Механизм контроля доступа
Каждый пользователь и каждая группа пользователей обычно имеет символьное имя, а также уникальный числовой идентификатор.
При выполнении процедуры логического входа в систему пользователь сообщает свое символьное имя и пароль, а ОС определяет соответствующие числовые идентификаторы пользователя и групп, в которые он входит.
Все идентификационные данные, в том числе имена и идентификаторы пользователей и групп, пароли пользователей, а также сведения о вхождении пользователя в группы хранятся
Вход пользователя в систему порождает процесс – оболочку, который поддерживает диалог с пользователем и запускает для него другие процессы.
Процесс – оболочка получает от пользователя символьное имя и пароль и находит по ним числовые идентификаторы пользователя и его групп. Эти идентификаторы связываются с каждым процессом, запущенным оболочкой для данного пользователя. Говорят, что процесс выступает от имени данных пользователя и данных групп пользователей.
Определить права доступа к ресурсу – значит определить для каждого пользователя набор операций, которые ему разрешено применять к данному ресурсу.
В разных ОС для одних и тех же типов ресурсов может быть определен свой список дифференцируемых операций доступа.
Для файловых объектов этот список включает следующие операции:
· создание файла;
· уничтожение файла;
· открытие файла;
· закрытие файла;
· запись в файл;
· дополнение файла;
· поиск в файле;
· получение атрибутов файла;
· установка новых значений атрибутов;
· переписывание;
· выполнение файла;
· чтение каталога;
· смена владельца;
· изменение прав доступа.
В самом общем случае права доступа могут быть описаны матрицей прав доступа, в котором столбцы соответствуют всем файлам системы, строки всем пользователям, а на пресечении строк и столбцов указываются разные операции.
Имена файлов | |||||
modern.txt | win.exe | … | … | ||
Имена пользователей | Kira | читать | выполнять | ||
Victor | читать | выполнять | |||
Nataly | - | - | создать | ||
. . . |
Практически во всех ОП матрица прав доступа хранится “по частям”, т.е. для каждого файла и каталога создается так называемый список управления доступом, в котором описываются права на выполнение операций пользователей и группы пользователей по отношению к этому файлу и каталогу. Список управителя доступа является частью характеристик файла или каталога и хранится на диске в соответствующей области.
Однако, не все файловые системы поддерживают список управления доступом, например, его не поддерживает ФС FAT, так она разрабатывалась для однопользовательской MS – DOS.
Список управления доступом с добавленным к нему идентификатором владельца называется характеристиками обязанности.
Дата добавления: 2016-06-15; просмотров: 2327;