Случайная страница | ТОМ-1 | ТОМ-2 | ТОМ-3 Автомобили Астрономия Биология География Дом и сад Другие языки Другое Информатика История Культура Литература Логика Математика Медицина Металлургия Механика Образование Охрана труда Педагогика Политика Право Психология Религия Риторика Социология Спорт Строительство Технология Туризм Физика Философия Финансы Химия Черчение Экология Экономика Электроника

Модель ЗИ

Взглянем на известную модифицированную модель Белла и Ла-Падула. В нее входят:

Субъекты — пользователи;

Объекты — защищаемые ресурсы (диски, каталоги и т. п.);

Диспетчер Доступа (ДД);

Матрица Прав Доступа (МПД);

Служба Аутентификации (СА);

Матрица Паролей (МП).

В любой компьютерной системе существует понятие идентификации — присвоения объекту или субъекту уникального имени-идентификатора, по которому его можно отличить от других объектов или субъектов:

Для объектов идентификатором является путь (напр. имя диска, путь к каталогу, путь к файлу). Путь зачастую задается субъектами (напр. имена каталогов и файлов).

Для субъектов идентификатором является т. н. логин (имя субъекта). Список субъектов контролирует системный администратор,^[8] он же назначает права доступа субъектов системы к ее объектам (модифицирует МПД). В некоторых реализациях систем ЗИ субъект (обычный пользователь) в зависимости от принадлежности к той или иной группе пользователей (напр. группа администраторов в ОС семейства Microsoft Windows NT) может сам создавать новых субъектов и модифицировать МПД. В других — субъект таких действий выполнять не может.

Как правило, вначале рабочего сеанса с системой происходит аутентификация (установление подлинности) — проверка того, является ли субъект действительно тем, за кого себя выдает. Для аутентификации широко используются:

Пароли — система запрашивает логин и пароль субъекта, которые передаются Службе Аутентификации. СА в свою очередь сверяет введенные данные с данными в Матрице Паролей. Если субъект с введенным логином существует и введенный пароль совпадает с паролем в МП — выполняется вход в систему, иначе — отклоняется(подробнее смотри «Пароли и параметры их стойкости»);

Биометрические системы контроля — анализ клавиатурного почерка, считывание отпечатков пальцев, верификация голоса, сканирование сетчатки глаза, считывание геометрии рук, распознавание подписи и т. п.;

Электронные и физические ключи, магнитные карты и т. п.

Основное действие, происходящее при любом обращении субъекта к объекту: определение полномочий — установка в какой мере проверяемому субъекту дано право обращаться к защищаемому объекту. В общем случае это выглядит так: некий субъект (пользователь) обращается к объекту (напр. хочет просмотреть содержимое католога). При обращении, управление передается Диспетчеру Доступа, а также информация о субъекте, объекте и затребованном действии (чтение, запись, просмотр и т. п.). ДД обращается в МПД и определяет права доступа субъекта по отношению к объекту. Если права на затребованное действие имеются — действие выполняется, иначе — оное отклоняется.

Т.е. как таковая работа с абстрактной КС может выглядеть так:

1. Идентификация пользователя. Происходит в первый раз работы с системой.

2. Аутентификация. Происходит в начале каждого рабочего сеанса с системой.

3. Цикл нижеприведенных действий выполняется постоянно при любом обращении к любому объекту системы в течении рабочего сеанса:

а. Определение полномочий.

б. Регистрация результата в журнале событий. (смотри «Регистрация событий в системе»).

4. Выход из системы. Происходит в конце каждого рабочего сеанса с системой.

Дата добавления: 2015-10-16; просмотров: 72 | Нарушение авторских прав