2015-04-12
367
Дискреционную защиту для более сложных систем рассмотрим на примере справочника ITU-T x.500.
Семейство рекомендации этого справочника широко известно в телекоммуникационном сообществе и описывает иерархическую модель БД, предоставляемую виде дерева, напоминает организацию файловой системы.
Каждый файл является оконечным (контейнерным, т.е. содержащим ссылки на другие объекты дерева) и может идентифицироваться справочным именем, т.е. полной спецификацией объекта, заданной от корня дерева справочника.
Каждый объект дерева содержит атрибуты, аналогичные пути файловой системы.
Каждый объект содержит информационные служебные атрибуты и строится на основе описания класса объектов.
Информационные атрибуты содержат пользовательскую информацию, в то время, как служебные атрибуты используются для связи с другими объектами и атрибутами, а также для доступа к информационным атрибутам.
Выделяют также специальный класс объектов и атрибутов, из которых конструируются новые объекты, как из шаблонов.
|
|
|
Для доступа пользователей к справочнику используется протокол LDIP и DIP.
Дерево справочника может быть разделено на так называемые анатомные области, доступ к которым контролируется сервером некоторой организации.
Отдельные части дерева хранятся на разных серверах и взаимодействие между ними осуществляется по отдельному протоколу.
Каждая автономная область идентифицируется своим корневым объектом и может быть далее разделена на специальные административные области. Например, с целью делигирования некоторых прав локального администрирования средства защиты информации на фрагменты дерева справочника.
Для определения прав доступа используются специальные атрибуты ACL, которые анализируют средства защиты информации всякий раз при получении пользовательского запроса.
ACL каждого объекта содержит формализированные правила описания субъектов доступа с указанием типов операций, которые разрешены им для работы, которые разрешены им для работы с атрибутами данного объекта.
ITU-T x.500 разрешают выделение доступа:
- к объекту (элементу дерева)
- типу атрибута (для указанного объекта)
- значение атрибута
Работа со значениями атрибута обеспечивает max избирательность доступа к объектам справочника.
Правила доступа для типа атрибута ограничивает разрешения для пользовательских типов атрибутов.
Доступ на уровне объекта позволяет ограничить доступ на уровне типов и значений атрибутов или только типов, определяющих для объектов одного класса.
Группирование объектов и субъектов доступа
Группирование субъектов доступа подобно тому, как это принято в ОС.
|
|
|
Правила управления доступом ITU-T x.500 позволяют указывать в ACL следующие типы субъектов доступа, приведенные в порядке убывания приоритетов, при одновременном применении к объекту решающих правил из нескольких ACL:
- Явно заданные пользователи – индивидуальное указание в ACL пользователя, как самостоятельного субъекта – имеет max приоритет использования
- Группы пользователей – перечисления членов группы, в том числе рекурсивное через другие группы.
Пользователи, перечисленные в группе могут иметь различный именной контекст: относительное справочное имя, определяющее корневую локализацию, однако должно входить в одну и ту же автономную административную область.
- Все пользователи – это все пользователи, входящие в специальную административную область.
