3.4.7. ACL yoki C-list
Foydalanishni boshqarish jadvalida barcha subyektlar va barcha obyektlar
mavjudligi tufayli, u avtorizasiya qarorlariga tegishli barcha ma’lumotlardan tashkil
128
topgan. Biroq, katta foydalanishni boshqarish matrisasini boshqarish amaliy
tomondan mushkul. Yuzlab (yoki undan ko’p) subyektlar va minglab (yoki undan
ko’p) obyektlar mavjud bo’lgan tizimda, millionlab (yoki undan ko’p) yozuvlarga
ega bo’lgan foydalanishni boshqarish matrisasi har qanday obyektga har qanday
subyekt tomonidan bajariladigan ishlar uchun tekshirishili hisoblash tizim uchun
katta yuklamani keltirib chiqaradi.
Avtorizasiya amallarini maqbul amalga oshirish uchun, foydalanishni
boshqarish matrisasi boshqariluvchi qismlarga bo’linishi shart. Foydalanishni
boshqarish matrisasini bo’laklarga ajratishning ikkita usuli mavjud. Birinchi usuli,
matrisani ustunlar bo’yicha bo’lish va har bir ustun mos obyekt bilan saqlanadi. U
holda, obyektdan foydalanishga murojaat bo’lganda foydalanishni boshqarish
matrisasining ushbu ustuni olinadi va amalni bajarishga ruxsat berilgani tekshiriladi.
Ushbu ustunlarni ACL kabi bilish mumkin. Masalan, 6-jadvaldagi sug’urta
ma’lumotiga tegishli bo’lgan ACL quyidagicha:
(Bob,
−
), (Alisa,
𝑆𝑆𝑤𝑤
), (Sem,
𝑆𝑆𝑤𝑤
), (buxgalteriyaga oid dastur,
𝑆𝑆𝑤𝑤
)
Alternativ holatda, foydalanishni boshqarish matrisasini satrlar bo’yicha, har
bir satr mos subyekt bilan saqlanadi. U holda, subyekt tomonidan biror amalni
bajarishga harakat qilinsa, amalni bajarishga ruxsat borligini bilish uchun
foydalanishni boshqarish matrisasining mazkur satriga qaraladi. Mazkur yondashuv
imtiyozlar ro’yxati kabi yoki C-list deb ataladi. Masalan, 3.1-jadvaldagi Alisaning
imtiyozlar ro’yxati yoki C-list quyidagiga teng:
(
𝑋𝑋𝐾𝐾
,
𝑆𝑆𝑥𝑥
), (, buxgalteriyaga oid dastur,
𝑆𝑆𝑥𝑥
), (buxgalteriyaga oid ma’lumot,
𝑆𝑆
),
(sug’urta ma’lumoti,
𝑆𝑆𝑤𝑤
), (to’lov qaydnomasi ma’lumoti,
𝑆𝑆𝑤𝑤
)
ACL va C-list o’zaro ekvivalent bo’lsada, ular bir xil axborotni o’zida turlicha
saqlaydi. Biroq, ular orasida sezilmas farq mavjud. ACL va C-listning o’zaro qiyosiy
tahlili quyidagi 50-rasmda keltirilgan.
129
Alisa
Bob
Fred
r
---
r
w
r
---
rw
r
r
Fayl 1
Fayl 1
Fayl 1
ACL
Alisa
Bob
Fred
r
w
rw
---
r
r
r
---
r
Fayl 1
Fayl 1
Fayl 1
C-list
50-rasm. ACL vs C-list
50-rasmdagi ko’rsatkichlar qarama-qarshi yo’nalishlardaligini, ya’ni, ACL
uchun ko’rsatkich resurslardan foydalanuvchilarga qarab yo’nalgan bo’lsa, C-list
uchun esa ko’rsatkichlar foydalanuvchilardan resurslarga qarab yo’nalganligini
ko’rish mumkin. Bu ko’ringan ahamiyatsiz farq imtiyozlar (C-list) bilan
foydalanuvchilar va fayllar orasidagi aloqadorlik tizim ichida qurilishini anglatadi.
ACLga asoslangan tizimda esa, foydalanuvchilarni faylga aloqadorligi uchun
alohida usullar talab etilgani bois, C-list ACL ga nisbatan bir qancha xavfsizlik
nuqtai nazaridan afzalliklarga ega va shuning uchun C-list ustida kam sonli ilmiy
tadqiqot ishlari olib borilgan.
Tartibsiz yordamchi. Tartibsiz yordamchi
bu – ko’p jabhalarda klassik
xavfsizlik muammosi hisoblanadi. Ushbu muammoni yoritish uchun, ikkita resursga
ega tizim olingan: birinchi resurs kompilyator bo’lsa, ikkinchisi maxfiy to’lov
axborotidan iborat bo’lgan BILL deb nomlangan fayl va bir foydalanuvchi, Alisadan
iborat. Bunda, kompilyator ixtiyoriy faylga yozish imkoniyatiga ega va Alisa
kompilyatorni ishga tushira oladi. Buning uchun debaggerlash ma’lumoti yoziluvchi
fayl nomini kiritishi talab etiladi. Biroq, Alisaga BILL nomli faylni zararlashi
130
mumkinligi sababli, unga yozish ruxsati mavjud emas. Ushbu senariy uchun
foydalanishni boshqarish matrisasi quyidagi 4-jadvalda keltirilgan.
4-jadval
Tartibsiz yordamchi holati uchun foydalanishni boshqarish matrisasi
Kompilyator
BILL
Alisa
x
-
Kompilyator
rx
rw
Faraz qilinsin, Alisa kompilyatorni ishga tushirdi va fayl nomi sifatida BILL
ni ko’rsatdi. Alisa ushbu imtiyozga ega bo’lmagani uchun, mazkur buyruq amalga
oshirilmaydi. Biroq, Alisa nomidan ish ko’ruvchi kompilyator BILL faylini qayta
yozish imkoniyatiga ega. Agar kompilyator o’z imkoniyati bilan ishlasa va u Alisa
tomonidan ishga tushirilsa, u holda BILL faylini zararlashi mumkin (51-rasm).
|