Udostępnij za pośrednictwem

Części modelu kontroli dostępu

  • Artykuł

Istnieją dwie podstawowe części modelu kontroli dostępu:

  • tokeny dostępu, które zawierają informacje o zalogowanym użytkowniku
  • deskryptory zabezpieczeń , które zawierają informacje o zabezpieczeniach chroniące zabezpieczany obiekt

Gdy użytkownik loguje się, system uwierzytelnia się nazwy konta użytkownika i hasła. Jeśli logowanie zakończy się pomyślnie, system utworzy token dostępu. Każdy proces wykonany w imieniu tego użytkownika będzie miał kopię tego tokenu dostępu. Token dostępu zawiera identyfikatory zabezpieczeń identyfikujące konto użytkownika i wszystkie konta grupy, do których należy użytkownik. Token zawiera również listę uprawnień przechowywanych przez użytkownika lub grupy użytkownika. System używa tego tokenu do identyfikowania skojarzonego użytkownika, gdy proces próbuje uzyskać dostęp do zabezpieczanego obiektu lub wykonać zadanie administracyjne systemu, które wymaga uprawnień.

Po utworzeniu zabezpieczanego obiektu system przypisuje mu deskryptor zabezpieczeń zawierający informacje o zabezpieczeniach określone przez jego twórcę lub domyślne informacje o zabezpieczeniach, jeśli nie zostanie określony. Aplikacje mogą używać funkcji do pobierania i ustawiania informacji zabezpieczających dla istniejącego obiektu.

Deskryptor zabezpieczeń identyfikuje właściciela obiektu i może również zawierać następujące listy kontroli dostępu :

  • Lista kontroli dostępu dyskrecjonalnych (DACL), która identyfikuje użytkowników i grupy dozwolone lub odmawiały dostępu do obiektu
  • Lista kontroli dostępu systemu (SACL), która kontroluje sposób inspekcji systemu próby uzyskania dostępu do obiektu

Lista ACL zawiera listę wpisów kontroli dostępu (ACL). Każda ACE określa zestaw praw dostępu i zawiera identyfikator SID, który identyfikuje powiernik, dla którego prawa są dozwolone, odrzucane lub poddawane inspekcji. Powiernik może być kontem użytkownika, kontem grupy lub sesji logowania.

Używanie funkcji do manipulowania zawartością deskryptorów zabezpieczeń, identyfikatorów SID i list ACL, a nie uzyskiwania do nich bezpośredniego dostępu. Pomaga to zagwarantować, że te struktury pozostaną dokładne składniowo i zapobiegną przyszłym ulepszeniom systemu zabezpieczeń przed zerwaniem istniejącego kodu.

Poniższe tematy zawierają informacje o częściach modelu kontroli dostępu: