فهرست کنترل دسترسی
لیست کنترل دسترسی (به انگلیسی: access control list (ACL)) فهرستی از دسترسیها و مجوزها به یک شی را با توجه به سیستم فایل کامپیوتر مشخص میکند.
این لیست مشخص میکند چه کاربرانی و چه پردازشهایی از سیستم دسترسی به اشیا داشته و چه عملیاتی بر روی اشیا مجاز است. هر ورودی در لیست کنترل دسترسی به نوعی یک سوژه (به انگلیسی: subject) و یک عملیات را مشخص میکند. به عنوان مثال، اگر یک فایل شامل ACL مقدار (User,Delete) باشد به معنی این است که به User مجوز حذف فایل داده شدهاست.
مدلهای امنیتی مبتنی بر لیست کنترل دسترسی
[ویرایش]هنگامی که یک سوژه عملیات بر روی یک شی در مدل امنیتی مبتنی بر ACL را درخواست میکند، سیستم عامل در ابتدا ACL را کنترل میکند که آیا عملیات درخواستی مجاز است. مسئله کلیدی در تعریف از هر مدل امنیتی مبتنی بر ACL تعیین چگونگی دسترسی به لیستهای کنترل ویرایش است، یعنی که کدام کاربران و فرایندها دسترسی ACL دارند. مدلهای ACL ممکن است در سلسله مراتب سیستم به مجموعهای از اشیاء و همچنین به سازمانهای فردی اعمال شود.
لیستهای کنترل دسترسی سیستم فایل
[ویرایش]یک سیستم فایل یک ساختار داده (معمولاً یک جدول) شامل کاربر منحصر به فرد یا گروه حقوق دسترسی به اشیا سیستم مانند برنامهها، پردازشها یا فایلها میباشد. این موارد به عنوان ورودیهای کنترل دسترسی (ACE) در سیستم عاملهای ویندوز NT مایکروسافت، Unix-like، OpenVMS و Mac OS X شناخته میشود. هر شی قابل دسترسی شناسه کنترلی ACLی خود را داراست. امتیازات و مجوزهای حقوق دسترسی خاص مانند اینکه کاربر میتواند یک شی را بخواند، بنویسد و اجرا کند. در برخی از پیادهسازیها، ACE میتواند کنترل اینکه آیا کاربر، یا گروهی از کاربران بتوانند ACL بر روی یک شی را تغییر دهد، را انجام دهد.
لیستهای کنترل دسترسی شبکه
[ویرایش]در برخی از انواع خاص سختافزار (به ویژه برخی روترها و سوئیچها) لیست کنترل دسترسی به قوانینی که بر روی شماره پورت یا آدرس IP که بر روی یک میزبان در دسترس هستند یا در لایه ۳ اعمال میشود، هر کدام با یک لیست از میزبان و/یا شبکه که مجاز به استفاده از این سرویس است. هر چند که علاوه بر این برای کنترل دسترسی لیست پیکربندی بر اساس نام دامنه شبکه ممکن است، ولی بهطور کلی این موضوع سؤالبرانگیز است زیرا بستههای TCP, UDP, ICMP شامل نام دامنه نمیشود. در نتیجه، لیست کنترل دسترسی بهطور جداگانه باید تبدیل نام به آدرسهای عددی را انجام دهد. لیستهای کنترل دسترسی میتوانند پیکربندی و کنترل ترافیک ورودی و خروجی را انجام دهند، و در این زمینه آنها شبیه به فایروال میباشند.