2013.06.04 22:10

접근통제, RBAC구현을 위한 데이터 모델

DAC, MAC, RBAC 등 접근통제에 대해서 이론적인 공부를 할 때에 듣게 되는 용어들이다.

DAC는 '임의적접근통제'라고 일반적으로 해석을 해놔서 왠지 개념이 잘 와닿지 않는데, DAC의 "Discretionary"의 뜻처럼 '자유재량에 의한 접근통제'라고 해석을 하고 내용을 살펴보면 좀 더 와닿게 된다. DAC는 Linux나 Unix의 파일시스템에서 사용하는 방식을 생각하면 된다.

좀 더 자세한 설명은 아래 설명을 참고.

 Discretionary Access Control (DAC)


Discretionary Access Control (DAC) allows authorized users to change the access control attributes of objects, thereby specifying whether other users have access to the object. A simple form of Discretionary Access Control (DAC) might be file passwords, where access to a file requires the knowledge of a password created by the file owner. In Linux, the file permission is the general form of Discretionary Access Control (DAC).

The DAC mechanisms have a basic weakness, and that is they fail to recognize a fundamental difference between human users and computer programs.

Mandatory Access Control (MAC)

Mandatory Access Control (MAC) is another type of access control where the MAC mechanism constrains the ability of a subject (users or processes) to access or perform some sort of operation on an object (files, directories, TCP/UDP ports etc). Subjects and objects each have a set of security attributes. Whenever a subject attempts to access an object, an authorization rule enforced by the operating system kernel examines these security attributes and decides whether the access can take place.

Under Mandatory Access Control (MAC), the super user (root) controls all interactions of software on the system..


그리고, RBAC에 대해서는 NIST 쪽에 설명이 잘 되어 있어서 링크를 한다.
http://csrc.nist.gov/groups/SNS/rbac/faq.html


그리고, 아래는 웹 기반의 GUI에서 RBAC 기반의 사용자 접근제어를 작성 해본 것이다.





글이 도움이 되셨다면 위의 추천 손가락 한방 꾹! 눌러주세요~



Trackback 0 Comment 0