یکی از مکانیزم های معروف کنترل دسترسی، مکانیزم (AAA (Authentication, Authorization, & Accounting است که سه مرحله اصلی برای دسترسی یک عامل به یک شی شامل تصدیق هویت، صدور مجوز و حسابرسی را تعریف می کند.
تصدیق هویت (Authentication)
در این مرحله ابتدا لازم است عاملی (موجودیت تایید نشده) که قصد دسترسی به یک شی را دارد که در اینجا متقاضی نامیده می شود، شناسایی شود. شناسایی متقاضی، از طریق ارائه نام کاربری، شماره حساب و یا مواردی از این دست صورت می پذیرد که در واقع ID متقاضی محسوب می شود. این شناسه بایستی صرفا به یک موجودیت در دامنه امنیتی اختصاص داده شود. برخی سازمان ها از شناسه های ترکیبی نظیر کد سازمان، کد اداره و شماره کارمندی و یا نظائر آن استفاده می کنند. برخی دیگر برای امنیت بیشتر و امکان حدس کمتر توسط هکرها از شناسه تصادفی استفاده می کنند.
پس از شناسایی متقاضی، بایستی ثابت شود که او همان کسی است که ادعا می کند. در واقع در این مرحله متقاضی بایستی تایید یا تصدیق هویت شود. این کار از سه طریق زیر ممکن است:
چیزهایی که متقاضی می داند نظیر کلمه عبور، عبارت عبور، پین کد و نظائر آن. این ها مواردی هستند که صرفا
متقاضی آن ها را می داند. یکی از مباحث اصلی در امنیت اطلاعات به پیچیدگی کلمه عبور مربوط می شود. از یک
سو کلمه عبور نباید به راحتی قابل حدس زدن باشد و از سوی دیگر باید به گونه ای باشد که فرد به راحتی به
ذهن خود بسپارد و در زمان لازم مجددا آن را به خاطر بیاورد.
چیزهایی که متقاضی دارد از جمله کارت ID، کارت های ATM، کارت های هوشمند، توکن ها و نظائر آن.
چیزهایی که متقاضی هست یا می تواند تولید کند. این فاکتور بر ویژگی های شخصی نظیر اثرانگشت و اثر کف
دست و یا مواردی که متقاضی می تواند تولید کند نظیر صدا و امضا تاکید دارد. امکان سرقت یا جعل این فاکتور
نسبت به سایر فاکتورها از همه کمتر است.
معمولا از بیش از یکی از این فاکتورها برای تصدیق هویت به ویژه در موارد دسترسی به اطلاعات حساس تر مانند حساب های بانکی استفاده می شود که به آن تصدیق هویت قوی می گویند. تصدیق هویت قوی حداقل شامل دو فاکتور است. به عنوان مثال برای استفاده از خدمات ATM، هم کارت لازم است و هم رمز عبور.
صدور مجوز دسترسی (Authorization)
پس از اینکه متقاضی شناسایی و تایید هویت شد، بایستی مشخص شود که به چه اطلاعاتی (به عبارت درست تر به چه اشیائی) اجازه دسترسی دارد. این کار می تواند از طریق تطبیق متقاضی (در این مرحله به عنوان موجودیت تصدیق شده شناخته می شود) با لیست دارایی های اطلاعاتی و سطوح دسترسی تعریف شده برای هر یک از آن ها انجام می شود. این لیست معمولا در قالب لیست کنترل دسترسی و یا ماتریس دسترسی است.
حسابرسی یا پاسخگویی (Accounting)
عامل بایستی در برابر کارهایی که در دامنه امنیتی انجام می دهد ، پاسخگو باشد. بدین منظور لازم است لاگ های کارهایی که عامل انجام می دهد نظیر تلاش ناموفق برای دسترسی، تغییر اطلاعات و نظائر آن ثبت شده و مورد نظارت و پایش قرار گیرد. در واقع حسابرسی این اطمینان را ایجاد می کند که همه کارهایی که در سیستم انجام شده (مجاز یا غیرمجاز) مشخص است که توسط کدام عامل (موجودیت تصدیق شده) انجام شده است و می توان بررسی نمود که آیا سیاست های امنیتی به درستی اعمال شده اند یا خیر. همچنین می توان به عنوان یک ابزار تحلیلی به عنوان مثال برای شناسایی راه های نفوذ به سیستم، ریشه و علت خرابی یک سیستم، بازسازی رخدادها و نحوه استفاده از یک منبع خاص و سایر موارد از آن استفاده نمود.
از جمله فعالیت هایی که می تواند حسابرسی برای آن انجام شود شامل موارد زیر است:
رخدادهای سطح سیستم: عملکرد سیستم، تلاش های موفق و ناموفق برای ورود به سیستم، شناسه ورود،
زمان و تاریخ هر تلاش، دستگا های مورد استفاده، کارهای انجام شده و درخواست ها برای تغییر فایل های
پیکربندی.
رخدادهای سطح برنامه: پیام های error، فایل های بازشده و بسته شده و تغییرات فایل ها
رخدادهای سطح کاربر: تلاش های مربوط به شناسایی و تصدیق هویت، فایل ها، سرویس ها و منابع مورد
استفاده و دستورات صادره.