운영체제 보안 모델

보안 모델이란 컴퓨터 시스템과 사용자의 보안 성질을 설명하는 추상적인 형태로서 모델의 설정과 접근권한에 대한 제어가 핵심 개념이 된다.

 

보안 모델을 적용하기 위해서는 보안 정책과 보안 메커니즘이 필요하다.

 

보안 정책

 - 권한 부여(Authorization) : 어떤 객체를 어떻게 액세스 할 수 있는지를 결정한다. 운영체제는 모든 주체와 객체는 신분 확인 및 인증이 가능해야 하며, 자원에 대한 접근제어와 보안등급을 부여하여 사용한다.

 

 - 임의적 접근제어 (Discretionary Access Control, DAC) : 관리자 혹은 자원 소유자가 보안 관리자의 개입 없이 자율적 판단에 따라 보유하고 있는 자원의 접근권한을 다른 사용자에게 부여하는 기법을 말한다.

 

 - 강제적 접근 제어 (Mandatory Access Control, MAC) : 개별적으로 각각의 객체 파일에 비밀등급을 결합시키고, 사용자에게는 허가등급을 부여하여 각 주체가 객체에 접근할 때마다 사전에 정의된 정책을 확인하여 만족할 경우에만 접근권한을 부여한다.

 

 - 역할 기반 접근제어(Role-Based Access Control, RBAC) : 역할의 개념을 사용함으로써 사용자와 그들의 권한을 효과적으로 관리할 수 있다. 실제로도 많이 사용되는 기법으로 RBAC모델 내에서 권한은 역할과 관련이 있으며, 사용자는 역할의 한 멤버가 됨으로써 권한을 배정받게 된다.

 

보안 메커니즘

 - 시스템의 자원에 대한 식별자 및 보안 등급 레이블을 부여한다. 낮은 등급의 레이블을 갖는 주체가 높은 등급을 갖는 객체에 접근할 수 없도록 하는 것이다.

 

 - 암호 메커니즘을 사용한다. 대구 비밀키 암호화 기술과 공개키 암호화 기술이 일반적으로 사용 된다.

 

 - 임의적 접근제어를 위한 메커니즘은 UNIX의 모드 비트와 MULTICS의 접근제어 리스트를 이용하여 각 주체의 주인이 되는 주체, 즉 소유권한을 갖는 주체가 객체에 대하여 접근제어를 주관할 수 있도록 한다.

 

 

 

보안 모델

 

1. 참조 모니터 모델 

 참조 모니터 모델은 안전한 운영체제에서 프로세스와 파일의 정보의 흐름을 감시하는 보안 모델이다. 참조 모니터는 정책을 정의한 데이터베이스를 참조함으로써 보안 정책을 수행한다. 참조 모니터는 기본적으로 특정 주체가 특정 객체에 대하여 접근할 수 있는지에 대해서만 관리하기 때문에 각각의 주체가 자신이 소유하거나 접근한 정보의 확산에 대해서만 책임지며, 이에 대한 제어 관리를 참조 모니터가 수행한다.

 

 

2. 정보 흐름 모델

 정보 흐름 모델은 참조 모니터의 제어 문제를 해결하기 위해 수학적인 개념을 기반으로 한다.

 주로 벨-라파듈라 모델과 비바 모델 두 가지로 표현된다. 

BLP모델은 정보가 상위 보안 수준에서 하위 보안 수준으로 흐르는 것을 방지하는 것에 관심을 둔다.

Biba모델은 정보가 하위 보안 수준에서 상위 보안 수준으로 흐르는 것을 방지하는 것에 관심을 둔다.

정보 흐름 모델은 정보 흐름에 있어서 방향만을 다루지 않고 흐름의 유형 또한 다룬다

 

BLP모델을 간단히 다루면 쓰기 접근은 객체의 보안 수준이 주체의 보안 허가 수준보다 높아야 가능하며, 읽기 접근은 주체의 보안 수준이 객체의 보안 수준보다 높아야 가능하다. 

 

Biba모델은 무결성을 중요시하는 모델이다. 낮은 등급에서 높은 등급으로 쓰기 접근을 하지 못하도록 함으로써 높은 무결성을 가진 데이터가 무결성을 보장하도록 한다.