Семя – орган полового размножения и расселения растений: наружи у семян имеется плотный покров – кожура...
История развития хранилищ для нефти: Первые склады нефти появились в XVII веке. Они представляли собой землянные ямы-амбара глубиной 4…5 м...
Топ:
Процедура выполнения команд. Рабочий цикл процессора: Функционирование процессора в основном состоит из повторяющихся рабочих циклов, каждый из которых соответствует...
Марксистская теория происхождения государства: По мнению Маркса и Энгельса, в основе развития общества, происходящих в нем изменений лежит...
Основы обеспечения единства измерений: Обеспечение единства измерений - деятельность метрологических служб, направленная на достижение...
Интересное:
Уполаживание и террасирование склонов: Если глубина оврага более 5 м необходимо устройство берм. Варианты использования оврагов для градостроительных целей...
Национальное богатство страны и его составляющие: для оценки элементов национального богатства используются...
Наиболее распространенные виды рака: Раковая опухоль — это самостоятельное новообразование, которое может возникнуть и от повышенного давления...
Дисциплины:
2020-12-07 | 172 |
5.00
из
|
Заказать работу |
Определения
Все логические механизмы строятся в отношении объектов разграничения доступа (ОРД) при обращении к ним субъектов (пользователей, администраторов, активных элементов программно-технической среды АС). |
Простой объект разграничения доступа - отдельный ресурс программно-технического комплекса, телекоммуникационной системы АС или отдельный информационный объект, выделяемый по определённому признаку из информационных ресурсов АС. Простой ОРД является единичным объектом, с которым устанавливаются отношения доступа со стороны субъекта. |
Сложный объект разграничения доступа – функционально связанная в технологическом процессе обработки или передачи информации последовательность простых ОРД. |
Интегрированный объект разграничения доступа – совокупность информационных объектов (простых ОРД), интегрированных в информационный массив из других информационных массивов, в отношении которых авторизованные пользователи имеют различные права доступа. |
Логические механизмы контроля и разграничения доступа к простым ОРД: Ø разграничение доступа по списку; Ø разграничение доступа по классу; Ø разграничение доступа по уровню; разграничение доступа по коду доступа. |
Разграничение доступа по списку
Механизм контроля и разграничения доступа по списку является классическим вариантом реализации дискреционного управления доступа, когда основой является непосредственное описание отношений доступа между поименованными субъектами (инициаторами доступа) и поименованными ОРД в виде списков. По существу список атрибутов доступа к объектам для каждого субъекта или атрибутов доступа всех допущенных субъектов для каждого ОРД – это способ представления и хранения матрицы доступа в памяти компьютера и её логической обработки. |
Механизмы разграничения доступ к простым ОРД можно наглядно представлять в виде композиционной логической схемы. Введём понятие поля ОРД как конечное множество объектов разграничения доступа для рассматриваемой АС – множество{ O }. В общем случае множество { C } – конечное множество субъектов - авторизованных инициаторов доступа. |
Для примера положим, что рассматриваются, во-первых, три авторизованных инициатора доступа – инициаторы А, В и С. Во-вторых, список составляется в отношении субъектов, то есть инициаторов доступа, для которых в списке перечисляются разрешённые для их доступа ОРД и атрибуты доступа к ним (полномочия на действия). Тогда каждому из инициаторов доступа соответствуют выделенные в поле ОРД подмножества доступных ОРД – области доступа { O А}, { O В} и { O С} с атрибутами доступа для каждого ОРД. |
Логическая схема разграничения доступа по списку
Возможны следующие варианты разрешения доступа:
1. В области ОРД {ОС} доступны все объекты для инициатора доступа C, в том числе и объекты, доступные инициаторам доступа А и В. |
2. В области ОРД, представляющей собой разность подмножеств{ O А} и { O В}, то есть {ОА\ОВ}, доступны все объекты для инициаторов доступа А и С. |
3. В области ОРД, представляющей собой разность подмножеств {OВ} и {OА}, то есть {ОВ\ОА}, доступны все объекты для инициаторов доступа В и С. |
4. В области ОРД, представляющей собой пересечение подмножеств {OА} и {OВ}, то есть {ОА∩ОВ}, доступны все объекты для инициаторов доступа А, В и С. |
Общее решающее правило о доступе: При обращении авторизованного пользователя к ОРД осуществляется поиск в списке доступа записи либо пользователя, если список делается по строкам матрицы доступа, либо ОРД, к которому обращается пользователь, если список делается по столбцам матрицы доступа. Если для данного пользователя запрашиваемый ОРД и запрашиваемые атрибуты доступа соответствуют зафиксированным в списке данным, доступ разрешается, в противном случае – доступ запрещён. |
Механизм разграничения доступа по списку реализует наиболее общий случай задания прав доступа и их проверки. При этом возможно учитывать не только связи между инициаторами и ОРД, но и иерархические зависимости в части доступа к ОРД между инициаторами.
Данный механизм отличается простотой формирования и поддержания списков (установление непосредственных отношений доступа между инициаторами доступа и ОРД). В качестве недостатка следует отметить - при больших количествах инициаторов доступа и ОРД появляется значительный объём избыточной (повторяющейся в списках) информации, следовательно предъявляются дополнительные требования к памяти для её размещения, а также увеличиваются ресурсные затраты на работу со списками в процессе принятия решения о допуске.
Тогда:
C i Î C – инициатор доступа;
O i Ì O – подмножество доступных ОРД для С i ;
Р(Х) - одноместный предикат, где Х → некоторая характеристика (признак) совокупности ОРД.
Определенное значение Х присваивается также и инициатору доступа. Те элементы множества ОРД, для которых при подстановке конкретного значения предикат Р(Х) → “ истина ”, образуют O i → подмножество ОРД, доступных данному инициатору C i, т.е. его права доступа.
В качестве определения значения предиката Р(Х) = 1 («истина») используется высказывание - “ класс ОРД равен классу инициатора ”.
Класс отождествляется со значением характеристик X, которые однозначно отличают совокупности O i и O j. Проверка права доступа инициатора заключается в проверке равенства:
Фактически выделяются непересекающиеся подмножества ОРД. |
Логическая схема разграничения доступа по классу
При использовании этого механизма уменьшается объем информации для принятия решения (по сравнению с методом разграничения доступа по списку). Недостаток - снижение гибкости разграничения доступа, поэтому разграничение по классам целесообразно применять в системах, где присутствует четкое разделение ОРД по независимым классификационным группам.
Определения
Все логические механизмы строятся в отношении объектов разграничения доступа (ОРД) при обращении к ним субъектов (пользователей, администраторов, активных элементов программно-технической среды АС). |
Простой объект разграничения доступа - отдельный ресурс программно-технического комплекса, телекоммуникационной системы АС или отдельный информационный объект, выделяемый по определённому признаку из информационных ресурсов АС. Простой ОРД является единичным объектом, с которым устанавливаются отношения доступа со стороны субъекта. |
Сложный объект разграничения доступа – функционально связанная в технологическом процессе обработки или передачи информации последовательность простых ОРД. |
Интегрированный объект разграничения доступа – совокупность информационных объектов (простых ОРД), интегрированных в информационный массив из других информационных массивов, в отношении которых авторизованные пользователи имеют различные права доступа. |
Логические механизмы контроля и разграничения доступа к простым ОРД: Ø разграничение доступа по списку; Ø разграничение доступа по классу; Ø разграничение доступа по уровню; разграничение доступа по коду доступа. |
Разграничение доступа по списку
Механизм контроля и разграничения доступа по списку является классическим вариантом реализации дискреционного управления доступа, когда основой является непосредственное описание отношений доступа между поименованными субъектами (инициаторами доступа) и поименованными ОРД в виде списков. По существу список атрибутов доступа к объектам для каждого субъекта или атрибутов доступа всех допущенных субъектов для каждого ОРД – это способ представления и хранения матрицы доступа в памяти компьютера и её логической обработки. |
Механизмы разграничения доступ к простым ОРД можно наглядно представлять в виде композиционной логической схемы. Введём понятие поля ОРД как конечное множество объектов разграничения доступа для рассматриваемой АС – множество{ O }. В общем случае множество { C } – конечное множество субъектов - авторизованных инициаторов доступа. |
Для примера положим, что рассматриваются, во-первых, три авторизованных инициатора доступа – инициаторы А, В и С. Во-вторых, список составляется в отношении субъектов, то есть инициаторов доступа, для которых в списке перечисляются разрешённые для их доступа ОРД и атрибуты доступа к ним (полномочия на действия). Тогда каждому из инициаторов доступа соответствуют выделенные в поле ОРД подмножества доступных ОРД – области доступа { O А}, { O В} и { O С} с атрибутами доступа для каждого ОРД. |
Логическая схема разграничения доступа по списку
Возможны следующие варианты разрешения доступа:
1. В области ОРД {ОС} доступны все объекты для инициатора доступа C, в том числе и объекты, доступные инициаторам доступа А и В. |
2. В области ОРД, представляющей собой разность подмножеств{ O А} и { O В}, то есть {ОА\ОВ}, доступны все объекты для инициаторов доступа А и С. |
3. В области ОРД, представляющей собой разность подмножеств {OВ} и {OА}, то есть {ОВ\ОА}, доступны все объекты для инициаторов доступа В и С. |
4. В области ОРД, представляющей собой пересечение подмножеств {OА} и {OВ}, то есть {ОА∩ОВ}, доступны все объекты для инициаторов доступа А, В и С. |
Общее решающее правило о доступе: При обращении авторизованного пользователя к ОРД осуществляется поиск в списке доступа записи либо пользователя, если список делается по строкам матрицы доступа, либо ОРД, к которому обращается пользователь, если список делается по столбцам матрицы доступа. Если для данного пользователя запрашиваемый ОРД и запрашиваемые атрибуты доступа соответствуют зафиксированным в списке данным, доступ разрешается, в противном случае – доступ запрещён. |
Механизм разграничения доступа по списку реализует наиболее общий случай задания прав доступа и их проверки. При этом возможно учитывать не только связи между инициаторами и ОРД, но и иерархические зависимости в части доступа к ОРД между инициаторами.
Данный механизм отличается простотой формирования и поддержания списков (установление непосредственных отношений доступа между инициаторами доступа и ОРД). В качестве недостатка следует отметить - при больших количествах инициаторов доступа и ОРД появляется значительный объём избыточной (повторяющейся в списках) информации, следовательно предъявляются дополнительные требования к памяти для её размещения, а также увеличиваются ресурсные затраты на работу со списками в процессе принятия решения о допуске.
Разграничение доступа по классу
В качестве механизма задания прав доступа и их проверки используется логика предикатов. На множестве ОРД {O} выделяются подмножества ОРД по определённым признакам. |
Тогда:
C i Î C – инициатор доступа;
O i Ì O – подмножество доступных ОРД для С i ;
Р(Х) - одноместный предикат, где Х → некоторая характеристика (признак) совокупности ОРД.
Определенное значение Х присваивается также и инициатору доступа. Те элементы множества ОРД, для которых при подстановке конкретного значения предикат Р(Х) → “ истина ”, образуют O i → подмножество ОРД, доступных данному инициатору C i, т.е. его права доступа.
В качестве определения значения предиката Р(Х) = 1 («истина») используется высказывание - “ класс ОРД равен классу инициатора ”.
Класс отождествляется со значением характеристик X, которые однозначно отличают совокупности O i и O j. Проверка права доступа инициатора заключается в проверке равенства:
Фактически выделяются непересекающиеся подмножества ОРД. |
Логическая схема разграничения доступа по классу
При использовании этого механизма уменьшается объем информации для принятия решения (по сравнению с методом разграничения доступа по списку). Недостаток - снижение гибкости разграничения доступа, поэтому разграничение по классам целесообразно применять в системах, где присутствует четкое разделение ОРД по независимым классификационным группам.
Опора деревянной одностоечной и способы укрепление угловых опор: Опоры ВЛ - конструкции, предназначенные для поддерживания проводов на необходимой высоте над землей, водой...
Таксономические единицы (категории) растений: Каждая система классификации состоит из определённых соподчиненных друг другу...
Общие условия выбора системы дренажа: Система дренажа выбирается в зависимости от характера защищаемого...
Архитектура электронного правительства: Единая архитектура – это методологический подход при создании системы управления государства, который строится...
© cyberpedia.su 2017-2024 - Не является автором материалов. Исключительное право сохранено за автором текста.
Если вы не хотите, чтобы данный материал был у нас на сайте, перейдите по ссылке: Нарушение авторских прав. Мы поможем в написании вашей работы!