khanhkiet8x
New Member
Download miễn phí Đồ án Nghiên cứu bảo đảm an toàn thông tin bằng kiểm soát truy nhập
MỤC LỤC
MỤC LỤC 1
LỜI CÁM ƠN 3
LỜI NÓI ĐẦU 4
CHƯƠNG 1: MỘT SỐ KHÁI NIỆM CƠ SỞ 7
1.1 KHÁI NIỆM MÃ HOÁ. 7
1.1.1 Hệ mã hóa. 7
1.1.2 Một số hệ mã hóa thường dùng. 7
1.2 SƠ ĐỒ CHỮ KÍ ĐIỆN TỬ. 9
1.3 HÀM BĂM (HASH FUNCTION). 10
1.4 TỔNG QUAN VỀ ATTT. 11
1.4.1 Một số khái niệm. 11
1.4.2 Một số bài toán trong ATTT. 11
1.4.3 Các yêu cầu về đảm bảo ATTT. 12
1.4.4 Một số giải pháp chung bảo đảm ATTT. 13
CHƯƠNG 2: VẤN ĐỀ KIỂM SOÁT TRUY NHẬP. 14
2.1 MỘT SỐ PHƯƠNG PHÁP KIỂM SOÁT TRUY NHẬP. 14
2.1.1 Kiểm soát truy cập trực tiếp. 14
2.1.1.1 Hệ thống kiểm soát truy cập trực tiếp. 14
2.1.1.2 Mật khẩu. 16
2.2.2 Kiểm soát truy nhập “tự động”. 21
2.2 MỘT SỐ CHÍNH SÁCH TRUY CẬP. 22
2.2.1 Kiểm soát truy cập tuỳ quyền 22
2.2.3 Kiểm soát truy cập bắt buộc 24
2.3 MỘT SỐ KĨ THUẬT KIỂM SOÁT TRUY NHẬP. 25
2.3.1 Hệ thống nhận dạng và xác thực. 25
2.3.2 Tường lửa (Firewall). 27
2.3.2.1 Khái niệm tường lửa. 27
2.3.2.2 Phân loại tường lửa. 27
2.3.2.3 Nhận dạng tường lửa. 27
2.3.2.4 Những hạn chế của Firewall. 31
2.3.3 Mạng riêng ảo (Virtual Private Network - VPN). 32
2.3.3.1 Khái niệm mạng riêng ảo. 32
2.3.3.2 Các mô hình VPN. 32
2.3.4 Hệ thống phát hiện và ngăn chặn xâm nhập. 33
2.3.4.1 Hệ thống phát hiện xâm nhập (Intrusion Detect System - IDS). 33
2.3.4.2 Hệ thống ngăn chặn xâm nhập (Intrusion Prevent System-IPS). 36
2.3.4.3 Những hạn chế của IDS /IPS. 40
2.3.5 Tường lửa ứng dụng Web (Web Application Firewall - WAF). 41
2.3.5.1 Khái niệm WAF. 41
2.3.5.2 Các chức năng của WAF. 42
2.4 VẤN ĐỀ PHÂN QUYỀN TRUY NHẬP. 45
2.4.1 Kiểm soát truy nhập. 45
2.4.2 Cơ chế kiểm soát truy nhập. 48
KẾT LUẬN 49
TÀI LIỆU THAM KHẢO 50
Để tải tài liệu này, vui lòng Trả lời bài viết, Mods sẽ gửi Link download cho bạn ngay qua hòm tin nhắn.
Ketnooi -
You must be registered for see links
Ai cần tài liệu gì mà không tìm thấy ở Ketnooi, đăng yêu cầu down tại đây nhé:
Nhận download tài liệu miễn phí
Tóm tắt nội dung tài liệu:
ổi độ dài và những thuộc tính khác của xâu kí tự được tạo ra.
Ví dụ: Giả sử người dùng được cung cấp xâu “t1h” và qui tắc là các kí tự “t”, “1”, “h” phải xuất hiện trong mật khẩu sẽ được tạo ra theo đúng trật tự đã cho. Người dùng có thể tạo mật khẩu: the1997hpu10, trong1hiep5, Khi đó mật khẩu mà người dùng tạo nên, thường có tính chất gợi nhớ đối với họ, vì vậy họ có thể nhớ được. Đồng thời, nó cũng loại bỏ được những mật khẩu tồi.
3) Các tấn công dò tìm mật khẩu.
a) Tấn công toàn diện.
Trong tấn công toàn diện, người tấn công thử mọi khả năng mà mật khẩu có thể được người dùng sử dụng. Số mật khẩu được tạo tuỳ từng trường hợp vào hệ thống nhất định.
Rõ ràng việc tấn công toàn diện gặp khó khăn khi mật khẩu có độ dài lớn và theo đúng tiêu chuẩn chọn mật khẩu. Tuy nhiên, để tìm mật khẩu cụ thể không cần thử toàn bộ mật khẩu có thể. Do mật khẩu phải nhớ được nên người dùng thường chọn mật khẩu đơn giản. Để đơn giản mật khẩu sẽ không dài.
Đối với người dùng, mật khẩu thường liên quan đến các thông tin cá nhân nên những mật khẩu có thể không nhiều lắm. Việc tìm hiểu các thông tin cá nhân của người dùng cụ thể sẽ tạo điều kiện cho việc dò tìm đạt được xác suất thành công cao.
Ngoài ra còn có thể dò tìm mật khẩu dựa trên thói quen sử dụng bàn phím với các phím ở các vị trí đặc biệt như zqpm, aqlp, .
b) Tìm file mật khẩu của hệ thống.
Cách dò tìm như trên dựa theo việc suy đoán các khả năng có thể. Do các mật khẩu được lưu trên máy, nên việc tìm các file này để đọc là hướng hiệu quả.
Các file chứa mật khẩu, nếu không được mã hoá, thì việc đọc chúng là đơn giản. Nhưng thường chúng được mã hoá, file đọc được là bản mã. Như vậy có thể dùng các thuật toán mã hoá để tìm ra bản rõ tương ứng.
Tương tự, có thể tìm các ghi chép lưu mật khẩu của người dùng tại nơi thường truy nhập.
c) Các biện pháp dò tìm thông minh.
Sử dụng các virus dạng “Trojan Horse” để lấy cắp mật khẩu. Các virus này có thể ghi lại mật khẩu khi khởi động máy hay làm giả thủ tục đăng nhập, đánh lừa người dùng để lấy cắp mật khẩu, hay chứa từ điển để dò tìm mật khẩu.
4) Các biện pháp bảo vệ mật khẩu.
a) Bảo vệ mật khẩu đối với người dùng.
Người dùng cần tuân thủ các tiêu chuẩn lựa chọn mật khẩu; Không sử dụng các từ có trong từ điển; Không ghi lại mật khẩu (điều này khó thực hiện khi một người dùng có nhiều tài khoản trên máy, hay thẻ tín dụng cần nhớ mật khẩu truy nhập); Không tiết lộ mật khẩu; Thường xuyên thay đổi mật khẩu, ngay cả khi không có nghi ngờ rằng mật khẩu đã bị lộ.
b) Mật khẩu dùng một lần.
Là loại mật khẩu thay đổi mỗi lần sử dụng, thực chất đây là hệ thống xác định người dùng bằng hỏi đáp. Hàm cho từng người là cố định nhưng các tham số của mỗi lần xác nhận là khác nhau. Vì vậy câu trả lời của người dùng là khác nhau, đồng nghĩa với việc mật khẩu là khác nhau.
c) Bảo vệ mật khẩu lưu trong máy.
File mật khẩu lưu trong máy cần được mã hoá để chống lại việc truy nhập và lấy cắp thông tin về mật khẩu. Thường sử dụng hai cách để bảo vệ là mã hoá truyền thống và mã hoá một chiều.
Mã hoá truyền thống:
Toàn bộ file hay chỉ có trường mật khẩu được mã hoá. Khi nhận được mật khẩu của người dùng, thì mật khẩu lưu trữ được giải mã và so sánh. Theo cách này, tại thời điểm mật khẩu ở dạng rõ trong bộ nhớ, thì nó để lộ cho bất cứ ai được quyền truy nhập bộ nhớ.
Mã hoá một chiều:
Khắc phục được điểm yếu trên. Các mật khẩu đăng kí được mã hoá một chiều và lưu giữ, khi người dùng nhập mật khẩu nó sẽ được mã hoá và so sánh với bản mã lưu trữ. Thuật toán mã hoá đảm bảo không có hai bản rõ khác nhau cho cùng một bản mã.
d) Muối mật khẩu.
Có thể xảy ra trường hợp hai người khác nhau cùng dùng chung một mật khẩu. Khi đó trong bản mã hoá sẽ có hai bản mã như nhau và đó là kẽ hở để có thể dò tìm mật khẩu đã mã hoá.
Để khắc phục tình trạng trên, HĐH Unix sử dụng một cơ chế mở rộng mật khẩu gọi là “muối” mật khẩu. Muối là một số 12 bit hình thành từ ngày hệ thống và số hiệu tiến trình được thêm vào mật khẩu
Muối mật khẩu
Mật khẩu
Mã mật khẩu Muối
Muối
Bản mã mật khẩu
Mã mật khẩu vào
DES
DES
So sánh
Mã mật khẩu Muối
File mật khẩu
Hình 2.1 Cơ chế muối mật khẩu.
Cơ chế muối mật khẩu như sau: mật khẩu và muối được mã hoá, bản mã và muối tương ứng cùng được lưu trong file mật khẩu.
Khi người dùng nhập mật khẩu, nó sẽ được mã hoá cùng với muối, kết quả được so sánh với bản mã đã lưu trữ.
Ngoài ra cơ chế xác thực bằng mật khẩu không cho phép nhập sai mật khẩu quá 3 lần, để giảm khả năng dò tìm thông thường.
2.2.2 Kiểm soát truy nhập “tự động”.
Để kiểm soát truy nhập “tự động”, hiện nay người ta dùng các giải pháp:
+ Tường lửa (Firewall).
|+ Mạng riêng ảo (VPN).
+ Hạ tầng cơ sở khoá công khai (PKI).
Tường lửa:
Là thiết bị nhằm ngăn chặn sự truy nhập không hợp lệ từ ngoài vào mạng bên trong. Nó thường gồm cả phần cứng và phần mềm. Tường lửa thường được dùng theo cách ngăn chặn hay tạo các luật đối với các địa chỉ khác nhau.
Tường lửa là tường chắn đầu tiên bảo vệ giữa mạng bên trong với mạng bên ngoài. Nó là công cụ cơ sở được dùng theo một chính sách an toàn, để ngăn ngừa truy nhập không được phép giữa các mạng.
Mạng riêng ảo:
Là một mạng riêng sử dụng hệ thống mạng công cộng (thường là Internet) để kết nối các địa điểm hay người dùng từ xa với một mạng LAN ở trụ sở trung tâm. Thay vì dùng kết nối phức tạp như đường dây thuê bao số, VPN tạo ra các liên kết ảo được truyền qua Internet giữa mạng riêng của một tổ chức với địa điểm hay người dùng ở xa.
Hạ tầng cơ sở khoá công khai:
Là hệ thống cung cấp và quản lí chứng chỉ số, thực hiện xác thực định danh các bên tham gia vào quá trình trao đổi thông tin. Cơ chế này gán cho mỗi người dùng trong hệ thống một cặp khoá công khai /khoá bí mật. Các quá trình này thường được thực hiện bởi một phần mềm đặt tại trung tâm và các phần mềm phối hợp khác tại các địa điểm của người dùng. Khoá công khai thường được phân phối trong chứng chỉ khoá công khai.
PKI có thể được định nghĩa như một hạ tầng cơ sở sử dụng công nghệ thông tin để cung cấp dịch vụ mã hoá khoá công khai và chữ ký số. Ngoài ra, PKI còn quản lý khoá và chứng chỉ được dùng trong hệ thống.
2.2 MỘT SỐ CHÍNH SÁCH TRUY CẬP.
2.2.1 Kiểm soát truy cập tuỳ quyền
(Discretionary Access Control- DAC).
Là chính sách truy cập mà chủ nhân thông tin hay tài nguyên tự quyết định xem ai là người được phép truy cập nó, và những quyền nào mà người đó được phép thi hành.
Hai khái niệm trong truy cập tuỳ quyền là: sở hữu thông tin, quyền và phép truy cập thông tin.
Sở hữu thông tin nghĩa là chính sách truy cập các đối tượng do chủ nhân tài nguyên quyết định.
Quyền và phép truy cập là quyền khống chế những tài nguyên, do chủ nhân tài nguyên chỉ định cho mỗi người hay nhóm người.
Kĩ thuật được dùng trong kiểm soát truy cập tùy quyền là danh sách kiểm soát truy cập (Access Control List- ACL):
Định danh các quyền và phép được chỉ định cho 1 chủ thể hay 1 đối tượng. Đây là phương pháp linh hoạt để áp dụng DAC.
2.2.2 Kiểm soát truy cập trên cơ sở vai trò
(Role Base Access Control - RBAC).
Chỉ định tư cách nhóm người dùng dựa trên vai trò của tổ chức hay chức
năng của vai trò. Chính sách này giúp tối giảm việc điều hành quản lí quyền và phép truy cập. Nó sẽ hạn chế người dùng bất hợp pháp truy cập hệ thống.
Trong an ninh với hệ thống máy tính, kiểm soát truy cập trên cơ sở vai trò là một trong số các chính sách kiểm soát và đảm bảo quyền sử dụng cho người dùng.
Trong nội bộ tổ chức, các vai trò (roles) được kiến tạo để đảm nhận các chức năng công việc khác nhau. Mỗi vai trò được gắn liền với một số quyền hạn cho phép nó thao tác một số hoạt động (permissions). Mỗi người dùng trong hệ thống được phân phối một vai trò riêng, và qua việc phân phối đó họ tiếp thu được một số quyền hạn, cho phép họ thi hành những chức năng cụ thể trong hệ thống.
Do người dùng không được cấp phép một cách trực tiếp, họ chỉ tiếp thu được những quyền hạn thông qua vai trò của mình. Vì vậy, việc quản lí quyền hạn người dùng trở nên đơn giản, và chỉ cần chỉ định những vai trò thích hợp cho người dùng. Việc chỉ định các vai trò này đơn giản hoá những công việc thông thường như thêm một người dùng vào hệ thống.
RBAC khác với các danh sách kiểm soát truy cập (ACLs) được dùng trong DAC, nó chỉ định các quyền hạn tới từng hoạt động cụ thể với ý nghĩa trong cơ quan tổ chức, thay vì tới các đối tượng dữ liệu hạ tầng. Ví dụ, ACL có thể cho phép hay từ chối quyền truy cập viết một tập tin hệ thống (system file), song nó không cho ta biết phương cách cụ thể để thay đổi tập tin đó. Trong hệ thống dùng RBAC, một thao tác có thể là việc một chương trình ứng dụng tài chính kiến tạo một giao dịch trong “tài khoản tín dụng” (credit account transaction).
2.2.3 Kiểm soát truy cập bắt buộc
(Mandatory Access Control - MAC).
Là chính sách truy cập do hệ thống quyết định, không phải do cá nhân sở hữu tài nguyên quyết định.
Nó được sử dụng trong các hệ thống đa tầng, tức là những hệ thống xử lí các loại dữ liệu n...
Ví dụ: Giả sử người dùng được cung cấp xâu “t1h” và qui tắc là các kí tự “t”, “1”, “h” phải xuất hiện trong mật khẩu sẽ được tạo ra theo đúng trật tự đã cho. Người dùng có thể tạo mật khẩu: the1997hpu10, trong1hiep5, Khi đó mật khẩu mà người dùng tạo nên, thường có tính chất gợi nhớ đối với họ, vì vậy họ có thể nhớ được. Đồng thời, nó cũng loại bỏ được những mật khẩu tồi.
3) Các tấn công dò tìm mật khẩu.
a) Tấn công toàn diện.
Trong tấn công toàn diện, người tấn công thử mọi khả năng mà mật khẩu có thể được người dùng sử dụng. Số mật khẩu được tạo tuỳ từng trường hợp vào hệ thống nhất định.
Rõ ràng việc tấn công toàn diện gặp khó khăn khi mật khẩu có độ dài lớn và theo đúng tiêu chuẩn chọn mật khẩu. Tuy nhiên, để tìm mật khẩu cụ thể không cần thử toàn bộ mật khẩu có thể. Do mật khẩu phải nhớ được nên người dùng thường chọn mật khẩu đơn giản. Để đơn giản mật khẩu sẽ không dài.
Đối với người dùng, mật khẩu thường liên quan đến các thông tin cá nhân nên những mật khẩu có thể không nhiều lắm. Việc tìm hiểu các thông tin cá nhân của người dùng cụ thể sẽ tạo điều kiện cho việc dò tìm đạt được xác suất thành công cao.
Ngoài ra còn có thể dò tìm mật khẩu dựa trên thói quen sử dụng bàn phím với các phím ở các vị trí đặc biệt như zqpm, aqlp, .
b) Tìm file mật khẩu của hệ thống.
Cách dò tìm như trên dựa theo việc suy đoán các khả năng có thể. Do các mật khẩu được lưu trên máy, nên việc tìm các file này để đọc là hướng hiệu quả.
Các file chứa mật khẩu, nếu không được mã hoá, thì việc đọc chúng là đơn giản. Nhưng thường chúng được mã hoá, file đọc được là bản mã. Như vậy có thể dùng các thuật toán mã hoá để tìm ra bản rõ tương ứng.
Tương tự, có thể tìm các ghi chép lưu mật khẩu của người dùng tại nơi thường truy nhập.
c) Các biện pháp dò tìm thông minh.
Sử dụng các virus dạng “Trojan Horse” để lấy cắp mật khẩu. Các virus này có thể ghi lại mật khẩu khi khởi động máy hay làm giả thủ tục đăng nhập, đánh lừa người dùng để lấy cắp mật khẩu, hay chứa từ điển để dò tìm mật khẩu.
4) Các biện pháp bảo vệ mật khẩu.
a) Bảo vệ mật khẩu đối với người dùng.
Người dùng cần tuân thủ các tiêu chuẩn lựa chọn mật khẩu; Không sử dụng các từ có trong từ điển; Không ghi lại mật khẩu (điều này khó thực hiện khi một người dùng có nhiều tài khoản trên máy, hay thẻ tín dụng cần nhớ mật khẩu truy nhập); Không tiết lộ mật khẩu; Thường xuyên thay đổi mật khẩu, ngay cả khi không có nghi ngờ rằng mật khẩu đã bị lộ.
b) Mật khẩu dùng một lần.
Là loại mật khẩu thay đổi mỗi lần sử dụng, thực chất đây là hệ thống xác định người dùng bằng hỏi đáp. Hàm cho từng người là cố định nhưng các tham số của mỗi lần xác nhận là khác nhau. Vì vậy câu trả lời của người dùng là khác nhau, đồng nghĩa với việc mật khẩu là khác nhau.
c) Bảo vệ mật khẩu lưu trong máy.
File mật khẩu lưu trong máy cần được mã hoá để chống lại việc truy nhập và lấy cắp thông tin về mật khẩu. Thường sử dụng hai cách để bảo vệ là mã hoá truyền thống và mã hoá một chiều.
Mã hoá truyền thống:
Toàn bộ file hay chỉ có trường mật khẩu được mã hoá. Khi nhận được mật khẩu của người dùng, thì mật khẩu lưu trữ được giải mã và so sánh. Theo cách này, tại thời điểm mật khẩu ở dạng rõ trong bộ nhớ, thì nó để lộ cho bất cứ ai được quyền truy nhập bộ nhớ.
Mã hoá một chiều:
Khắc phục được điểm yếu trên. Các mật khẩu đăng kí được mã hoá một chiều và lưu giữ, khi người dùng nhập mật khẩu nó sẽ được mã hoá và so sánh với bản mã lưu trữ. Thuật toán mã hoá đảm bảo không có hai bản rõ khác nhau cho cùng một bản mã.
d) Muối mật khẩu.
Có thể xảy ra trường hợp hai người khác nhau cùng dùng chung một mật khẩu. Khi đó trong bản mã hoá sẽ có hai bản mã như nhau và đó là kẽ hở để có thể dò tìm mật khẩu đã mã hoá.
Để khắc phục tình trạng trên, HĐH Unix sử dụng một cơ chế mở rộng mật khẩu gọi là “muối” mật khẩu. Muối là một số 12 bit hình thành từ ngày hệ thống và số hiệu tiến trình được thêm vào mật khẩu
Muối mật khẩu
Mật khẩu
Mã mật khẩu Muối
Muối
Bản mã mật khẩu
Mã mật khẩu vào
DES
DES
So sánh
Mã mật khẩu Muối
File mật khẩu
Hình 2.1 Cơ chế muối mật khẩu.
Cơ chế muối mật khẩu như sau: mật khẩu và muối được mã hoá, bản mã và muối tương ứng cùng được lưu trong file mật khẩu.
Khi người dùng nhập mật khẩu, nó sẽ được mã hoá cùng với muối, kết quả được so sánh với bản mã đã lưu trữ.
Ngoài ra cơ chế xác thực bằng mật khẩu không cho phép nhập sai mật khẩu quá 3 lần, để giảm khả năng dò tìm thông thường.
2.2.2 Kiểm soát truy nhập “tự động”.
Để kiểm soát truy nhập “tự động”, hiện nay người ta dùng các giải pháp:
+ Tường lửa (Firewall).
|+ Mạng riêng ảo (VPN).
+ Hạ tầng cơ sở khoá công khai (PKI).
Tường lửa:
Là thiết bị nhằm ngăn chặn sự truy nhập không hợp lệ từ ngoài vào mạng bên trong. Nó thường gồm cả phần cứng và phần mềm. Tường lửa thường được dùng theo cách ngăn chặn hay tạo các luật đối với các địa chỉ khác nhau.
Tường lửa là tường chắn đầu tiên bảo vệ giữa mạng bên trong với mạng bên ngoài. Nó là công cụ cơ sở được dùng theo một chính sách an toàn, để ngăn ngừa truy nhập không được phép giữa các mạng.
Mạng riêng ảo:
Là một mạng riêng sử dụng hệ thống mạng công cộng (thường là Internet) để kết nối các địa điểm hay người dùng từ xa với một mạng LAN ở trụ sở trung tâm. Thay vì dùng kết nối phức tạp như đường dây thuê bao số, VPN tạo ra các liên kết ảo được truyền qua Internet giữa mạng riêng của một tổ chức với địa điểm hay người dùng ở xa.
Hạ tầng cơ sở khoá công khai:
Là hệ thống cung cấp và quản lí chứng chỉ số, thực hiện xác thực định danh các bên tham gia vào quá trình trao đổi thông tin. Cơ chế này gán cho mỗi người dùng trong hệ thống một cặp khoá công khai /khoá bí mật. Các quá trình này thường được thực hiện bởi một phần mềm đặt tại trung tâm và các phần mềm phối hợp khác tại các địa điểm của người dùng. Khoá công khai thường được phân phối trong chứng chỉ khoá công khai.
PKI có thể được định nghĩa như một hạ tầng cơ sở sử dụng công nghệ thông tin để cung cấp dịch vụ mã hoá khoá công khai và chữ ký số. Ngoài ra, PKI còn quản lý khoá và chứng chỉ được dùng trong hệ thống.
2.2 MỘT SỐ CHÍNH SÁCH TRUY CẬP.
2.2.1 Kiểm soát truy cập tuỳ quyền
(Discretionary Access Control- DAC).
Là chính sách truy cập mà chủ nhân thông tin hay tài nguyên tự quyết định xem ai là người được phép truy cập nó, và những quyền nào mà người đó được phép thi hành.
Hai khái niệm trong truy cập tuỳ quyền là: sở hữu thông tin, quyền và phép truy cập thông tin.
Sở hữu thông tin nghĩa là chính sách truy cập các đối tượng do chủ nhân tài nguyên quyết định.
Quyền và phép truy cập là quyền khống chế những tài nguyên, do chủ nhân tài nguyên chỉ định cho mỗi người hay nhóm người.
Kĩ thuật được dùng trong kiểm soát truy cập tùy quyền là danh sách kiểm soát truy cập (Access Control List- ACL):
Định danh các quyền và phép được chỉ định cho 1 chủ thể hay 1 đối tượng. Đây là phương pháp linh hoạt để áp dụng DAC.
2.2.2 Kiểm soát truy cập trên cơ sở vai trò
(Role Base Access Control - RBAC).
Chỉ định tư cách nhóm người dùng dựa trên vai trò của tổ chức hay chức
năng của vai trò. Chính sách này giúp tối giảm việc điều hành quản lí quyền và phép truy cập. Nó sẽ hạn chế người dùng bất hợp pháp truy cập hệ thống.
Trong an ninh với hệ thống máy tính, kiểm soát truy cập trên cơ sở vai trò là một trong số các chính sách kiểm soát và đảm bảo quyền sử dụng cho người dùng.
Trong nội bộ tổ chức, các vai trò (roles) được kiến tạo để đảm nhận các chức năng công việc khác nhau. Mỗi vai trò được gắn liền với một số quyền hạn cho phép nó thao tác một số hoạt động (permissions). Mỗi người dùng trong hệ thống được phân phối một vai trò riêng, và qua việc phân phối đó họ tiếp thu được một số quyền hạn, cho phép họ thi hành những chức năng cụ thể trong hệ thống.
Do người dùng không được cấp phép một cách trực tiếp, họ chỉ tiếp thu được những quyền hạn thông qua vai trò của mình. Vì vậy, việc quản lí quyền hạn người dùng trở nên đơn giản, và chỉ cần chỉ định những vai trò thích hợp cho người dùng. Việc chỉ định các vai trò này đơn giản hoá những công việc thông thường như thêm một người dùng vào hệ thống.
RBAC khác với các danh sách kiểm soát truy cập (ACLs) được dùng trong DAC, nó chỉ định các quyền hạn tới từng hoạt động cụ thể với ý nghĩa trong cơ quan tổ chức, thay vì tới các đối tượng dữ liệu hạ tầng. Ví dụ, ACL có thể cho phép hay từ chối quyền truy cập viết một tập tin hệ thống (system file), song nó không cho ta biết phương cách cụ thể để thay đổi tập tin đó. Trong hệ thống dùng RBAC, một thao tác có thể là việc một chương trình ứng dụng tài chính kiến tạo một giao dịch trong “tài khoản tín dụng” (credit account transaction).
2.2.3 Kiểm soát truy cập bắt buộc
(Mandatory Access Control - MAC).
Là chính sách truy cập do hệ thống quyết định, không phải do cá nhân sở hữu tài nguyên quyết định.
Nó được sử dụng trong các hệ thống đa tầng, tức là những hệ thống xử lí các loại dữ liệu n...