Скачать презентацию Механизм авторитзации Матрица доступа 1 Матрица доступа Скачать презентацию Механизм авторитзации Матрица доступа 1 Матрица доступа

Разработка матрицы доступа.pptx

  • Количество слайдов: 21

Механизм авторитзации Матрица доступа 1 Механизм авторитзации Матрица доступа 1

Матрица доступа Механизм авторизации решает три основные задачи: 1. Выполнение политики разграничения доступа субъектов Матрица доступа Механизм авторизации решает три основные задачи: 1. Выполнение политики разграничения доступа субъектов к объектам компьютерной системы. 2. Гарантирование выполнения политики разграничения доступа субъектов к объектам компьютерной системы. 3. Управление разграничением доступа субъектов к объектам компьютерной системы. 2

Матрица доступа Политика разграничения доступа решает две основные задачи: 1. Назначение прав доступа пользователям Матрица доступа Политика разграничения доступа решает две основные задачи: 1. Назначение прав доступа пользователям компьютерной системы. 2. Реализация механизма, контролирующего изменение прав доступа в процессе функционирования защищённой компьютерной системы. 3

Матрица доступа Решение первой задачи даёт ответ на вопрос как будут представлены субъекты, объекты Матрица доступа Решение первой задачи даёт ответ на вопрос как будут представлены субъекты, объекты и права доступ каждого пользователя в компьютерной системе. Для этого используется матрица прав доступа. 4

Матрица доступа 5 Матрица доступа 5

Матрица доступа Для решения второй задачи разрабатывается монитор безопасности объектов (МБО). МБО – субъект, Матрица доступа Для решения второй задачи разрабатывается монитор безопасности объектов (МБО). МБО – субъект, активизирующийся при возникновении потока от ассоциированного объекта субъекта к любому объекту и разрешающий поток, который принадлежит подмножеству потоков легального доступа. 6

Матрица доступа МБО разрабатывается в соответствии с выбранной математической моделью. Формальные модели: - дискреционные Матрица доступа МБО разрабатывается в соответствии с выбранной математической моделью. Формальные модели: - дискреционные модели разграничения доступа, - мандатные модели разграничения доступа. Неформальные модели: - ролевая модель разграничения доступа. 7

Формирование матрицы доступа (вариант 1) Для каждого пользователя формируется матрица доступа. Для того, чтобы Формирование матрицы доступа (вариант 1) Для каждого пользователя формируется матрица доступа. Для того, чтобы назначить права необходимо знать: адрес, с которого располагается массив, содержащий перечень объектов (для определения по имени объекта его индекс в матрице доступа), адрес, с которого располагается массив, содержащий перечень субъектов (для определения по имени субъекта его индекс в матрице доступа), адрес расположения в памяти компьютера матрицы доступа. Все эти данные обычно хранятся в аутентифицирующем объекте. 8

Формирование матрицы доступа (вариант 1) Тогда структура аутентифицирующего объекта должна иметь вид: 9 Формирование матрицы доступа (вариант 1) Тогда структура аутентифицирующего объекта должна иметь вид: 9

Формирование матрицы доступа (вариант 1) Следовательно, для каждого пользователя необходимо задать адрес массива, содержащего Формирование матрицы доступа (вариант 1) Следовательно, для каждого пользователя необходимо задать адрес массива, содержащего перечень субъектов. Для его можно воспользоваться таблицей: 10

Формирование матрицы доступа (вариант 1) Далее для каждого пользователя необходимо задать адрес массива, содержащего Формирование матрицы доступа (вариант 1) Далее для каждого пользователя необходимо задать адрес массива, содержащего перечень объектов. Для его можно воспользоваться таблицей: 11

Формирование матрицы доступа (вариант 1) Пример. Назначить пользователю Иванову П. Л. право доступа Read Формирование матрицы доступа (вариант 1) Пример. Назначить пользователю Иванову П. Л. право доступа Read субъекта PR 2 к объекту БД 2. Входные данные: Иванов П. Л. – имя пользователя, PR 2 – идентификатор субъекта, БД 2 – идентификатор объекта, Read – право доступа. Выходные данные: значение индекса i матрицы доступа, значение индекса j матрицы доступа. 12

Формирование матрицы доступа (вариант 1) Используя производную алгоритмическую структуру Поиск по ключу определяем индекс Формирование матрицы доступа (вариант 1) Используя производную алгоритмическую структуру Поиск по ключу определяем индекс субъекта Pr 2 в массиве субъектов (i = 2) и индекс объекта БД 2 в массиве объектов (j = n +2), где n – количество субъектов. Элементу матрицы доступа mij пользователя Иванова П. Л. присваиваем значение Read. 13

Формирование матрицы доступа (вариант 2) При использовании этого варианта идентификаторы субъектов хранятся в аутентифицирующем Формирование матрицы доступа (вариант 2) При использовании этого варианта идентификаторы субъектов хранятся в аутентифицирующем объекте, который имеет следующую структуру: 14

Формирование матрицы доступа (вариант 2) Далее создаётся массив объектов, который включает все объекты, к Формирование матрицы доступа (вариант 2) Далее создаётся массив объектов, который включает все объекты, к которым контролируется доступ. 15

Формирование матрицы доступа (вариант 2) Матрицы доступа имеет вид: 16 Формирование матрицы доступа (вариант 2) Матрицы доступа имеет вид: 16

Формирование матрицы доступа (вариант 2) Пусть требуется задать субъекту Pr 2 пользователя Иванова П. Формирование матрицы доступа (вариант 2) Пусть требуется задать субъекту Pr 2 пользователя Иванова П. Л. право доступа Read к объекту БД 2. Введём следующие обозначения: h – количество субъектов пользователей (в рассматриваемом варианте величина постоянная, равная 2). p – индекс субъекта в аутентифицирующем объекте, k – индекс имени пользователя в аутентифицирующем объекте. 17

Формирование матрицы доступа (вариант 2) Для рассматриваемого примера матрица доступа иметь вид: 18 Формирование матрицы доступа (вариант 2) Для рассматриваемого примера матрица доступа иметь вид: 18

Формирование матрицы доступа (вариант 2) Для определения индексов матрицы доступа необходимо: 1. Определить индекс Формирование матрицы доступа (вариант 2) Для определения индексов матрицы доступа необходимо: 1. Определить индекс пользователя в аутентифицирующем объекте (k). 2. Определить индекс субъекта в аутентифицирующем объекте (p). 3. Определить для пользователя Иванова П. Л. индекс q первой строки матрицы доступа, который вычисляется по формуле: q = ( k – 1)*h + 1, (q = (1 – 1)*2 + 1 = 1). 4. Вычислить индекс i (индекс субъекта) матрицы доступа по формуле: i = q + p – 1 = 2 (1 + 2 – 1 = 2). 5. Определить индекс j матрицы доступа (индекс объекта БД 2 в массиве объектов), j = 4. 6. Элементу матрицы доступа mij присвоить значение Read. 19

Формирование матрицы доступа (вариант 2) Результат: 20 Формирование матрицы доступа (вариант 2) Результат: 20

Формирование матрицы доступа (вариант 3) Все необходимые данные объединяются в базу данных: 21 Формирование матрицы доступа (вариант 3) Все необходимые данные объединяются в базу данных: 21