2014-01-24
896
Авторизация пользователя для получения доступа к ресурсам
RACF как средство управления доступом.
Дискреционный способ
Мандатный способ
Матричное
Управление доступом к ресурсам КС
Управление доступом:
- матричное
- мандатное
- дискреционное
Атрибуты матрицы разграничение доступа:
R – read
W – write
A – add
M – make directory
Матрица разграничения доступа, ее заполняет администратор:
| O1 | O2 | … | On | |
| S1 | - | RM | LE | |
| S2 | RWAD | |||
| S3 | ||||
| … | ||||
| Sm | - | RDE |
S1 – проектировщик
S2 – администратор
Возможно объединить пользователей с одинаковыми правами в группы или объекты с определенным доступом в группы для упрощения.
L – list (просмотр)
D – delet
E – execute
Строится по аналогии с ручным секретным делопроизводством. Каждому документу принадлежит уровень конфиденциальности (секретный, особо секретный, строго конфиденциальный, конфиденциальный и т.д.).
Файлу/документу присваивается гриф, метка секретности. Каждому субъекту принадлежит уровень доступа. Если доступаемся к документу с высокой конфиденциальностью, а у нас нет прав, то нет доступа.
|
|
|
Управленцы могут доступиться к любому документу. Пользователю принадлежит мандат на доступ, его присваивает администратор.
То же, что и мандатный. Управление доступом осуществляет владелец документа.
После идентификации и проверки полномочий пользователя RACF осуществляет контроль взаимодействия между пользователем и системными ресурсами. RACF по запросу менеджеров ресурсов определяет не только то, какие пользователи могут получить доступ, но и уровень доступа, например, READ (для чтения, отображения или копирования ресурса) или UPDATE (для записи, модификации или передачи ресурса). Уровни доступа организованы в RACF иерархически. Так, UPDATE включает READ и т.д.
Для выполнения задач авторизации RACF использует макрос RACROUTE=AUTH. Пользователь получает доступ к ресурсу после выполнения следующих действий:
- Контроля профилей на предмет наличия у пользователя соответствующих прав. Наборы данных z/OS защищены профилями класса DATASET.
- Проверки категорий (классов) защиты, установленных для пользователей, и данных. Сначала RACF сравнивает уровень защиты пользователя и профилей защиты. При этом если ресурс имеет более высокий уровень защиты, чем пользователь, то RACF отклоняет запрос. Затем RACF сравнивает список категорий доступа в профиле пользователя со списком категорий в профиле ресурса. Если последний содержит категорию, которой нет в профиле пользователя, запрос также отклоняется.
- Предоставляет пользователю доступ к ресурсу, если удовлетворяется любое из условий:
- ресурс является набором данных и префикс высшего уровня соответствует идентификатору пользователя;
- идентификатор пользователя имеется в списке доступа с достаточными правами;
- достаточный уровень полномочия по доступу (universal access authority).
1)Шифрование данных само по себе, не гарантирует, что целостность данных не будет нарушена, поэтому в криптографии используются дополнительные методы для гарантирования целостности данных. Под нарушениями целостности данных понимается следующее: инверсия битов, добавление новых битов (в частности совершенно новых данных) третьей стороной, удаление каких-либо битов данных, изменение порядка следования бит или групп бит.
|
|
|
В криптографии решение задачи целостности информации предполагает применение мер, позволяющих обнаруживать не столько случайные искажения информации, так как для этой цели вполне подходят методы теории кодирования с обнаружением и исправлением ошибок, сколько целенаправленное изменение информации активным криптоаналитиком.
Процесс контроля целостности обеспечивается введением в передаваемую информацию избыточности. Это достигается добавлением к сообщению некоторой проверочной комбинации. Такая комбинация вычисляется согласно определенным алгоритмам и играет роль индикатора, с помощью которого проверяется целостность сообщения. Именно этот момент дает возможность проверить, были ли изменены данные третьей стороной. Вероятность того, что данные были изменены, служит мерой имитостойкости шифра.
Дополнительную избыточную информацию, вносимую в сообщение, называют имитовставкой. Вырабатываться имитовставка может как до начала, так и одновременно с шифрацией сообщения.
2)Метод контрольных сумм
Наиболее простым и одним из самых первых методов обеспечения целостности данных является метод контрольных сумм. Под контрольной суммой понимается некоторое значение, полученное путем сложения всех чисел входных данных в конечном множестве.
Плюсы:
Простота реализации
Высокая производительность
Минусы:
Равенство полученных значений контрольных сумм не дает гарантии неизменности информации
При известной контрольной сумме крайне просто “подогнать” данные так, чтобы в результате получилось корректное значение
3) Метод “циклического контрольного кода”
Более совершенным способом контроля целостности данных является, так называемый, метод “циклического контрольного кода”(cyclic redundancy check - CRC). Алгоритм широко используется в аппаратных устройствах (дисковые контроллеры, сетевые адаптеры и др.) для верификации неизменности входной и выходной информации, а также во многих программных продуктах для выявления ошибок при передаче данных по каналам связи.
Плюсы:
Простота реализации
Высокая производительность
Высокая вероятность обнаружения ошибки
Минусы:
Равенство полученных значений контрольных сумм все равно не дает гарантии неизменности информации
При известной контрольной сумме не составляет большого труда написать программу, которая будет “подгонять” данные так, чтобы в результате получилось корректное значение, хотя это намного сложнее, чем в предыдущем методе контрольных сумм
