Окружающий авторитет

Окружающие полномочия - это термин, используемый при изучении систем контроля доступа .

Говорят, что субъект, такой как компьютерная программа, использует внешние полномочия, если ему нужно только указать имена задействованного объекта (ов) и операцию, которая должна быть выполнена над ними, чтобы разрешенное действие было успешным. ^[1]^[2]^[3]

В этом определении

«имя» - это любой способ ссылки на объект, который сам по себе не включает авторизационную информацию и потенциально может быть использован любым субъектом;
действие «разрешено» для субъекта, если существует какой-либо запрос, который этот субъект мог бы сделать, чтобы вызвать выполнение действия.

Авторитет является «окружающим» в том смысле, что он существует в широко видимой среде (часто, но не обязательно в глобальной среде), где любой субъект может запросить его по имени.

Например, предположим, что программа на C открывает файл для чтения, выполняя вызов:

 open ("имя файла", O_RDONLY, 0)

Желаемый файл обозначается своим именем в файловой системе, которое само по себе не включает авторизационную информацию, поэтому программа осуществляет внешние полномочия.

Когда запрашиваются внешние полномочия, разрешения предоставляются или отклоняются на основе одного или нескольких глобальных свойств выполняющейся программы, таких как ее идентификатор или ее роль . В таких случаях управление контролем доступа обрабатывается отдельно от явного взаимодействия с исполняющейся программой или процессом с помощью таких средств, как списки управления доступом, связанные с объектами, или с помощью механизмов управления доступом на основе ролей . У выполняющейся программы нет средств для преобразования разрешений, предоставленных ей для определенной цели, в качестве первоклассных значений.. Итак, если программа должна иметь возможность получить доступ к объекту, действуя от своего имени, но не действуя от имени одного из своих клиентов (или от имени одного клиента, но не другого), у нее нет способа выразить это намерение. . Это неизбежно приводит к тому, что подобные программы становятся предметом проблемы « Растерянный депутат» .

Термин «внешние полномочия» используется в первую очередь для контраста с безопасностью, основанной на возможностях (включая модели объектно-функциональных возможностей ), в которой выполняющиеся программы получают разрешения, поскольку они могут получать данные, как переданные ссылки на объекты первого класса . Это позволяет им определить, откуда поступили разрешения, и таким образом избежать проблемы « Замешанный заместитель» . Однако, поскольку существуют дополнительные требования к системе, которая должна рассматриваться как система возможностей, помимо избегания внешних полномочий, «внешняя система полномочий» не является просто синонимом «системы возможностей».

Окружающие полномочия сегодня являются доминирующей формой контроля доступа в компьютерных системах. Пользователь модель контроля доступа, который используется в Unix и в системах Windows , является моделью окружающей среды , поскольку полномочий программы выполняется с властями пользователя , который начал их. Это не только означает, что выполнение программ неизбежно получает больше разрешений (см. Принцип наименьших привилегий.), чем им нужно для их задачи, но они не могут определить источник или количество и типы разрешений, которые у них есть. Программа, выполняющаяся в рамках модели управления доступом с использованием внешних полномочий, не имеет другого выбора, кроме как назначать разрешения и пытаться их использовать, надеясь на лучшее. Это свойство требует предоставления пользователям или ролям дополнительных разрешений, чтобы программы выполнялись без ошибок.

Ссылки [ править ]

^ Миллер, Марк S .; Йи, Ка-Пинг; Шапиро, Джонатан (2003). «Разрушенные мифы о возможностях» (PDF) . Цитировать журнал требует |journal=( помощь )
^ Доннелли, Джед (6 октября 2004). "[болтовня] ... принуждение - окружающая власть - определение?" . cap-talk (список рассылки). Архивировано из оригинала на 2013-04-14 . Проверено 28 июня 2012 года .
^ Триббл, декан (5 декабря 2002). "Re: [e-lang]" Capability Myths Demolished "=> пересмотр окружающих авторитетов" . e-lang (список рассылки) . Проверено 28 июня 2012 года .

[1] Миллер, Марк S .; Йи, Ка-Пинг; Шапиро, Джонатан (2003). «Разрушенные мифы о возможностях» (PDF) . Цитировать журнал требует |journal=( помощь )

[2] Доннелли, Джед (6 октября 2004). "[болтовня] ... принуждение - окружающая власть - определение?" . cap-talk (список рассылки). Архивировано из оригинала на 2013-04-14 . Проверено 28 июня 2012 года .

[3] Триббл, декан (5 декабря 2002). "Re: [e-lang]" Capability Myths Demolished "=> пересмотр окружающих авторитетов" . e-lang (список рассылки) . Проверено 28 июня 2012 года .

[1]

vтеБезопасность объекта
Концепции	Принцип наименьших привилегий (PoLP) Запутанная депутатская проблема Окружающий авторитет Дескриптор файла C-список Объектно-функциональная модель Безопасность на основе возможностей Адресация на основе возможностей Треугольник Зуко Имена домашних животных
Ядра ОС	Гидра NLTSS KeyKOS ЭРОС CapROS iMAX 432 Мидори seL4 Genode Фуксия Стручковый перец
Языки программирования	Джоуль E Джо-И Cajita
Файловые системы	Тахо-ЛАФС
Специализированное оборудование	Flex Система Plessey 250 Cambridge CAP IBM System / 38 Intel iAPX 432 BiiN