임의 접근 제어
Discretionary access control컴퓨터 보안에서 임의 액세스 제어(DAC)는 "신뢰할 수 있는 컴퓨터 시스템 평가[1] 기준"에 의해 정의된 액세스 제어의 한 종류입니다.이것은 오브젝트가 속한 서브젝트나 그룹의 ID에 따라 오브젝트에 대한 접근을 제한하는 수단입니다.특정 접근 허가를 가진 서브젝트가 (아마도 간접적으로) 그 권한을 다른 서브젝트에 전달할 수 있다는 점에서 컨트롤은 임의입니다(필수 접근컨트롤에 의해 제한되지 않는 한)."
임의 접근 제어는 일반적으로 Mandatory Access Control(MAC; 필수 접근컨트롤)과는 대조적으로 논의됩니다.경우에 따라서는 시스템에 강제적인 접근컨트롤이 없는 경우 시스템 전체가 '재량적' 또는 '순수히 재량적' 접근컨트롤을 가지고 있다고 할 수 있습니다.한편, 시스템은 MAC와 DAC를 동시에 실장할 수 있습니다.여기서 DAC는 서브젝트 간에 전송할 수 있는 액세스컨트롤의 1가지 카테고리를 참조하고 MAC는 첫 번째 카테고리에 제약을 가하는2가지 카테고리를 참조합니다.
실장
실제로 이 용어의 의미는 TCSEC 표준에서 주어진 정의만큼 명확하지 않습니다. 왜냐하면 TCSEC의 정의는 DAC의 어떠한 구현도 강요하지 않기 때문입니다.적어도 두 가지 구현이 있습니다. 소유자(일반적인 예로서)와 [2]기능을 갖춘 구현입니다.
소유자와 함께
DAC라는 용어는 일반적으로 모든 객체가 객체에 접근하기 위한 권한을 제어하는 소유자를 가지고 있다고 가정하는 컨텍스트에서 사용됩니다.이는 많은 시스템이 소유자의 개념을 사용하여 DAC를 구현하기 때문일 수 있습니다.단, TCSEC 정의에서는 소유자에 대해서는 언급하지 않기 때문에 기술적으로 접근컨트롤 시스템은 DAC의 TCSEC 정의를 충족하기 위해 소유권 개념을 가질 필요가 없습니다.
사용자(소유자)는 이 DAC 구현 하에서 정책 결정 및/또는 보안 속성을 할당할 수 있습니다.간단한 예로는 User, Group 및 Others의 각 3비트로 쓰기, 읽기 및 실행을 나타내는 Unix 파일모드가 있습니다(추가 특성을 나타내는 다른 비트가 선두에 추가됩니다).
기능 탑재
또 다른 예로 역량 기반 보안은 근본적으로 "주체의 ID에 기반"에 의한 접근을 제한하는 것이 아님에도 불구하고 피험자가 다른 피험자에 대한 접근을 이전할 수 있도록 허용하기 때문에 역량 시스템은 종종 재량적 제어를 제공하는 것으로 설명된다.일반적으로 능력 시스템은 "다른 어떤 과목에도" 권한이 전달되는 것을 허용하지 않습니다. 권한을 전달하려는 과목이 먼저 받는 과목에 액세스할 수 있어야 하며, 일반적으로 과목이 최소 특권의 원칙에 부합하는 엄격히 제한된 과목 집합에만 액세스할 수 있어야 합니다.
「 」를 참조해 주세요.
- 액세스 컨트롤 리스트
- Attribute-based Access Control(ABAC; 속성 기반 접근컨트롤)
- Context-Based Access Control(CBAC; 컨텍스트 기반 접근컨트롤)
- 그래프 기반 액세스 제어(GBAC)
- 격자 기반 액세스 제어(LBAC)
- 필수 접근 제어(MAC)
- 조직 기반 접근 제어(OrBAC)
- Role-Based Access Control(RBAC; 롤베이스 액세스컨트롤)
- 규칙 집합 기반 액세스 제어(RSBAC)
- 기능 기반 보안
- 위치 기반 인증
- 리스크 기반 인증
- XACML(eXtensible Access Control Markup Language)
레퍼런스
인용문
- ^ Trusted Computer System Evaluation Criteria. United States Department of Defense. December 1985. DoD Standard 5200.28-STD. Archived from the original on 2006-05-27.
- ^ http://fedoraproject.org/wiki/Features/RemoveSETUID – Fedora 15가 (Linux 커널) 기능을 위해 SETUID를 삭제하도록 설정
