Проверка полномочий субъектов на доступом к ресурсам

После положительного установления подлинности пользователя (и системы со сто- роны пользователя) система должна осуществлять постоянную проверку полномочий поступающих от субъектов запросов.

Разделение доступа по профилям (уровням) полномочий. Для каждого защищаемого ресурса в сети создаётся список пользователей, которые имеют право доступа к нему. В общем случае для каждого ресурса r будет существовать n списков (по одному для каждого вида доступа)

,

где – субъект с номером k, имеющий право j-го вида доступа (чтение запись, выполнение и т.п.) к ресурсу .

Такие списки называются списками доступа (access list). Аналогично можно использывать списки для каждого субъекта, которые определяют его права к ресурсам. Указанные списки называются списками возможностей (capability list).

Кольца секретности (защитные кольца)- простейшая модель доступа на основе колец секретности. Пусть в системе определено множество ресурсов (объектов) , доступ к которым должен контролироваться. Будем рассматривать множество , доменов защиты которые определяют различные пути осуществления доступа к объектам. Домен защиты d представляет собой множетво пар , где объект, альфа – множество прав доступа к объекту оj. Любой процесс Р может оперировать с определённым доменом di, если он может иметь доступ к объектам, определённым доменом di.

Процессу P можно сопоставить множество объектов , к которым P имеет доступ, и атрибут доступа для каждого . Будем рассматривать два вида объектов: объект оi есть программный объект у, если его атрибут доступа включает право выполнения, и объект оi есть объект данных z, если его атрибут доступа включает права чтения и записи. Таким образом, процесс Р ассоциируется со множеством по крайней мере К доменов , идентифицированных целыми числами и называемых кольцами защиты. Такие домены упорядочены так, что для i>j, то есть d0 наиболее привилегированный домен, а - наименее привилегированный.

В каждый момент времени процесс Р выполняется в определенном кольце защиты с соблюдением определенных правил. Простейшие из них:

1. каждый объект ассоциируется с целым , , представлящим кольцо защиты;
2. процесс Р, когда он выполняет программный объект в кольце , может иметь доступ в к любому объекту данных , для которого , совпадающего с , и может выполнять в 0*(Р) любой программный объект , для которого .

Рис. 6.4. Пример колец защиты.

Необходимо отметить, что выполнение только правил 1 и 2 не обеспечивает безопасность данных, так как нарушителю предоставляется возможность записывать данные из более привилегированного кольца в менее привилегированное кольцо. Кроме того, правила 1 и 2 не позволяют программному модулю определенного кольца защиты выполнять программный модуль из более привилегированного кольца. Поэтому правила доступа, на самом деле, являются более сложными.

Метод защитных колец был реализован аппаратно в системах VAX11, iARX286, MULTICS и других.

Недостатком метода защитных колец является то, что права доступа всех субъектов внутри одного кольца считаются одинаковыми.

Мандатная организация доступа. Мандат представляет собой пару <о, g> , определяющую уникальное имя (или логический адрес) объекта о и подмножество прав доступа к объекту о. Владение мандатом дает право на g-доступ к объекту о. При использовании мандатной организации доступа каждый процесс выполняется в домене, называемом сферой защиты. Каждая сфера защиты определяется списком мандатов С (Capability List). С-список мандатов для процесса Р есть список из L мандатов объектов, к которым допущен Р:

Если (от слова Enter - вход), то процесс Р имеет возможность вызова другого процесса со своим С - списком. Такой механизм предоставления каждой процедуре своего собственного множества мандатов поддерживает принцип наименьших привилегий. Каждый список мандатов содержит входы только для объектов, требуемых для вызова из данного процесса. При возврате из вызванной процедуры ее С- список заменяется на С – список вызывавшего процедуру процесса.

Метод замков и ключей . Метод замков и ключей объединяет достоинства списковых и мандатных механизмов. Сопоставим с каждым объектом список замков и прав доступа . Субъекту выдается ключ к замку , если имеет доступ к объекту . Список замков, следовательно, представляет собой столбец матрицы доступа. Доступ разрешается, только если ключ субъекта "отпирает" один из замков в списке замков объекта. Собственник объекта может отменить права доступа всем субъектам, совместно использукщим ключ , удалением элемента из списка замков. Обычно объект содержит только один замок.

Примером использования механизма замков и ключей является шифрование данных.

Метод замков и ключей реализован в некоторых сетях (в том числе соответствующих стандарту Х.25) для замкнутых групп пользователей. Каждая замкнутая группа представляет множество машин и процессов, которые могут взаимодействовать друг с другом, но не могут взаимодействовать с машинами и процессами вне этого множества.