«СЕМАНТИЧЕСКАЯ ИНТЕГРАЦИЯ УПРАВЛЕНИЯ ДОСТУПОМ К СЕРВИСАМ ...»
3.2.5 Применение методов авторизации в алгебраической записи Описанная алгебраическая запись допускает применение различных методов авторизации, облегчающих процесс управления, вместо назначения прав каждому конкретному пользователю. Поддерживается три метода авторизации:
дискреционный в виде списков возможностей (Capability Lists), управление на основе ролей [23] и управление на основе атрибутов [24].
Дискреционный метод управления доступом поддерживается уже в базовом уровне алгебраической записи. Используется вариант дискреционного управления на основе списков возможностей, при котором права доступа хранятся совместно с субъектами доступа. Практическая реализация в виде комплекса программ по управлению доступом позволяет также использовать списки контроля доступа (ACL), что требует специальной поддержки со стороны сервиса.
На первом уровне интеграции вводятся контейнеры, позволяющие назначать права доступа с помощью дискреционного подхода не каждому отдельному субъекту, а заданному списку субъектов. Это позволяет упростить процесс выделения одинаковых прав доступа большому количеству субъектов.
Управление на основе ролей включено в алгебраическую запись в явном виде, начиная с уровня 2.
Управление доступом на основе атрибутов позволяет сервису принимать решение о разрешении или запрещении доступа на основе атрибутов субъекта доступа. Алгебраическая запись содержит не только множество прав доступа субъектов P, но и множество атрибутов V. При этом никаких ограничений на синтаксис и семантику атрибутов не накладывается. Это делает возможным применения атрибутов для управления доступом к сервисам. Логику принятия решений о разрешении или запрещении доступа на основе атрибутов должен обеспечить сам сервис.
3.3 Выводы по главе Разработана система моделей управления доступом к сервисам, состоящая из онтологии управления доступом и алгебраической записи правил разграничения доступа к сервисам. Онтология задает семантику базовых понятия и операций предметной области управления доступом к сервисам. Алгебраическая запись правил разграничения доступа позволяет описывать правила разграничения доступа в формальном виде с использованием разных методов управления доступом: дискреционного, ролевого, атрибутного.
Предложенная система моделей используется в качестве унифицированной модели управления доступом в методике семантической интеграции, разработанной во второй главе, и служит основой для интеграции механизмов управления доступом к сервисам разных типов.
4 РЕАЛИЗАЦИЯ И ПРИМЕНЕНИЕ РАЗРАБОТАННЫХ
МЕТОДОВ И ТЕХНОЛОГИЙ
4.1 Комплекс программ по управлению доступом к сервисам На основе предложенного метода семантической интеграции управления доступом разработан комплекс программ по управлению доступом к сервисам разных типов.4.1.1 Функции комплекса программ Комплекс программ по управлению доступом к сервисам предоставляет следующие функции:
единый репозиторий правил разграничения доступа к сервисам разных типов;
идентификация субъектов доступа для сервисов разных типов.
аутентификация субъектов доступа для сервисов разных типов;
авторизация субъектов доступа для сервисов разных типов;
однократная регистрация субъектов доступа для сервисов разных типов;
учет использования сервисов;
единая консоль управления доступом к сервисам разных типов;
делегирование полномочий управления доступом к сервисам;
интеграция с внешними информационными системами.
4.1.2 Уровни интеграции Определено три уровня интеграции управления доступом к сервисам:
Нулевой уровень – сервис использует данные о субъектах доступа из комплекса программ. Уровень применяется для интеграции с внешними информационными системами, которым требуется информация о субъектах доступа. Примером может быть система статистики использования сервисов.
Первый уровень – сервис использует данные о субъектах и механизмы идентификации и аутентификации комплекса программ. Права доступа описываются, хранятся и анализируются средствами сервиса. Характерен для сервисов, использующих ACL, связанные с объектами доступа. Типичным примером являются Unix-системы, где права доступа задаются для каждого файла и каталога и хранятся в файловой системе. Идентификация и аутентификация пользователей Unix выполняется подключаемыми модулями аутентификации (Pluggable Authentication Modules, PAM), которые можно настроить на работу с комплексом программ по управлению доступом к сервисам.
Второй уровень – полная интеграция, сервис использует данные о субъектах, механизмы идентификации, аутентификации и авторизации комплекса программ по управления доступом. Примером использования интеграции второго уровня может служить сервер RADIUS, работающий в режиме прокси. В этом режиме сервер RADIUS принимает запросы от сервисов и передает их комплексу программ по управлению доступом к сервисам. Комплекс программ проводит идентификацию, аутентификацию и авторизацию субъекта доступа, выполняет поиск конфигурационной информации и передает все необходимые данные серверу RADIUS, который пересылает их сервису.
4.1.3 Логическая архитектура Логическая архитектура комплекса программ по управлению доступом к сервисам показана на рис. 4.1. и состоит из трех уровней:
Уровень технических служб обеспечивает взаимодействие с репозиториями правил разграничения доступа, обеспечивает создание консолидированного репозитория правил разграничения доступа.
Уровень приложений реализует прикладную логику управления доступом: идентификацию, аутентификацию, авторизацию, управление сессиями и т.д.
Уровень представления обеспечивает взаимодействие комплекса с внешним миром: сервисами, администраторами, пользователями сервисов и внешними информационными системами.
Рис 4.1. Логическая архитектура комплекса программ по интеграции управления доступом к сервисам 4.1.3.1 Уровень технических служб Уровень технических служб состоит из следующих компонентов:
Онтология содержит машинное представление семантической модели управления доступом к сервисам.
Репозиторий правил разграничения доступа хранит правила разграничения доступа в общем формате и обеспечивает взаимодействие с репозиториями правил разграничения доступа конкретных сервисов.
Модуль журналирования обеспечивает регистрацию всех событий системы управления доступом.
4.1.3.2 Уровень приложений Уровень приложений состоит из следующих компонентов:
Модуль аутентификации обеспечивает идентификацию и аутентификацию субъектов доступа.
Модуль авторизации обеспечивает проверку прав доступа субъектов доступа к объектам доступа.
Модуль учета ведет учет использования сервисов субъектами доступа.
Модуль сессий отвечает за создание и отслеживание сессий субъектов доступа для реализации однократной регистрации.
Модуль однократной регистрации обеспечивает однократную регистрацию субъектов доступа.
Модуль управления отвечает за управления правилами разграничения доступа в репозитории правил разграничения доступа.
Модуль импорта/экспорта обеспечивает обмен данными с внешними информационными системами.
4.1.3.3 Уровень представления Уровень представления состоит из следующих компонентов:
Адаптер протокола обеспечивает подключение сервисов к системе управления доступом по разным протоколам и с разной структурной организацией данных. Обеспечивает первый и второй уровень интеграции управления доступом.
Система управления позволяет администраторам управлять доступом к сервисам разных типов через единый интерфейс.
Система самообслуживания позволяет пользователям выполнять некоторые действия по управления доступом самостоятельно (поддержание в актуальном состоянии персональной и контактной информации, смена забытого пароля, простые настройки конфигурации сервисов).
Адаптеры внешних систем обеспечивают подключение различных информационных систем к системе управления доступом. Обеспечивает нулевой уровень интеграции.
4.1.4 Взаимодействие сервисов с комплексом программ Диаграмма последовательности управления доступом к сервисам при использовании комплекса программ показана на рис. 4.2 (основной успешный сценарий, второй уровень интеграции).
Рис 4.2. Диаграмма последовательности управления доступом к сервису Взаимодействующие объекты на диаграмме: субъект доступа, сервис и комплекс программ по управлению доступом к сервисам (система). Субъект выполняет запрос на доступ к сервису. Сервис пересылает полученный запрос к комплексу программ, который выполняет идентификацию и аутентификацию субъекта и создает сессию, в которой запоминаются данные о субъекте. Затем выполняется поиск прав доступа субъекта и их анализ, на основе которого комплекс программ принимает решение о разрешении или запрещении доступа (авторизация). Комплекс программ сообщает о своем решении сервису, который выполняет указанное действие.
При появлении второго запроса субъекта на доступ к сервису, идентификация и аутентификация не проводятся повторно, вместо этого данные о субъекте извлекаются из созданной ранее сессии. После получения данных о субъекте из сессии авторизация выполняется обычным образом.
4.1.5 Архитектура развертывания После внедрения комплекс программ по управлению доступом к сервисам становится единственной точкой хранения правил разграничения доступа к сервисам. В случае остановки работы комплекса становиться невозможной проверка прав доступа к сервисам, что ведет к отказу в обслуживании пользователей сервисами. В связи с этим необходимо обеспечить надежную работу комплекса.
В целях повышения надежности работы комплекса, разработана архитектура развертывания, отражающая распределение компонентов комплекса программ по управлению доступом по физическим серверам. Архитектура развертывания показана на рис. 4.3.
Причины остановки аппаратных и программных систем исследованы в работах [80, 81, 82, 83, 84, 85, 86]. Для повышения надежности предлагается использовать резервирование [87, 88]. Выбран метод поэлементного резервирования, т.к. он обеспечивает большую надежность, чем при общем резервировании [89]. С точки зрения анализа надежности система состоит из трех элементов [90], соответствующих уровням логической архитектуры: технических служб, приложений и представления). Компоненты, реализующие каждый уровень логической архитектуры, размещаются на отдельных серверах. Каждый сервер продублирован в соответствии с поэлементным подходом к резервированию.
Предлагается использовать постоянное резервирование, при котором серверы работают одновременно в режиме балансировки нагрузки. Хотя надежность при резервировании замещением выше, чем при постоянном резервировании [87], производительность работы при резервировании замещением ниже, т.к. один сервер простаивает.
Рис 4.3. Архитектура развертывания комплекса программ по управлению доступом к сервисам 4.1.6 Реализация 4.1.6.1 Репозиторий правил разграничения доступа При реализации комплекса программ в качестве репозитория правил разграничения доступа был выбран каталог LDAP [36]. Каталоги сейчас являются фактическим стандартом хранения правил разграничения доступа. Широкую популярность LDAP обеспечивает наличие стандартных схем данных для описания пользователей [37, 38, 39]. Существующие стандартные схемы могут быть расширены для управления доступом к широкому кругу сервисов.
Для использования каталога LDAP в качестве репозитория правил разграничения доступа, было предложено отображение формальной алгебраической записи правил разграничения доступа в формат LDAP. Подробно отображение описано в Приложении 1.
При реализации комплекса программ в качестве каталога LDAP был выбран Sun Java Directory Server, т.к. это каталог промышленного уровня, распространяемый бесплатно.
Протокол LDAP также выбран в качестве внутреннего протокола идентификации и аутентификации.
4.1.6.2 Адаптеры сервисов Реализован ряд адаптеров протоколов идентификации:
Адаптер RADIUS на основе FreeRADIUS;
Адаптер J2EE, SAML и федеративной идентификации на основе OpenSSO.
Адаптер для сетей Windows на основе Samba.
4.1.6.3 Консоль управления доступом к сервисам Консоль управления доступом к сервисам реализована с использованием программного продукта Sun Java System Delegated Administrator [91]. Данный программный продукт позволяет управлять учетными записями в каталоге Sun Java System Directory Server. Delegated Administrator предоставляет два интерфейса: Web и командную строку. Недостатком является небольшое число сервисов, управлять доступом к которым можно с помощью Delegated Administrator – это электронная почта и органайзер. Достоинством является встроенная возможность расширения функциональности Delegated Administrator по управлению доступом к другим сервисам.
Delegated Administrator использует механизм сервисных пакетов – готовых наборов атрибутов управления доступом, которые можно быстро и согласовано назначить субъекту доступа. В стандартной конфигурации существуют пакеты только для электронной почты и для органайзера, но допускается создавать собственные сервисные пакеты. Сервисные пакеты делают возможным применение Delegated Administrator для управления доступом к широкому кругу сервисов. Для этого нужно создать сервисные пакеты с набором атрибутов, необходимых для каждого типа сервисов. При этом используются атрибуты LDAP, преобразование в формат, понятный сервису, выполняется адаптером протокола управления доступом. Пример сервисного пакета управления доступом к межсетевому экрану Mikrotik [92]:
inetCOS: Mikrotik User objectClass: mikrotikprofile Mikrotik-Rate-Limit: 32k Атрибут «inetCOS» является служебным атрибутом Delegated Administrator, содержащим имя сервисного пакета [91]. Класс «mikrotikprofile» указывает, что объект является пользователем межсетевого экрана Mikrotik. Атрибут «Mikrotik-Rate-Limit» задает полосу пропускания, доступную пользователю.
Delegated Administrator, как следует из названия, включает средства распределения полномочий управления между администраторами путем делегирования. Возможности Delegated Administrator уже, чем в модели интегрированной инфраструктуры управления доступом: строится иерархия администраторов, соответствующая структуре дерева каталога LDAP. На вершине находится администратор верхнего уровня, имеющий все полномочия управления. Затем следуют администраторы организаций, расположенных на первом уровне дерева каталога. Эти администраторы управляют доступом в рамках своей организации и организаций, расположенных ниже ее в дереве каталогов. Возможностей делегирования, предоставляемых Delegated Administrator достаточно для эксплуатации системы в небольших и средних организациях. В дальнейшем планируется реализация полнофункционального делегирования в соответствии с предложенной моделью. Пример окна Web-интерфейса системы управления доступом показан на рис. 4.4.
Рис 4.4. Пример окна Web-интерфейса системы управления доступом Пример интерфейса командной строки показан на рис. 4.5. В примере создается пользователь Ivan Ivanov, затем ему назначаются роль администратора организации icmm.ru Рис 4.5. Пример интерфейса командной строки системы управления доступом 4.2 Практическое применение 4.2.1 Сеть Пермского научного центра Комплекс программ применяется для управления доступом к сервисам корпоративной сети Пермского Научного центра Уральского отделения Российской Академии наук (ПНЦ), которая объединяет четыре академических института и Президиум. Схема корпоративной сети ПНЦ показана на рис 4.6. Организации территориально распределены по городу Перми на значительное расстояние. Протяженность оптической инфраструктуры сети ПНЦ превышает 32 км. В таких условиях управления доступом к сервисам сети из всех институтов является сложной задачей. Для ее упрощения в сети ПНЦ был внедрен комплекс программ по управлению доступом к сервисам.
ИТХ ИМСС
Оптическая инфраструктура Общее собрание ПНЦ УрОВОЛС ГИ
4.2.2 Сервисы сети Пермского научного центра Комплекс программ применен для управления доступом к сетевым, информационным и вычислительным сервисам сети ПНЦ, приведенным в табл. 4.1.Сетевые сервисы 5 Файловые серверы Windows и UNIX (Solaris) LDAP Информационные сервисы 8 Web-сервер (домашние страницы сотрудников) LDAP Вычислительные сервисы 4.2.3 Схема реализации системы управления доступом к сервисам На основе разработанного комплекса программ в сети ПНЦ реализована система управления доступом к сервисам. Схема реализации показана на рис. 4.7.
Рис 4.7. Схема реализации системы управления доступом к сервисам в сети Система развернута на четырех серверах Sun Fire X2100 M2, работающих под управлением ОС Solaris 10. При реализации уровни технических служб и приложений совмещены в одном сервере. Серверы работают в режиме балансировки нагрузки.
4.2.4 Интеграция с системой статистики использования сервисов Выполнена интеграция системы управления доступом к сервисам с системой статистики использования сервисов. Интеграция позволила строить более информативные отчеты по статистике использования сервисов. До интеграции система статистики работала с идентификаторами пользователей. Часто по идентификатору трудно было определить реального пользователя. Система управления доступом к сервисам кроме идентификаторов содержит подробную информацию о пользователях, включая организационную принадлежность. Интеграция системы статистики с системой управления доступа позволила строить отчеты не по идентификаторам, а по реальным именам пользователей с возможностью группировок по организациям и подразделениям. Пример подобного отчета приведен на рис. 4.8.
Рис 4.8. Пример отчета системы статистики использования сервисов Предоставляется статистика об использовании Интернет и модемного пула сотрудниками ПНЦ с группировкой по организациям и подразделениям. Для интеграции реализован адаптер JDBC, позволяющий записывать данные из каталога LDAP в СУБД Oracle, которая используется системой статистики. Контроль прав доступа при обращении к Web-отчетам осуществляется с применением OpenSSO.
4.3 Оценка эффективности использования системы семантической интеграции управления доступом к сервисам В данном разделе выполнен анализ эффективности использования семантической интеграции управления доступом к сервисам. Для этой цели был проведен ряд экспериментов с системой, внедренной в сети ПНЦ, с целью определить, как внедрение семантической интеграции управления доступом повышает удобство работы с сервисами и снижает затраты на управление.
4.3.1 Удобство работы с сервисами С точки зрения управления доступом, основной причиной неудобства работы пользователей с сервисами является большое количество учетных записей [109]. Наблюдается так называемая «усталость от паролей», вызванная большим количеством учетных записей, требующих ввода паролей [110]. Данная проблема актуальна именно для пользователей, которые являются людьми, т.к.
запоминание идентификаторов, сложных паролей и их многократный ввод программными и аппаратными системами не представляют проблем [111, 112].
В сети ПНЦ до внедрения системы управления доступом к сервисам каждому пользователю было выделено минимум 10 учетных записей, по количеству сервисов сети (табл. 4.1). Некоторые сотрудники ПНЦ использовали по несколько учетных записей одного сервиса, у них общее количество идентификаторов и паролей превышало 10 штук.
После внедрения системы управления доступом к сервисам количество учетных записей сократилось с 10 до одной. Это позволило устранить проблему «усталости от паролей». Реализованная для некоторых сервисов однократная регистрация позволила сократить количество вводов паролей.
Сокращение количества идентификаторов также привело к уменьшению количества запросов в службу поддержки по восстановлению забытых паролей и консультаций по порядку доступа к сервисам на 60%.
4.3.2 Сокращение затрат на управления доступом До внедрения системы управления доступом к сервисам, использующей семантическую интеграцию, управления доступом к сервисам сети ПНЦ велось через собственные консоли управления каждого сервиса. Таких консолей было 10 штук, по количеству сервисов (табл. 4.1). После внедрения системы администраторам была предоставлена единая консоль управления доступом к сервисам всех типов в сети ПНЦ.
Проведен сравнительный анализ временных характеристик процесса управления доступом к сервисам с использованием системы интегрированного управления и без нее. Результаты сравнительного анализа представлены в табл. 4.2.
Результаты сравнительного анализа временных затрат в ходе управления доступом к сервисам Время, сэкономленное при управлении доступом с использованием системы интегрированного управления, может составлять до 80% от обычного времени работы, с применением существующих систем управления доступом.
Интеграция управления доступом к сервисам разных типов позволила снизить требования к администраторам за счет предоставления единой интуитивной понятной консоли управления с Web-интерфейсом.
4.4 Выводы по главе Предложенные в работе модели, методы и технологии реализованы в виде комплекса программ по управлению доступом к сервисам разных типов.
Комплекс программ применен для создания системы управления доступом к сервисам сети ПНЦ. Внедрение системы семантической интеграции управления доступом позволило повысить эффективность управления доступом к сервисам за счет повышения удобства работы с сервисами, сокращения временных затрат на управления доступом и снижения требований к администраторам.
ЗАКЛЮЧЕНИЕ
В данной диссертационной работе получены следующие научные и практические результаты:1. Выполнено исследование подходов к управлению доступом к сервисам. Показано, что причиной низкой эффективности процесса управления доступом является многообразие методов и технологий управления доступом. Возможности существующих систем интеграции управления доступом ограничены из-за использования синтаксического или структурного подходов к интеграции.
Для расширения возможностей существующих систем предлагается применить семантическую интеграцию.
2. Предложена методика интеграции управления доступом к сервисам разных типов на основе семантического подхода. Методика обеспечивает повышение интероперабельности: значительно расширяет круг поддерживаемых сервисов и методов управления доступом.
3. Предложена онтология управления доступом к сервисам. Онтология задает семантику базовых понятий и операции предметной области управления доступом к сервисам и служит основой для семантической интеграции механизмов управления доступом к сервисам разных типов, использующим различные модели, методы и технологии.
4. Разработана алгебраическая запись правил разграничения доступа к сервисам, позволяющая описывать правила разграничения доступа в формальном виде с использованием различных методов управления доступом.
5. Реализован комплекс программ управления доступом к сервисам на основе разработанных технологий.
6. Комплекс программ успешно применен для интеграции управления доступом к сервисам Пермского научного центра.
7. Исследование эффективности использования системы показало, что семантическая интеграция управления доступом повышает удобство использования сервисов корпоративной сети, сокращает временные затраты на управление доступом и снижает требования к администраторам.
Основные результаты работы докладывались и обсуждались на следующих научных конференциях и семинарах:
Всероссийская научная конференция «Научный сервис в сети Интернет», Новороссийск, 2002.
34-я Региональная молодежная конференция «Проблемы теоретической и прикладной математики», Екатеринбург, 2003.
35-я Региональная молодежная конференция «Проблемы теоретической и прикладной математики», Екатеринбург, 2004.
XI конференция представителей региональных научнообразовательных сетей «RELARN-2004», Самара, 2004.
XIII конференция представителей региональных научнообразовательных сетей «RELARN-2006», Барнаул, 2006.
Всероссийская научная конференция «Научный сервис в сети Интернет: технологии параллельного программирования», Новороссийск, 2006.
XIV конференция представителей региональных научнообразовательных сетей «RELARN-2007», Нижний Новгород, 2007.
XIV Всероссийская научно-методическая конференция «Телематика’2007», Санкт-Петербург, 2007.
Всероссийская научная конференция «Научный сервис в сети Интернет: многоядерный компьютерный мир. 15 лет РФФИ», Новороссийск, 2007.
International Conference: Computational and Informational Technologies in Science, Engineering and Education (CTMM-2008) Almaty, Kazakhstan, По теме диссертации опубликовано 17 научных работ.
Публикации в рецензируемых журналах из списка ВАК:
1. Созыкин А.В. Модели и методы создания интегрированной инфраструктуры управления доступом к сервисам // Системы управления и информационные технологии, 2007, №4.1(30). - С. 191-195.
2. Созыкин А.В., Масич Г.Ф., Бездушный А.Н., Бобров А.В., Босов А.В., Масич А.Г. Онтология управления доступом к сервисам // Наукоемкие технологии, №11, 2008. – С.34-43.
1. Бездушный А.Н., Масич А.Г., Масич Г.Ф., Созыкин А.В., Серебряков В.А. Интеграция сервисов управления объектами сети с информационными ресурсами посредством службы каталогов LDAP // Труды Всероссийской научной конференции “Научный сервис в сети Интернет” (23-28 сентября 2002г., Новороссийск). – М.: Изд-во МГУ, 2002. - С.119- 2. Алексеев А.Н., Масич А.Г., Масич Г.Ф., Созыкин А.В. Использование метакаталогов для создания справочной системы научного института.
// Тез. докл. 13 Зимней школы по механике сплошных сред, Пермь, 2003, С. 3. Алексеев А.Н., Масич А.Г., Масич Г.Ф., Созыкин А.В. О некоторых аспектах разработки метакаталога для справочной системы научного института // Труды 34-й Региональной молодежной конференции «Проблемы теоретической и прикладной математики», Екатеринбург, 2003.
4. Масич А.Г., Масич Г.Ф., Созыкин А.В. Использование каталога LDAP для управления данными о пользователях сервисами корпоративной сети научного центра РАН // Труды 35-й Региональной молодежной конференции «Проблемы теоретической и прикладной математики», Екатеринбург, УрО РАН, 2004,- с.323- 5. Масич А.Г., Масич Г.Ф., Созыкин А.В. Аспекты развития и управления в корпоративной сети Пермского научного центра УрО РАН // Тез. докл. XI конференции представителей региональных научно-образовательных сетей «RELARN-2004», Самара, 2004, - с. 51- 6. Созыкин А.В., Масич Г.Ф., Масич А.Г., Бездушный А.Н. Вопросы интеграции управления идентификацией пользователей сетевых, вычислительных и информационных сервисов. // Журнал «Электронные библиотеки», том 7, выпуск 2. М.: Институт развития информационного общества, 2004.
7. Масич А.Г., Масич Г.Ф., Созыкин А.В. Организация распределенного каталога корпоративной сети. // Информационные управляющие системы:
Сборник научных трудов ПГТУ, - Пермь, 2004. - С. 279- 8. Масич Г.Ф., Алексеев А.Н., Бобров А.В., Созыкин А.В., Чугунов Д.П.
Использование технологии ИСИР при построении корпоративного портала // Информационные и математические технологии в науке, технике и образовании: Труды X Байкальской Всероссийской конференции «Информационные и математические технологии в науке, технике и образовании». Часть I. - Иркутск: ИСЭМ СО РАН, 2005. - С. 12-18.
9. Созыкин А.В., Масич Г.Ф., Масич А.Г., Бобров А.В. Архитектура консолидированного хранилища данных о пользователях и сервисах корпоративной сети. // Материалы XIII конференций представителей региональных научно-образовательных сетей «RELARN-2006». Сборник тезисов докладов – Барнаул: Изд-во АлтГТУ, 2006 – С.69-73.
10. Масич Г.Ф., Созыкин А.В., Бобров А.В. Модель системы управления доступом к сервисам корпоративной сети // Научный сервис в сети Интернет:
технологии параллельного программирования: Труды Всероссийской научной конференции – М.: Изд-во МГУ, 2006. – С.221-223.
11. Созыкин А.В., Масич Г.Ф. Использование централизованного управления идентификацией пользователей в Пермском научном центре УрО РАН. // Материалы XIV конференции представителей региональных научнообразовательных сетей «RELARN-2007». Сборник тезисов докладов – Нижний Новгород, 2007 – С.42-48.
12. Масич Г.Ф., Созыкин А.В., Бобров А.В. Использование системы PAM (Pluggable Authentication Modules) для реализации однократной регистрации пользователей UNIX-серверов. // Труды XIV Всероссийской научнометодической конференции Телематика’2007 – СПб.: Редакционноиздательский отдел СПбГИТМО, 2007. – С.385-387.
13. Созыкин А.В., Масич Г.Ф., Бобров А.В. Интеграция управления идентификацией пользователей научных сервисов // Научный сервис в сети Интернет: многоядерный компьютерный мир:15 лет РФФИ: Труды Всероссийской научной конференции (24-29 сентября 2007 г., г. Новороссийск) – М.: изд-во МГУ, 2007. - С. 323-328.
14. Созыкин А.В. Масич Г.Ф. Бобров А.В. Формальная модель управления доступом к сервисам // Журнал «Информационные технологии моделирования и управления» - Воронеж: изд-во "Научная книга", ISSN 1813-9744, 2007, № 7.
– С. 841-849.
15. Sozykin A.V., Masich G.F. Integrated access control infrastructure for network of Perm Research Center of the UrB of RAS // International Conference: Computational and Informational Technologies in Science, Engineering and Education (CTMM-2008) Almaty, Kazakhstan, September 10 — September 14, 2008. – http://www.nsc.ru/ws/show_abstract.dhtml?en+186+ Личный вклад автора в работах с соавторами заключается в разработке методики семантической интеграции управления доступом к сервисам разных типов, создании онтологии управления доступом к сервисам, разработке алгебраического представления правил разграничения доступа, описания реализации предложенных технологий в виде комплекса программ.
Работа поддержана грантами РФФИ:
«Корпоративный портал научного института на основе интеграции информационно-справочных сервисов и сервисов сетевого управления» № 03в (2003-2005).
«Телекоммуникационные ресурсы ПНЦ УрО РАН» № 04-07-96003Урал (2004-2006).
Работа поддержана программой Президиума РАН «Информатизация»:
Разработка пилотного проекта системы «Научный институт РАН» в ИМСС УрО РАН (2005).
Развитие и внедрение системы «Научный институт РАН» в ИМСС и Президиуме ПНЦ УрО РАН (2006).
В заключении автору хотелось бы поблагодарить всех сотрудников Лаборатории телекоммуникационных и информационных систем Института механики сплошных сред УрО РАН, сотрудников Вычислительного Центра им. А.А. Дородницына РАН: к.ф.-м.н. А.Н. Бездушного, к.т.н. А.К. Нестеренко, к.т.н. Т.М. Сысоева и сотрудников Института математики и механики УрО РАН д.т.н. Ю.И. Кузякина, к.т.н. И.А. Хохлова, к.т.н. М.Л. Гольдштейна. Особо хочу поблагодарить моего научного руководителя к.т.н. Г.Ф. Масича.
ПРИЛОЖЕНИЕ 1. ОТОБРАЖЕНИЕ ПОНЯТИЙ ФОРМАЛЬНОЙ
АЛГЕБРАИЧЕСКОЙ ЗАПИСИПРАВИЛ РАЗГРАНИЧЕНИЯ ДОСТУПА В LDAP
Отображение понятий формальной алгебраической записи правил разграничения доступа в LDAP Понятие формального языка описания правил разграничения доступа Контейнер Классы объектов organization (контейнер-организация), organizationalUnit Административные роли Класс объектов organizationalRole Административные права доступа ACL, атрибуты LDAP, специфичныеПРИЛОЖЕНИЕ 2. АКТЫ ВНЕДРЕНИЯ
СПИСОК ИСПОЛЬЗОВАННЫХ ИСТОЧНИКОВ
1. De Capitani di Vimercati S., Paraboschi S, Samarati P. Access control: principles and solutions. Software Practice and Experience, № 33, P. 397-421, 2003.2. Lampson B., Abadi M., Burrows M., Wobber E. Authentication in distributed systems: Theory and practice // ACM Transactions on Computer Systems, № 10(4), P. 265-310, 1992.
3. Lampson B. Computer security in the real world. Annual Computer Security Applications Conference, 2000.
4. Abadi M., Burrows M., Lampson B., Plotkin G. A calculus for access control in distributed systems. // ACM Transactions on Programming Languages and Systems (TOPLAS), volume 15, P. 706-734. ACM Press, Sep 1993.
5. Романец Ю.В., Тимофеев П.А., Шаньгин В.Ф.
Защита информации в компьютерных системах и сетях. / Под ред. Шаньгина В.Ф. – 2-е изд., перераб.
и доп. – М.: Радио и связь, 2001. 376 с.
6. Белкин П.Ю., Михайлский О.О., Першаков А.С. Программноаппаратные средства обеспечения информационной безопасности. Защита программ и данных: Учеб. пос. для вузов. – М.: Радио и связь. – 1999. – 168 с.
7. Rivest R. The MD5 Message-Digest Algorithm. // Network Working Group.
- RFC 1321.
8. U.S. Department of Commerce. National Bureau of Standards. Secure Hash Standard. 1995.
9. Мафтик С. Механизмы защиты в сетях ЭВМ: Пер. с англ. – М.: Мир, 1993. – 216 с.
10. Schneier B. Applied Cryptography. – John Wiley & Sons, Inc., 1996. – 758 p.
11. Feige U., Fiat A., Shamir A. Zero Knowledge Proofs of Identity. // Journal of Cryptology v.1, n.2, 1988, P. 77-94.
12. Needham R.M., Schroeder M.D. Using Encryption for Authentication in Large Networks of Computers. // Communication of the ACM, V.21, N12, December 1978.
13. Neuman B.C., Ts'o T. Kerberos: An Authentication Service for Computer Networks // IEEE Communications, 32(9):33-38. September 1994.
14. National Institute of Standards and Technology. Public Key Infrastructure http://www.nist.gov/itl/lab/bulletns/archives/july97bull.htm 15. Adams C., Farrell S. "Internet X.509 Public Key Infrastructure: Certificate Management Protocols" // RFC 2510, 16. Housley R., Ford W., Polk W., Solo D., "Internet X.509 Public Key Infrastructure: Certificate and CRL Profile" // RFC 3280, 2002.
17. Trado J., Alagappan K. SPX: Global authentication using public key certificates. // IEEE Symposium on Security and Privacy (Oakland, Calif., May 1991), P. 232-244.
18. Guillou L.C., Quisquater J.J. A Practical Zero-Knowledge Protocol Fitted to Security Microprocessor Minimizing Both Transmission and Memory. // Advanced in Cryptology EUROCRYPT’88 Proceedings, Spring-Verlag, 1998, P. 123Department of Defense. Trusted Computer Security Evaluation Criteria, DOD 5200.28-STD., 1985.
20. Lampson B. Protection. // ACM Operating Systems Rev. 8, 1 (Jan. 1974), P. 18-24.
21. Levy, Henry M., Capability-Based Computer Systems. // Digital Equipment Corporation, 1984. ISBN 0-932376-22-3.
22. Bell D., La Padula L. Secure computer systems: unified exposition and Multics interpretation. // Technical Report MTR-2997, MITRE Corporation, 1975.
23. Sandhu R. S., Coynek E.J., Feinsteink H.L., Youmank C.E. Role-Based Access Control Models. IEEE Computer, Volume 29, Number 2, February 1996, P. 38-47.
24. Yuan E., Tong J. Attribute Based Access Control (ABAC) for Web Services. // 3rd International Conference on Web Services (ICWS 2005), Orlando, USA, July 2005, P. 561-569.
25. Obrst L. Ontologies for semantically interoperable systems. // Conference on Information and Knowledge Management. New Orleans, LA, USA, 2003. P. – 369. ISBN:1-58113-723-0.
26. OWL Web Ontology Language Overview. // http://www.w3.org/TR/owlfeatures.
27. The Protege Project. // http://protege.stanford.edu 28. Ontolingua. // http://www.ksl.stanford.edu/software/ontolingua 29. Chimaera // http://ksl.stanford.edu/software/chimaera 30. Laat C., Gross G., Gommans L., Vollbrecht J., Spence D. Generic AAA Architecture. // RFC 2903, 2000.
31. Rigney C., Willens S., Rubens A., Simpson W. Remote Authentication Dial In User Service (RADIUS). // RFC 2865, 2000.
32. Finseth C. An Access Control Protocol, Sometimes Called TACACS. // RFC 1492, 1993.
33. Calhoun P., Loughney J., Guttman E., Zorn G., Arkko J. Diameter Base Protocol. // RFC 3588, 2003.
34. Eduroam project // http://www.eduroam.org/ 35. Solaris System Administration Guide: Naming and Directory Services http://docs.sun.com/app/docs/doc/816- 36. Wahl M., Howes T., Kille S. Lightweight Directory Access Protocol (v3).
// RFC 2251, 1997.
37. Wahl M. A Summary of the X.500(96) User Schema for use with LDAPv3.
// RFC 2256, 1997.
38. Zeilenga K., COSINE LDAP/X.500 Schema. // RFC 4524, 2006.
39. Howard L. An Approach for Using LDAP as a Network Information Service. // RFC 2307, 1998.
40. Kohl J., Neuman C. The Kerberos Network Authentication Service (V5). // RFC 1510, 1993.
41. The A-Select Authentication System. // http://a-select.surfnet.nl/ 42. Демченко Ю.В. Федеративный доступ к ресурсам научных и университетских сетей. // Тез. докл. конференции представителей региональных научно-образовательных сетей «RELARN-2007», 2007.
43. Security Assertion Markup Language (SAML) // http://www.oasisopen.org/committees/security/ 44. OpenSAML Project // http://www.opensaml.org 45. Windows Live ID //https://accountservices.passport.net/ppnetworkhome.srf 46. Маквитти Л. Федеративное управление идентификацией пользователей. // Сети и системы связи, № 13, 2003.
47. Liberty Alliance Project // http://www.projectliberty.org 48. WS-Security // http://www.oasis-open.org/committees/wss/ 49. Valkenburg P., Stals B, Vooren T. Federated Identity Management in Higher Education. // http://aaa.surfnet.nl/info/en/artikel_content.jsp?objectnumber= 50. Shibboleth Project // http://shibboleth.internet2.edu/ 51. Tivoli Identity Manager // http://wwwibm.com/software/tivoli/products/identity-mgr/ 52. Sun Identity Manager // http://www.sun.com/software/products/identity_mgr/index.xml 53. Oracle Identity Manager. // http://www.oracle.com/technology/products/id_mgmt/index.html 54. Microsoft Identity Intergation Server // http://technet.microsoft.com/ruru/miis/default(en-us).aspx 55. Novell Identity Manager // http://www.novell.com/products/identitymanager 56. Perkins E., Witty R.J. Magic Quadrant for User Provisioning, 2H07 Gartner, 23 August 2007, Note G00150475.
57. The Open Web SSO project // https://opensso.dev.java.net/ 58. Gray N. ACLs in OWL: practical reasoning about access. // 3rd European Semantic Web Conference, Budva, Montenegro, 11th–14th June, 2006.
59. Agarwal S., Sprick B., Wortmann S. Credential Based Access Control for Semantic Web Services. // AAAI Spring Symposium, 2004.
60. Patterson R.S., Miller J.A., Cardoso J., Davis M. Security and Authorization Issues in HL7 Electronic Health Records: A Semantic Web Services Based Approach. // http://lsdis.cs.uga.edu/~rsp/patterson_richard_s_200612.pdf 61. Priebe T., Dobmeier W., Schlager C., Kamprath N. Supporting Attributebased Access Control in Authorization and Authentication Infrastructures with Ontologies. // Journal of software, Vol. 2, No. 1, 2007.
62. Li H., Zhang X., Wu H., Qu Y. Design and Application of Rule Based Access Control Policies. // ISWC Workshop on Semantic Web and Policy, 2005, P. 34Toninelli A., Kagal L., Bradshaw J.M., Montanari R. Rule-based and Ontology-based Policies: Toward a Hybrid Approach to Control Agents in Pervasive Environments. // Proc. of the Semantic Web and Policy Workshop (SWPW), in conj.
with ISWC 2005, Galway, Ireland, Nov. 7, 2005.
64. Toninelli A., Montanari B., Kagal L., Lassila O. A Semantic ContextAware Access Control Framework for Secure Collaborations in Pervasive Computing Environments. // International Semantic Web Conference, 2006, P. 473-486.
65. Patterson R.S., Miller J.A. Expressing Authorization in Semantic Web Services. // IEEE International Conference Granular Computing, 2006, P. 792- 795.
66. Tomasek M., Furdik K. Service-based architecture of Access-eGov system.
// 1st Workshop on Intelligent and Knowledge oriented Technologies, 2006, P. 29-32.
67. Su L., Chadwick D.W., Basden A., Cunningham J.A. Automated Decomposition of Access Control Policies. // Sixth IEEE International Workshop on Policies for Distributed Systems and Networks, 2005, P. 3-13.
68. Colomb R.M. Use of Upper Ontologies for Interoperation of Information Systems. // Technical Report 20/02 ISIB-CNR. Padova, Italy, November, 2002.
69. Cyc Knowledge Server // http://www.opencyc.org/ 70. Niles I., Pease A. Towards a standard upper ontology. // Conf. Formal Ontology In Information Systems, Ogunquit, Maine, October 17–19, 2001, P. 2–9.
71. Degen W., Heller B., Herre H., Smith B. GOL – a general ontological language. // Int. Conf. Formal Ontology In Information Systems Ogunquit, Maine, October 17–19, 2001, P. 34–46.
72. Gangemi A., Guarino N., Masolo C., Oltramari A., Schneider L. Sweetening ontologies with DOLCE. // 13th Int. Conf. Knowledge Engineering and Knowledge Management. Ontologies and the SemanticWeb, Siguenza, Spain, October 1–4, 2002, P. 166–181.
73. Weber R. Ontological Foundations of Information Systems // Monograph №4. /Australia: Melbourne, Vic., Coopers & Lybrand and the Accounting Association of Australia and New Zealand. – 1997.
74. Wand Y., Weber R. An ontological model of an information system // IEEE Transactions on Software Engineering Journal. – 1990. – 16(11). – P. 1281ISO/IEC 2382-8:1998 Security.
76. ISO/IEC 27000 Information technology - Security techniques - Information security management systems - Overview and vocabulary.
77. ГОСТ Р 50739-95. Средства вычислительной техники. Защита он несанкционированного доступа к информации.
78. Гостехкомиссия России. Руководящий документ: Защита от несанкционированного доступа к информации. Термины и определения. – М.: ГТК РФ, 1992. – 13 с.
79. Горбатов В.А., Горбатов А.В., Горбатова М.В. Дискретная математика. – М.: АСТ: Астрель, 2006. – 447 с.
80. Gray J.. Why do computers stop and what can be done about it. // Proc. of the 5th Symp. on Reliability in Distributed Software and Database Systems, 1986.
81. Nurmi D., Brevik J., and Wolski R. Modeling machine availability in enterprise and wide-area distributed computing environments. // Euro-Par’05, 2005.
82. Sahoo R. K., Sivasubramaniam A., Squillante M. S., Zhang Y. Failure data analysis of a large-scale heterogeneous server environment. // Proc. of DSN’04, 2004.
83. Oppenheimer D. L., Ganapathi A., Patterson D. A. Why do internet services fail, and what can be done about it? // USENIX Symp. on Internet Technologies and Systems, 2003.
84. Heath T., Martin R. P., Nguyen T. D. Improving cluster availability using workstation validation. // Proc. of ACM SIGMETRICS, 2002.
85. Schroeder B., Gibson G.A. A large-scale study of failures in highperformance computing systems. // International Conference on Dependable Systems and Networks. Philadelphia, PA, USA, June 25-28, 2006.
86. Lin T.Y., Siewiorek D.P. Error Log Analysis: Statistical Modeling and Heuristic Trend Analysis. // IEEE Transactions on reliability, VOL. 39, NO. 4, 1990.
P. 419-432.
87. Половко А.М., Гуров С.В. Основы теории надежности. – 2-е изд., перераб. и доп. – СПб.: БХВ-Петербург, 2006. – 704 с.
88. Половко А.М. Принципы построения абсолютно надежных технических устройств. О-во «Знание», РСФСР. – Л., 1993.
89. Смолицкий Х.Л., Чукреев П.А. О сравнении надежности систем при поэлементном и общем резервировании. – Изв.АН СССР, ОТН, Энергетика и автоматика, № 3, 1959.
90. Б. Гнеденко, Ю. Беляев, А. Соловьев «Математические методы в теории надежности». М.:, Наука, 1965, 524 с.
91. Sun Java System Delegated Administrator Administration Guide. // Sun Microsystems, Part No: 819–4438–10, March 2007.
92. Mikrotik Router OS // http://www.mikrotik.com.
93. Miller M.S., Yee K.-P., Shapiro J. Capability Myths Demolished. Technical Report SRL2003-02, Systems Research Laboratory, Johns Hopkins University. 2003.
94. Gruber, T.R. Toward Principles for the Design of Ontologies Used for Knowledge Sharing. Technical Report KSL 93-04 Knowledge Systems Laboratory Stanford University. 1993.
95. Damiani E., De Capitani di Vimercati S., Fugazza C., Samarati P. Semantics-aware Privacy and Access Control: Motivation and Preliminary Results.
96. Ларман К. Применение UML и шаблонов проектирования. 2-е издание.: Пер. с англ. – М.: Издательский дом «Вильямс», 2004. – 624 с.
97. Jordan C.S. Guide to Understanding Discretionary Access Control in Trusted Systems. DIANE Publishing. 1987. ISBN 0788122347.
98. Messaoud B. Access Control Systems / Security, Identity Management and Trust Models. Springer. 2006. 261 p. ISBN: 0387004459.
99. Zhang N., Ryan M., Guelev D.P. Synthesising verified access control systems through model checking. // Journal of Computer Security, Vol. 16, No 1 / 2008.
P. 1-61.
100. Zhang N., Ryan M., Guelev D.P. Synthesising verified access control systems in XACML. // 2004 ACM Workshop on Formal Methods in Security Engineering, Washington DC, USA, Oct 2004, P. 56-65.
101. Zhang N., Ryan M., Guelev D.P. Evaluating access control policies through model-checking. // 8th Information Security Conference, Singapore, Sep 2005.
102. Gong L., Needham R., Yahalom R. Reasoning about Belief in Cryptographic Procols. // IEEE 1990 Symposium on Security and Privacy, Oakland, California, May 1990, P. 234-248.
103. Fisler K., Krishnamurthi Sh., Meyerovich L.A., Tschantz M.C. Verification and change-impact analysis of access-control policies. // ICSE'05, St. Louis, Missouri, USA, May 2005.
104. Guelev D.P., Ryan M., Schobbens P-Y. Model-checking access control policies. // 7th Information Security Conference (ISC'04), Springer-Verlag, 2004.
105. OASIS Standard, 1 Feb 2005. eXtensible Access Control Markup Language (XACML) Version 2.0.
106. Adams A., Sasse M.A., Users Are Not the Enemy: Why Users Compromise Security Mechanisms and How to Take Remedial Measures. // Comm. ACM, vol. 42, no. 12, 1999.
107. Dhamija R., Tygar J.D., Hearst M. Why Phishing Works. // Human Factors in Computing Systems (CHI 06), ACM Press, 2006.
108. Norman D.A. Design Rules Based on Analyses of Human Error. // Comm. ACM, vol. 26, no. 4, 1983.
109. Gross B.M., Churchill E.F. Addressing Constraints: Multiple Usernames Task Spillage and Notions of Identity. // Human Factors in Computing Systems:Extended Abstracts (CHI 07), ACM Press, 2007.
110. Р. Дхамиджа, Л. Дюссо. Семь проблем управления идентификацией // «Открытые системы», №5, 2008. http://www.osp.ru/os/2008/05/5198740/ 111. Florencio D., Herley C. A Large Scale Study of Web Password Habits. // Int’l Word Wide Web Conf. (WWW 07), ACM Press, 112. Dhamija R., Perrig A., Dejа Vu: A User Study Using Images for Authentication. // 9th Usenix Security Symp., Usenix Assoc., 2000.
СПИСОК ИЛЛЮСТРАЦИЙ
Рис 1.1. Модель управления доступом Лампсона [2]Рис 1.2. Основные компоненты инфраструктуры открытого ключа
Рис 1.3. Списки контроля доступа и возможностей
Рис 1.4. Мандатное управление доступом
Рис 1.5. Модель ролевого управления доступом [23]
Рис 1.6. Типы интеграции и уровни интероперабельности [25]
Рис 1.7. Пример семантической интеграции на основе онтологии
Рис 2.1. Схема прототипа
Рис 2.2. Схема прототипа и предлагаемого решения (новые блоки закрашены, развитые отмечены уголком)
Рис 2.3. Структурная схема системы семантической интеграции управления доступом к сервисам
Рис 3.1. Структура систем управления доступом к сервисам. Объекты............. Рис 3.2. Структура систем управления доступом к сервисам. Свойства............ Рис 3.3. Состояния управления доступом к сервисам
Рис 3.4. События управления доступом к сервисам
Рис 3.5. Операции управления доступом к сервисам
Рис 3.6. Диаграмма состояний системы управления доступом к сервисам........ Рис 3.7. Базовый уровень алгебраической записи правил разграничения доступа
Рис 3.8. Пример иерархии прав доступа
Рис 3.9. Алгебраическая запись правил разграничения доступа. Уровень 1...... Рис 3.10. Алгебраическая запись правил разграничения доступа. Уровень 2.... Рис 3.11. Алгебраическая запись правил разграничения доступа. Уровень 3.... Рис 4.1. Логическая архитектура комплекса программ по интеграции управления доступом к сервисам
Рис 4.2. Диаграмма последовательности управления доступом к сервису......... Рис 4.3. Архитектура развертывания комплекса программ по управлению доступом к сервисам
Рис 4.4. Пример окна Web-интерфейса системы управления доступом............. Рис 4.5. Пример интерфейса командной строки системы управления доступом
Рис 4.6. Схема корпоративной сети ПНЦ УрО РАН
Рис 4.7. Схема реализации системы управления доступом к сервисам в сети ПНЦ
Рис 4.8. Пример отчета системы статистики использования сервисов...............
СПИСОК ТАБЛИЦ
Таблица 1.1. Пример матрицы доступаТаблица 1.2. Оценка существующих систем интеграции управления доступом к сервисам
Таблица 1.3. Оценка онтологий в предметной области управления доступом. Таблица 1.4. Основные понятия онтологии BWW
Таблица 1.5. Термины и определения Руководящего документа Гостехкомиссии России [78]
Таблица 4.1. Сервисы сети ПНЦ
Таблица 4.2. Результаты сравнительного анализа временных затрат в ходе управления доступом к сервисам
Таблица П1-1. Отображение понятий формальной алгебраической записи правил разграничения доступа в LDAP………………………………………………