Имена файлов. modern.txt win.exe class

	modern.txt	win.exe	class. dbf	unix.ppt
kira	читать	выполнять	—	выполнять
genua	читать	выполнять	—	выполнять читать
nataly	читать	—	—	выполнять читать
victor	Читать писать	—	создать	—

Имена

пользователей

Рис. 5.16. Матрица прав доступа

Обобщенно формат списка управления досту­пом можно представить в виде на­бора идентификаторов пользователей и групп пользователей, в котором для каж­дого идентификатора указывается набор разрешенных операций над объектом (рис. 5.17). Говорят, что список ACL состоит из элементов управления доступом (Access Control Element, АСЕ), при этом каждый элемент соответствует одному идентификатору. Список контроля доступа ACL с добавленным к нему идентификатором владель­ца объекта называют характеристикой безопасности.

В приведенном на рис. 5.17 примере процесс, который выступает от имени поль­зователя с идентификатором 3 и групп с идентификаторами 14, 52 и 72, пытается выполнить операцию записи (W) в файл. Файлом владеет пользователь с идентификатором 17. Операционная система, получив запрос на запись, находит характеристики безопасности файла (на диске или в бу­ферной системной облас­ти) и последовательно сравнивает все идентифика­торы процесса с идентифика­тором владельца файла и идентификаторами пользователей и групп в элементах АСЕ. В данном примере один из иденти­фикаторов группы, от имени которой выступает процесс, а именно 52, совпа­дает с идентификатором одного из элемен­тов АСЕ. Так как пользователю с идентификатором 52 разрешена операция чте­ния (признак W имеется в на­боре операций этого элемента), то ОС разрешает процессу выполнение опе­рации.

ID = 52

Рис. 5.18. Про­верка прав доступа

Рис. 5.17. Проверка прав доступа

Описанная обобщенная схема хранения информации о правах доступа и проце­дуры проверки имеют в каждой операционной системе свои особенно­сти, ко­торые рассматриваются далее на примере операционных систем UNIX и Windows NT.