액세스 제어 매트릭스

컴퓨터 과학에서, 액세스 제어 매트릭스 또는 액세스 매트릭스는 컴퓨터 시스템의 보호 상태에 대한 추상적이고 공식적인 보안 모델로서, 시스템의 모든 개체에 대해 각 주체의 권리를 특징짓는다. 1971년 버틀러 W. 램프가 처음 도입했다.^[1]

액세스 매트릭스는 제목당 한 행, 객체당 한 열을 갖는 직사각형 셀 배열로 구상할 수 있다. 셀의 항목, 즉 특정 주체-객체 쌍에 대한 항목은 주체가 개체에 대해 행사할 수 있도록 허용된 접근 모드를 나타낸다. 각 열은 객체의 접근 제어 목록과 동일하며, 각 행은 주체의 접근 프로파일과 동일하다.^[2]

정의

모델에 따르면, 컴퓨터 시스템의 보호 상태는 보호해야 하는 개체 $집합$인 O ${\displaystyle O$과(예: 프로세스, 파일, 메모리 페이지) 모든 활성 개체(예: 사용자, 프로세스)로 구성된 $제목{\displaystyle }$ S ${\displaystyle S$의 집합으로 추상화될 수 있다. Further there exists a set of rights ${\displaystyle R}$ of the form ${\displaystyle r(s,o)}$, where ${\displaystyle s\in S}$, ${\displaystyle o\in O}$ and ${\displaystyle r(s,o)\subseteq R}$. A right thereby specifies the kind of access a subject is allowed to process object.

예

이 행렬의 예에는 두 개의 프로세스, 즉 두 개의 자산, 파일 및 장치가 있다. 첫 번째 프로세스는 자산 1의 소유자로, 자산 2의 실행, 파일 읽기, 디바이스에 대한 일부 정보 쓰기 능력이 있으며, 두 번째 프로세스는 자산 2의 소유자로 자산 1을 읽을 수 있다.

	자산1길	자산2길	파일	장치
역할 1	읽기, 쓰기, 실행, 소유	처형하다	읽다	글씨를 쓰다
역할2	읽다	읽기, 쓰기, 실행, 소유

효용

그것은 보호 메커니즘의 세분성을 정의하지 않기 때문에, 접근 제어 매트릭스는 어떠한 종류의 접근 제어 시스템에서도 정적 접근 권한의 모델로 사용될 수 있다. 특정 시스템에서 권한이 변경될 수 있는 규칙을 모델링하지 않으며, 따라서 시스템의 액세스 제어 보안 정책에 대한 불완전한 설명만 제공한다.

접근 제어 매트릭스는 주어진 시점에서 사용 권한의 추상적 모델로만 생각되어야 한다. 2차원 배열로 그것을 문자 그대로 구현하는 것은 과도한 메모리 요구사항을 가질 것이다. 기능 기반 보안 및 접근 제어 목록은 접근 제어 매트릭스를 사용하여 정적 권한을 모델링할 수 있는 구체적인 접근 제어 메커니즘의 범주다. 비록 이 두 가지 메커니즘이 때로는 (예를 들어 버틀러 램슨의 보호 논문에서) 단순히 행 기반 및 칼럼 기반 액세스 제어 매트릭스 구현으로 제시되었지만, 이 견해는 동적 행동을 고려하지 않은 시스템들 간에 오해의 소지가 있는 동등성을 끌어낸다는 비판을 받아왔다. ^[3]

참고 항목

• ACL(액세스 제어 목록)
• 기능 기반 보안
• 컴퓨터 보안 모델
• 컴퓨터 보안 정책

참조

• Bishop, Matt (2004). Computer security: art and science. Addison-Wesley. ISBN 0-201-44099-7.