7Проведение дополнительных исследований 7.1Совершенствование модели доступа к ресурсам в сети корпоративных порталов
В процессе проектирования и реализации системы управления информационным обменом сети корпоративных порталов была сформирована базовая модель взаимодействия пользователей и доступа к информационным ресурсам корпоративных порталов. Изначально концепция построения сети порталов предполагала реализацию модели доступа к информационным ресурсам основанной на жесткой иерархии вложенности и наличия только разрешительных правил. В процессе разработки системы и с учетом расширения специфики решаемых задач потребовалась некоторая модификация модели управления доступом с целью придания ей большей гибкости. Данная модель была дополнена запретительными, наследуемыми, ненаследуемыми правилами и принадлежностью пользователя к пользовательскому домену. Также потребовалось сформировать более общее формальное ее представление для адаптации к задачам построения на базе сети порталов информационных ассоциаций, а также реализации проектов оказания электронных услуг.
Процедура управления доступом в общем виде – это процесс проверки запросов на доступ к сервису с целью определения разрешить или запретить доступ [33]. Большинство современных систем основано на модели, сформулированной Лампсоном (рисунок 2.1) [34].
Рисунок 2.1 – Модель управления доступом Лампсона
В качестве автора запроса могут выступать: операторы, вычислительные машины либо их группы. Диспетчер на основе следующих операций, принимает решение о предоставлении соответствующего вида доступа к объекту:
идентификация (определение источника запроса);
аутентификация (подтверждение подлинности источника запроса);
авторизация (анализ правил разграничения доступа).
Модель Лампсона дает самое общее представление об управлении доступом и является основанием для описанных далее моделей [35].
Дискреционные модели доступа (Discretionary Access Control) соответствуют следующим требованиям управления доступом:
все объекты и субъекты должны иметь уникальный идентификатор;
задана матрица доступов (каждая строка – субъект, каждый столбец объект, в ячейке список прав доступа);
субъект имеет право доступа в том, и только в том случае, когда в ячейке матрицы доступа есть соответствующее право доступа. В качестве примера реализации таких моделей можно привести систему управления доступом в POSIX-операционных системах (рисунок 2.2).
Рисунок 2.2 – Пример использования дискреционной модели доступа
Мандатные модели доступа (Mandatory Access Control) соответствуют следующим требованиям управления доступом:
все объекты и субъекты должны иметь уникальный идентификатор;
задана решетка уровней конфиденциальности информации;
каждому объекту присвоен уровень конфиденциальности, определяющий установленные ограничения на доступ к данному объекту;
каждому субъекту присвоен уровень доступа, определяющий уровень полномочий данного субъекта;
субъект обладает правом доступа к объекту в том, и только в том случае, когда уровень доступа субъекта позволяет предоставить ему доступ к объекту соответствующего уровня конфиденциальности.
Примером таких моделей может выступить модель Белла-ЛаПадулы. На практике такие модели применяются в военных системах с высокими требованиями к безопасности (рисунок 2.3).
Рисунок 2.3 – Пример использования мандатной модели доступа
Ролевые модели доступа (Role-based Access Control) определяет следующие требования к системе:
все объекты и субъекты должны иметь уникальный идентификатор;
определено множество ролей, каждая из которых представляет собой некоторое множество прав доступа к объектам;
каждый субъект обладает некоторым множеством разрешенных для данного субъекта ролей;
субъект обладает правом доступа к объекту в случае, если субъект обладает ролью, во множестве прав доступа которой имеется данное право доступа к данному объекту.
Ролевые модели (рисунок 2.4) широко применяются для управления пользовательскими привилегиями в пределах единой системы или приложения. Список таких систем включает в себя Microsoft Active Directory, SELinux, СУБД Oracle, PostgreSQ, Lotus Notes и др.
Рисунок 2.4 – Пример использования ролевой модели доступа
Задачи контроля доступа в системе управления информационным обменом сети корпоративных порталов.
В системе управления информационным обменом сети корпоративных порталов (далее система) требуется организация пользовательского домена. Под пользовательским доменом подразумевается уникально именованная группа пользователей, которая связана с одним учреждением и с одним или несколькими порталами, функционирует на одной аппаратно-программной платформе, имеет своего администратора, может иметь привилегированный доступ к ресурсам порталов, связанных с соответствующим сервером доступа.
На рисунке 2.5 выделены основные роли пользователей в системе и их взаимосвязь с реальными пользователями. В подсистеме управления доступом выделяются следующие роли пользователей [1]:
неавторизованные пользователи;
авторизованные пользователи;
администраторы доступа;
администратор сети.
Рисунок 2.5 – Роли пользователей в системе
Основываясь на описании ролей пользователей можно сформулировать основные задачи подсистемы контроля доступа:
организация иерархии групп привилегий доступа;
пользователь системы должен принадлежать лишь к одной группе привилегий доступа;
для каждого портала администратором доступа назначаются открытые и закрытые разделы с соответствующими уровнями требуемых привилегий;
структура порталов, обслуживаемая одним сервером доступа, контролируется администратором пользовательского домена, им же вводятся и изменяются учетные записи пользователей и группы привилегий доступа;
структура сети информационного обмена, обслуживаемая администратором сети, который в свою очередь имеет возможность создания и изменения доменных групп.
Модель управления доступом.
Ключевым механизмом управления доступом является разграничение между пользователями (учетными записями) прав доступа к ресурсам, основанное на задании и реализации разграничительной политики доступа пользователей к ресурсам и на назначении принадлежности к группам пользователей.
В рамках системы управления информационным обменом сети корпоративных порталов под ресурсами (или объектом доступа) понимаются определенные URI (Uniform Resource Identifier), задающие разделы корпоративного Web-портала. В качестве субъектов доступа выступают пользователи системы (неавторизованные и авторизованные разбитые на группы), запрашивающие по протоколу HTTP/HTTPS требуемые разделы Web-порталов.
В свете описанных ранее задач, требующих разрешения, целесообразно взять за основу комбинированную модель на основе вышеописанных классических моделей. Аргументом в пользу мандатного подхода является необходимость разбиения на группы пользователей и определение между ними иерархии полномочий (администратор сети – администратор пользовательского домена – администратор портала – авторизованный пользователь – неавторизованный пользователь). Вышестоящая в иерархии полномочий группа может получить доступ ко всем возможностям нижестоящих групп. Таким образом, обязательным для мандатной модели является лишь вертикальное разделение полномочий. Необходимо учитывать требования к организации пользовательских доменов, а также разграничение полномочий для различных серверов доступа (горизонтальное разделение полномочий), и это, в свою очередь, исключает возможность построения в рамках мандатного подхода лаконичной и прозрачной иерархии привилегий доступа. Внесение элементов из дискреционной и ролевой моделей снимет проблему с необходимостью внесения горизонтального разделения полномочий и дает требуемую функциональность модели доступа. Матрица доступа, характерная для дискреционной модели, позволит внести явное разграничение доступа к каждому ресурсу каждого портала. Так как привилегии приобретаются ими только через свою роль, управление индивидуальными правами пользователя, по сути, сводится к назначению ему ролей. Это упрощает операции управления базой пользователей (включение пользователя в группу – наделяет его полномочиями).
Обрабатываемые данные корпоративных порталов, как правило, могут быть категорированы по уровню конфиденциальности: открытая информация, конфиденциальная информация (доступная определенной группе пользователей). При этом один и тот же пользователь в рамках выполнения своих служебных обязанностей может обрабатывать как открытые, так и конфиденциальные данные.
Для определения процедуры доступа к ресурсам необходимо ввести понятие сеанса доступа (сессии). Под сессией пользователя понимается сеанс работы пользователя с данными определенной категории, реализуемый соответствующей разграничительной политикой доступа к ресурсам. Полученные в сессии данные соответствующим образом подразделяются на категории.
Учитывая вышеописанные аспекты построения, была проведена модификация модели процесса информационного обмена в сети корпоративных порталов. Формально она определяется следующим образом:
M = <U,D,P,R,S,F> (1)
где U={u1, u2, …, uuc} – множество субъектов доступа (пользователей), при uc – количестве субъектов доступа. Субъекты множества осуществляют информационный обмен в рамках разрешенных протоколов (HTTP/HTTPS). Каждому субъекту соответствует набор уникальных (в рамках пользовательского домена) идентификаторов I={i1, i2, …, iic} – множество идентификаторов, при ic – количестве идентификаторов. Идентификаторы служат для однозначного распознавания субъектов среди всех элементов множества U. С помощью аутентификаторов из множества A возможно подтвердить, что субъект именно тот, за кого себя выдаёт, следовательно A={a1, a2, …, aac} – множество аутентификаторов, при ac – количестве аутентификаторов. Введены следующие функции: , . Они включаются в множество базовых функций системы – F, т. е. {user,id}⊂F.
D={d1, d2, …, ddc} – множество пользовательских доменов, при dc – количестве пользовательских доменов. Каждый пользователь включается в пользовательский домен , т. е. , для j∈{1,…,uc} и i∈{1,…,dc}. Введены следующие функции: , authorization:wj×{permission(uk)|uk∈U}×U→{ok,access denied}. Они включаются в множество базовых функций системы — F, т. е. {dom,authorization}⊂F;
P={p1, p2, …, ppc} – множество прав доступа, при pc – количестве прав доступа. Это множество содержит все возможные права доступа к ресурсам Web-порталов. Введены следующие отношения: UP=U×P – отношение, задающее соответствие между cубъектами и правами доступа и PH⊆P×P – отношение частичного порядка (иерархия) на множестве прав доступа, обозначаемое «⪰». Введены следующие функции: – функция, ставящая в соответствие субъекту множество прав доступа permission(ui)⊆{p|(∃p0⪰p) ⋀((ui,p0)∈UP)}. Они включаются в множество базовых функций системы — F, т. е. permission∈F.
R={r1,r2,r3,r4,r5} – множество ролей в рамках системы: – «неавторизованный пользователь», – «авторизованный пользователь», – «администратор портала», – «администратор пользовательского домена» и – «администратор сети». Введены следующие отношения: UR=U×R – отношение, задающее соответствие между субъектами и ролями, RP=R×P – отношение, задающее соответствие между ролями и правами доступа, RH⊆R×R – отношение частичного порядка (иерархия) на множестве ролей, обозначаемое «⪰». Введена функция: – функция, ставящая в соответствие сессии , одну из ролей допустимых в R.
S={s1, s2, …, ssc} – идентификатор сеанса, при sc – количестве таких идентификаторов сеанса. Элемент данного множества создаётся при первом обращении субъекта к объекту, когда субъект проходит идентификацию и аутентификацию. Идентификатор и аутентификатор сохраняются в сеансе и не требуют повторного ввода при обращении к ресурсам. Введены следующие функции: , , . Они включаются в множество базовых функций системы — F, т. е. {suser, sid}⊂F;
W={w1, w2, …, wwc} – множество Web-порталов, при wc – количестве Web-порталов. Каждый элемент данного множества есть карта Web-портала (site map), представленная в виде дерева, т. е. wj=(Vj,Ej), где – адреса ресурсов Web-портала, определённые как максимальный префикс c отсечённой частью, указывающей на протокол URI (например – portal.dom/chapter1/section/page.html), а – представляет собой множество рёбер задающих смежность ресурсов. Смежность ресурсов определяется следующим образом (u,v) ∈Ej, если полный адрес ресурса v является префиксом ресурса u или наоборот;
AS={as1, as2, …, asasc} – множество серверов доступа, при asc – количестве серверов доступа, включённых в сеть. Одним сервером доступа могут обслуживаться несколько Web-порталов, т. е. asj=<addressesj, portalsj, di∈D>, где – множество адресов сервера доступа, необходимых для целей администрирования, – взаимно-однозначное соответствие между порталами, обслуживающимися на данном сервере доступа и адресами интерфейсов, к которым они подключены:
portalsj={(wi, intk)|(i≤wc)⋀(intk∈InterfacesSet)};
F={user, id, permissions, users, id, sauth, dom, authorization, role} – множество базовых функций системы.
Следует отметить, что в целях гибкого управления возможно внесение в модель дополнительных ограничений на комбинации компонентов, например: время жизни сеанса пользователя, типа соединения между компонентами и т.п. Исследование модели выявило достаточность введенных в модель системы компонентов для решения поставленных задач.
В заключении следует отметить, что основными результатами исследования является построение модели подсистемы управления доступом для системы управления информационным обменом сети корпоративных порталов с указанием возможностей ее практической реализации.
|
