Понятие избирательного управления доступом в КС.

Система, которая использует дискреционное (избирательное) управление доступом (DAC – Discretionary Access Control) позволяет владельцу ресурса определять, какие субъекты могут использовать этот ресурс.

Основу DAC – модели составляет матрица избирательного управления доступом.

Эта модель называется дискреционной (избирательной), т.к. управление доступом основано на решениях владельца.

В модели DAC ограничения доступа основываются на авторизации пользователя.

Это означает, что владельцы могут определять, какой тип доступа может быть разрешен к их объектам.

Если компания использует модель DAC, сетевой администратор может разрешить владельцам ресурсов управлять доступом пользователей к своим ресурсам.

Модели DAC реализуются посредством:

1. списков контроля доступа .

2. идентификации субъекта.

Формально в модели DAC отношение "субъекты-объекты" представляют в виде матрицы доступа, имеющей следующую структуру:

• в строках матрицы доступа перечислены объекты,

• в столбцах матрицы доступа перечислены – субъекты,

• в клетках, расположенных на пересечении строк и столбцов, записаны дополнительные условия (например, время и место действия) и разрешенные виды доступа.

Сложность управления доступом (ведения матрицы доступа) в реальных системах связана:

• с большой размерностью этой матрицы (большим числом субъектов и объектов);

• высоким динамизмом ее корректировки,

• с необходимостью постоянного отслеживания при таких корректировках большого числа зависимостей между значениями определенных кортежей.

Наличие таких зависимостей связано с объективно существующими в предметной области ограничениями и правилами наследования полномочий в иерархии объектов и субъектов.

Например, пользователь должен наследовать полномочия групп пользователей, в которые он входит. Права доступа некоторого пользователя к каталогам и файлам не должны превышать соответствующие его права по доступу к диску, на котором они размещены и т.п.).

При полномочном управлении доступом (категорирование объектов и субъектов и введение ограничений по доступу установленных категорий субъектов к объектам различных категорий) на матрицу доступа накладываются дополнительные зависимости между значениями прав доступа субъектов.

Ограничения и зависимости между полномочиями существенно усложняют процедуры ведения матриц доступа. Это привело к возникновению большого числа способов неявного задания матрицы (списки доступа, перечисление полномочий, атрибутные схемы и т.п.).

Основные критерии оценки эффективности различных способов неявного задания матрицы доступа следующие:

• затраты памяти на хранение образа матрицы доступа;

• время на выборку (или динамическое вычисление) значений полномочий (элементов кортежей);

• удобство ведения матрицы при наличии ограничений и зависимостей между значениями ее кортежей (простота и наглядность, количество требуемых операций при добавлении/удалении субъекта или объекта, назначении/модификации полномочий и т.п.).

При принятии решения о предоставлении доступа обычно анализируется следующая информация:

• идентификатор субъекта (идентификатор пользователя, сетевой адрес компьютера и т.п.). Подобные идентификаторы являются основой произвольного (или дискреционного) управления доступом; • атрибуты субъекта (метка безопасности, группа пользователя и т.п.). Метки безопасности – основа принудительного (мандатного) управления доступом.

Рассмотрим основные способы неявного задания матрицы доступа

Списки управления доступом к объекту

В данной схеме полномочия по доступу к объекту представляются в виде списков (цепочек) кортежей для всех субъектов, имеющих доступ к данному объекту. Это равносильно представлению матрицы по столбцам с исключением кортежей, имеющих все нулевые значения.

Такое представление матрицы доступа получило название "списка управления доступом"' ( access control list - ACL ). Этот вид задания матрицы реализован, к примеру, в ОС Windows NT (в NTFS ).

Достоинства:

• экономия памяти, так как матрица доступа обычно сильно разрежена;

• удобство получения сведений о субъектах, имеющих какой либо вид доступа к заданному объекту;

Недостатки:

• неудобство отслеживания ограничений и зависимостей по наследованию полномочий субъектов;

• неудобство получения сведений об объектах, к которым имеет какой-либо вид доступа данный субъект;

• так как списки управления доступом связаны с объектом, то при удалении субъекта возможно возникновение ситуации, при которой объект может быть доступен несуществующему субъекту.

Списки полномочий субъектов

В данной модели полномочия доступа субъекта представляются в виде списков (цепочек) кортежей для всех объектов, к которым он имеет доступ (любого вида). Это равносильно представлению матрицы по строкам с исключением кортежей, имеющих нулевые значения.

Такое представление матрицы доступа называется "профилем" ( profile ) субъекта. Пример реализации списков полномочий субъектов - сетевая ОС Novell NetWare .

В системах с большим количеством объектов профили могут иметь большие размеры и, вследствие этого, ими трудно управлять. Изменение профилей нескольких субъектов может потребовать большого количества операций и привести к трудностям в работе системы.

Достоинства:

• экономия памяти, так как матрица доступа обычно сильно разрежена;

• удобство получения сведений об объектах, к которым имеет какой-либо вид доступа данный субъект;

 Недостатки:

• неудобство отслеживания ограничений и зависимостей по наследованию полномочий доступа к объектам;

• неудобство получения сведений о субъектах, имеющих какой либо вид доступа к заданному объекту;

• так как списки управления доступом связаны с субъектом, то при удалении объекта возможно возникновение ситуации, при которой субъект может иметь права на доступ к несуществующему объекту.

Атрибутные схемы

Так называемые атрибутные способы задания матрицы доступа основаны на присвоении субъектам и/или объектам определенных меток, содержащих значения атрибутов, на основе сопоставления которых определяются права доступа (производится авторизация субъекта). Наиболее известным примером неявного задания матрицы доступа является реализация атрибутной схемы в операционной системе UNIX .

Основными достоинствами этих схем являются:

• экономия памяти, так как элементы матрицы не хранятся, а динамически вычисляются при попытке доступа для конкретной пары субъект-объект на основе их меток или атрибутов;

• удобство корректировки базы данных защиты, то есть модификации меток и атрибутов;

• удобство отслеживания ограничений и зависимостей по наследованию полномочий субъектов, так как они в явном виде не хранятся, а формируются динамически;

• отсутствие потенциальной противоречивости при удалении отдельных субъектов или объектов.

Недостатки:

• дополнительные затраты времени на динамическое вычисление значений элементов матрицы при каждом обращении любого субъекта к любому объекту;

• затруднено задание прав доступа конкретного субъекта к конкретному объекту.