КАТЕГОРИИ:
Архитектура-(3434)Астрономия-(809)Биология-(7483)Биотехнологии-(1457)Военное дело-(14632)Высокие технологии-(1363)География-(913)Геология-(1438)Государство-(451)Демография-(1065)Дом-(47672)Журналистика и СМИ-(912)Изобретательство-(14524)Иностранные языки-(4268)Информатика-(17799)Искусство-(1338)История-(13644)Компьютеры-(11121)Косметика-(55)Кулинария-(373)Культура-(8427)Лингвистика-(374)Литература-(1642)Маркетинг-(23702)Математика-(16968)Машиностроение-(1700)Медицина-(12668)Менеджмент-(24684)Механика-(15423)Науковедение-(506)Образование-(11852)Охрана труда-(3308)Педагогика-(5571)Полиграфия-(1312)Политика-(7869)Право-(5454)Приборостроение-(1369)Программирование-(2801)Производство-(97182)Промышленность-(8706)Психология-(18388)Религия-(3217)Связь-(10668)Сельское хозяйство-(299)Социология-(6455)Спорт-(42831)Строительство-(4793)Торговля-(5050)Транспорт-(2929)Туризм-(1568)Физика-(3942)Философия-(17015)Финансы-(26596)Химия-(22929)Экология-(12095)Экономика-(9961)Электроника-(8441)Электротехника-(4623)Энергетика-(12629)Юриспруденция-(1492)Ядерная техника-(1748)
Исключение субъектов и объектов из схемы мандатного управления доступом
|
|
|
|
Особенность реализации мандатного механизма управления доступом состоит в том, что все субъекты и объекты доступа должны быть помеченными (им должна быть назначена метка безопасности). Вместе с тем, не все субъекты и объекты доступа могут подпадать под разграничительную политику, реализуемую мандатным механизмом управления доступом. Таким образом, возникает ряд противоречий, не позволяющих корректно реализовать мандатный механизм управления доступом в полном объеме. Например, пользователю «Администратор» явно недостаточно прав доступа с использованием операции «запись» только к собственному объекту, не говоря уже о виртуальном пользователе ОС Windows «Система». То же самое можно сказать и об объектах доступа, например, обобъекте «Корзина» для ОС Windows и др.
С целью разрешения данных противоречий в схему мандатного управления доступом могут быть включены группы субъектов и объектов с номером «О»: СО, ОО. Для разметки данных субъектов и объектов будем говорить о включении в схему управления доступом нулевой метки МО (признака «О»). Присвоение данной метки позволяет исключить субъект, либо объект доступа из схемы мандатного управления доступом. Соответственно, доступ субъекта, обладающего меткой МО, не подпадает под типовые мандатные разграничения, а доступ к объекту, обладающему меткой МО, не разграничивается (запрос диспетчером доступа не обрабатывается). Обратите внимание, что речь идет только об исключении из схемы мандатного управления доступом. При этом исключаемые из мандатной схемы субъекты и (или) объекты доступа остаются элементами схемы дискреционного управления доступом, реализуемого в дополнение к мандатному. Пример матрицы доступа D с возможностью исключения субъектов и объектов из схемы мандатного управления доступом, приведен ниже. Здесь исходное множество прав доступа, используемое для реализации канала взаимодействия субъектов доступа, дополняется элементом «НО» {Зп/Чт, Чт, Д, НО}, где элемент «НО» означает, что запрос не обрабатывается мандатным механизмом управления доступа. Приведенная модель управления доступом формально может быть описана следующим образом:
|
|
|
» Dij = Зп/Чт, если i = j;
* Dij = Чт, если k+1 > i > j; i j > 0;
» Dij = Д, если i < j < k+1; ij > 0;
» Dij = Чт, если i = k+1; ij > 0;
* Dij = НО, если i = 0 или j = 0,
где i -- порядковый номер объекта (номер строки в матрице доступа);
j -- порядковый номер субъекта (номер столбца в матрице доступа).
Таким образом, включение в схему мандатного управления метки МО (и соответствующих ей правил доступа) разрешает отмеченное выше противоречие. Теперь всем субъектам и объектам доступа могут и должны назначаться мандатные метки, и в то же время как субъекты, так и объекты доступа могут исключаться из схемы типовых мандатных разграничений доступа. В этом и заключается использование механизма исключения субъектов и объектов доступа из схемы мандатного управления.
|
|
|
|
|
Дата добавления: 2014-01-05; Просмотров: 472; Нарушение авторских прав?; Мы поможем в написании вашей работы!