A có quyền Admin, User.
• Người dùng Lê Văn B có quyền User.
• User có quyền Đọc bài viết.
• Admin có quyền Đọc, Thêm. Sửa, Xóa bài viết.

=>

• Người dùng A có quyền Đọc, Thêm. Sửa, Xóa bài viết.
• Người dùng Lê Văn B có quyền Đọc bài viết.

Ví dụ : Phân quyền của VBulettin, Xenforo, … v … v …

Mô Hình Phân Quyền – Access Control

Giới thiệu

1. Danh sách điều khiển truy cập – Access Control List
2. Điều khiển truy cập bắt buộc – Mandatory Access Control
3. Điều khiển truy cập tùy quyền – Discretionary Access Control (DAC)
4. Điều khiển truy cập theo vai – Role Based Access Control (RBAC)
5. Điều khiển truy cập theo thuộc tính – Attribute Based Access Control (ABAC)

1. Tổng quan về kiểm soát truy cập?

Xem thêm : Aob Là Gì – Aob Nghĩa Là GìTa hãy coi một mạng lưới hệ thống cơ bản sẽ gồm có những thành phần sau :
U : tập người dùng hoặc nhóm người dùngO : tập tài nguyên mạng lưới hệ thống ( những đối tượng người tiêu dùng trong mạng lưới hệ thống ) R : tập những quyền, những hành vi ảnh hưởng tác động lên đối tượng người tiêu dùng
Một chính sách tinh chỉnh và điều khiển truy vấn đơn cử ( AC mechanism ) sẽ quyết định hành động hàng loạt câu truyện được cho phép và san sẻ tài nguyên dựa những quyền này như thế nào ? Hơn nữa việc trấn áp mạng lưới hệ thống sẽ bảo vệ nguyên tắc tối thiếu độc quyền trong CNTT ( Principle of least priviledge )

2. Khái niệm ma trận điều khiển truy cập

Khái niệm ma trận truy vấn ( Access Control Matrix – ACM ) là công cụ hình thức cơ bản để thể hiện trạng thái bảo vệ mạng lưới hệ thống một cách chi tiết cụ thể và đúng mực. Nó cung ứng thông tin chi tiết cụ thể và đúng chuẩn rằng, tại thời gian đang xét, một tài nguyên nào đó hoàn toàn có thể truy vấn bởi một user nào đó với những quyền được cho phép đơn cử xác lập nào đó .
Đơn giản hóa, hãy coi nó như một “ bảng tham chiếu ” để mạng lưới hệ thống xem user nào đó được triển khai những quyền gì trên đối tượng người dùng O. Trước khi người dùng triển khai ảnh hưởng tác động R lên đối tượng người tiêu dùng O trong mạng lưới hệ thống, mạng lưới hệ thống sẽ kiểm tra ACL này xem có được phép hay không ?
Tùy thuộc vào thứ tự những thành phần này mà ta có những quy mô trấn áp truy vấn khác nhau
ACL : O x U x LCL : U x O x RACT : U x R x O
Ta xét những cách tạo ACL của một mạng lưới hệ thống gồm có 2 user Joe và Sam, tài nguyên mạng lưới hệ thống gồm có file 1, file 2, tập quyền gồm có đọc và ghi

ACL: O x U x L

Cài này có lẽ rằng được sử dụng thông dụng nhất và thay vì gọi ma trận điều khiển và tinh chỉnh truy vấn, người ta sử dụng luôn khái niệm ACL cho mọi người dễ hình dùng. Về cơ bản, những thông tin của nó sẽ như sau :
FIle 1File 2

CL: danh sách năng lực (capability list) U x O x R

Joe :
File 1 / Read, File 1 / Write ,
File 1 / Own, File 2 / Read
Sam :
File 2 / Read, File 2 / Write
File 2 / Own

ACT (Access Control Triples) U x R x O

URO

Tùy vào ứng dụng mà bạn hoàn toàn có thể chọn một trong những ma trận trên làm bảng để “ ánh xạ truy vấn ” cho ứng dụng của mình

Ghi chúSửa đổi

1. ^

   Thao tác gọi là được phân định tinh tế (tiếng Anh: Fine Grained) là thao tác tương đối nhỏ về cỡ của mã lệnh (code) cũng như về thời gian thi hành đòi hỏi (excution time). Trong truy cập thông tin, các thao tác được phân định mức truy cập tinh tế (fine grained access) đòi hỏi sự truy cập nhiều lần của nhiều thao tác nhỏ để hoàn thành một nhiệm vụ. Chẳng hạn, để cập nhật một bản ghi (update a record), trình ứng dụng phải phân định chu trình cập nhật thành những phần nhỏ, và chỉ cho phép thao tác cập nhật từng trường một (a field at a time). Sau khi một trường đã được cập nhật, thì mới được thao tác cho trường tiếp theo. Mỗi thao tác có thể được kiểm tra về tính hợp pháp của nó.

   Xem thêm: Đầu số 0127 đổi thành gì? Chuyển đổi đầu số VinaPhone có ý nghĩa gì? – http://139.180.218.5

2. ^ Trong triết lý tập hợp ( tiếng Anh : Set Theory ), Một siêu tập bao trùm những tiểu tập. Khi tất cả chúng ta viết A ⊆ B, thì nó có nghĩa là A là một tiểu tập của B, và B ⊇ A có nghĩa là B là siêu tập của A. Một khái niệm B trở thành siêu tập của một khái niệm A có nghĩa là khái niệm B có những đặc tính bao trùm khái niệm A và A chỉ là một khái niệm rút ra từ khái niệm B, hay nói cách khác, khái niệm A được tăng trưởng dựa trên nền của khái niệm B, và chỉ xử lý một phần của khái niệm B mà thôi .

Xem thêmSửa đổi

• LBAC Điều khiển truy cập dùng bố trí mắt lưới (tương tự như Điều khiển truy cập bắt buộc) (Lattice-Based Access Control (Equivalent to Mandatory Access Control (MAC) ).
• Nhãn hiệu an ninh (Security labels)
• Phân cấp an ninh (Security classification)
• Kênh truyền che đậy (Covert channel)
• Tường Trung Hoa (Chinese wall)
• Xác thực (Authentication)
• Sự tin cậy mù quáng (Blind credential)
• Sudo (một chương trình ứng trong hệ điều hành Unix cho phép người dùng có đẳng cấp thấp thao tác những chức năng của người dùng siêu đẳng cấp.) (superuser do) Unix program

Liên kết ngoàiSửa đổi

• Role Based Access Controls at NIST – huge US government website with lots of information on the theory and implementation of RBAC
• XACML core and hierarchical role based access control profile – OASIS XACML standard. (PDF file)
• RBAC for WebApps using LDAP RBAC for WebApps using LDAP
• System Administration Guide: Basic Administration setting up RBAC for Solaris Operating Environment
• RBAC: An Alternative to the Superuser Model Role-Based Access Control (Overview) for Solaris Operating Environment
• Beyond Roles: A Practical Approach to Enterprise User Provisioning

Định nghĩa Role-Based Access Control (RBAC) là gì?

Role-Based Access Control (RBAC) là Access Control dựa trên vai trò (RBAC). Đây là nghĩa tiếng Việt của thuật ngữ Role-Based Access Control (RBAC) – một thuật ngữ thuộc nhóm Technology Terms – Công nghệ thông tin.

Độ phổ biến(Factor rating): 5/10

Dựa trên vai trò trấn áp truy vấn ( RBAC ) là một chiêu thức bảo mật thông tin truy vấn dựa trên vai trò của một người trong một doanh nghiệp. trấn áp truy vấn dựa trên vai trò là một cách để phân phối bảo mật thông tin chính do nó chỉ cho phép nhân viên cấp dưới truy vấn thông tin họ cần phải làm việc làm của họ, trong khi ngăn ngừa họ truy vấn vào thông tin bổ trợ không phải là tương quan đến họ. vai trò của một nhân viên cấp dưới xác lập những pháp luật mà họ được cấp và bảo vệ rằng những nhân viên cấp dưới cấp dưới không hề truy vấn thông tin nhạy cảm hoặc triển khai những trách nhiệm cấp cao .

Xem thêm: Thuật ngữ công nghệ A-Z

Thuật ngữ Role-Based Access Control (RBAC)

Role-Based Access Control (RBAC) là gì? Đây là một thuật ngữ Kỹ thuật và công nghệ

Role-Based Access Control ( RBAC ) là Access Control dựa trên vai trò ( RBAC ). Đây là nghĩa tiếng Việt của thuật ngữ Role-Based Access Control ( RBAC ) – một thuật ngữ thuộc nhóm Technology Terms – Công nghệ thông tin .

Độ phổ biến(Factor rating): 5/10

Dựa trên vai trò trấn áp truy vấn ( RBAC ) là một giải pháp bảo mật thông tin truy vấn dựa trên vai trò của một người trong một doanh nghiệp. trấn áp truy vấn dựa trên vai trò là một cách để cung ứng bảo mật thông tin chính bới nó chỉ cho phép nhân viên cấp dưới truy vấn thông tin họ cần phải làm việc làm của họ, trong khi ngăn ngừa họ truy vấn vào thông tin bổ trợ không phải là tương quan đến họ. vai trò của một nhân viên cấp dưới xác lập những pháp luật mà họ được cấp và bảo vệ rằng những nhân viên cấp dưới cấp dưới không hề truy vấn thông tin nhạy cảm hoặc triển khai những trách nhiệm cấp cao .

✅ Mô hình phân quyền : ACL, DAC, MAC, RBAC – Kipalog

4 Jul 2019 · RBAC ( Role-Based Access Control – Điều khiển truy vấn theo vai ) .. ． Là hình thức phân quyền dựa ѵào vai ， mỗi Subject sẽ thuộc một hoặc nhiều Role ．
Trích nguồn : …

Điều khiển truy cập trên cơ sở vai trò

Không gian tên

• Nội dung
• Thảo luận

Tác vụ trang

• Xem
• Lịch sử
• Thêm nữa

Trong an ninh đối với các hệ thống máy tính, điều khiển truy cập trên cơ sở vai trò (tiếng Anh: Role-Based Access Control – viết tắt là RBAC) là một trong số các phương pháp điều khiển và đảm bảo quyền sử dụng cho người dùng. Đây là một phương pháp có thể thay thế Điều khiển truy cập tùy quyền (discretionary access control – DAC) và Điều khiển truy cập bắt buộc (mandatory access control – MAC).

Điều khiển truy vấn trên cơ sở vai trò ( RBAC ) khác với hình thức MAC và DAC truyền thống lịch sử. MAC và DAC trước kia là hai quy mô duy nhất được phổ cập trong tinh chỉnh và điều khiển truy vấn. Nếu một mạng lưới hệ thống không dùng MAC thì người ta chỉ hoàn toàn có thể cho rằng mạng lưới hệ thống đó dùng DAC, hoặc ngược lại, mà thôi. Song cuộc điều tra và nghiên cứu trong những năm 1990 đã chứng tỏ rằng RBAC không phải là MAC hoặc DAC .Trong nội bộ một tổ chức triển khai, những vai trò ( roles ) được kiến thiết để đảm nhiệm những tính năng việc làm khác nhau. Mỗi vai trò được gắn liền với 1 số ít quyền hạn được cho phép nó thao tác một số ít hoạt động giải trí đơn cử ( ‘ permissions ‘ ). Các thành viên trong lực lượng cán bộ công nhân viên ( hoặc những người dùng trong mạng lưới hệ thống ) được phân phối một vai trò riêng, và trải qua việc phân phối vai trò này mà họ tiếp thu được một số ít những quyền hạn được cho phép họ thi hành những công dụng đơn cử trong mạng lưới hệ thống .Vì người dùng không được cấp phép một cách trực tiếp, tuy nhiên chỉ tiếp thu được những quyền hạn trải qua vai trò của họ ( hoặc những vai trò ), việc quản trị quyền hạn của người dùng trở thành một việc đơn thuần, và người ta chỉ cần chỉ định những vai trò thích hợp cho người dùng mà thôi. Việc chỉ định vai trò này đơn giản hóa những việc làm thường thì như việc cho thêm một người dùng vào trong mạng lưới hệ thống, hay đổi ban công tác ( department ) của người dùng .RBAC khác với những list điểu khiển truy vấn ( access control list – ACL ) được dùng trong mạng lưới hệ thống tinh chỉnh và điều khiển truy vấn tùy quyền, ở chỗ, nó chỉ định những quyền hạn tới từng hoạt động giải trí đơn cử với ý nghĩa trong cơ quan tổ chức triển khai, thay vì tới những đối tượng người dùng tài liệu hạ tầng. Lấy ví dụ, một list tinh chỉnh và điều khiển truy vấn hoàn toàn có thể được dùng để cho phép hoặc phủ nhận quyền truy vấn viết một tập tin mạng lưới hệ thống ( system file ), tuy nhiên nó không nói cho ta biết phương cách đơn cử để đổi khác tập tin đó. Trong một mạng lưới hệ thống dùng RBAC, một thao tác hoàn toàn có thể là việc một chương trình ứng dụng tài chính kiến tạo một thanh toán giao dịch trong ‘ thông tin tài khoản tín dụng thanh toán ‘ ( credit account transaction ), hay là việc một chương trình ứng dụng y học khởi thủy một bản ghi ‘ thử nghiệm nồng độ đường trong máu ‘ ( blood sugar level test ). Việc chỉ định quyền hạn được cho phép thi hành một thao tác nhất định là một việc làm đầy ý nghĩa, vì những thao tác đã được phân định tinh xảo [ 1 ] và mỗi cá thể thao tác có một ý nghĩa riêng trong chương trình ứng dụng .Với khái niệm về mạng lưới hệ thống cấp bậc trong vai trò ( role hierarchy ) và khái niệm về những ràng buộc ( constraints ), ta hoàn toàn có thể tinh chỉnh và điều khiển RBAC để xây đắp hoặc mô phỏng tinh chỉnh và điều khiển truy vấn dùng sắp xếp mắt lưới ( Lattice-Based Access Control – LBAC ). Vì thế RBAC hoàn toàn có thể được coi như là một siêu tập [ 2 ] ( superset ) của LBAC .Khi định nghĩa một quy mô RBAC, những quy ước sau đây là những quy ước hữu dụng và cần phải xem xét :

• U = (User)Người dùng = Một người hoặc một tác nhân tự động.
• R = (Role)Vai trò = Chức năng công việc / Danh hiệu dùng định nghĩa một cấp bậc quyền thế.
• P = Quyềnn được cấp = Sự phê chuẩn một hình thức truy cập tài nguyên.
• S = (Session)Phiên giao dịch = Một xếp đặt liên kết giữa U, R và P
• UA = (User Assignment)Chỉ định người dùng.
• PA = (Permission Assignment)Cấp phép
• RH = (Role Hierarchy)Sắp xếp trật tự một phần nào theo thứ tự cấp bậc của vai trò. RH còn có thể được viết là >
• Một người dùng có thể có nhiều vai trò.
• Một vai trò có thể có thể có nhiều người dùng.
• Một vai trò có thể có nhiều phép được cấp cho nó.
• Một phép được cấp có thể được chỉ định cho nhiều vai trò.

Phép được cấp cho những vai trò trái chiều hoàn toàn có thể sẽ bị hạn chế năng lực thừa kế của chúng, nếu một hạn chế ( constraint ) nào đấy đặt một điều luật số lượng giới hạn nó. Chẳng hạn, một cá thể không hề vừa được phép thiết kế một trương mục đăng nhập cho một người nào đấy, vừa được phép ủy quyền thủ tục .Chính vì thế, bằng việc sử dụng ký hiệu của triết lý tập hợp ( set theory ), tất cả chúng ta hoàn toàn có thể viết :

• PA là một tiểu tập của (hoặc bằng) P x R và là một phép cấp có mối quan hệ nhiều đối nhiều (many to many) với chỉ định vai trò.
• UA là một tiểu tập của (hoặc bằng) U x R và có mối quan hệ nhiều đối nhiều (many to many) với chỉ định vai trò.
• RH là một tiểu tập của (hoặc bằng) R x R

Ký hiệu : x > y có nghĩa là y thừa kế những phép cấp của x .

Một người dùng có thể cùng một lúc có một bội số các phiên giao dịch với nhiều phép được cấp khác nhau (multiple simultaneous sessions with different permissions).

Việc sử dụng RBAC để quản trị những độc quyền của người dùng trong một mạng lưới hệ thống duy nhất hay trong một chương trình ứng dụng là một thực hành thực tế tốt nhất được thoáng đãng đồng ý chấp thuận. Các mạng lưới hệ thống gồm có thư mục năng động ( Active Directory ) của Microsoft, SELinux, Oracle DBMS, PostgreSQL 8.1, SAP R / 3 và nhiều cái khác đều phần đông thực thi một trong những hình thức của RBAC .

Tuy nhiên, việc sử dụng RBAC để quản lý quyền lợi của người dùng, trên toàn thể các chương trình ứng dụng, là một việc làm còn nhiều tranh luận. Sở dĩ như vậy là vì người dùng thường là một đơn vị đặc hữu (unique), cho nên nhiệm vụ định nghĩa các vai trò tương ứng (defining sufficient roles) và chỉ định các tư cách hội viên cho các vai trò một cách phù hợp, trong một tổ chức với hạ tầng cơ sở kỹ thuật thông tin (IT) không đồng nhất, hòng nắm bắt các nhu cầu về quyền lợi, trong khi các nhu cầu này có tầm trải rộng trên hàng chục, hằng trăm hệ thống và trên các chương trình ứng dụng, là một việc hết sức phức tạp. Vấn đề này, và những chiến lược thay thế, hiện đang được bàn luận trên bạch thư (white paper): Beyond Roles: A Practical Approach to Enterprise User Provisioning (Bên ngoài giới hạn của các vai trò: Một tiếp cận thực tiễn trong Kinh doanh Cung cấp Người dùng).