کسب اجازه
در بحث مهندسی امنیت و امنیت رایانه، اجازه بخشی از سیستمعامل میباشد که وظیفهٔ تخصیص منابع سیستم را به وسیلهٔ دادن دسترسی به مصرفکنندگانی که مجاز هستند از آنها استفاده کنند بر عهده دارد. منابع شامل فایلهای شخصی یا آیتمهای دیتا، برنامههای کامپیوتر، ابزارهای کامپیوتر و قابلیت عملکرد فراهم شده توسط برنامههای کاربردی کامپیوتر میباشند. کاربران کامپیوتر، برنامههای کامپیوتر و ابزارهای دیگر روی کامپیوتر، نمونههایی از مصرفکنندگان منابع هستند.
مقدمه
فرایند authorization برای تصمیمگیری در مورد اینکه شخص، برنامه یا دستگاه X مجاز به دسترسی به داده، قابلیت یا سرویس Y میباشد یا خیر، استفاده میشود.
اغلب سیستمعاملهای مدرن چند کاربره شامل یک فرایند authorization میباشند. هنگامی که یک مصرفکننده سعی در استفاده از یکی از منابع را دارد، فرایند authorization بررسی میکند که آیا این مصرفکننده اجازه استفاده از آن منبع را دارد یا خیر. در برخی از انواع برنامه کاربردی سیاست امنیت، مجوزها از قبیل یک لیست کنترل دسترسی یا توانایی، بهطور کلی توسط مدیر سیستم کامپیوتری (Administrator) و بر مبنای اعطای کمترین امتیاز، تعریف میگردند: مصرفکنندگان باید تنها به منابعی دسترسی داشته باشند که برای انجام وظایف خود به آنها نیاز دارند.
سیستمعاملهای تک کاربره و قدیمی تر، اغلب یا سیستمهای authorization و احراز اصالت (Authentication) ندارند یا اینکه از این نظر ضعیف هستند.
مصرفکنندگان با نام مستعار یا مهمانها، مصرفکنندگانی هستند که اغلب مجبور به احراز اصالت نیستند. آنها اغلب مجوزهای بسیار کمی دارند. در یک سیستم توزیع شده، اغلب این مسئله پسندیدهاست که اجازه دسترسی بدون نیاز به یک هویت واحد، اعطا گردد. مثالهای آشنا از علائم (Token) authorization عبارتاند از کلیدها و بلیطها: آنها اجازه دسترسی بدون اثبات هویت را ممکن میکنند.
مفهومی تحت عنوان مصرفکنندگان مورد اطمینان (Trusted) وجود دارد. مصرفکنندگانی که احراز هویت گردیدهاند؛ و مورد اطمینان میباشند، اجازه دسترسی نامحدود به منابع را خواهند داشت. مصرفکنندگان نیمه مطمئن و مهمانها، برای استفاده از منابع محافظت شده، تحت authorization میباشند. برنامههای سیاست امنیتی برخی از سیستمهای عامل، به صورت پیشفرض به تمامی مصرفکنندگان اجازه دسترسی کامل به همه منابع را میدهند. برخی دیگر مخالف این عمل میکنند مگر اینکه مدیر سیستم عمداً یک مصرفکننده را برای استفاده از هر منبعی، فعال نماید.
حتی وقتی authorization با استفاده از ترکیبی از احراز اصالت و لیستهای کنترل دسترسی، در حال انجام است، مشکلات نگهداری دادههای سیاست امنیتی بدیهی نبوده و مسئولیت اثبات شناسههای لازم کاربر را ارائه میکند. اغلب اینگونه مطلوب است که authorization یک کاربر حذف گردد: برای انجام این کار با برنامه سیاست امنیتی، لازم است که دادهها قابل به روزرسانی باشند.
سیاست عمومی
در سیاست عمومی authorization یک ویژگی از سیستمهای مطمئن میباشد که برای امنیت یا کنترل اجتماعی استفاده میشوند.
یکی از انواع احرازهویت استفاده از روشهای کنترل دسترسی است. یک سیستم کامپیوتری حاوی اطلاعات حساس تنها باید توسط دسترسیهای مجاز مورد استفاده قرار گیرد و سایر دسترسیها را محدود نماید. در واقع در صورت دسترسی یک کاربر به بخشی از یک برنامه کنترل دسترسی در سطح سیستم عامل مجوز دسترسی آن کاربر را بررسی میکند و در صورت عدم تطابق با مجوز از پیش تعیین شده آن دسترسی را رد میکند. کنترل دسترسی یک سیستم کامپیوتریست که مبتنی بر سیاستهای دسترسی است. فرایندهای کنترل دسترسی به دو دسته تقسیم میشوند:
- شناسایی سیاستها
- اجرای سیاستها
احراز هویت عملیات شناسایی سیاستهاست که بر فاز اجرای آنها که در آن بر اساس هویتهای شناخته شده یا دسترسی اعطا یا رد میشود، مقدمتر است. سیستمعاملهای چند کاربره این امکانات را دارا هستند و بدین ترتیب میتوانند بر اساس روشهای کنترل دسترسی کاربران خود را احراز هویت نمایند. هنگامیکه کاربری سعی در دسترسی به منابعی از سیستم را دارد فرایند کنترل دسترسی مجوز دسترسی کاربر را شناسایی میکند. این مسئولیت بطور معمول بر عهده مدیر بخش اطلاعات یا مدبر سیستم است اما بسته به سلسله مراتب سازمانی ممکن است تغییر یابد. این نوع احراز هویت بر اساس لیستهای کنترل دسترسی و بر اساس اصل «اعمال کمترین حقوق دسترسی» عمل میکنند. این اصل بیان میکند که به هر کاربر کمترین مجوز دسترسی اعمال شود و تنها آن میزان دسترسی که برای انجام کارهای او ضروریست اعطا شود.
بانکداری
در بانکداری، authorization یک تسلط (Hold) بر روی شماره حساب مشتری میباشد وقتی که یک کارت اعتباری (Credit) یا کارت بدهی (Debit) ایجاد میشود.
منابع
- ↑ «اجازه» [رایانه و فنّاوری اطلاعات] همارزِ «authorization» (انگلیسی)؛ منبع: گروه واژهگزینی. جواد میرشکاری، ویراستار. فرهنگ واژههای مصوب فرهنگستان. تهران: انتشارات فرهنگستان زبان و ادب فارسی.
- Wikipedia contributors, "Authorization," Wikipedia, The Free Encyclopedia, http://en.wikipedia.org/w/index.php?title=Authorization&oldid=183211217 (accessed January 10, 2008).