Н.В. Курмышев, С.В. Попов МОДЕЛЬ ОРГАНИЗАЦИИ ПРАВ ДОСТУПА В ВЕБ-ПРИЛОЖЕНИЯХ ДЛЯ ДИСКРЕЦИОННЫХ И РОЛЕВЫХ СХЕМ Новгородский государственный университет Докладчик:

Презентация:



Advertisements
Похожие презентации
Н.В.Курмышев, С.В.Попов ПОРТАЛ НОВГУ. ТЕХНОЛОГИЧЕСКИЕ И ОРГАНИЗАЦИОННЫЕ АСПЕКТЫ Новгородский государственный университет Докладчик: Курмышев Николай Васильевич,
Advertisements

Н.В. Курмышев, С.В. Попов, Е.А. Морозов ПОВЫШЕНИЕ ЭФФЕКТИВНОСТИ ПОРТАЛА НОВГОРОДСКОГО ГОСУДАРСТВЕННОГО УНИВЕРСИТЕТА Новгородский государственный университет.
Н.В. Курмышев, М.И. Кривый, С.Н. Сидорин ПРОГРАММНЫЙ КОМПЛЕКС ДЛЯ АНАЛИЗА ОБРАЩЕНИЯ К ИНТЕРНЕТ-РЕСУРСАМ Новгородский государственный университет Докладчик:
Новые предложения НовГУ в области ИКТ для новгородских образовательных учреждений 17 марта 2011 г. Докладчик: проректор по информатизации Курмышев Николай.
Разработка учебного курса «Технологии построения Интернет-порталов» Новгородский государственный университет Докладчики: Курмышев Николай Васильевич, Проректор.
К построению и контролю соблюдения политик безопасности распределенных компьютерных систем на основе механизмов доверия А. А. Иткес В. Б. Савкин Институт.
1 Дистанционная форма обучения в НовГУ: текущее состояние и перспективы развития Докладчик: проректор по НИТ Курмышев Николай Васильевич Тел. +7 (8162)
Объектная модель многофункциональных словарей Докладчик: Носков А. А. Группа: 525 Научный руководитель: Большакова Е. И.
1 Диаграммы реализации (implementation diagrams).
Введение в теорию конечных автоматов. В вычислительной технике используются системы двух классов: -Комбинационные системы Особенности: имеют функциональную.
Модуль анализа и планирования содержания учебных курсов для LCMS 1С:Электронное обучение. Конструктор курсов И. О. Семенов, Г. С. Сиговцев Петрозаводский.
Классификация БД. СУБД и ее компоненты. Логическое и физическое описание данных.
Выполнила студентка II курса ГБОУ СПО Баймакский сельскохозяйственный техникум Вахитова Гульназ.
Мандатная модель Дискреционная модель Ролевая модель Улучшенная ролевая модель (ForceField)
Диаграммы реализации. Основные вопросы Виды и назначение диаграмм реализации Основные компоненты Примеры.
Автоматное программирование А. А. Шалыто Санкт-Петербургский государственный университет информационных технологий, механики и оптики 2009 г.
АВТОМАТИЧЕСКОЕ ФОРМИРОВАНИЕ УЗЛОВЫХ И КОНТУРНЫХ УРАВНЕНИЙ СЕТЕВОГО ОБЪЕКТА Назаренко Д.А., Чередникова О.Ю.
Локальная сеть Типы локальных сетей Топология сетей.
Принципы согласования гетерогенных сетей. Маршрутизация пакетов. Борисов В.А. КАСК – филиал ФГБОУ ВПО РАНХ и ГС Красноармейск 2011 г.
Транксрипт:

Н.В. Курмышев, С.В. Попов МОДЕЛЬ ОРГАНИЗАЦИИ ПРАВ ДОСТУПА В ВЕБ-ПРИЛОЖЕНИЯХ ДЛЯ ДИСКРЕЦИОННЫХ И РОЛЕВЫХ СХЕМ Новгородский государственный университет Докладчик: Курмышев Николай Васильевич, к.т.н., проректор по НИТ НовГУ, Тел. +7 (8162)

Модель организации прав доступа в веб-приложениях для дискреционных и ролевых схем 2 Назначение модели Описание дискреционных и ролевых схем организации прав доступа. Анализ характеристик схем и систем прав доступа. позволять описывать различные дискреционные и ролевые схемы, определяющие права доступа пользователей к ресурсам; охватывать максимально возможное количество схем назначения прав доступа; позволять анализировать следующие характеристики схем: Назначение модели: Требования к модели: сложность администрирования; вычислительная сложность; сложность реализации; избыточность; превышение доступа.

Модель организации прав доступа в веб-приложениях для дискреционных и ролевых схем 3 Общий вид модели Субъекты (V S ) Прямые назначения (E SA ) Ресурсы (V R ) Права (V A ) Наследование прав (E A ) Наследование пользователей и групп (E S ) Наследование ресурсов (E R ) Группа Пользователь Модель представляется в виде ориентированного графа, объединяющего множества субъектов, ресурсов и прав доступа. При этом дуги графа обозначают передачу прав доступа от одного элемента системы другому.

Модель организации прав доступа в веб-приложениях для дискреционных и ролевых схем 4 Пример маршрута доступа sisi ajaj Пример маршрута доступа из субъекта s i к праву a j. Если такой маршрут существует, пользователь s i имеет доступ a j к ресурсу r k

Модель организации прав доступа в веб-приложениях для дискреционных и ролевых схем 5 Пример представления табличной схемы Табличная схема предполагает отсутствие наследования по всем множествам.

Модель организации прав доступа в веб-приложениях для дискреционных и ролевых схем 6 Пример представления схемы с наследованием по ресурсам Наиболее популярная схема для простых веб-приложений. Позволяет наследовать права по иерархии ресурсов.

Модель организации прав доступа в веб-приложениях для дискреционных и ролевых схем 7 Схема IBM WebSphere Portal Схема, применяемая в WebSphere Portal является одной из наиболее универсальных из представленных на рынке. Позволяет наследовать права по иерархии пользователей, ресурсов и прав внутри ресурсов. Также позволяет блокировать наследование определенной роли по иерархии ресурсов.

Модель организации прав доступа в веб-приложениях для дискреционных и ролевых схем 8 Сложность реализации Сложность реализации – трудозатраты на программную реализацию схемы. Сложность реализации имеет значение при реализации относительно небольших проектов, где на первое место ставится простота и быстродействие. Эта характеристика применима только к схемам, но не к конечным системам, поскольку именно схема определяет программный код. С реализации ~ K 1 *наличие схемы прав доступа + K 2 *наличие групп + K 3 *наличие связей между группами + K 4 *наличие наследования ресурсов + K 5 *наличие ролей

Модель организации прав доступа в веб-приложениях для дискреционных и ролевых схем 9 Сложность администрирования Сложность администрирования – трудозатраты на администрирование системы, построенной по заданной схеме. Сложность администрирования возрастает с увеличением количества администрируемых объектов. Будем рассматривать сложность администрирования как количество узлов и дуг графа, создаваемых вручную администратором. С администрирования ~ (Среднее количество прав, назначаемых одному субъекту) * (!Наличие групп * Количество пользователей + Наличие групп * (!Наличие связей между группами * Количество пользователей/Среднее количество пользователей в группе + Наличие связей между группами / Среднее количество подгрупп всех уровней для групп схемы))

Модель организации прав доступа в веб-приложениях для дискреционных и ролевых схем 10 Вычислительная сложность Вычислительная сложность – среднее количество операций, выполняемых системой для определения наличия права доступа. Чем сложнее схема и больше объектов, тем выше вычислительная сложность. С вычислительная ~ log (Количество пользователей) * log (Количество групп) * Средняя глубина наследования групп * log (Количество ресурсов) * Средняя глубина наследования ресурсов * log (Среднее количество прав доступа для ресурса) * Средняя глубина наследования ролей в ресурсе

Модель организации прав доступа в веб-приложениях для дискреционных и ролевых схем 11 Избыточность Избыточность – свойство схемы, позволяющее назначать право доступа несколькими путями в один момент времени (за счет наследования). В конечном итоге влияет на безопасность системы, например администратор может удалить пользователя из группы с целью отобрать у него право доступа к определенному ресурсу. Но при этом пользователь будет наследовать это право через другую группу. S(M) – сумма элементов матрицы M, M* - матрица количества всех возможных путей в графе, М* 1 – матрица, полученная из M* путем замены всех ненулевых элементов на 1

Модель организации прав доступа в веб-приложениях для дискреционных и ролевых схем 12 Превышение доступа Превышение доступа – получение пользователями системы не запрошенных прав доступа. Возникает при наличии наследования. Пользователь может получить унаследованное право на ресурс, в то время как доступ к нему не был необходим. P D – множество запрошенных прав доступа, P P – множество предоставленных прав доступа

Модель организации прав доступа в веб-приложениях для дискреционных и ролевых схем 13 Сравнение различных схем В качестве примера для сравнения приведем две схемы. В первой схеме используются группы пользователей, во второй группы отсутствуют.

Модель организации прав доступа в веб-приложениях для дискреционных и ролевых схем 14 Зависимость сложности администрирования от количества пользователей При наличии групп сложность администрирования значительно ниже.

Модель организации прав доступа в веб-приложениях для дискреционных и ролевых схем 15 Зависимость вычислительной сложности от количества пользователей В схеме с группами вычислительная сложность выше.

Модель организации прав доступа в веб-приложениях для дискреционных и ролевых схем 16 Зависимость сложности администрирования от количества ресурсов Наличие наследования ресурсов так же существенно снижает сложность администрирования, как и наличие групп пользователей. Сравним две другие схемы. В первой присутствует наследование ресурсов, во второй – нет.

Модель организации прав доступа в веб-приложениях для дискреционных и ролевых схем 17 Зависимость вычислительной сложности от количества ресурсов Вычислительная сложность при наличии наследования значительно выше, чем без наследования ресурсов.

Модель организации прав доступа в веб-приложениях для дискреционных и ролевых схем 18 Имитационная модель Для подтверждения результатов аналитической модели была разработана имитационная модель, эмулирующая различные схемы. В ходе имитации был подтвержден характер зависимостей, проанализированных в аналитической модели.

Спасибо за внимание! Новгородский государственный университет Докладчик: Курмышев Николай Васильевич, к.т.н., проректор по НИТ НовГУ, Тел. +7 (8162)