Раздел 5, вопрос 5. Разграничение доступа в ОС
Идентификация и аутентификация
Идентификация заключается в сообщении пользователем своего идентификатора. Аутентификация — установление подлинности (проверка принадлежности идентификатора).
Базируется на:
- то, чем владеет (ключ, магнитная карта);
- то, что знает (пароль);
- атрибуты (биометрия: отпечатки, голос).
Авторизация
Авторизация — предоставление субъекту прав на доступ к объекту. Система контроля базируется на общей модели — матрице доступа.
- Дискреционный доступ: определенные операции над ресурсом разрешаются или запрещаются владельцем (гибко, но сложно контролировать централизованно).
- Полномочный (мандатный) доступ: объекты имеют уровни секретности, субъекты — уровни допуска (модель многоуровневой безопасности).
Механизмы реализации
Разложение матрицы по столбцам дает списки прав доступа (ACL), по строкам — мандаты возможностей (Capability list). В ОС Unix домен безопасности связан с пользователем, а контроль осуществляется через 9-битный код (rwx).
