Конкретное воплощение модели разграничения доступа находят в системе разграничения доступа (СРД). СРД — это совокупность реализуемых правил разграничения доступа в средствах вычислительной техники или автоматизированных системах.
Многие системы разграничения доступа базируются на концепции диспетчера доступа. В основе этой концепции лежит понятие диспетчера доступа — абстрактной машины, которая выступает посредником при всех обращениях субъектов к объектам. Диспетчер доступа использует базу данных защиты, в которой хранятся правила разграничения доступа и на основании этой информации разрешает, либо не разрешает субъекту доступ к объекту, а также фиксирует информацию о попытке доступа в системном журнале.
Основными требованиями к реализации диспетчера доступа являются:
1) требование полноты контролируемых операций, согласно которому проверке должны подвергаться все операции всех субъектов над всеми объектами системы. Обход диспетчера предполагается невозможным;
2) требование изолированности, то есть защищенности диспетчера от возможных изменений субъектами доступа с целью влияния на процесс его функционирования;
База данных защитыстроится на основе матрицы доступа или одного из ее представлений.
Матрица доступа – таблица, в которой строки соответствуют субъектам, столбцы – объектам доступа, а на пересечении строки и столбца содержатся правила (разрешения) доступа субъекта к объекту. Основными недостатками такой матрицы являются ее чрезмерно большая размерность и сложность администрирования: все взаимосвязи и ограничения предметной области приходится учитывать вручную. (Примеры ограничений: права доступа субъекта к файлу не могут превышать его прав доступа к устройству, на котором этот файл размещен; группа пользователей наследует одинаковые полномочия и т.д.). Для преодоления этих сложностей матрица доступа в СРД часто заменяется некоторым ее неявным представлением. Рассмотрим основные из них.
1. Списки управления доступом(access control lists, ACL). Для каждого объекта задан список субъектов, имеющих ненулевые полномочия доступа к ним (с указанием этих полномочий). В результате серьезно экономится память, поскольку из матрицы доступа исключаются все нулевые значения (составляющие большую ее часть). Тем не менее, спискам управления доступом присущ ряд недостатков:
· неудобство отслеживания ограничений и зависимостей по наследованию полномочий субъектов;
· неудобство получения сведений об объектах, к которым имеет какой либо вид доступа данный субъект;
· так как списки управления доступом связаны с объектом, то при удалении субъекта возможно возникновение ситуации, при которой объект может быть доступен несуществующему субъекту.
2. Списки полномочий субъектов. Аналогично ACL с той разницей, что для каждого субъекта задан список объектов, доступ к которым разрешен (с указанием полномочий доступа). Такое представление называется профилем субъекта. Оба представления имеют практически идентичные достоинства и недостатки.
3. Атрибутные схемы. Основаны на присвоении субъектам и/или объектам определенных меток, содержащих значения атрибутов. Элементы матрицы доступа не хранятся в явном виде, а динамически вычисляются при каждой попытке доступа для конкретной пары субъект-объект на основе их атрибутов. Помимо экономии памяти достигается непротиворечивость базы данных защиты, а также удобство ее администрирования. Основным недостатком является сложность задания прав доступа конкретного субъекта к конкретному объекту.