Delegování (zabezpečení počítače) - Delegation (computer security) - Wikipedia

Delegace je proces, kdy uživatel počítače předává svá ověřovací pověření jinému uživateli.[1][2] V modelech řízení přístupu založených na rolích zahrnuje delegování oprávnění delegování rolí, které může uživatel převzít, nebo sadu oprávnění, která může získat, na ostatní uživatele.[3]

Druhy delegování v IT sítích

V zásadě existují dvě třídy delegování: delegace v Ověření / Úroveň identity a delegování na Oprávnění /Řízení přístupu Úroveň.

Delegování na úrovni ověřování / identity

Je definován takto: Pokud mechanismus ověřování poskytuje účinnou identitu odlišnou od ověřené identity uživatele, pak se nazývá delegování identity na úrovni ověřování, pokud vlastník účinné identity dříve autorizoval vlastníka ověřené identity k použití jeho identita.[4]

Existující techniky delegování identity pomocí sudo nebo su příkazy systému UNIX jsou velmi populární.[Citace je zapotřebí ] Chcete-li použít sudo povel, musí osoba nejprve zahájit relaci se svou vlastní původní identitou. Vyžaduje heslo delegovaného účtu nebo výslovná oprávnění udělená správcem systému. Delegování přihlášení uživatele popsané v patentu Mercredi a Frey je také delegováním identity.[5]

Delegování na úrovni autorizace / kontroly přístupu

Nejběžnějším způsobem zajištění bezpečnosti počítače jsou mechanismy kontroly přístupu poskytované operačními systémy, jako jsou UNIX, Linux, Windows, Mac OS atd.[6]

Pokud je delegace pro velmi specifická práva, známá také jako jemnozrnná, například s Řízení přístupu na základě rolí (RBAC) delegování, pak vždy existuje riziko nedostatečného delegování, tj. Delegátor nedeleguje všechna potřebná oprávnění k provedení delegované úlohy. To může způsobit odmítnutí služby, což je v některých prostředích, například v systémech kritických z hlediska bezpečnosti nebo ve zdravotní péči, velmi nežádoucí. V delegování založeném na RBAC je jednou z možností, jak dosáhnout delegování, opětovné přiřazení sady oprávnění roli delegáta; nalezení příslušných oprávnění pro konkrétní úlohu však není pro velké a složité systémy snadný úkol. Přiřazením těchto oprávnění roli delegáta navíc získají delegovaná práva všichni ostatní uživatelé, kteří jsou přidružení k dané konkrétní roli.

Pokud je delegace dosažena přiřazením rolí delegáta delegátovi, pak by se nejednalo pouze o nadměrné delegování, ale také o problém, který musí delegátor zjistit, jaké role jsou ve složité hierarchii RBAC nutné vykonávat konkrétní práci. Tyto typy problémů nejsou přítomny v mechanismech delegování identity a uživatelské rozhraní je obvykle jednodušší.

Více podrobností naleznete na RBAC.

Reference

  1. ^ Barka, E., Sandhu, R .: Model delegace na základě rolí a některá rozšíření. In: Proceedings of 16th Annual Computer Security Application Conference, New Orleans, USA (prosinec 2000)
  2. ^ Mechanismus delegování identity na úrovni autentizace, N Ahmed, CD Jensen - Sborník ze 14. severské konference…, 2009 - portal.acm.org, 2009
  3. ^ „Jemně definované delegování na základě rolí za přítomnosti hierarchie hybridních rolí“. Purdue University. 2006. Citováno 29. března 2014.
  4. ^ Mechanismus delegování identity na úrovni autentizace, N Ahmed, CD Jensen - Sborník ze 14. severské konference…, 2009 - portal.acm.org, 2009
  5. ^ Mercredi, Frey: Delegování přihlášení uživatele. Zveřejnění patentové přihlášky USA, USA 2004/0015702 A1 2004
  6. ^ Gollmann, D .: Počítačová bezpečnost 2e. John Wiley and Sons, Chichester (2005)