После выполнения идентификации и аутентификации необходимо установить полномочия (совокупность прав) субъекта для последующего контроля санкционированного использования вычислительных ресурсов. Такой процесс называется разграничением (логическим управлением) доступа. Обычно полномочия субъекта представляются списком ресурсов доступным пользователю и правами по доступу каждому ресурсу из списка. В качестве вычислительных ресурсов могут быть программы, информация, логические устройства, объем памяти, приоритет и т.д.
Можно выделить следующие методы разграничения доступа:
- по спискам;
- использование матрицы установления полномочий;
- по уровням секретности и категориям;
- парольное разграничение доступа.
При разграничении доступа по спискам задаются соответствия: 1) каждому пользователю список ресурсов и прав доступа к ним; 2) каждому ресурсу список пользователей и их прав доступа к этому ресурсу.
Использование матрицы установления полномочий подразумевает применение матрицы доступа (таблицы полномочий). В указанной матрице строками являются идентификаторы субъектов, имеющих доступ в АС, а столбцами – объекты (информационные ресурсы) АС. Каждый элемент матрицы может содержать имя и размер предоставляемого ресурса, право доступа (чтение, запись и др.), ссылку на другую информационную структуру, уточняющую права доступа, ссылку на программу, управляющую правами доступа и т.д.
|
|
Фрагмент матрицы «Установление полномочий»
Субъект | Каталог d:\heap | Программа prty | Принтер |
Пользователь 1 Пользователь 2 | c d r w r | e - | w w с 9 до 17 |
c - создание
d - удаление
r - чтение
w - запись
e - выполнение
Данный метод предоставляет более унифицированный и удобный подход, т.к. вся информация о полномочиях хранится в виде единой таблицы. Недостатками матрицы являются ее возможная громоздкость и неоптимальность (большинство клеток пустые).