[ «СЕМАНТИЧЕСКАЯ ИНТЕГРАЦИЯ УПРАВЛЕНИЯ ДОСТУПОМ К СЕРВИСАМ ...»
Министерство образования и наук
и Российской Федерации
Институт механики сплошных сред УрО РАН
На правах рукописи
УДК 004.4
СОЗЫКИН Андрей Владимирович
СЕМАНТИЧЕСКАЯ ИНТЕГРАЦИЯ УПРАВЛЕНИЯ
ДОСТУПОМ К СЕРВИСАМ
Специальность 05.13.11 «Математическое и программное обеспечение вычислительных машин, комплексов и компьютерных сетей»
Диссертация на соискание ученой степени кандидата технических наук
Научный руководитель кандидат технических наук старший научный сотрудник Г.Ф. Масич ПЕРМЬ –
СОДЕРЖАНИЕ
СОДЕРЖАНИЕВВЕДЕНИЕ
1 ОБЗОР ТЕХНОЛОГИЙ ИНТЕГРАЦИИ УПРАВЛЕНИЯ ДОСТУПОМ К
СЕРВИСАМ1.1 Технологии управления доступом к сервисам
1.1.1 Модель управления доступом к сервисам
1.1.2 Идентификация и аутентификация
1.1.2.1 Типовая схема идентификации и аутентификации
1.1.2.2 Парольная аутентификация
1.1.2.3 Многофакторная аутентификация
1.1.2.4 Биометрическая аутентификация
1.1.2.5 Аутентификация с использованием криптографии
1.1.2.6 Аутентификация с нулевой передачей знаний
1.1.3 Однократная регистрация
1.1.4 Авторизация
1.1.4.1 Дискреционное управление доступом
1.1.4.2 Мандатное управление доступом
1.1.4.3 Ролевое управление доступом
1.1.4.4 Атрибутное управление доступом
1.1.5 Делегирование
1.1.6 Анализ состояния технологий в области управления доступом к сервисам
1.2 Методы интеграции информационных систем
1.3 Существующие системы интеграции управления доступом к сервисам
1.3.1 Традиционный подход
1.3.2 Централизованное управление
1.3.3 Федеративная идентификация
1.3.4 Интегрированное управление доступом к сервисам
1.3.5 Оценка существующих систем интеграции управления доступом к сервисам
1.4 Онтологии предметной области управления доступом к сервисам....... 1.4.1 Специализированные онтологии управления доступом.................. 1.4.2 Онтологии верхнего уровня
1.4.3 Оценка онтологий в области управления доступом к сервисам..... 1.5 Официальные документы в области управления доступом
1.6 Выводы по главе
2 СЕМАНТИЧЕСКАЯ ИНТЕГРАЦИЯ УПРАВЛЕНИЯ ДОСТУПОМ К
СЕРВИСАМ2.1 Анализ и критика прототипа
2.1.1 Анализ прототипа
2.1.2 Недостатки прототипа
2.1.3 Предлагаемое решение
2.2 Методика интеграции управления доступом к сервисам на основе семантического подхода
2.3 Выводы по главе
3 СИСТЕМА МОДЕЛЕЙ УПРАВЛЕНИЯ ДОСТУПОМ К СЕРВИСАМ....... 3.1 Онтология управления доступом к сервисам
3.1.1 Структура системы управления доступом к сервисам
3.1.1.1 Объекты
3.1.1.2 Свойства
3.1.2 Динамика управления доступом
3.1.2.1 Состояния
3.1.2.2 События
3.1.2.3 Операции
3.1.3 Диаграмма состояний системы управления доступом к сервисам. 3.2 Алгебраическая запись правил разграничения доступа к сервисам...... 3.2.1 Базовый уровень
3.2.2 Контейнеры
3.2.3 Роли
3.2.4 Делегирование полномочий управления доступом к сервисам...... 3.2.5 Применение методов авторизации в алгебраической записи.......... 3.3 Выводы по главе
4 РЕАЛИЗАЦИЯ И ПРИМЕНЕНИЕ РАЗРАБОТАННЫХ МЕТОДОВ И
ТЕХНОЛОГИЙ4.1 Комплекс программ по управлению доступом к сервисам
4.1.1 Функции комплекса программ
4.1.2 Уровни интеграции
4.1.3 Логическая архитектура
4.1.3.1 Уровень технических служб
4.1.3.2 Уровень приложений
4.1.3.3 Уровень представления
4.1.4 Взаимодействие сервисов с комплексом программ
4.1.5 Архитектура развертывания
4.1.6 Реализация
4.1.6.1 Репозиторий правил разграничения доступа
4.1.6.2 Адаптеры сервисов
4.1.6.3 Консоль управления доступом к сервисам
4.2 Практическое применение
4.2.1 Сеть Пермского научного центра
4.2.2 Сервисы сети Пермского научного центра
4.2.3 Схема реализации системы управления доступом к сервисам........ 4.2.4 Интеграция с системой статистики использования сервисов.......... 4.3 Оценка эффективности использования системы семантической интеграции управления доступом к сервисам
4.3.1 Удобство работы с сервисами
4.3.2 Сокращение затрат на управления доступом
4.4 Выводы по главе
ЗАКЛЮЧЕНИЕ
ПРИЛОЖЕНИЕ 1. ОТОБРАЖЕНИЕ ПОНЯТИЙ ФОРМАЛЬНОЙ
АЛГЕБРАИЧЕСКОЙ ЗАПИСИПРАВИЛ РАЗГРАНИЧЕНИЯ ДОСТУПА В
LDAPПРИЛОЖЕНИЕ 2. АКТЫ ВНЕДРЕНИЯ
СПИСОК ИСПОЛЬЗОВАННЫХ ИСТОЧНИКОВ
СПИСОК ИЛЛЮСТРАЦИЙ
СПИСОК ТАБЛИЦ
ВВЕДЕНИЕ
Актуальность темы. Современные научные и коммерческие организации строят корпоративные сети, предоставляющие сотрудникам сервисы разных типов: сетевые (электронная почта, доступ в Интернет), вычислительные (кластеры, многопроцессорные серверы), информационные (справочные системы, порталы, системы управления предприятием, прикладные научные системы). В таких сетях повышенное внимание уделяется управлению доступом к сервисам в целях обеспечения безопасности и удобства работы.В крупных сетях с большим количеством сервисов и пользователей, управление доступом к сервисам связано с рядом проблем. Управление является трудоемкой задачей, создающей большую нагрузку на администраторов и предъявляющей высокие требования к их квалификации. Для управления доступом к сервисам разных типов приходится использовать несколько разных систем управления и выполнять большое число операций. Сервисы разных типов используют отдельные репозитории правил разграничения доступа, часть информации в которых дублируется и требует синхронизации при изменении.
Пользователям работать с сервисами неудобно из-за большого количества идентификаторов и паролей, требуемых для разрешения доступа к сервисам.
Безопасность работы с сервисами находится на низком уровне: пользователи выбирают простые пароли, которые легко подобрать, сложные пароли записывают, нетрудно реализуются атаки социальных инженеров.
Актуальной является задача повышения эффективности процесса управления доступом и удобства работы с сервисами путем интеграции механизмов управления доступом к сервисам разных типов. Интеграция осложняется тем, что сервисы используют различные протоколы управления доступом: RADIUS, KERBEROS, LDAP, SAML, WS-Security и др. Для хранения правил разграничения доступа применяются различные репозитории: текстовые файлы, XML, реляционные СУБД, каталоги LDAP. В последнее время все большей популярностью пользуются интегрированные системы, позволяющие управлять доступом к сервисам разных типов, независимо от деталей взаимодействия. При этом расхождения в базовой семантической модели этих систем приводят к проблемам интероперабельности и существенно ограничивают круг поддерживаемых сервисов.
В работе предложена формальная основа для интеграции механизмов управления доступом к сервисам разных типов на основе семантического подхода и разработан комплекс программ для интеграции управления доступом к сервисам разных типов. Данный комплекс обеспечивает хранение правил разграничения доступа, реализацию процедур защиты информации (идентификация, аутентификация и авторизация), предоставляет единую систему управления правилами разграничения доступа для всех сервисов, используемых в организации, независимо от их типа.
Целью диссертационной работы является повышение эффективности процесса управления доступом к сервисам за счет интеграции механизмов управления доступом к сервисам разных типов (информационным, сетевым и вычислительным). В работе исследованы и решены следующие задачи:
1. Исследование и сравнительный анализ существующих подходов к управлению доступом с точки зрения возможности интеграции управления доступом к сервисам разных типов.
2. Разработка методики семантической интеграции управления доступом к сервисам разных типов.
3. Построение семантической модели системы управления доступом к сервисам.
4. Создание средств описания правил разграничения доступа к сервисам в формальном виде.
5. Разработка комплекса программ, интегрирующего управление доступом к сервисам разных типов.
6. Исследование эффективности применения семантической интеграции управления доступом к сервисам в сетях научных организаций.
Объект исследования: процесс управления доступом к сервисам.
Предмет исследования: интеграция управления доступом к сервисам разных типов.
Научая новизна. В диссертационной работе получены следующие новые результаты:
Применен семантический подход для интеграции управления доступом к сервисам разных типов, что позволило значительно расширить интероперабельность. Разработана методика интеграции управления доступом к сервисам на основе семантического подхода.
Предложена унифицированная онтологическая модель, определяющая базовые понятия и операции управления доступом к сервисам. Модель делает возможной интеграцию управления доступом к сервисам разных типов, использующих различные модели, методы и технологии управления доступом на основе семантического подхода.
Разработана алгебраическая запись правил разграничения доступа, представляющая собой формальную запись понятий разработанной онтологической модели. Алгебраическая запись позволяет в формальном виде описывать правила разграничения доступа с использованием различных методов управления доступом.
Реализован комплекс программ управления доступом к сервисам на основе разработанных технологий.
На защиту выносятся:
1. Методика семантической интеграции управлении доступом к сервисам, позволяющая значительно расширить круг поддерживаемых сервисов и методов управления доступом.
2. Система моделей управления доступом к сервисам, включающая онтологическую модель управления доступом к сервисам, и алгебраическую запись правил разграничения доступа. Модели предоставляют основу для интеграции управления доступом к сервисам разных типов: онтология задает общую семантику понятий предметной области управления доступом и операций над ними, общий формальный синтаксис задает алгебраическая запись правил разграничения доступом.
3. Результаты оценки эффективности применения семантической интеграции управления доступом к сервисам в сетях научных организаций.
Практическая ценность. Разработанные модели, методы, технологии и созданный на их основе комплекс программ позволяют интегрировать управление доступом к сервисам разных типов.
Работа пользователей с сервисами становится более удобной за счет интеграции учетных записей для доступа ко всем сервисам с возможностью однократной регистрации. Администраторам, отвечающим за управление доступом к сервисам, предоставляется единая, удобная, интуитивно понятная система управления.
Краткое содержание работы В главе 1 рассмотрены существующие технологии управления доступом к сервисам. Описаны методы интеграции информационных систем, выполнен обзор существующих систем интеграции управления доступом к сервисам.
Описаны существующие онтологии и стандарты в области управления доступом к сервисам.
В главе 2 представлен метод интеграции управления доступом к сервисам на основе семантического подхода. Разработана методика семантической интеграции управления доступом к сервисам.
В главе 3 предложена система моделей управления доступом к сервисам, состоящая из онтологии управления доступом и алгебраической записи правил разграничения доступа. Система моделей служит основой для семантической интеграции управления доступом к сервисам, предложенной во второй главе.
В главе 4 описан комплекс программ, реализующий семантическую интеграцию управления доступом к сервисам. Рассмотрено внедрение комплекса в сети Пермского научного центра Уральского отделения Российской Академии Наук (ПНЦ УрО РАН). Выполнен анализ эффективности использования семантической интеграции управления доступом к сервисам разных типов.
В заключении приведены основные результаты диссертационной работы.
Приложение содержит детали реализации и акты внедрения.
1 ОБЗОР ТЕХНОЛОГИЙ ИНТЕГРАЦИИ УПРАВЛЕНИЯ
ДОСТУПОМ К СЕРВИСАМ
1.1 Технологии управления доступом к сервисам 1.1.1 Модель управления доступом к сервисам Управление доступом (access control) – это процесс проверки запросов на доступ к сервису с целью определения разрешить или запретить доступ [1].Большинство современных систем управления доступом строится на основе модели, предложенной Лампсоном в работе [2] (рис 1.1).
Рис 1.1. Модель управления доступом Лампсона [2] Модель Лампсона включает следующие элементы:
Principal – автор запроса (принципал).
Request – запрос на выполнение операции с объектом.
Reference Monitor - диспетчер доступа, проверяющий все запросы к объекту и принимающий решение о разрешении или запрещении доступа.
Object – ресурс информационный, сетевой или вычислительный.
В некоторых системах диспетчер доступа может не выделяться. Но использование диспетчера значительно упрощает управление доступом [3].
В качестве принципала могут выступать [4]:
Люди и вычислительные машины.
Объединение принципалов. Возможен случай, когда операцию разрешено выполнять принципалам A и B совместно, но не по отдельности принципалу A или принципалу B.
Группы. Часто неудобно задавать всех принципалов, имеющих право выполнять некоторые операции с объектом, так как их слишком много или они часто меняются. Группы предоставляют удобный механизм непрямого назначения прав доступа.
Принципал в некоторой роли.
Принципал от имени другого принципала (делегирование).
Диспетчер доступа принимает решение на основе того, какой принципал запрашивает доступ, какую операцию необходимо выполнить с объектом и правил разграничения доступа, определяющих, какие операции может принципал выполнять с объектом. Для принятия решения диспетчеру доступа необходимо выяснить, кто выполняет запрос и выполнить проверку правил разграничения доступа. Определение источника запроса называется идентификацией, подтверждение подлинности источника называется аутентификацией, анализ правил разграничения доступа называется авторизацией. Таким образом, идентификация дает ответ на вопрос «Кто запрашивает доступ», аутентификация – на вопрос «Тот ли это, за кого себя выдает», авторизация – на вопрос «Кому разрешен доступ к объекту». Далее рассмотрены распространенные реализации этих процедур.
1.1.2 Идентификация и аутентификация 1.1.2.1 Типовая схема идентификации и аутентификации Рассмотрим типовую схему идентификации и аутентификации, применяемую во многих системах, возможно, с некоторыми модификациями [5]. Для каждого субъекта доступа существует аутентифицирующий объект, представляющий собой пару (IDi,Ki):
IDi – идентификатор, позволяющий однозначно выделить i-й субъект доступа из множества всех субъектов, зарегистрированных в системе.
Ki – аутентифицирующая информация, подтверждающая подлинность i-го субъекта доступа.
В целях безопасности аутентифицирующий объект не хранится в системе в открытом виде, вместо этого используется объект-эталон, хранящий данные в защищенном формате. Объект-эталон представляет собой пару (IDi, Ei), где Ei = F(IDi,Ki). Трудоемкость определения Ki по Ei должна быть выше некоторого порогового значения T0. Для пары Ki и Kj возможно совпадение соответствующих значений E, что может привести к ложной аутентификации с некоторой вероятностью P0. Для практического применения задают T0 = 1020…1030, P0 = 10-7…10-9 [6].
В общем виде протокол идентификации и аутентификации выглядит следующим образом [5]:
1. Субъект доступа предъявляет свой идентификатор ID.
2. Система управления доступом проверяет, существует ли среди зарегистрированных идентификаторов IDi = ID. Если существует, то устанавливается, что субъект, назвавшийся субъектом доступа i, прошел идентификацию. В противном случае в доступе отказывается.
3. Система управления доступом запрашивает у пользователя его аутентификатор K.
4. Система управления доступом вычисляет значение Y = F(IDi,K).
5. Система управления доступом проводит сравнение значений Y и Ei.
При совпадении этих значений устанавливается, что данный субъект доступа прошел аутентификацию. В противном случае в доступе отказывается.
Распространено несколько модификаций типовой схемы идентификации и аутентификации, обладающих лучшими характеристиками.
Структура объекта-эталона допускает изменение следующим образом:
Ei = (Si,Ki), где Si – случайный вектор, задаваемый при создании идентификатора субъекта доступа [5]. Данная схема применяется в ОС UNIX. Идентификатором ID служит имя пользователя, аутентификатором Ki – пароль пользователя, функция F представляет собой хэш-функции MD5 [7] или SHA [8].
В случае, когда необходимо выполнить взаимную проверку подлинности двух сторон, используется процедура «рукопожатия» [9], при которой каждая сторона проверяет аутентифкатор партнера.
При высоких требованиях к безопасности (например, для карт электронных платежных систем) используются протоколы с нулевой передачей знаний [10], позволяющие установить подлинность субъекта доступа без передачи какой-либо конфиденциальной информации.
1.1.2.2 Парольная аутентификация Наиболее распространенным методом идентификации и аутентификации является парольная аутентификация [5]. При этом субъекту доступа назначается имя (идентификатор) и выделяется пароль, представляющие собой текстовые строки. При начале работы субъект доступа предъявляет системе свой идентификатор, затем система запрашивает пароль.
Основное достоинство парольной аутентификации – простота использования.
Парольная аутентификация имеет пониженную стойкость, поскольку выбор аутентифицирующей информации происходит из относительно небольшого множества осмысленных слов. На практике используются простые и удобные для запоминания пароли, еще более снижающие стойкость аутентифкации.
Другим недостатком является возможность перехвата пароля при передаче по сети.
Некоторые недостатки парольной аутентификации устраняются системами управления паролями. В этих системах пароли генерируются автоматически, их не требуется запоминать людям, поэтому используются более сложные пароли, повышающие стойкость аутентификации. Системы управления паролями обеспечивают возможность применения одноразовых паролей, перехватывать которые бесполезно.
1.1.2.3 Многофакторная аутентификация При многофакторной аутентификации проверка подлинности субъекта доступа выполняется в несколько стадий. Наиболее распространен вариант, при котором субъект должен продемонстрировать знание пароля (или персонального идентификатора, PIN) и предъявить некоторый уникальный предмет, например, USB-токен или смарт-карту.
Использование многофакторной аутентификации значительно повышает безопасность. На предметы просто наложить административные ограничения, например, сдавать и принимать под роспись.
Недостатком многофакторной аутентификации является меньшее удобство по сравнению с парольной. Многофакторная аутентификация требует дополнительного оборудования и программного обеспечения, что увеличивает стоимость системы управления доступом.
1.1.2.4 Биометрическая аутентификация Биометрическая аутентификация позволяет идентифицировать и аутентифицировать человека путем измерения его физиологических параметров и характеристик [5]. В качестве биометрических признаков используются:
Узор радужной оболочки и сетчатки глаз.
Отпечатки пальцев.
Геометрическая форма руки.
Форма и размеры лица.
Особенности голоса.
Биомеханические характеристики рукописного почерка.
Биомеханические характеристики «клавиатурного почерка».
Преимуществами биометрической аутентификации являются высокая степень достоверности из-за уникальности биометрических признаков, трудность фальсификации биометрических признаков [6].
Биометрическая аутентификация применима только для людей, а не для других типов субъектов доступа (программ, аппаратных комплексов и т.п.).
Высока вероятность ложных отрицательных срабатываний из-за погрешности приборов, считывающих биометрические признаки. При повреждении биометрических признаков (например, если порезать палец), пройти биометрическую аутентификацию невозможно.
1.1.2.5 Аутентификация с использованием криптографии Для аутентификации широко применяется криптография. Протокол аутентификации с использованием шифрования (как симметричного, так и асимметричного) был предложен Нидхэмом и Шредером в 1978 г. [12]. Протокол предназначен для двусторонней аутентификации с использованием выделенного сервера аутентификации.
Рассмотрим протокол Нидхема-Шредера для случая симметричного шифрования. При симметричном шифровании в процессе аутентификации используется один секретный ключ, известный субъектам A и B и серверу аутентификации AS. Серверу аутентификации также известны секретные ключи A и B, которые не подлежат разглашению. Протокол выглядит следующим образом [12]:
1. Субъект A генерирует идентификатор IA, который будет использоваться только один раз и отправляет его серверу аутентификации, зашифровав своим секретным ключом. Сообщение содержит (A, B, IA)KA. Верхний индекс KA показывает, что сообщение зашифровано секретным ключом субъекта A.
2. Сервер аутентификации генерирует ключ сессии CK, который будет использоваться для процедуры аутентификации и отправляет субъекту A сообщение вида: (IA, B, CK, (CK,A)KB)KA. Идентификатор IA показывает, что сообщение является ответом на первое сообщение субъекта A, B указывает субъекта, с которым требуется установить аутентификацию, CK – ключ сессии. Часть сообщения (CK,A)KB субъект A расшифровать не сможет, т.к. она зашифрована секретным ключом B.
3. Субъект A посылает субъекту B сообщение (CK,A)KB, полученное от сервера аутентификации. Расшифровав сообщение, субъект B также становится обладателем ключа CK. Дальнейшее взаимодействие между субъектами осуществляется с использованием шифрования с ключом CK.
4. Для того чтобы удостоверится в подлинности A, субъект B генерирует свой идентификатор для сессии IB и посылает его A в сообщении (IB)CK.
5. Субъект A для подтверждения своей подлинности отправляет ответ (IB - 1)CK.
В модифицированном варианте протокол Нидхема-Шредера с симметричным шифрованием применяется в Kerberos [13].
В случае шифрования с открытым ключом субъекты доступа A и B используют по паре открытый ключ – закрытый ключ (PKA-SKA и PKB-SKB соответственно). Открытые ключи субъектов распространяются через сервер аутентификации, закрытые – держатся в секрете. Протокол Нидхема-Шредера для асимметричного шифрования содержит следующие шаги [12]:
1. Субъект A запрашивает у сервера аутентификации открытый ключ субъекта B.
2. Сервер аутентификации отправляет субъекту A сообщение (PKB, B)SKAS. Сообщение зашифровано секретным ключом сервера аутентификации. Субъект A должен знать открытый ключ сервера аутентификации, чтобы расшифровать это сообщение.
3. Субъект A уведомляет субъекта B о намерении вступить с ним в связь, отправив сообщение (IA, A)PKB. Сообщение содержит сгенерированный идентификатор IA, который будет использоваться только один раз.
4. Субъект B запрашивает у сервера аутентификации открытый ключ A.
5. Сервер аутентификации отправляет субъекту B открытый ключ A в сообщении вида (PKA, A)SKAS. Сообщение зашифровано секретным ключом сервера аутентификации. Субъект B должен знать открытый ключ сервера аутентификации, чтобы расшифровать это сообщение.
6. Субъект B генерирует идентификатор IB, который будет использоватьB ся только один раз и отправляет его субъекту A в сообщении (IA, IB)PKA.
7. Субъект A подтверждает получение идентификатора и подлинность B сообщением (IB)PKB.
В случае асимметричного шифрования протокол содержит 7 шагов, что больше чем при симметричном шифровании. Но количество шагов можно сократить до 3 при условии, что субъектам известны открытые ключи друг друга.
В настоящее время разработана улучшенная версия протокола НидхемаШредера, обеспечивающая большую безопасность [12].
Основная проблема при использовании криптографии состоит в распространении ключей. Системы симметричного шифрования, использующие один ключ, требуют использования безопасных каналов для передачи ключей.
Асимметричные системы с открытым и закрытым ключами позволяют передавать открытые ключи по небезопасным сетям. Но при этом необходимо быть уверенным, что субъект, с которым осуществляется взаимодействие с помощью алгоритмов с открытым ключом, является собственником закрытого ключа.
Возможна замена открытого ключа законного участника открытым ключом злоумышленника без изменения идентификатора. Для предотвращения такой ситуации разработана популярная в настоящее время инфраструктура открытых ключей [14].
Инфраструктура открытого ключа использует сертификаты, которые являются структурами данных, связывающими значения открытого ключа с субъектом. Основные компоненты инфраструктуры открытого ключа (рис. 1.2.) [14]:
End-entity (EE) – конечный участник, для которого выпущен сертификат. Конечный участник может быть как человеком, так и приложением.
Certification Authority (CA) – сертификационный центр, который создает и подписывает сертификаты открытого ключа. CA отвечает за сертификаты не только в момент их выпуска, а на протяжении всего времени жизни сертификата.
Public Key Certificate (PKC) – сертификат открытого ключа, содержащий открытый ключ участника и другую информацию, подписанную закрытым ключом CA, выпустившем данный сертификат.
Registration Authority (RA) – регистрационный центр, необязательный участник, выполняющий некоторые административные функции: идентификация конечного участника, проверка, знает ли конечный участник закрытый ключ, соответствующий открытому ключу в сертификате, и некоторые другие.
Certification Policy (CP) – политика сертификата – множество правил, определяющее применимость открытого ключа для конкретного сообщества или класса приложений с общими требованиями безопасности.
Relying party (RP) – проверяющая сторона, которая использует сертификат для надежного получения открытого ключа конечного участника и некоторой другой дополнительной информации.
Репозиторий – система или набор распределенных систем, которые хранят сертификаты и предназначены для распределения этих сертификатов между конечными участниками.
Рис 1.2. Основные компоненты инфраструктуры открытого ключа Алгоритм работы инфраструктуры открытых ключей следующий. CA генерирует пару закрытый/открытый ключ для EE. Закрытый ключ передается EE. На основе открытого ключа и некоторых дополнительных атрибутов конечного участника CA генерирует сертификат и подписывает его своим закрытым ключом. Полученный сертификат публикуется в репозитории, к которому могут получит доступ все заинтересованные участники. При обращении конечного участника к защищенным ресурсам RP проверяет сертификат участника:
подписан ли он сертификационным центром, которому доверяет RP, не истек ли срок действия сертификата, имеет ли конечный участник закрытый ключ, соответствующий открытому ключу в сертификате. Если все проверки прошли успешно, конечному участнику разрешается доступ к защищенным ресурсам в соответствии с политикой сертификата.
Политики сертификата предоставляют возможность доступа конечных участников к защищенным сервисам. Различные сертификаты выпускаются, следуя разным процедурам и практикам, и могут быть предназначены для различных приложений. Например, в организации может быть две политики сертификатов - «Простые операции» и «Финансовые операции». Политика «Простые операции» предназначена для доступа к электронной почте, Интернет и т.п. Ключи создаются и хранятся с помощью недорогих систем на программной реализации. Политика «Финансовые операции» предназначена для защиты финансовых операций и предполагает более безопасные методы, например, хранение сертификатов в аппаратных токенах.
Существует несколько стандартов сертификатов, самый распространенный из них X.509 [15, 16].
Инфраструктура открытого ключа в настоящее время широко применяется на практике для аутентификации [17].
1.1.2.6 Аутентификация с нулевой передачей знаний Алгоритмы аутентификации с нулевой передачей знаний разработаны для применения в случаях, когда требования к безопасности очень высоки [10]. Такие алгоритмы позволяют подтвердить подлинность субъекта доступа без передачи конфиденциальной информации.
Наиболее известный алгоритм идентификации с нулевой передачей знаний предложили Фейге, Фиат и Шамир в 1986 г. [11]. По этому алгоритму выбирается случайное значение модуля n (длина от 512 до 1024 бит) и распределяется между участниками взаимодействия. Обозначим за A сторону, доказывающую свою подлинность, за B сторону проверяющую подлинность стороны A. Доверенный центр вычисляет открытый и закрытый ключи для A. В качестве открытого ключа выбирается число V, являющееся квадратичным вычетом по модулю n (уравнение x2 = V(mod n) имеет решение и существует целое число V-1mod n). Секретным ключом является наименьшее число S, для которого S = V 1 (mod n).
Алгоритм аутентификации выглядит следующим образом [11]:
1. Сторона A вычисляет значение x = r2 mod n, где r – некоторое случайное число, такое что r < n.
2. Сторона B посылает стороне A случайный бит b.
3. Если b = 0, тогда A отправляет стороне B значение r. Если b = 1, то А отправляет стороне B значение y = r S mod n.
4. Если b = 0, сторона B проверяет, что x = r2 mod n, чтобы убедиться, что сторона A знает чтобы убедиться, что сторона A знает V 1.
Перечисленные шаги образуют один цикл протокола, называемый аккредитацией. Стороны повторяют этот цикл несколько раз при разных случайных значениях r и b, пока сторона B не убедится, что A знает секретный ключ.
Существует параллельная модификация алгоритма Фейге-Фиата-Шамира, позволяющая увеличить число аккредитаций, выполняющихся за 1 цикл [11].
Алгоритм аутентификации с нулевой передачей знаний, предложенный Гиллоу и Куискуотер, позволяет уменьшить количество аккредитаций, необходимое для подтверждения подлинности до одной [18]. Но объем вычислений при использовании этого алгоритма выше, чем у алгоритма Фейге-ФиатаШамира.
Преимуществом алгоритмов аутентификации без передачи знаний является высокая безопасность – никакие конфиденциальные данные по сети не передаются и, следовательно, не могут быть перехвачены.
К недостаткам можно отнести сложность инфраструктуры аутентификации (необходима третья сторона – доверенный центр, занимающийся созданием и распределением ключей), высокая вычислительная нагрузка.
1.1.3 Однократная регистрация В модели управления доступом Лампсона [2] субъект должен проходить идентификацию, аутентификацию и авторизацию при выполнении каждой операции с объектом. На практике это очень неудобно для субъектов доступа – людей. Для решения этой проблемы системы управления доступом реализуют функцию однократной регистрации.
Однократная регистрация предоставляет возможность проходить идентификацию и аутентификацию только один раз при первом обращении к объекту доступа. В случае успешного прохождения система «запоминает» субъекта (создает «сессию»). После этого субъект может обращаться к другим объектом доступа без повторных идентификации и аутентификации.
С понятием однократной регистрации связано понятие единого выхода.
При этом в случае выхода из любой системы, поддерживающего однократную регистрацию, производится выход из всех систем.
1.1.4 Авторизация В настоящее время разработано и используется несколько моделей авторизации: дискреционное, мандатное, ролевое, атрибутное управление. Допускается как отдельное, так и совместное применение различных моделей управления доступом в одной системе.
1.1.4.1 Дискреционное управление доступом Дискреционное управление – появившийся первым и наиболее простой метод [19], при котором ведется управление доступом поименованных субъектов к поименованным объектам. Для каждой пары «субъект»-«объект» задается перечень операций, которые субъект может выполнять с объектом. Права доступа к объекту задает субъект, который является владельцем объекта. Полученные права доступа к объекту субъект может передавать любому другому субъекту.
При дискреционном управлении используется несколько форматов представлений прав доступа. Матрица доступа предложена Лампсоном [20] в году. В столбцах такой матрицы приводятся все объекты, существующие в системе, в строках – все субъекты, а в ячейках – права доступа субъектов к объектам. Пример матрицы доступа пользователей к файлам показан в табл. 1. Другой формат представления – списки контроля доступа. Для каждого объекта заводится список, в котором указывается, какие субъекты могут с ним работать и какие операции может выполнять каждый субъект.
Списки возможностей связывает каждого субъекта с доступным ему списком операций над объектами.
В упрощенном варианте списки контроля доступа являются представлением столбцов матрицы доступа, а списки возможностей – представлением строк (рис 1.3). Однако списки возможностей имеют ряд неочевидных, на первый взгляд, преимуществ, описанных в работе [21]. Модель списков контроля доступа предполагает наличие пространства имен, в котором субъект ищет объекты доступа. Список возможностей в явном виде содержит как список доступных субъекту объектов, так и список операций, которые можно с ними выполнять. В модели списков контроля доступа управление ведется на уровне субъектов. Тот, кто имеет право менять список контроля доступа, может внести в него любой субъект. А имея право менять список возможностей, можно назначать права только одному конкретному субъекту. Такой подход значительно облегчает распределение полномочий между администраторами по организационному или территориальному принципу.
Рис 1.3. Списки контроля доступа и возможностей Недостатком дискреционного управления доступом является высокая сложность управления в крупных организациях с большим количеством субъектов и объектов доступа. Матрица доступа (или ее представление в виде списков контроля доступа и возможностей) становится огромной, внесение изменений является сложным и длительным процессом.
Частично упростить процесс управления при дискреционном подходе помогает механизм групп. При этом права доступа назначаются не каждому субъекту в отдельности, а группе. Субъекты могут добавляться или исключаться из группы динамически.
Другой недостаток дискреционного управления возможность получения доступа субъектами, которые не должны иметь такой доступ. Согласно дискреционной модели субъект, получивший право на выполнение некоторой операции с объектом, может передать это право другому субъекту, без уведомления владельца объекта. Другой вариант несанкционированного доступа – субъект, получивший доступ на чтение к объекту, создает копию объекта и передает права на доступ к копии любым другим субъектам.
Централизация управления при дискреционном подходе является сложной задачей, т.к. распределением прав доступа занимаются владельцы объектов. Одним из подходов к централизации в дискреционной модели управления является выделение среди всех субъектов доступа суперпользователя, который может назначать права доступа любому объекту любого владельца. Такой подход применяется в Unix, где суперпользователем является root.
1.1.4.2 Мандатное управление доступом Модель мандатного управления доступом предложена Беллом и ЛаПадула в работе [22]. Модель разрабатывалась для применения в военных системах и обеспечивает высокую безопасность. Объекты доступа делятся на несколько уровней, обозначаемых метками безопасности. Субъекты доступа также делятся на уровни с использованием тех же меток. Широко применяемый на практике набор меток: неклассифицированно конфиденциально секретно совершенно секретно. Пример использования мандатного управления доступом показан на рис. 1.4.
Субъекты доступа имеют право чтения всех объектов, имеющих метку безопасности одного с ними уровня и ниже. Право записи субъекты имеют только в объекты, имеющие метку безопасности одного с ними уровня. Это сделано для предотвращения попадания конфиденциальных данных в объекты с более низким уровнем доступа. Например, чтобы генерал не смог случайно выдать секреты младшим офицерам.
Модель мандатного управления доступом разрабатывалась для военных систем с высокими требованиями к безопасности и плохо применимо в других системах. В коммерческих и научных организациях сложно выстроить жесткую иерархию уровней доступа, подобную военной, поэтому требуются более гибкие методы.
1.1.4.3 Ролевое управление доступом Ролевое управление доступом [23] предлагает более гибкий метод, по сравнению с мандатным, и менее трудоемкий, по сравнению с дискреционным.
При ролевом управлении права доступа назначаются не субъектам доступа, а ролям, которые соответствуют обязанностям, выполняемым субъектом в организации («Директор», «Аспирант», «Инженер»). Роли позволяют быстро и согласованно выделить субъекту весь набор прав доступа, необходимый ему для работы.
Модель ролевого управления доступом RBAC0, предложенная в работе [23], показана на рис.1.5. Ролям из множества R назначаются права доступа из множества P с помощью отношения PA. Роли назначаются пользователем из множества U с помощью отношения UA. При работе пользователя создается сессия (множество S), в которой пользователь активирует одну или несколько доступных ему ролей и получает соответствующие права доступа.
В работе [23] определяются другие модели ролевого управления, позволяющие использовать иерархию ролей, ограничения на допустимые сочетания компонентов модели, делегирование полномочий управления доступом.
Роли позволяют реализовать принцип «разграничения обязанностей»: роли со взаимоисключающими правами доступа не могут быть назначены одному пользователю (например, один человек не может одновременно использовать роли «Директор» и «Аспирант»).
Рис 1.5. Модель ролевого управления доступом [23] С помощью ролей можно временно ограничить доступный набор прав доступа. Например, субъект доступа, которому назначена роль системного администратора, может выполнять большую часть текущей работы, не активируя эту роль, чтобы снизить последствия возможных ошибок или работы вредоносных программ. Субъект активирует роль системного администратора только тогда, когда необходимо выполнить операции, требующие прав доступа системного администратора, и деактивирует роль сразу же, после окончания выполнения операций.
Роли предоставляют эффективный и удобный механизм управления доступом, поэтому широко используются на практике.
1.1.4.4 Атрибутное управление доступом Атрибутное управление доступом [24] возникло благодаря широкому распространению сети Интернет и появлению большого числа сервисов, доступных через сеть. В таком случае модель управления доступом, при которой для каждого субъекта создается учетная запись, и назначаются права доступа, подходит плохо, т.к. в Internet существует много субъектов и каждый субъект использует большое количество объектов, предоставляемых разными организациями. Поэтому для принятия решения о разрешении или запрещении работы с объектом выполняется анализ описательных атрибутов субъекта, а не назначенных ему прав доступа.
Наиболее часто атрибутное управление применяется для контроля доступа к Web-сервисам. Например, Web-сервис бронирования автомобиля может быть доступен только тем пользователям, у которых есть водительское удостоверение (или другими словами атрибут «hasDriversLicense» имеет значение «true»).
1.1.5 Делегирование Формальная модель делегирования предложена Лампсоном в работе [2].
Субъект может делегировать часть своих прав доступа другому субъекту. Например, администратор организации может делегировать часть полномочий по управлению доступом администраторам подразделений. Делегирование является популярным методом распределения обязанностей по управлению доступом между администраторами.
1.1.6 Анализ состояния технологий в области управления доступом к сервисам Большая часть современных информационных систем для управления доступом к сервисам использует модель Лампсона, предложенную в 1974 г. Несмотря на общую модель, на практике используется большое количество различных методов реализации процедур защиты информации: идентификации, аутентификации и авторизации. Такое многообразие обеспечивает гибкость:
разработчики каждой системы выбирают метод управления доступом, наиболее полно отвечающий требованиям данной системы.
В сетях крупных организаций, с большим количеством сервисов и пользователей, многообразие технологий приводит к повышению сложности процесса управления доступом. Сервисы разных типов, использующие разные технологии управления доступом, требуют создания инфраструктуры управления:
репозитория правил разграничения доступа, системы управления доступом и т.п. Большое количество сервисов разных типов приводит к большому количеству инфраструктур управления доступом, которые нужно создавать и поддерживать. Часть информации в таких инфраструктурах дублируется и требует синхронизации при изменениях.
Управление доступом требует высокой квалификации администраторов:
необходимо знать тонкости большого числа различных технологий управления доступом, часть из которых отличаются высокой сложностью.
Пользователям неудобно работать с сервисами, использующими различные технологии управления доступом, т.к. для работы с разными сервисами требуется разная идентификационная информация: имена и пароли, сертификаты, токены или смарт-карты. Пароли пользователям необходимо помнить, токены и смарт-карты всегда иметь при себе и предоставлять при каждом обращении к сервису.
Для упрощения процесса управления доступом необходимо выполнить интеграцию систем управления доступом к сервисам, использующим различные технологии управления доступом.
1.2 Методы интеграции информационных систем В настоящее время распространены три подхода к интеграции информационных систем, обеспечивающие различные уровни интероперабельности [25] (рис 1.6.):
синтаксическая интеграция основывается на использовании согласованных форматов данных;
структурная интеграция обеспечивает согласование структур данных путем преобразования форматов с применением метаданных;
семантическая интеграция устанавливает смысловое соответствие между сущностями.
Рис 1.6. Типы интеграции и уровни интероперабельности [25] Наиболее полную интероперабельность интегрируемых систем обеспечивает семантическая интеграция [25]. Интеграционные решения, использующие синтаксический и структурный подход являются частными, рассчитанными на определенные системы. Широкое применение таких решений затруднено.
В настоящее время наиболее популярной технологией семантической интеграции являются онтологии. Онтологии определяют общий словарь предметной области, который может совместно использоваться людьми или информационными системами.
Пример семантической интеграции систем управления доступом к сервисам показан на рис. 1.7. На этом рисунке представлен фрагмент онтологии системы управления доступом к сервисам, содержащий класс «Субъект доступа» с атрибутами «Идентификатор», «Пароль», «ФИО» и др. Онтология определяет смысловую нагрузку понятий системы управления доступом к сервисам, представленных в разных форматах с различной структурной организацией (таблица реляционной СУБД, текстовый файл /etc/passwd в UNIX, каталог LDAP).
Рис 1.7. Пример семантической интеграции на основе онтологии Для разработки онтологий существует широкий набор инструментальных средств: язык описания онтологий OWL (Web Ontology Language) [26], являющийся стандартом W3C, среды редактирования онтологий Protg [27], Ontolingua [28], Chimaera [29], готовые и доступные к использованию онтологии, описывающие различные предметные области.
Таким образом, интеграцию систем управления доступом к сервисам необходимо выполнять с помощью семантического подхода, что обеспечит максимальную интероперабельность. В качестве инструментария интеграции целесообразно использовать онтологии.
1.3 Существующие системы интеграции управления доступом к сервисам В данном разделе выполнен обзор существующих систем интеграции управления доступом к сервисам. Выявлены аналоги трех типов: системы централизованного управления, системы федеративной идентификации, системы интегрированного управления.
1.3.1 Традиционный подход Традиционный подход к управлению доступом состоит в том, что каждый сервис реализует задачу управления собственными средствами: имеет собственный репозиторий учетных записей и правил разграничения доступа, собственные системы управления и учета. Например, в ОС Unix учетные записи хранятся в текстовых файлах /etc/passwd и /etc/groups, управление ведется с помощью команд ОС (useradd, usermod и т.п.). Достоинством подхода является удобство и автономность: все, что нужно для управления уже есть в составе сервиса. В крупных сетях, с большим количеством пользователей и сервисов, традиционный подход порождает много проблем. В первую очередь это сложность администрирования. Большое количество сервисов приводит к большому количеству репозиториев, которые нужно поддерживать и обеспечивать актуальность информации. Управление доступом выполняется отдельно к каждому сервису, через свою систему, что существенно снижает продуктивность работы и повышает вероятность ошибки.
Традиционный подход делает неудобной работу пользователей с сервисами. Из-за сложностей администрирования и ошибок, пользователи часто подолгу не могут получить права на работу с необходимым сервисом. Для каждого сервиса требуются отдельные идентификатор и пароль, которые нужно вводить при каждом обращении. Большое количество паролей трудно запомнить, поэтому применяются простые пароли, а сложные записываются на бумаге, что негативно сказывается на безопасности. Запросы пользователей по смене паролей создают большую нагрузку на службу поддержки.
1.3.2 Централизованное управление Для устранения недостатков традиционного подхода были разработаны системы централизованного управления доступом. В таких системах сервисы сами не выполняют никаких действий по управлению доступом, а обращались для этого к внешним службам.
Один из подходов к созданию систем централизованного управления определен в стандарте RFC 2903 [30], описывающем архитектуру Authentication, Authorization and Accounting (AAA). Эта архитектура реализована в протоколах RADIUS [31], TACACS [32], DIAMETER [33], нашедших широкое применение в телекоммуникационном оборудовании. В научной среде протокол RADIUS применяется в проекте EDUROAM [34].
Для централизованного хранения данных о пользователях в ОС Unix была создана система NIS (Network Information Service) [35]. В NIS текстовый файлы наподобие /etc/passwd редактируются только на одной машине – сервере NIS, который передает их на все остальные UNIX машины (клиенты NIS). Для повышения надежности серверы NIS дублируются. В настоящее время NIS практически не применяется, ее заменили системы с большими возможностями на основе LDAP или Kerberos.
Каталоги LDAP сейчас пользуются наибольшей популярностью и применяются в большинстве распространенных операционных систем: Active Directory в Microsoft Windows, Sun Java System Directory Server в Solaris, Novell eDirectory в Netware. Каталоги, как и NIS, позволяют создать централизованный репозиторий учетных записей. Доступ к такому каталогу осуществляется по протоколу LDAP [36]. Достоинством LDAP является наличие стандартных схем для описания данных о пользователях [37, 38, 39], что обеспечивает интероперабельность.
Система Kerberos [13], кроме централизованного хранения учетных записей и управления доступом, предоставляет полезную функцию однократной регистрации. Аутентификацию пользователей в Kerberos выполняет централизованный сервер аутентификации. Пройдя аутентификацию, пользователь получает специальный билет (ticket), имея который может обращаться к нужному ему серверу без повторной аутентификации. В целях безопасности Kerberos выполняет шифрование передаваемых по сети билетов. Протокол Kerberos стандартизован [40], поддерживается в Windows и в UNIX.
Бесплатная система централизованного управления и однократной регистрации пользователей Web-приложений A-Select [41], использует архитектуру, аналогичную Kerberos: сервер аутентификации выдает билеты для доступа к различным Web-приложениям. Система обеспечивает однократную регистрацию и широко применяется в научной среде [42].
На управление доступом к Web рассчитаны системы, использующие протокол SAML (Security Assertion Markup Language), определенный в стандарте OASIS [43]. В SAML для описания прав доступа используется XML. Существует бесплатная реализация OpenSAML [44].
Интерес представляют системы наподобие Microsoft Windows Life ID [45] (.Net Passport), в которых всю работу по хранению данных о пользователях берет на себя сторонняя компания, в данном случае Microsoft. Доступ к данным о пользователях и правилах разграничения доступа осуществляется с помощью API, предоставляющего дополнительные возможности, например, однократную регистрацию. Однако не много компаний готовы доверить хранение персональных данных своих сотрудников сторонней организации.
Системы централизованного управления доступом решают многие проблемы управления, присущие традиционному подходу: обеспечивают централизованное хранение данных о пользователях и правилах разграничения доступа, единую систему управления, однократную регистрацию. Тем не менее, ни один из разработанных протоколов идентификации не получил повсеместного распространения. В крупной сети невозможно вести управление всеми сервисами на основе только одного протокола, т.к. часть сервисов могут не поддерживать этот протокол. Применение систем централизованного управления ведет к созданию «островков управления»: в организации применяется несколько подобных систем, каждая обслуживает определенный набор сервисов. Взаимодействия между такими системами практически не происходит.
Другим недостатком централизованных систем является указанная в названии ориентация на создание единого центра управления. Сейчас в связи с широким распространением Интернет, появилось большое число научных организаций, предоставляющих сервис в сети. Такие организации хотят предоставить безопасный доступ к сервисам своим организациям-партнерам. Управлять доступом к сервисам, предоставляемым разными организациями, находящимися в разных зонах административной или организационной ответственности (доменах) из одного центра очень сложно.
1.3.3 Федеративная идентификация Федеративная идентификация используется для управления доступом к сервисам, находящимся в разных доменах [46]. В каждом домене управление идентификацией выполняется независимо от других, используются собственные репозитории данных о пользователях и правила разграничения доступа.
Системы федеративной идентификации позволяют создать круг доверия: объединить учетные записи одного пользователя, хранящиеся в разных доменах, и согласованно управлять правами доступа. Это делает возможным реализацию ряда удобных функций, например, однократной регистрации: после аутентификации на сервисе одного из доменов для работы с сервисами других доменов повторная регистрация не требуется. Популярной системой федеративной идентификации, основанной на открытых стандартах, является Liberty [47]. Альтернативное решение, предлагаемое компаниями Microsoft и IBM, основывается на WS-Security и WS-Federation [48]. В научной среде [49] используется Shibboleth [50], разработанный для проекта Internet2.
1.3.4 Интегрированное управление доступом к сервисам Системы интегрированного управления доступом к сервисам призваны устранить зависимость от конкретных протоколов централизованного или федеративного управления. Системы предлагаются многими ведущими производителями программного обеспечения – IBM Tivoli Identity Manager [51], Sun Identity Manager [52], Oracle Identity Manager [53], Microsoft Identity Integration Server [54], Novell Identity Manager [55]. Эти решения во многом похожи друг на друга, они используют одинаковые принципы построения и стандартные протоколы взаимодействия. Для примера рассмотрим Sun Identity Manager, который признается Gartner лидирующим в классе [56]. Решение состоит из нескольких компонентов [52]: Directory Server служит для хранения данных о пользователях и правах доступа с возможностью масштабирования и распределенного взаимодействия. Access Manager обеспечивает аутентификацию, авторизацию и однократную регистрацию пользователей. Federation Manager добавляет возможность федеративного управления идентификацией. Важным преимуществом Sun Identity Manager является бесплатное распространение, что делает возможным его применение в научных организациях. В дополнение к бесплатному распространению компания Sun Microsystems начала открывать исходный код своих продуктов, в частности исходные коды Access Manager доступны в рамках проекта OpenSSO [57].
Недостатком подобных систем является узкий круг поддерживаемых протоколов и сервисов из-за отсутствия в их основе четкой семантической модели управления. В результате задача интеграции механизмов управления доступом к информационным, сетевым и вычислительным сервисам с использованием существующих систем затруднена. Чтобы сделать возможной такую интеграцию, необходимо разработать семантическую модель управления доступом к сервисам разных типов.
1.3.5 Оценка существующих систем интеграции управления доступом к сервисам Оценка наиболее близких систем интеграции управления доступом к сервисам приведена в табл. 1.2. Системы оценены по десятибалльной шкале (1минимальная оценка, 10 – максимальная).
Анализ позволил выбрать прототип – Sun Identity Manager. Основным недостатком прототипа и других аналогов является низкая интероперабельность.
Это объясняется применением синтаксической (системы централизованного управления и федеративной идентификации) и структурной (системы интегрированного управления) интеграции. В результате задача интеграции механизмов управления доступом к сервисам разных типов с использованием существующих систем затруднена. Расширить интероперабельность можно с помощью семантической интеграции, для чего необходимо разработать четкую семантическую модель управления доступом к сервисам.
Оценка существующих систем интеграции управления доступом к сервисам Системы централизованного управления Системы федеративной идентификации Системы интегрированного управления Manager ager Manager ager Intergation Server 1.4 Онтологии предметной области управления доступом к сервисам 1.4.1 Специализированные онтологии управления доступом В области управления доступом к сервисам разработано большое количество онтологий. Существуют онтологии для различных методов управления доступом: на основе списков доступа [58, 59], ролевого [60], атрибутного [61], на базе правил [62, 63] и с учетом контекста [64]. Разрабатываются онтологии для описания управления доступом к конкретным информационным системам:
HL7 [60], LSDIS [65], Access-eGov [66]. Есть онтологии для решения некоторых задач управления доступом, например, автоматической декомпозиции правил управления доступом в распределенной среде [67].
Применение существующих онтологий для интеграции механизмов управления доступом к сервисам разных типов затруднено. Онтологии, описывающие управление доступом к конкретным информационным системам, трудно применить даже для других информационных систем из-за отличий в наборе информационных ресурсов, выполняемых операций и, как следствие, прав доступа. А использовать онтологию управления доступом, разработанную для конкретной информационной системы, для управления доступом к сетевым и вычислительным устройствам практически невозможно.
Онтологии, описывающие методы управления доступом (ролевое, атрибутное и т.п.) могут применяться для интеграции управления доступом к сервисам разных типов. Но в созданной на основе такой онтологии системе будет возможно применение только одного метода управления, что существенно ограничивает функциональные возможности и снижает эффективность использования системы.
1.4.2 Онтологии верхнего уровня Наиболее популярным и доказавшим свою эффективность методом разработки онтологий является использование так называемых «высокоуровневых» онтологий [68]. При этом в отличие от разработчиков существующих онтологий управления доступом, сразу начинающих описание специализированной предметной области управления доступом к сервисам, сначала рассматриваются общие для всех информационных систем понятия (входящие в высокоуровневую онтологию), а затем предлагается сужение общих понятий на предметную область управления доступом к сервисам. Использование высокоуровневых онтологий для интеграции информационных систем позволяет построить более полный словарь предметной области и обеспечить взаимодействие информационных систем без привязки к конкретному содержанию, тем самым обеспечивая более высокий уровень интероперабельности [68].
В настоящее время разработано несколько высокоуровневых онтологий:
Cyc [69], SUMO [70], GOL [71], DOLCE [72], BWW [73, 74]. Онтологии Cyc, SUMO, GOL ставят задачу описания всего, что существует в мире. Онтологии DOLCE и BWW более узкие и сконцентрированы на информационных системах.
1.4.3 Оценка онтологий в области управления доступом к сервисам Оценка онтологий в области управления доступом к сервисам разных типов приведена в табл. 1.3. Онтологии оценены по десятибалльной шкале (1минимальная оценка, 10 – максимальная).
Оценка онтологий в предметной области управления доступом Специализированные онтологии Онтологии для методов управления доступом к сервисам Access Control Lists ontology Role base access control ontology Attribute base access control ontology Rule base access control ontology Context aware access control ontology Онтологии верхнего уровня На основе результатов оценки в качестве прототипа была выбрана онтология BWW (Bunge, Wand and Weber ontology).
Основные понятия онтологии BWW приведены в табл. 1.4.
Thing Объект, базовая единица онтологии BWW. Мир состоит из Property Свойство объекта.
Class Класс – множество объектов, обладающих одинаковым набором свойств State Состояние объекта – множество значений свойств объекта в Event Событие – изменение состояния объекта. Задается начальным и конечным состоянием, а также правилом изменения состояния (transformation).
Transformation Преобразование – правило изменения состояния объекта.
History История объекта – список событий объекта.
Interaction Взаимодействие – два объекта взаимодействуют, если история хотя бы одного объекта зависит от истории другого.
System Система – множество взаимодействующих объектов.
Недостатком онтологии BWW является слишком высокий уровень абстракции: онтология описывает информационные системы в целом, без учета особенностей конкретных информационных систем. Необходимо выполнить адаптацию онтологии BWW к предметной области управления доступом к сервисам разных типов с учетом существующих Российских и международных стандартов и распространенных методов управления доступом.
1.5 Официальные документы в области управления доступом Попытки определить набор понятий в области информационной безопасности в целом, и в области управления доступом к сервисам в частности, делаются в нормативных документах. Основными зарубежными стандартами в этой сфере являются ISO 2382-8:1998 [75] и ISO/IEC 27000 [76] (находится в стадии разработки). В России основные термины в области информационной безопасности определены ГОСТ Р 50739-95 [77] в Руководящем документе Гостехкомиссии России [78]. Приведем некоторые определения из Руководящего Документа, непосредственно относящиеся к области управления доступом к сервисам.
Термины и определения Руководящего документа Гостехкомиссии России [78] Доступ к ин- Access to Ознакомление с информацией, ее обраформации information ботка, в частности, копирование, модификация или уничтожение информации ПРД - Правила Security policy Совокупность правил, регламентирующих Субъект доступа Access subject Лицо или процесс, действия которых регламентируются правилами разграничения Объект доступа Access object Единица информационного ресурса автоматизированной системы, доступ к которой регламентируется правилами разграничения доступа Уровень полно- Subject privilege Совокупность прав доступа субъекта досмочий субъекта тупа доступа Система разгра- Security policy Совокупность реализуемых правил разничения доступа realization граничения доступа в средствах ВТ Идентификатор Access identifier Уникальный признак субъекта или объекдоступа та доступа Идентификация Identification Присвоение объектам и субъектам доступа идентификатора и (или) сравнение Пароль Password Идентификатор субъекта доступа, который является его (субъекта) секретом Аутентификация Authentication Проверка принадлежности субъекту доступа предъявленного им идентификатора, Модель защиты Protection model Абстрактное описание комплекса программно-технических средств и/или организационных мер защиты от НСД Дискреционное Discretionary Разграничение доступа между поименоуправление дос- access control ванными субъектами и поименованными тупом объектами. Субъект с определенным правом доступа может передать это право Мандатное Mandatory Разграничение доступа субъектов к объуправление дос- access control ектам, основанное на характеризуемой тупом меткой конфиденциальности информации, содержащейся в объектах, и официальном разрешении (допуске) субъектов Концепция дис- Reference Концепция управления доступом, отнопетчера доступа monitor concept сящаяся к абстрактной машине, которая Администратор Security Субъект доступа, ответственный за защисистемы защиты administrator ту автоматизированной системы от НСД Руководящий Документ определяет достаточно большое количество терминов в области управления доступом. В нем нашли отражения понятия модели управления доступом Лампсона (субъект доступа, объект доступа, диспетчер доступа), процедуры защиты информации (идентификация, аутентификация, авторизация), разные методы управления доступом (дискреционное и мандатное).
Однако предлагаемый словарь далеко не полный. Из методов управления доступом представлены только два: дискреционное и мандатное. Отсутствует понятие однократной регистрации, и связанное с ним понятие сессии. Не описано понятие делегирования управления доступом к сервисам. Словарь предметной области управления доступом к сервисам требует более детального описания. Руководящий Документ может служить хорошей основой для такого описания, т.к. определяет стандарт на терминологию в области управления доступом в России.
Обзор состояния технологий управления доступом к сервисам показал, что основной причиной сложности процесса управления доступом к сервисам является многообразие технологий управления доступом. Для упрощения управления доступом необходима интеграция систем управления, использующих различные технологии управления доступом к сервисам.
В настоящее время существует три подхода к интеграции информационных систем: синтаксическая, структурная и семантическая. Наибольшую интероперабельность обеспечивает семантический подход, поэтому его целесообразно использовать для интеграции управления доступом к сервисам разных типов. Инструментом семантической интеграции являются онтологии.
Анализ существующих систем интеграции управления доступом к сервисам выявил их основной недостаток: низкую интероперабельность. Существующие системы обеспечивают интеграцию управления доступом к небольшому числу сервисов из-за существенных различий в системе понятий и наборах операций по управлению доступом. Низкая интероперабельность объясняется применением в существующих системах синтаксического и структурного подходов к интеграции. Увеличить интероперабельность можно с помощью семантической интеграции. Оценка аналогов позволила выбрать прототип создаваемой системы: Sun Identity manager [52].
Семантическая интеграция управления доступом к сервисам разных типов требует создания семантической модели управления доступом к сервисам.
В настоящее время популярным инструментом создания семантических моделей являются онтологии. Обзор существующих онтологий в области управления доступом к сервисам позволил выявить прототип для онтологии управления доступом – онтологию верхнего уровня BWW [73]. Как и любая онтология верхнего уровня, онтология BWW является слишком абстрактной: описывает информационные системы в целом, без учета особенностей конкретных информационных систем. Необходимо выполнить адаптацию онтологии BWW к предметной области управления доступом к сервисам разных типов с учетом существующих Российских и международных стандартов и распространенных методов управления доступом.
2 СЕМАНТИЧЕСКАЯ ИНТЕГРАЦИЯ УПРАВЛЕНИЯ
ДОСТУПОМ К СЕРВИСАМ
2.1 Анализ и критика прототипа 2.1.1 Анализ прототипа Схема прототипа приведена на рис. 2.1.Прототип состоит из следующих компонентов:
Репозиторий правил разграничения доступа хранит правила разграничения доступа к сервисам разных типов. Формат хранения правил разграничения доступа описывается общей схемой данных. Особенности конкретных сервисов учитываются в схемах данных сервисов, специфичных для каждого типа сервисов. Между общей схемой данных и схемами данных сервисов устанавливается соответствие.
Программное обеспечение управления доступом реализует процедуры защиты информации на основе данных из репозитория правил разграничения доступа с использованием общей схемы данных.
Адаптеры сервисов обеспечивают подключение сервисов к системе управления доступом. Адаптеры состоят из двух блоков: согласование структуры и согласования синтаксиса. Блок согласования структуры обеспечивает преобразование структуры данных из формата, описываемого общей схемой данных, в формат, специфичный для каждого типа сервисов. Блок согласования синтаксиса обеспечивает преобразование протоколов для передачи данных по сети.
Консоль управления доступом служит для управления правилами разграничения доступа к сервисам в репозитории правил разграничения доступа. Консоль является единым интерфейсом для управления доступом к сервисам всех типов.
С прототипом взаимодействуют:
Сервисы разных типов обращаются к системе интеграции управления доступом для выполнения процедур защиты (идентификация, аутентификация, авторизация). Сервисы могут использовать различные протоколы и схемы данных управления доступом. Подключение сервисов к системе управления доступом осуществляется с помощью адаптеров сервисов, осуществляющих согласование протоколов и схем данных взаимодействия.
Администраторы используют консоль для управления доступом к сервисам.
2.1.2 Недостатки прототипа Основным недостатком прототипа является низкая интероперабельность, вызванная использованием структурной интеграции. Структурный подход основан на интеграции с применением схем данных: для интеграции нескольких систем разрабатывается общая схема данных и устанавливается соответствие между общей схемой и схемами конкретных систем. При появлении новой системы, которую нужно интегрировать, необходимо задать соответствие между общей схемой данных и схемой новой системы. В некоторых случаях задать такое соответствие очень сложно из-за существенных отличий в наборах понятий и операций интегрируемых систем. Часто при подключении новой системы требуется изменение общей схемы данных и последующий пересмотр соответствий общей схемы со схемами каждой системы.
На практике низкая интероперабельность проявляется в узком круге сервисов, интеграция управления доступом к которым возможна.
2.1.3 Предлагаемое решение Для увеличения интероперабельности предлагается использовать семантическую интеграцию. Схема предлагаемого решения показана на рис. 2.2. Решение включает следующие новые блоки:
Онтология управления доступом к сервисам, определяющую общую семантическую модель управления доступом.
Блок согласования семантики в адаптере сервиса, обеспечивающий, дополнительно к согласованию синтаксиса и структуры, согласование семантики данных на основе онтологии.
Кроме введения новых блоков предлагается модифицировать существующие: ПО управления доступом, консоль управления, схемы данных и правила разграничения доступа, чтобы все перечисленные блоки могли использовать онтологию.
Рис 2.2. Схема прототипа и предлагаемого решения (новые блоки закрашены, 2.2 Методика интеграции управления доступом к сервисам на основе семантического подхода Для создания системы интеграции управления доступом к сервисам разных типов нужно выполнить следующие шаги:
1. Задать множество сервисов S, которые подлежат интеграции.
2. Задать множество моделей М, используемых для управления доступом к сервисам из множества S.
3. Задать множество репозиториев правил разграничения доступа R, которые подлежат интеграции.
4. Задать множество протоколов управления доступом P, которые используются сервисами из множества S.
5. Разработать унифицированную модель управления доступом M0. Модель включает семантическое описание базовых понятий и операций систем управления доступом (представленное в виде онтологии) и синтаксис записи правил разграничения доступа с использованием данной семантики.
6. Определить отображение моделей управления доступом miM в унифицированную модель М0: F:miM0|miM.
7. Создать консолидированный репозиторий правил разграничения доступа R0, использующий унифицированную модель M0.
8. Разработать адаптеры AR, обеспечивающие перенос данных из репозиториев riR в консолидированный репозиторий R0.
9. Создать программное обеспечение управления доступом, реализующее процедуры защиты информации с использованием правил разграничения доступа в консолидированном репозитории R0.
10. Разработать адаптеры AS протоколов управления доступом piP, обеспечивающие взаимодействие сервисов siS с ПО управления доступом для выполнения процедур защиты информации с использованием протокола piP.
11. Настроить сервисы siS для взаимодействия с ПО управления доступом с помощью адаптеров aiAS по протоколам piP.
12. Разработать систему управления правилами разграничения доступа в консолидированном репозитории R0.
Структурная схема системы семантической интеграции управления доступом к сервисам разных типов, получаемой с помощью предлагаемой методики, показана на рис. 2.3.
Рис 2.3. Структурная схема системы семантической интеграции управления 2.3 Выводы по главе Анализ прототипа показал, что его основной недостаток – низкая интероперабельность, причиной которой является использование в прототипе структурного подхода к интеграции управления доступом к сервисам. В целях увеличения интероперабельности предлагается использовать семантический подход к интеграции. Построенная с применением данного метода система обеспечит интеграцию более широкого круга сервисов и использование большего количества методов управления доступом.
3 СИСТЕМА МОДЕЛЕЙ УПРАВЛЕНИЯ ДОСТУПОМ К
СЕРВИСАМ
В данной главе представлена система моделей управления доступом к сервисам. В соответствии с методикой интеграции управления доступом к сервисам, предложенной во второй главе, система моделей состоит из двух частей:Семантическая модель, описывающая базовые понятия и операции предметной области управления доступом к сервисам.
Алгебраическая модель, определяющая синтаксис записи правил разграничения доступа.
3.1 Онтология управления доступом к сервисам Онтология управления доступом к сервисам состоит из двух частей, в соответствии с онтологией BWW. Первая часть содержит статическое описание систем управления доступом к сервисам и включает объекты предметной области управления доступом и их свойства. Вторая часть описывает динамическое поведение систем управления доступом и включает набор состояний таких систем, правила смены состояний и события, возникающие в системе.
3.1.1 Структура системы управления доступом к сервисам Статическое описание структуры системы в терминах онтологии BWW включает объекты (thing), существующие в системе и их свойства (properties).
3.1.1.1 Объекты Основные объекты разработанной онтологии управления доступом к сервисам показаны на UML-диаграмме (рис. 3.1.). В верхней части диаграммы представлены базовые понятия онтологии BWW, в нижней их сужение на предметную область управления доступом.
Рис 3.1. Структура систем управления доступом к сервисам. Объекты.
Основными объектами являются:
AccessObject – объект доступа. Система управляет доступом к этому объекту.
Principal – сущность, наделенная правами доступа к объектам доступа и атрибутами. Principal – абстрактный класс, который не может иметь экземпляров. Класс имеет три наследника: AccessSubject (субъект доступа), Container (контейнер) и Role (роль). Субъект доступа представляет собой персону, программу или систему, взаимодействующую с объектом доступа. Контейнеры и роли введены для упрощения процесса управления.
Policy – политика управления доступом, включающая данные об объектах доступа, субъектах доступа и права доступа субъектов к объектам.
Session – сессия, возникающая при обращении субъекта к объекту.
Ключевым компонентом онтологии является субъект доступа. Ему назначаются идентификатор и аутентификатор (возможно, несколько). Субъекту назначаются права доступа к объектам, а также описательные атрибуты (ФИО и контактные данные для персоны, название и адрес сервера для системы и т.п.).
Назначение всех необходимых прав каждому субъекту в крупных системах является трудоемкой задачей. Для ее упрощения в онтологию вводятся понятия контейнеров и ролей [23]. Контейнеру и роли можно назначить набор прав доступа и атрибутов, после чего быстро выделить их нужному субъекту путем включения в контейнер или назначения роли.
Основное отличие ролей от контейнеров – динамическая природа ролей.
Права доступа и атрибуты контейнеров, в которые он включен, доступны пользователю всегда, а чтобы задействовать права доступа роли ее надо активировать в сессии.
Сессия возникает при обращении субъекта к одному или нескольким объектам доступа. Сессия включает субъект доступа, список активированных ролей и набор прав доступа и атрибутов, действующих в сессии. В этот набор входят права доступа и атрибуты, назначенные непосредственно субъекту, контейнерам, в которые он включен, а также ролям, которые субъект активировал в сессии.
3.1.1.2 Свойства Основные свойства разработанной онтологии управления доступом к сервисам показаны на UML-диаграмме (рис. 3.2.). В верхней части диаграммы представлены базовые понятия онтологии BWW, в нижней их сужение на предметную область управления доступом.
Рис 3.2. Структура систем управления доступом к сервисам. Свойства.
Основными свойствами являются:
Identifier – уникальный признак объекта, позволяющий однозначно выделить объект среди всего множества существующих объектов.
Authenticator – аутентификатор, позволяющий определить подлинность объекта.
Permission – права доступа субъекта к объекту. Онтология не накладывает никаких ограничений на семантику и синтаксис прав доступа. Анализ прав и принятие решения о разрешении или запрещении доступа – это задача каждого конкретного сервиса. Такой подход делает возможным управление доступом к широкому кругу сервисов с различными требованиями к семантике и форматам представления прав доступа.
Attribute – атрибут, содержащий описательную информацию. Как и в случае с правами доступа, на семантику и синтаксис атрибутов не накладывается никаких ограничений. В частности, допускается использовать атрибуты не только для целей описания объектов, но и для управления доступом на основе атрибутов [24], при наличии соответствующей поддержки со стороны сервиса.
3.1.2 Динамика управления доступом Для описания динамического поведения системы в онтологии BWW используются состояния, события и операции.
3.1.2.1 Состояния Состояния системы управления доступом приведены на UML-диаграмме (рис.3.3.).
Состояния системы управления доступом являются сужением понятия состояния объекта State онтологии BWW на предметную область управления доступом. Определяется пять состояний:
SubjectUnknown – субъект доступа неизвестен.
SubjectIdentified – субъект доступа идентифицирован.
SubjectAuthenticated – подлинность субъекта доступа подтверждена.
SubjectAuthorized – проверка прав доступа субъекта к объекту выполнена.
SessionExists – состояние, введенное для реализации однократной регистрации. Означает, что субъект прошел идентификацию и аутентификацию, и для субъекта создана сессия.
Рис 3.3. Состояния управления доступом к сервисам 3.1.2.2 События События системы управления доступом приведены на UML-диаграмме (рис.3.4.).
Рис 3.4. События управления доступом к сервисам События системы управления доступом являются сужением понятия состояния объекта Event онтологии BWW на предметную область управления доступом. Определено три основных события:
AccessRequest – возникает при обращении субъекта доступа к объекту доступа. С появлением этого события начинаются процедуры контроля доступа.
AccessGranted – событие, возникающее в случае, если в результате работы процедур контроля принято решение разрешить доступ.
AccessDenied – событие, возникающее в случае, если в результате работы процедур контроля принято решение запретить доступ.
3.1.2.3 Операции Правила преобразования состояний (операции) системы управления доступом к сервисам показаны на рис 3.5.
Рис 3.5. Операции управления доступом к сервисам Операции, выполняемые при управлении доступом, разделены на три типа:
SubjectTransformation – операции с субъектом доступа.
SessionTransformation – операции с сессией.
RoleTransformation – операции с ролью.
С объектом доступа возможны операции идентификации (Identification), аутентификации (Authentication) и авторизации (Authorization). При этом под авторизацией понимается проверка прав доступа субъекта, действующих в текущей сессии.
Операция создания сессии CreateSession включает в себя следующие действия:
Запоминается субъект доступа, для которого создается сессия. Пока сессия действует субъекту не надо будет повторно проходить идентификацию и аутентификацию.
В набор действующих в сессии прав доступа и атрибутов включаются права доступа и атрибуты субъекта.
В набор действующих в сессии прав доступа и атрибутов включаются права доступа и атрибуты контейнеров, в которые входит субъект.
Операция удаления сессии DeleteSession выполняет действия противоположные операции CreateSession:
Очищается список действующих в сессии прав доступа.
Стирается информация о субъекте доступа.
Удаление сессии приводит к необходимости прохождения субъектом идентификации и аутентификации до начала работы с субъектом доступа.
Операция активации роли EnableRole добавляет название роли в список действующих в сессии ролей и включает права доступа и атрибуты роли в списки прав доступа и атрибутов, действующих в сессии. Операция удаления роли DisableRole выполняет противоположные действия.
Операция авторизации выполняет проверку прав доступа, действующих в сессии, куда, кроме прав доступа субъекта, входят права доступа контейнеров, в которые включается субъект, а также права активированных в сессии ролей.
3.1.3 Диаграмма состояний системы управления доступом к сервисам Диаграмма состояний системы управления доступом к сервисам (основной успешный сценарий) показана на рис. 3.6.
Рис 3.6. Диаграмма состояний системы управления доступом к сервисам Работа системы начинается с появления события AccessRequest – запроса субъекта на доступ к объекту. При этом какая-либо информация о субъекте пока отсутствует (состояние SubjectUnknown). На первом этапе выполняется идентификация субъекта (действие Identification, переход в состояние SubjectIdentified). Затем проверяется подлинность субъекта (действие Authentication, переход в состояние SubjectAuthenticated). Когда субъект доступа достоверно известен, создается сессия (действие CreateSession, переход в состояние SessionExists). После создания сессии проверяется проверка прав доступа субъекта к объекту (операция Authorization, переход в состояние SubjectAuthorized). В случае успешной проверки прав, доступ субъекта к объекту разрешается (возникает событие AccessGranted) и выполняется переход в состояние SessionExists.
В случае появления события AccessRequest, когда система находится в состоянии SessionExists, в котором субъект доступа достоверно известен, сразу выполняется операции авторизации, без операции идентификации и аутентификации (однократная регистрация).
В состоянии SessionExist субъект может активировать роль, расширив таким образом свои права доступа (действие EnableRole). После завершения выполнения операций, требующих прав доступа роли, роль можно деактивировать (действие DisableRole).
Действие DeleteSession выполняет уничтожение сессии. Вместе с сессией уничтожается информация о субъекте доступа, для которого создавалась сессия и выполняется переход в состояние SubjectUnknown. Действие DeleteSession выполняется по запросу субъекта («выход из системы»), либо автоматически через заданное время с момента создания сессии («время жизни» сессии).
3.2 Алгебраическая запись правил разграничения доступа к Формализация управления доступом в виде онтологической модели позволяет полностью описать семантику базовых понятий управления доступом к сервисам. При этом полученная семантическая модель не определяет представления описания прав доступа к сервисам в форме удобной для анализа человеком или автоматизированными анализаторами. В связи с этим была разработана формальная алгебраическая запись политик доступа к сервисам, семантика которых определена онтологической моделью.
Определено несколько уровней алгебраической записи с разными выразительными возможностями. Базовый уровень содержит основные компоненты, необходимые для управления доступом к сервисам. Первый уровень позволяет использовать контейнеры, второй – ролевое управление доступом, а третий обеспечивает возможность делегирования полномочий управления доступа к сервисам. Компоненты модели более высокого уровня включают все компоненты моделей уровней ниже.
3.2.1 Базовый уровень Базовый уровень алгебраической записи правил разграничения доступа включает основные понятия, необходимые для управления доступом к сервисам, показанные на рис. 3.7.
Рис 3.7. Базовый уровень алгебраической записи правил разграничения доступа Алгебраическая запись включает 7 множеств: субъектов (U), идентификаторов (I), аутентификаторов (А), прав доступа (Р), атрибутов (V), сессий (S) и ограничений. Семантика множеств алгебраической записи определяется онтологической моделью системы управления доступом. Субъекты доступа из множества U выполняют взаимодействие с объектами доступа. Каждому субъекту соответствует набор уникальных идентификаторов, принадлежащий множеству I. Идентификаторы служат для однозначного распознавания субъектов среди всех элементов множества U. С помощью аутентификаторов из множества А, субъект может подтвердить, что он именно тот, за кого себя выдает.
Множество P содержит все возможные права доступа к сервисам. Между этим множеством и множеством субъектов U установлено отношение «многиеко-многим», определяющее права доступа каждого конкретного пользователя.
Множество V содержит все атрибуты, используемые при доступе к сервисам (например, максимальный размер почтового ящика или скорость доступа в Интернет). Между множеством атрибутов V и множеством субъектов U установлено отношение «многие-ко-многим», задающее атрибуты каждого субъекта.
Алгебраическая запись не накладывает никаких ограничений на синтаксис и семантику прав доступа и атрибутов. Интерпретацией прав доступа и атрибутов занимаются сервисы. Такой подход обеспечивает возможность управления доступом к широкому кругу сервисов с разными требованиями к наборам прав доступа и атрибутов субъектов.
Иерархии позволяют структурировать определения прав доступа и атрибутов, выражая одни понятия через другие. Иерархия задается путем введения на множестве частичного порядка и графически представляется в виде диаграммы Хассе [79] (рис. 3.8). Права доступа, расположенные выше на диаграмме, включают все права, расположенные ниже.
Сессия (множество S) создается (как определяет онтологическая модель), когда субъект при первом обращении к объекту проходит идентификацию и аутентификацию. Идентификатор и аутентификатор пользователя запоминаются в сессии и не требуют повторного ввода при следующих обращениях к сервисам. Сессии позволяют реализовать однократную регистрацию.
В целях гибкого управления доступом вводятся ограничения на допустимые сочетания компонентов модели и некоторые их свойства. Примерами важных ограничений являются: «время жизни» сессии, зависимость набора прав доступа от времени суток, использованного метода аутентификации (парольная, двухфакторная, биометрическая) или типа соединения (с шифрованием или без него).
Приведем формальное определение базового уровня алгебраической записи политик.
Определение 1. Базовый уровень алгебраической записи политик управления доступом к сервисам включает (рис. 3.7):
Множества U, I, А, Р, V, S (субъектов, идентификаторов, аутентификаторов, прав доступа, атрибутов и сессий соответственно).
user : I U – функция, отображающая каждый идентификатор ij в единственный субъект доступа user(ij).
K (iu ) = i j user (i j ) = u – классы эквивалентности идентификаторов iu, задающее разбиение множества идентификаторов I на подмножества идентификаторов, принадлежащих одному субъекту u.
id : A I – функция, отображающая каждый аутентификатор aj в единственный идентификатор id(aj).
UP U P – отношение, задающее соответствие между субъектами и правами доступа.
UV U V – отношение, задающее соответствие между субъектами и атрибутами.
suser : S U – функция, отображающая каждую сессию sj в единственный субъект suser(sj).
sid : S I – функция, отображающая каждую сессию sj в единственный идентификатор sid(sj).
sauth : S A – функция, отображающая каждую сессию sj в единственный аутентификатор sauth(sj).
PH P P – частичный порядок на множестве прав доступа P, называемый иерархией прав доступа и обозначаемый.
VH V V – частичный порядок на множестве атрибутов V, называемый иерархией атрибутов и обозначаемый.
perm : U 2 P – функция, ставящая в соответствие субъекту uj множество прав доступа perm(u ) p (p p ) и ((u, p) UP) attr : U 2V – функция, ставящая в соответствие субъекту uj множество атрибутов attr (u ) v (v v ) и ((u, v ) UC ) Множество ограничений, определяющих, какие сочетания компонент модели являются допустимыми. Разрешены только допустимые компоненты.
3.2.2 Контейнеры В целях упрощения процесса управления доступом вводится понятие контейнера для субъектов (рис. 3.9.). Распространенными примерами контейнеров являются организация или группа. Права доступа и атрибуты назначаются не только напрямую пользователям, но и контейнерам. Все пользователи, входящие в контейнер, получают права доступа и атрибуты контейнера.
Рис 3.9. Алгебраическая запись правил разграничения доступа. Уровень 1.
Определение 2. Алгебраическая запись правил разграничения доступа к сервисам уровня 1 включает (рис. 3.9.):
U, I, А, Р, V, S, user, K(iu), id, UP, UV, suser, sid, sauth, PH, VH и ограничения, те же самые, что и в базовом уровне алгебраической записи.
Множество контейнеров С.
CH C C – частичный порядок на множестве контейнеров С, называемый иерархией контейнеров и обозначаемый.
CP C P – отношение, задающее соответствие между контейнерами и правами доступа.
CV C V – отношение, задающее соответствие между контейнерами и атрибутами.
UC U C – отношение, задающее соответствие между субъектами и контейнерами.
containers : U C 2 – функция, ставящая в соответствие субъекту uj множество контейнеров containers (u ) c (c c) и ((u, c) UC ).
perm : U 2 P – функция, измененная по сравнению с алгебраической записью первого уровня:
сью первого уровня:
Современный подход к управлению доступом состоит в использовании ролей [23], которые соответствуют выполняемым обязанностям в организации.
Права доступа и атрибуты назначаются ролям, а роли распределяются между пользователями (рис. 3.10.). Использование ролей не запрещает назначения прав доступа и атрибутов напрямую пользователям и контейнерам, эти механизмы допускают совместное применение.
Основное отличие от контейнеров – это динамическая природа ролей.
Права доступа контейнера всегда доступны пользователю. А чтобы использовать права доступа роли, ее необходимо активировать в сессии.
Рис 3.10. Алгебраическая запись правил разграничения доступа. Уровень 2.
Формальное определение второго уровня алгебраической записи правил разграничения доступа к сервисам приведено ниже.
Определение 3. Алгебраическая запись правил разграничения доступа к сервисам уровня 2 включает (рис. 3.10):
U, I, А, Р, V, S, С, user, K(iu), id, UP, UV, UC, CP, CV, suser, sid, sauth, PH, VH, CH, containers, perms, attrs и ограничения, те же самые, что и алгебраической записи уровня 1.
Множество ролей R.
UR U R отношение, задающее соответствие между субъектами и ролями.
RP R P – отношение, задающее соответствие между ролями и правами доступа.
RC R C – отношение, задающее соответствие между ролями и атрибутами.
RH R R – частичный порядок на множестве ролей R, называемый иерархией ролей и обозначаемый.
roles : S 2 R – функция, ставящая в соответствие сессии sj множество ролей roles( s ) r (r r ) и (users( s, r ) UR) и субъект в сессии sj получает полнительные атрибуты 3.2.4 Делегирование полномочий управления доступом к сервисам В приведенных выше определениях считается, что управление доступом ведется единым администратором. Такой подход неприемлем для крупных организаций. Стандартным методом распределения обязанностей управления между несколькими администраторами является делегирование полномочий управления доступом к сервисам. Для поддержки делегирования вводятся множества административных прав доступа (создание пользователей, назначением им прав доступа и атрибутов, ролей и т.д.) и административных ролей.
Административные роли образуют иерархию, в вершине которой один глобальный администратор, наделенный всеми административными правами. Ниже по иерархии расположены администраторы с более узким набором административных прав. Такие администраторы могут быть ответственны за подмножество субъектов (например, сотрудников одной организации), за распределение прав доступа к определенному типу сервиса (Интернет, электронная почта, вычислительный кластер и т.п.), или назначение определенных ролей. В рамках своей «зоны ответственности», администраторы могут в свою очередь делегировать часть своих полномочий другим администраторам.
Определение 4. Алгебраическая запись политик управления доступом к сервисам уровня 2 включает (рис. 3.11):
U, I, А, Р, V, S, С, R, user, K(iu), id, UP, UV, UC, UR, CP, CV, RP, RV, suser, sid, sauth, PH, VH, CH, RH, containers, roles, perms, attrs и ограничения, и в те же самые, что и алгебраической записи уровня 2.
AR – множество административных ролей.
AP – множество административных прав доступа.
UAR U AR – отношение, задающее соответствие между субъектами доступа и административными ролями.
ARP AR AP – отношение, задающее соответствие между административными ролями и административными правами доступа.
ARH AR AR – частичный порядок на множестве административных ролей AR, называемый иерархией административных ролей и обозначаемый.
APH AP AP – частичный порядок на множестве административных прав доступа AP, называемый иерархией административных прав доступа и обозначаемый.
aroles:S 2 AR – функция, ставящая в соответствии сессии sj множество адaroles(s ) r (r r) и) и (u s(s,r ) UAR) r aroles(s ) Рис 3.11. Алгебраическая запись правил разграничения доступа. Уровень 3.
«