Главная Случайная страница


Полезное:

Как сделать разговор полезным и приятным Как сделать объемную звезду своими руками Как сделать то, что делать не хочется? Как сделать погремушку Как сделать так чтобы женщины сами знакомились с вами Как сделать идею коммерческой Как сделать хорошую растяжку ног? Как сделать наш разум здоровым? Как сделать, чтобы люди обманывали меньше Вопрос 4. Как сделать так, чтобы вас уважали и ценили? Как сделать лучше себе и другим людям Как сделать свидание интересным?


Категории:

АрхитектураАстрономияБиологияГеографияГеологияИнформатикаИскусствоИсторияКулинарияКультураМаркетингМатематикаМедицинаМенеджментОхрана трудаПравоПроизводствоПсихологияРелигияСоциологияСпортТехникаФизикаФилософияХимияЭкологияЭкономикаЭлектроника






Список прав доступа. Access control list.





Каждая колонка в матрице может быть реализована как список доступа для одного объекта. Очевидно, что пустые клетки могут не учитываться. В результате для каждого объекта имеем список упорядоченных пар <domain, rights-set>, который определяет все домены с непустыми наборами прав для данного объекта.

Список прав доступа может быть дополнен дефолтным набором прав.

Пример Unix. Все субъекты разделены на три группы, для членов каждой группы контролируются три операции (rwx), в итоге имеем ACL 9-битный код.

Capability list

Если матрицу доступа хранить по строкам, то есть каждый субъект хранит список объектов и для каждого объекта список допустимых операций, то такой способ хранения называется capability list.

Примерами систем такого рода являются Hydra, Cambridge CAP System.

Иногда применяется комбинированный способ. Например, в том же Unix на этапе открытия файла происходит анализ ACL. В случае благоприятного исхода (у процесса были соответствующие права) файл заносится в список открытых файлов, и при последующих операциях чтения и записи проверки прав доступа не происходит. Список открытых файлов можно рассматривать как capability list.

Существуют другие общие методы, используемые для смены домена в ОС, в которой идентификаторы пользователей используется для определения домена. Почти все системы нуждаются в таком механизме. Этот механизм используется, когда некая привилегированная возможность необходима большому количеству пользователей. Hапример, может быть желательно разрешить пользователям иметь доступ к сети без того, чтобы заставлять их писать собственные сетевые программы. Для этого случая в ОС Unix устанавливается бит setuid в сетевой программе, заставляя меняться домен на время ее выполнения. Таким образом, рядовой пользователь может получить нужные привилегии для доступа к сети.

Механизм Lock-Key.

Схема lock-key - компромисс между access lists и capability lists. Каждый объект имеет список уникальных битовых шаблонов (patterns), называемых locks. Аналогично, каждый домен имеет список уникальных битовых шаблонов, называемых ключами. Процесс, выполняющийся в домене, может иметь доступ к объекту, только если домен имеет ключ, который соответствует одному из locks объекта.

Как и в случае capability lists, список ключей для домена должен управляться ОС. Пользователям не разрешено проверять или модифицировать списки ключей (или locks) непосредственно.







Date: 2016-07-05; view: 505; Нарушение авторских прав



mydocx.ru - 2015-2024 year. (0.005 sec.) Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав - Пожаловаться на публикацию