Разграничение доступа по классу

Определения

 

Все логические механизмы строятся в отношении объектов разграничения доступа (ОРД) при обращении к ним субъектов (пользователей, администраторов, активных элементов программно-технической среды АС).

 

Простой объект разграничения доступа - отдельный ресурс программно-технического комплекса, телекоммуникационной системы АС или отдельный информационный объект, выделяемый по определённому признаку из информационных ресурсов АС. Простой ОРД является единичным объектом, с которым устанавливаются отношения доступа со стороны субъекта.

Сложный объект разграничения доступа – функционально связанная в технологическом процессе обработки или передачи информации последовательность простых ОРД.

Интегрированный объект разграничения доступа – совокупность информационных объектов (простых ОРД), интегрированных в информационный массив из других информационных массивов, в отношении которых авторизованные пользователи имеют различные права доступа.

 

Логические механизмы контроля и разграничения доступа к простым ОРД: Ø разграничение доступа по списку; Ø разграничение доступа по классу; Ø разграничение доступа по уровню; разграничение доступа по коду доступа.

Разграничение доступа по списку

Механизм контроля и разграничения доступа по списку является классическим вариантом реализации дискреционного управления доступа, когда основой является непосредственное описание отношений доступа между поименованными субъектами (инициаторами доступа) и поименованными ОРД в виде списков. По существу список атрибутов доступа к объектам для каждого субъекта или атрибутов доступа всех допущенных субъектов для каждого ОРД – это способ представления и хранения матрицы доступа в памяти компьютера и её логической обработки.

 

Механизмы разграничения доступ к простым ОРД можно наглядно представлять в виде композиционной логической схемы. Введём понятие поля ОРД как конечное множество объектов разграничения доступа для рассматриваемой АС – множество{ O }. В общем случае множество { C } – конечное множество субъектов - авторизованных инициаторов доступа.

 

Для примера положим, что рассматриваются, во-первых, три авторизованных инициатора доступа – инициаторы А, В и С. Во-вторых, список составляется в отношении субъектов, то есть инициаторов доступа, для которых в списке перечисляются разрешённые для их доступа ОРД и атрибуты доступа к ним (полномочия на действия). Тогда каждому из инициаторов доступа соответствуют выделенные в поле ОРД подмножества доступных ОРД – области доступа { O А}, { O В} и { O С} с атрибутами доступа для каждого ОРД.

 

 Логическая схема разграничения доступа по списку

 

Возможны следующие варианты разрешения доступа:

1. В области ОРД {ОС} доступны все объекты для инициатора доступа C, в том числе и объекты, доступные инициаторам доступа А и В.

2. В области ОРД, представляющей собой разность подмножеств{ O А} и { O В}, то есть {ОА\ОВ}, доступны все объекты для инициаторов доступа А и С.

3. В области ОРД, представляющей собой разность подмножеств {OВ} и {OА}, то есть {ОВ\ОА}, доступны все объекты для инициаторов доступа В и С.

4. В области ОРД, представляющей собой пересечение подмножеств {OА} и {OВ}, то есть {ОА∩ОВ}, доступны все объекты для инициаторов доступа А, В и С.

 

Общее решающее правило о доступе: При обращении авторизованного пользователя к ОРД осуществляется поиск в списке доступа записи либо пользователя, если список делается по строкам матрицы доступа, либо ОРД, к которому обращается пользователь, если список делается по столбцам матрицы доступа. Если для данного пользователя запрашиваемый ОРД и запрашиваемые атрибуты доступа соответствуют зафиксированным в списке данным, доступ разрешается, в противном случае – доступ запрещён.

 

 

Механизм разграничения доступа по списку реализует наиболее общий случай задания прав доступа и их проверки. При этом возможно учитывать не только связи между инициаторами и ОРД, но и иерархические зависимости в части доступа к ОРД между инициаторами.

 

Данный механизм отличается простотой формирования и поддержания списков (установление непосредственных отношений доступа между инициаторами доступа и ОРД). В качестве недостатка следует отметить - при больших количествах инициаторов доступа и ОРД появляется значительный объём избыточной (повторяющейся в списках) информации, следовательно предъявляются дополнительные требования к памяти для её размещения, а также увеличиваются ресурсные затраты на работу со списками в процессе принятия решения о допуске.

Тогда:

C i Î C – инициатор доступа; O i Ì    O – подмножество доступных ОРД для С i ; Р(Х) - одноместный предикат, где Х → некоторая характеристика (признак) совокупности ОРД. Определенное значение Х присваивается также и инициатору доступа. Те элементы множества ОРД, для которых при подстановке конкретного значения предикат Р(Х) → “ истина ”, образуют O i → подмножество ОРД, доступных данному инициатору C i, т.е. его права доступа. В качестве определения значения предиката Р(Х) = 1 («истина») используется высказывание - “ класс ОРД равен классу инициатора ”. Класс отождествляется со значением характеристик X, которые однозначно отличают совокупности O i и O j. Проверка права доступа инициатора заключается в проверке равенства:     класс инициатора = класс ОРД   Фактически выделяются непересекающиеся подмножества ОРД.

 

 Логическая схема разграничения доступа по классу

 

При использовании этого механизма уменьшается объем информации для принятия решения (по сравнению с методом разграничения доступа по списку). Недостаток - снижение гибкости разграничения доступа, поэтому разграничение по классам целесообразно применять в системах, где присутствует четкое разделение ОРД по независимым классификационным группам.

Определения

 

Все логические механизмы строятся в отношении объектов разграничения доступа (ОРД) при обращении к ним субъектов (пользователей, администраторов, активных элементов программно-технической среды АС).

 

Простой объект разграничения доступа - отдельный ресурс программно-технического комплекса, телекоммуникационной системы АС или отдельный информационный объект, выделяемый по определённому признаку из информационных ресурсов АС. Простой ОРД является единичным объектом, с которым устанавливаются отношения доступа со стороны субъекта.

Сложный объект разграничения доступа – функционально связанная в технологическом процессе обработки или передачи информации последовательность простых ОРД.

Интегрированный объект разграничения доступа – совокупность информационных объектов (простых ОРД), интегрированных в информационный массив из других информационных массивов, в отношении которых авторизованные пользователи имеют различные права доступа.

 

Логические механизмы контроля и разграничения доступа к простым ОРД: Ø разграничение доступа по списку; Ø разграничение доступа по классу; Ø разграничение доступа по уровню; разграничение доступа по коду доступа.

Разграничение доступа по списку

Механизм контроля и разграничения доступа по списку является классическим вариантом реализации дискреционного управления доступа, когда основой является непосредственное описание отношений доступа между поименованными субъектами (инициаторами доступа) и поименованными ОРД в виде списков. По существу список атрибутов доступа к объектам для каждого субъекта или атрибутов доступа всех допущенных субъектов для каждого ОРД – это способ представления и хранения матрицы доступа в памяти компьютера и её логической обработки.

 

Механизмы разграничения доступ к простым ОРД можно наглядно представлять в виде композиционной логической схемы. Введём понятие поля ОРД как конечное множество объектов разграничения доступа для рассматриваемой АС – множество{ O }. В общем случае множество { C } – конечное множество субъектов - авторизованных инициаторов доступа.

 

Для примера положим, что рассматриваются, во-первых, три авторизованных инициатора доступа – инициаторы А, В и С. Во-вторых, список составляется в отношении субъектов, то есть инициаторов доступа, для которых в списке перечисляются разрешённые для их доступа ОРД и атрибуты доступа к ним (полномочия на действия). Тогда каждому из инициаторов доступа соответствуют выделенные в поле ОРД подмножества доступных ОРД – области доступа { O А}, { O В} и { O С} с атрибутами доступа для каждого ОРД.

 

 Логическая схема разграничения доступа по списку

 

Возможны следующие варианты разрешения доступа:

1. В области ОРД {ОС} доступны все объекты для инициатора доступа C, в том числе и объекты, доступные инициаторам доступа А и В.

2. В области ОРД, представляющей собой разность подмножеств{ O А} и { O В}, то есть {ОА\ОВ}, доступны все объекты для инициаторов доступа А и С.

3. В области ОРД, представляющей собой разность подмножеств {OВ} и {OА}, то есть {ОВ\ОА}, доступны все объекты для инициаторов доступа В и С.

4. В области ОРД, представляющей собой пересечение подмножеств {OА} и {OВ}, то есть {ОА∩ОВ}, доступны все объекты для инициаторов доступа А, В и С.

 

Общее решающее правило о доступе: При обращении авторизованного пользователя к ОРД осуществляется поиск в списке доступа записи либо пользователя, если список делается по строкам матрицы доступа, либо ОРД, к которому обращается пользователь, если список делается по столбцам матрицы доступа. Если для данного пользователя запрашиваемый ОРД и запрашиваемые атрибуты доступа соответствуют зафиксированным в списке данным, доступ разрешается, в противном случае – доступ запрещён.

 

 

Механизм разграничения доступа по списку реализует наиболее общий случай задания прав доступа и их проверки. При этом возможно учитывать не только связи между инициаторами и ОРД, но и иерархические зависимости в части доступа к ОРД между инициаторами.

 

Данный механизм отличается простотой формирования и поддержания списков (установление непосредственных отношений доступа между инициаторами доступа и ОРД). В качестве недостатка следует отметить - при больших количествах инициаторов доступа и ОРД появляется значительный объём избыточной (повторяющейся в списках) информации, следовательно предъявляются дополнительные требования к памяти для её размещения, а также увеличиваются ресурсные затраты на работу со списками в процессе принятия решения о допуске.

Разграничение доступа по классу

В качестве механизма задания прав доступа и их проверки используется логика предикатов. На множестве ОРД {O} выделяются подмножества ОРД по определённым признакам.

Тогда:

C i Î C – инициатор доступа; O i Ì    O – подмножество доступных ОРД для С i ; Р(Х) - одноместный предикат, где Х → некоторая характеристика (признак) совокупности ОРД. Определенное значение Х присваивается также и инициатору доступа. Те элементы множества ОРД, для которых при подстановке конкретного значения предикат Р(Х) → “ истина ”, образуют O i → подмножество ОРД, доступных данному инициатору C i, т.е. его права доступа. В качестве определения значения предиката Р(Х) = 1 («истина») используется высказывание - “ класс ОРД равен классу инициатора ”. Класс отождествляется со значением характеристик X, которые однозначно отличают совокупности O i и O j. Проверка права доступа инициатора заключается в проверке равенства:     класс инициатора = класс ОРД   Фактически выделяются непересекающиеся подмножества ОРД.

 

 Логическая схема разграничения доступа по классу

 

При использовании этого механизма уменьшается объем информации для принятия решения (по сравнению с методом разграничения доступа по списку). Недостаток - снижение гибкости разграничения доступа, поэтому разграничение по классам целесообразно применять в системах, где присутствует четкое разделение ОРД по независимым классификационным группам.