Access Control Policy_DAC

Discretionary access control (DAC)

■ 임의 접근 제어

■ 요청자의 신원에 따라 무엇을 할 수 있는 지 정의

■ Window, unix 등 컴퓨터 시스템 널리 사용

■ Access Matrix 사용

- 주체와 객체, 권한을 행렬로 표현

- 단점 : 주체와 객체가 많아질수록, 메모리 낭비가 심해질 수 있다.

■ 단순하고 직관적임

 

Access Matrix

■ 행 : 자원 접근 주체, subject

■ 열 : subject가 접근하는 대상 자원, object

■ Entry : 허용되는 접근, access right

matrix가 커질 수 있고, 희박해지면 메모리 낭비

 

방법1. ACL - Access Control Lists

■ Access matrix를 열로 분리

■ 객체에 대한 권한을 가진 주체 파악에 유리

■ linked list 방식

 

방법2. Capability tickets

 

■ Access matrix를 행으로 분리

■ 특정 주체에 대해 승인된 객체와 권한을 명시

■ 특정 사용자에 허가된 객체 / 권한들을 정리하기가 쉽다.

■ 다른 주체에게 티켓(위 그림에 하나의 박스)을 빌려 주거나 양도할 수 있다 -> 보안 문제 발생

■ 티켓 무결성, 기밀성, 인증성

■ OS가 관리

■ 분산, cloud 환경에 적합

 

방법3. authorization table

■ 한 행에 한 주체의 한 자원에 대한 권한 명시

■ RDB로 구현 용이

■ 사람에게는 가독성이 안좋음

 

DAC 장단점 분석

■ 장점

- 객체별 세분화된 접근 제어 가능

■ 단점

- Access Matrix 사용에 따른 메모리 낭비

- 주체나 객체별로 제어하기 때문에, 전체 자원의 일관성있는 제어가 어려움 -> 소규모 시스템에는 좋지만, 대규모 시스템에는 좋지 않음