액세스 제어 식

이 글은 검증을 위해 인용구가 추가로 필요하다. 신뢰할 수 있는 출처에 인용문을 추가하여 이 기사를 개선할 수 있도록 도와주십시오. 공급되지 않은 재료는 도전하여 제거할 수 있다. 출처 찾기: "접근 통제 표현" – 뉴스 · 신문 · 책 · 학자 · JSTOR (2016년 10월) (이 템플릿 메시지를 제거하는 방법과 시기 학습)

컴퓨터 파일 시스템에 대한 접근 제어 표현식은 파일 개체에 첨부된 부울 표현식의 목록이다.액세스 제어 표현식은 주어진 개체에 대해 허용되는 작업뿐만 아니라 어떤 사용자 또는 시스템 프로세스가 개체에 대한 액세스 권한을 부여받는지 정의하는 부울 공식을 지정한다.일반적인 액세스 제어 표현식의 각 항목은 작업, 표현식 및 작업을 지정한다.예를 들어 파일 개체에 다음이 포함된 액세스 제어 식이 있는 경우(read=(g:system OR u:Alice), write=(g:system AND !u:Bob)))이렇게 하면 그룹의 구성원이나 앨리스라는 사용자에게는 파일을 읽을 수 있는 권한이 주어지지만 Bob이라는 사용자를 제외하고 그룹의 구성원만 파일을 쓸 수 있게 된다.

기존의 접근 제어 목록은 허용된 유일한 결합 작업이 OR인 접근 제어 표현식의 하위 집합으로 볼 수 있다.

구현

액세스 제어 표현식을 구현하는 시스템은 거의 없다.MapR 파일 시스템은 그러한 시스템 중 하나이다.

파일 시스템 액세스 제어 식 방향으로 이동

초기 유닉스 및 유닉스 유사 시스템은 사용자 및 그룹 멤버십에 기반한 유연한 권한 체계를 개척했다.처음에는 사용자들이 한 그룹에만 속할 수 있었지만, 이 제약조건은 여러 그룹의 구성원 자격을 허용하도록 완화되었다.무제한의 집단이 있으면, 임의로 복잡한 허가 제도를 실시할 수 있었지만, 기하급수적으로 많은 집단의 비용만을 부담해야 했다.

파일 시스템 권한의 사양에서 보다 명확한 표현을 허용하기 위해 마이크로소프트 윈도, 유닉스 및 유닉스 유사 시스템 리눅스를 위해 다수의 경쟁적인 액세스 제어 목록 구현이 개발되었다.액세스 제어 목록은 단순한 사용자 및 그룹 권한에 비해 상당히 개선되었지만, 여전히 몇 가지 공통 요구사항(단일 사용자 그룹 금지 등)을 쉽게 표현할 수 없었다.접속 제어 표현은 이러한 요구에 대응하여 개발되었다.

액세스 제어 목록과 비교

접근통제목록이 지원하는 허가표현은 접근통제표현에서 지원하는 것 중 엄격한 부분집합이지만, 매우 빠르고 직접 구현이 가능하다는 장점이 있다.하드웨어 성능의 진보로 인해 액세스 제어 표현 구현 비용은 더 이상 큰 문제가 되지 않는다.

참고 항목

• 캐클스
• 기능 기반 보안
• 임의접근통제
• 역할 기반 액세스 제어

참조

추가 읽기