중간 access control

Access Control

 

로그인 과정: 식별 -> 인증  -> 권한 허가 -> 접근

 

식별: 접근 허가를 시도하는 것을 아이디가 맞는지로 확인

인증: 비번등으로 인증해야함

권한 허가: 어떤 자원들이 접근 가능한지와 어떤 행동을 할 수 있는지 확인한다.

접근: 이제 사용 가능함. 시스템은 계속 사용자가 한 것들 기록한다.

 

- 개별을 위한 계층적 차이

 

- User: 사용자는 인증 프로세스를 통해 식별되며, 여기서 자신의 신원을 증명하기 위해 자격 증명(사용자 이름, 비밀번호, 생체 인식 데이터) 또는 다른 형태의 식별 정보를 제공할 수 있다.

- Principal: 유저 정보에 대한 인터페이스

원리는 컴퓨터 시스템에 의해 인증될 수 있는 엔티티를 의미한다. ID를 할당받을 수 있는 모든 엔티티를 의미한다.  

- Subject: 주체(subject)는 객체(파일, DB, 임의의 리소스)에 대해 연산(읽기, 쓰기, 실행)을 수행하려고 시도하는 개체이다.

- "user"는 시스템에 의해 인증 되고 디지털 ID가 할당될 경우 "principal"가 된다.

-  "principal"은 시스템안에서 작동하면서 리소스에게 접근을 요청할 때, "subject"처럼 행동한다.

 

Access Control-Types

 

- DAC(임의적 엑세스 제어): 보호받는 시스템의 주인이나 자원들이 그것에 접근할 수 있도록 허락받고 그들이 가진 권한을 결정한다.  = 객체의 소유자가 접근 여부를 걀정하는 접근정책

 

1. 소유자의 ID에 근거하여 객체 접근 제어

2. Unix/Linux등 시스템의 기본적인 권한 관리 방식 사용

단점

1.기업 정책 전반에 걸쳐 통일된 보안을 시행하기 어려워진다

2.엑세스 권한 부여자를 조기에 철회하면 의도한 효과가 나타나지 않을 수 있음

DAC

 

- MAC(강제적 rule기반 접근 통제): 객체(object)에 보안등급을 부여하고, 주체(subject)에는 인가등급을 부여하는 보안정책이다.

  엑세스 권한이 여러 수준의 보안을 기반으로 중앙 기관에 의해 규제된다.

단점

1. 동적으로 조정할 수 없다.

2. 분류 관리의 복잡성이 증가한다.

MAC

- MLS(다단계 보안): 정보의 분류 및 사용자의 허가 수준에 기초하여 액세스 결정을 강제하기 위한 MAC의 하나의 구현이다.  

 

분류: 정보 및 리소스는 민감도와 무단 공개로 인한 잠재적 영향을 기준으로 분류된다.

허가 수준: 개인에게 접근 권한이 부여된 최고 수준의 기밀정보에 해당하는 보안 허가가 부여된다.

보안 정책

1. Read down: 주체는 자신이 지정한 데이터만 읽을 수 있다. 분류 수준과 같거나 낮음

2. Write up: 특정 허가 수준을 가진 주체는 자신의 허가수준보다 같거나 높은 분류 수준을 가진 개체에 정보를 쓸 수 있다.

 

 

 

RBAC(role- based access control): 개인 사용자들의 역할에 기반하여 접근을 제어한다.

사용자: 개인

롤(역할): 접근허가를 제공하는 사람

허가: 허가는 직접적으로 유저에게 가지않고 역할자에게 전달함

세션:  유저와 역할 사이에서 맵핑해줌 = 역할이 동적으로 바뀌게 해줌. 

 

★ ★ ★ ★ ★ ★