Парольные системы разграничения доступа
В документальных информационных системах, в системах автоматизации документооборота широкое распространение получили так называемые парольные системы разграничения доступа, представляющие отдельную разновидность механизмов реализации дискреционного принципа разграничения доступа.
Основные положения парольных систем можно сформулировать следующим образом.
1. Система представляется следующим набором сущностей:
множеством информационных объектов (документов) О(о1, …, оm);
множеством пользователей S(s1, …, sn);
множеством паролей доступа к объектам К(k1, …, kр).
2. В системе устанавливается отображение множества О на множество К, задаваемое следующей функцией: fko : O → К.
Значением функции fko(о) - ko является пароль ko доступа к документу о.
3. Область безопасного доступа задается множеством троек (s, k, о), каждый элемент которого соответствует владению поль- зователем паролем доступа к объекту. В результате устанавливается отображение множества S на множество К: fks : S → К.
Значением fks(s) = Ks является набор паролей доступа к документам системы, известных пользователю s.
4. Процессы доступа пользователей к объектам системы организуются в две фазы:
фаза открытия документа;
фаза закрытия (сохранения) документа.
При открытии документа о пользователь s предъявляет (вводит, передает) монитору безопасности AС пароль ks0 доступа к данному документу.
Запрос в доступе удовлетворяется, если ks0 = fk0(о).
В случае успешного открытия пользователю предоставляются права работы по фиксированному набору операций с объектом.
Возможны два подхода, соответствующие добровольному и принудительному способам управления доступом.
При использовании принудительного способа назначение паролей доступа к документам, их изменение осуществляет только выделенный пользователь - администратор системы.
При необходимости шифрования измененного объекта или при появлении в системе нового объекта, подлежащего дискреционному доступу к нему, администратор системы на основе специальной процедуры генерирует пароль доступа к новому объекту, зашифровывает документ на ключе, созданном на основе пароля, и фиксирует новый документ в зашифрованном состоянии в системе. Администратор сообщает пароль доступа к данному документу тем пользователям, которым он необходим. Тем самым формируется подмножество троек доступа {(s1, k, о), (s2, k, о), …} к документу o.
При добровольном управлении доступом описанную выше процедуру формирования подмножества троек доступа к новому документу производят владельцы объекта.
Преимуществом парольных систем по сравнению с системами дискреционного разграничения доступа, основанными на матрице доступа, является то, что в них отсутствует ассоциированный с монитором безопасности объект, хранящий информацию о разграничении доступа к конкретным объектам.
Данный объект является наиболее критичным с точки зрения безопасности объектом системы.
Кроме того, в парольных системах обеспечивается безопасность и в том случае, когда не ограничен или технически возможен доступ посторонних лиц к носителям, на которых фиксируются и хранятся зашифрованные объекты.
Эти преимущества парольных систем разграничения доступа обусловливают их чрезвычайно широкое применение в документальных информационных системах.
Несмотря на то, что дискреционные модели разработаны почти 40 лет назад, и то, что многочисленные исследования показали их ограниченные защитные свойства, данные модели широко применяются на практике. Основные их достоинства - это простота и максимальная детальность в организации доступа.