کنترل دسترسی مبتنی بر ویژگی (ABAC)

کنترل دسترسی مبتنی بر ویژگی (ABAC) رویکرد متفاوتی برای کنترل دسترسی است که در آن دسترسی کاربر بر اساس نقش یا گروه دسترسی کاربر داده نمی‌شود، بلکه از طریق خط‌مشی‌هایی که از ترکیب ویژگی‌های مختلف است به کاربران داده می‌شود. این خط‌مشی‌ها می‌تواند از هر نوع ویژگی (ویژگی‌های کاربر، ویژگی‌های منابع، شی‌ء، محیط و …) استفاده کند. این مدل از منطق بولی پشتیبانی می‌کند که در آن قوانین “اگر، پس” (IF, Then) به کار می‌رود. به عنوان مثال اگر درخواست‌کننده مدیر مالی باشد، پس دسترسی خواندن و نوشتن به داده‌های حساس مالی به او داده شود. استفاده از این روش هرچند دشواری‌‌هایی در پیاده‌سازی اولیه دارد ولی سیستمی امن، قابل اطمینان، پشتیبانی ساده‌تر بویژه برای سامانه‌های یکپارچه فراهم می‌کند.

مقدمه

کنترل دسترسی مبتنی بر ویژگی احراز هویت و مجوز یا در واقع “چه‌کسی هستید” و “چه کاری می‌توانید انجام دهید” را از هم جدا می‌کند. ABAC داده‌های توصیفی (ویژگی‌ها) را در برابر خط‌مشی‌ها ارزیابی می‌کند تا مشخص کند کاربر مجاز به دسترسی به منابع درخواست‌شده است.
روش سنتی کنترل دسترسی، مبتنی بر هویت کاربر است که درخواست اجرای یک قابلیت (مانند خواندن یا نوشتن) روی یک شی‌ء (مانند یک فایل) برای یک کاربر به طور مستقیم برای آن کاربر یا نقش و گروه از پیش تعریف‌شده‌ی کاربر فراهم می‌کند. این روش دو مشکل اساسی دارد یکی نیاز به مدیریت گروه‌ها یا نقش‌ها برای افزودن قابلیت‌های بیشتر با توجه به توسعه‌ی نرم‌افزار که دشواری خاص خود را دارد و یکی دیگر این‌که اغلب در دنیای واقعی کنترل دسترسی فقط به وسیله‌ی گروه کاربر کافی نیست. بر این پایه، روش درست برای کنترل دسترسی با توجه به ویژگی‌های کاربر، ویژگی‌های محیطی و ویژگی‌های شی‌ء است که به نام ABAC می‌شناسیم.

پشتیبانی‌ از خط‌مشی‌های محاسبه‌شدنی

ABAC حساس به متن است و از امنیتی پویا پشتیبانی می‌کند. در اینجا نمونه‌هایی برای آشنایی بیشتر آورده شده است:
– اطلاعات مشتری را فقط به سرپرستانی که 15 ساعت آموزش را پشت سر گذاشته اند و در ساعات کاری درخواست می‌دهند، نشان بده.
– دسترسی به سیستم فقط به کاربرانی داده می‌شود که از مکان جغرافیایی خاصی درخواست می‌دهند، داده می‌شود.
– اگر یک کاربر در طول روز 5 بار به اطلاعات حساب مشتری دسترسی داشته باشد، درخواست را رد کرده و مدیر گزارش می‌دهد

مؤلفه‌های اصلی ABAC

• انباره‌ی خط‌ مشی: مجموعه‌ای از قوانین و خط‌مشی‌ها که تصمیم‌گیری برای دسترسی‌ را راهبری می‌کند.

• ویرایشگر خط‌ مشی: ویرایشگر خط‌مشی ابزاری نرم‌افزاری است که به مدیران این امکان را می‌دهد خط‌مشی‌هایی را که توسط موتور تصمیم ‌گیری ارزیابی و اجرا می شود را ایجاد و ویرایش کنند.

• نقطه‌ی اطلاعاتی خط‌ مشی: شامل انباره‌های داده‌های سازمانی مانند LDAP، MySQL، Oracle یا SQL Server که جزئیات یا همان ویژگی‌ها را دارد. ویژگی‌ها، نقاط داده‌ای هستند که برای ارزیابی درخواست کاربر در برابر خط‌مشی استفاده می‌شد.
• سرویس تصمیم‌گیری خط‌ مشی: سرویس تصمیم‌گیری خط مشی، موتوری است که درخواست های کاربر را در برابر خط مشی‌ها و ویژگی‌های مربوطه ارزیابی می‌کند ، در مورد دسترسی‌ها تصمیم می‌گیرد و پاسخ و اقدامات مناسب را راه اندازی می‌کند.
• نقطه اجرای خط‌ مشی: نقطه اجرای خط‌مشی (PEP) درخواست‌های دسترسی را متوقف می‌کند و آنها را برای دریافت مجوز به سرویس تصمیم‌گیری خط مشی ارسال می‌کند.

شیوه‌ی محافظت از اشیاء

در سیستم ABAC، مجوزها با مجموعه‌ای قوانین قابل اندازه‌گیری همراه است و مجوزها به کاربرانی اعطا می‌شود که بتوانند این قوانین را اثبات کنند.
توجه داشته باشید که از طریق همین قوانین می‌توان اشیاء را نیز محافظت کرد. برای نمونه: “فیلم‌های MPEG بزرگسالان، فقط توسط کاربران با رده‌ی سنی مساوی یا بزرگتر از 18 سال قابل دریافت است” در چنین مجوزی، به هیچ شناسه‌ی خاصی از کاربر، مانند نام کاربری اشاره نمی‌شود. بلکه به طور ضمنی برای کلیه‌ی کاربرانی اعمال می‌شود که سن ایشان شرط مساوی‌بودن یا بزرگتر از 18 را تایید می‌کند.
به طور مشابه، اشیاء محافظت‌شده با ویژگی‌ای مانند نام، نشانه‌گذاری نمی‌شوند. نشانه‌گذاری آن‌ها توسط عنوان “طبقه‌بندی برای بزرگسالان” انجام می‌شود. بنا بر این، ABAC به ویژگی‌هایی که اشیاء را توصیف می‌کند، اعتماد دارد. برای انتقال مفاهیم ABAC از یک زبان بر پایه‌ی XML بهره می‌بریم که توضیح آن در پی می‌آید.

XACML

در چند سال گذشته زبان XACML (زبان نشانه‌گذاری کنترل دسترسی گسترش‌پذیر) موفقیت خود را به عنوان استانداردی برای توسعه راه حل‌های امنیتی اثبات کرده است.
نیاز گسترده به همکاری و به‌اشتراک‌گذاری داده‌ها در حوزه‌های مختلف سازمانی، منجبر به توسعه‌ی یک زبان استاندارد مبتنی بر ویژگی و مبتنی بر XML برای بیان خط‌مشی‌های کنترل دسترسی شد؛ XACML زبانی مبتنی بر XML است که خط‌مشی‌های کنترل دسترسی، درخواست‌های دسترسی و تصمیمات کنترل دسترسی را مشخص می‌کند. XACML با جنبه‌های کلیدی زیر مشخص می‌شود:

– مجوزها با سه‌گانه‌ای به فرم زیر بیان می‌شود:

<Resource, Subject, Action>

(واژه‌ی Resource به معنی شی‌ء محافظت‌شده به کار می‌رود.)

هر موجودیتی در چنین سه‌گانه‌ای، می‌تواند با یک شناسه یا مجموعه‌ای از شرایط مرتبط با آن موجودیت مشخص شود.
– XACML از خط‌مشی‌های کنترل دسترسی ساخت‌یافته پشتیبانی می‌کند. عنصر بالایی هر خط‌مشی XACML مجموعه‌ای از policy هاست. هر کدام از policyها با عناصر دیگر policy یا در واقع policyهای دیگر جمع می‌شود. عنصر اصلی هر عنصر policy، ruleهاست که شامل چندین قانون یا در واقع چندین مجوز بر پایه‌ی سه‌گانه‌ی یادشده است.
– از مجوزهای سلبی پشتی‌بانی می‌کند و الگوریتم‌های متفاوتی برای دسترسی‌های متضاد در ruleهای مختلف و policyهای مختلف ارائه می‌دهد.
– توسعه‌پذیر است. عناصر XACML می‌تواند شامل توابع، شناسه‌ها، نوع داده‌ها، الگوریتم‌های rule-combining و الگوریتم‌های policy-combining باشد.
نمونه‌ای از policy در XACML در زیر نشان داده شده است. استاندارد XACML هم‌چنین شامل یک مدل جریان داده می‌شود که مؤلفه‌های اصلی معماری سیستم کنترل دسترسی مبتنی بر XACML و جریان داده‌ی در میان این مؤلفه‌ها را مشخص می‌کند