접근통제 메커니즘

제 5 절 접근통제 메커니즘

l 접근통제 행렬(Access Control Matrix)

[그림] 접근 제어 행렬

접근통제 행렬은 위 그림과 같이 전체 주체와 전체 객체에 대한 권한 관계를 2차원 배열로 관리하는 구현 방법이다. 각 행은 각 주체를 나타내며 각 열은 각 객체를 나타낸다. 위 그림에서 root는 File1과 File2에 대해 읽기와 쓰기가 가능하지만 user1은 File1에는 읽기만 File2에는 읽기와 실행만 가능하다.
이처럼 주체와 객체를 알고 있으면 어떤 권한을 가지고 있는지 바로 알아낼 수 있지만, 주체의 수나 객체의 수가 많아지면 쓸데없이 사용되는 메모리 공간이 많아지는 단점을 가지고 있다.

l ACL (Access Control List)

[그림] ACL 개념도

가장 많이 사용하는 구현 방법으로 자원에 대하여 각 사용자들의 권한을 저장하는 방법이다 (자원 중심). ACL은 관련된 객체에 대해 접근행렬에서 열의 내용을 반영하며 IBP, GBP, 직무 기반/신분 기반 접근통제 정책은 ACL을 사용하여 실현될 수 있다. ACL 메커니즘은 구분될 필요가 있는 사용자가 비교적 소수일 때, 사용자/사용자 그룹이 자주 변경될 때, 사용자 분포가 안정적일 때 가장 적합하다.

l CL (Capability List)

[그림] Capability List 개념도

접근통제 목록(ACLs)과는 반대로 각 주체에 대해 접근 가능한 객체를 리스트 형태로 관리하는 구현 방법이다(사용자 중심). CL은 주체별로 접근행렬에서 행의 내용을 반영하여 객체에 대한 접근권한을 관리한다. 접근 제어 목록(ACLs) 구현 방법과 비슷하게 메모리 낭비가 적지만, 한 사용자에 대해 접근할 수 있는 객체가 많아지면 탐색이 오래 걸릴 수 있다.