![]() КАТЕГОРИИ:
АстрономияБиологияГеографияДругие языкиДругоеИнформатикаИсторияКультураЛитератураЛогикаМатематикаМедицинаМеханикаОбразованиеОхрана трудаПедагогикаПолитикаПравоПсихологияРиторикаСоциологияСпортСтроительствоТехнологияФизикаФилософияФинансыХимияЧерчениеЭкологияЭкономикаЭлектроника
|
Проверка полномочий субъектов на доступом к ресурсамПосле положительного установления подлинности пользователя (и системы со сто- роны пользователя) система должна осуществлять постоянную проверку полномочий поступающих от субъектов запросов. Разделение доступа по профилям (уровням) полномочий. Для каждого защищаемого ресурса в сети создаётся список пользователей, которые имеют право доступа к нему. В общем случае для каждого ресурса r будет существовать n списков (по одному для каждого вида доступа)
где Такие списки называются списками доступа (access list). Аналогично можно использывать списки для каждого субъекта, которые определяют его права к ресурсам. Указанные списки называются списками возможностей (capability list). Кольца секретности (защитные кольца)- простейшая модель доступа на основе колец секретности. Пусть в системе определено множество ресурсов (объектов) Процессу P можно сопоставить множество объектов В каждый момент времени процесс Р выполняется в определенном кольце защиты с соблюдением определенных правил. Простейшие из них:
Рис. 6.4. Пример колец защиты. Необходимо отметить, что выполнение только правил 1 и 2 не обеспечивает безопасность данных, так как нарушителю предоставляется возможность записывать данные из более привилегированного кольца в менее привилегированное кольцо. Кроме того, правила 1 и 2 не позволяют программному модулю определенного кольца защиты выполнять программный модуль из более привилегированного кольца. Поэтому правила доступа, на самом деле, являются более сложными. Метод защитных колец был реализован аппаратно в системах VAX11, iARX286, MULTICS и других. Недостатком метода защитных колец является то, что права доступа всех субъектов внутри одного кольца считаются одинаковыми. Мандатная организация доступа. Мандат представляет собой пару <о, g> , определяющую уникальное имя (или логический адрес) объекта о и подмножество прав доступа Если Метод замков и ключей . Метод замков и ключей объединяет достоинства списковых и мандатных механизмов. Сопоставим с каждым объектом Примером использования механизма замков и ключей является шифрование данных. Метод замков и ключей реализован в некоторых сетях (в том числе соответствующих стандарту Х.25) для замкнутых групп пользователей. Каждая замкнутая группа представляет множество машин и процессов, которые могут взаимодействовать друг с другом, но не могут взаимодействовать с машинами и процессами вне этого множества.
|