HRU는 컴퓨터 과학 및 정보 보안 분야에서 접근 제어 모델 중 하나인 Harrison‑Ruzzo‑Ullman 모델을 가리키는 약어이다. 이 모델은 1976년 Michael A. Harrison, W. M. Ruzzo, 그리고 Jeffrey D. Ullman이 제안한 것으로, 시스템 내 주체(subject)와 객체(object) 사이의 접근 권한을 형식적으로 기술하고, 권한 부여·제거 연산을 통해 시스템 상태가 어떻게 변화하는지를 분석한다.
정의
HRU 모델은 다음 요소들로 구성된다.
- 주체(Subject): 시스템에서 권한을 가지고 다른 객체에 접근할 수 있는 엔티티(예: 사용자, 프로세스)
- 객체(Object): 접근 대상이 되는 엔티티(예: 파일, 데이터베이스 레코드)
- 권한(Access Rights): 주체가 객체에 대해 수행할 수 있는 동작(예: 읽기(read), 쓰기(write), 실행(execute))
- 명령(Command): 시스템 상태를 변화시키는 연산으로,
create,delete,enter,remove와 같은 네 가지 기본 연산을 포함한다.
HRU 모델은 이러한 요소들을 접근 매트릭스(access matrix) 로 표현한다. 접근 매트릭스의 행은 주체, 열은 객체, 각 셀에는 해당 주체가 객체에 대해 갖는 권한 집합이 저장된다.
주요 특성
- 동적 접근 제어: 명령을 통해 주체와 객체, 권한을 동적으로 추가·삭제할 수 있다.
- 안전성 분석: 특정 권한이 주어지는 것이 가능한지를 결정하는 문제(안전성 문제)를 다룬다. Harrison, Ruzzo, Ullman은 일반적인 HRU 시스템에서 안전성 판단이 NP‑complete임을 증명하였다.
- 제한된 안전성: 권한 추가만 허용하거나 객체·주체 생성·삭제를 금지하는 등 제한된 형태에서는 안전성 판단이 다항식 시간에 해결될 수 있다.
역사·배경
HRU 모델은 초기 접근 제어 모델인 Bell‑LaPadula 모델(기밀성 중심) 및 Biba 모델(무결성 중심)과는 달리, 권한의 동적 변화와 시스템 안전성을 형식적으로 분석하는 데 초점을 맞추었다. 제안 이후, 이 모델은 접근 제어 정책 설계와 보안 분석 도구 개발에 이론적 기반을 제공하였다.
적용 및 영향
- 보안 정책 검증: 시스템 설계 단계에서 접근 권한 변화가 보안 목표를 위협하지 않는지 검증하는 데 활용된다.
- 형식 검증 도구: HRU 모델을 기반으로 한 모델 검사기와 정적 분석 도구가 연구 및 산업 현장에서 사용된다.
- 학술 연구: 접근 제어의 복잡도와 안전성 문제에 대한 다양한 확장 연구가 HRU 모델을 토대로 진행되었다.
한계
- 복잡도: 일반적인 HRU 시스템에서 안전성 판단이 NP‑complete이므로, 대규모 실 시스템에 직접 적용하기에는 계산 비용이 높다.
- 추상적 표현: 실제 운영 체제나 응용 프로그램에서 사용하는 세부적인 권한 구조를 완전히 모델링하기 어려울 수 있다.
참고 문헌
- Harrison, M. A.; Ruzzo, W. M.; Ullman, J. D. (1976). Protection in Operating Systems. Communications of the ACM, 19(8), 461‑471.
- Sandhu, R.; Coyne, E. J.; Feinstein, H. L.; Youman, C. E. (1996). Role-Based Access Control Models. IEEE Computer, 29(2), 38‑47. (HRU 모델과 비교 연구 포함)
본 항목은 HRU라는 용어가 주로 Harrison‑Ruzzo‑Ullman 접근 제어 모델을 의미한다는 점을 전제로 작성하였다.