КАТЕГОРИИ:
Архитектура-(3434)Астрономия-(809)Биология-(7483)Биотехнологии-(1457)Военное дело-(14632)Высокие технологии-(1363)География-(913)Геология-(1438)Государство-(451)Демография-(1065)Дом-(47672)Журналистика и СМИ-(912)Изобретательство-(14524)Иностранные языки-(4268)Информатика-(17799)Искусство-(1338)История-(13644)Компьютеры-(11121)Косметика-(55)Кулинария-(373)Культура-(8427)Лингвистика-(374)Литература-(1642)Маркетинг-(23702)Математика-(16968)Машиностроение-(1700)Медицина-(12668)Менеджмент-(24684)Механика-(15423)Науковедение-(506)Образование-(11852)Охрана труда-(3308)Педагогика-(5571)Полиграфия-(1312)Политика-(7869)Право-(5454)Приборостроение-(1369)Программирование-(2801)Производство-(97182)Промышленность-(8706)Психология-(18388)Религия-(3217)Связь-(10668)Сельское хозяйство-(299)Социология-(6455)Спорт-(42831)Строительство-(4793)Торговля-(5050)Транспорт-(2929)Туризм-(1568)Физика-(3942)Философия-(17015)Финансы-(26596)Химия-(22929)Экология-(12095)Экономика-(9961)Электроника-(8441)Электротехника-(4623)Энергетика-(12629)Юриспруденция-(1492)Ядерная техника-(1748)
Ролевая политика безопасности. Формальное представление
|
|
|
|
Свойства ключей.
Тип ключа (Key Type) - тип ключа может быть RSA или DSS/DH.
Срок действия (Expires) - дата, когда истекает срок годности ключа.
Отпечаток (Fingerprint) - уникальный идентификационный номер, генерируемый при создании пары, и являющийся основным средством контроля подлинности ключа. Математический смысл отпечатка – хэш-функция.
Цифровая подпись -Способ проверки целостности содержимого сообщения и подлинности отправителя. Реализуется с помощью ассиметричных шифров и Хэш функций. Цифровая подпись основывается на обратимости ассиметричных шифров, а так же на взаимосвязи содержимого сообщения, самой подписи и пары ключей. Отправитель вычисляет digest шифрует своим ключом и отправляет вместе с письмом (закрытой частью). Получатель вычисляет digest открытым ключом отправителя, кроме того получатель сам вычисляет digest принятого сообщения и сравнивает с расшифрованным. Если дайджесты совпадают – подпись подлинная, в противном случае- либо подпись поддельная либо сообщение изменено по дороге. Цифровая подпись подтверждает целостность и авторство
Идея основана на максимальном приближении логики работы системы к реальному разделению функций персонала в организации.
Применение данного метода подразумевает определение ролей в системе. Понятие роль можно определить как совокупность действий и обязанностей, связанных с определенным видом деятельности. Т.о. вместо того, чтобы указывать все типы доступа для каждого пользователя к каждому объекту, достаточно указать тип доступа к объектам для роли. А пользователям, в свою очередь, указать их роли. Пользователь, "выполняющий" роль, имеет доступ определенный для роли.
|
|
|
Пользователь может выполнять различные роли в разных ситуациях. Одна и та же роль может использоваться несколькими различными пользователями, причем иногда даже одновременно. Основными достоинствами ролевой модели управления доступом являются:
Простота администрирования. права на выполнение определенных операций над объектом прописываются для каждого пользователя или группы пользователей. В ролевой модели разделение понятий роль и пользователь позволяет разбить задачу на две части: определение роли пользователя и определение прав доступа к объекту для роли. Такой подход сильно упрощает процесс администрирования, поскольку при изменении области ответственности пользователя, достаточно убрать у него старые роли и назначить другие соответствующие его новым обязанностям.
Иерархия ролей. Каждая роль наряду со своими собственными привилегиями может наследовать привилегии других ролей.
Принцип наименьшей привилегии. Пользователь может регистрироваться в системе с наименьшей ролью, позволяющей ему выполнять требуемые задачи. Принцип важен для обеспечения достоверности данных в системе. Он требует, чтобы пользователь давали только те из разрешенных ему привилегий, которые ему нужны для выполнения конкретной задачи. Для этого требуется выяснить цели задачи, набор привилегий требуемых для ее выполнения и ограничить привилегии пользователя этим набором. Запрещение привилегий пользователя не требуемых для выполнения текущей задачи позволяет избежать возможности обойти политику безопасности системы.
Разделение обязанностей. распространены ситуации, в которых ряд определенных действий не может выполняться одним человеком во избежание мошенничеств. Примером этому могут служить операции по созданию платежа и его подтверждению. Формально ролевую модель можно изобразить следующим образом:
Модель состоит из следующих сущностей: пользователи, роли и привилегии. пользователь это либо человек, либо программа работающая от имени пользователя. Роль это вид деятельности пользователя в организации, а привилегия это разрешение на определенный доступ к одному или нескольким объектам системы. Пользователь может иметь несколько ролей и несколько пользователей могут принадлежать одной роли. Аналогично несколько привилегий могут принадлежать одной роли и несколько ролей могут иметь одну и ту же привилегию. Также в этой модели присутствует частично упорядоченное множество - иерархия ролей. На этом множестве задано отношение принадлежности где для ролей x и y, x > y означает что роль x наследует привилегии роли y. Это отношение транзитивно. Сессия относит пользователя к множеству ролей. пользователь активизирует сессию для выполнения некоторой задачи. В этот момент система может определить те роли и привилегии, которые требуются пользователю для выполнения задачи и запретить остальные.
|
|
|
|
|
|
|
|
Дата добавления: 2015-04-23; Просмотров: 1494; Нарушение авторских прав?; Мы поможем в написании вашей работы!