Н.В. Курмышев, С.В. Попов МОДЕЛЬ ОРГАНИЗАЦИИ ПРАВ ДОСТУПА В ВЕБ-ПРИЛОЖЕНИЯХ ДЛЯ ДИСКРЕЦИОННЫХ И РОЛЕВЫХ СХЕМ Новгородский государственный университет Докладчик: Курмышев Николай Васильевич, к.т.н., проректор по НИТ НовГУ, Тел. +7 (8162)
Модель организации прав доступа в веб-приложениях для дискреционных и ролевых схем 2 Назначение модели Описание дискреционных и ролевых схем организации прав доступа. Анализ характеристик схем и систем прав доступа. позволять описывать различные дискреционные и ролевые схемы, определяющие права доступа пользователей к ресурсам; охватывать максимально возможное количество схем назначения прав доступа; позволять анализировать следующие характеристики схем: Назначение модели: Требования к модели: сложность администрирования; вычислительная сложность; сложность реализации; избыточность; превышение доступа.
Модель организации прав доступа в веб-приложениях для дискреционных и ролевых схем 3 Общий вид модели Субъекты (V S ) Прямые назначения (E SA ) Ресурсы (V R ) Права (V A ) Наследование прав (E A ) Наследование пользователей и групп (E S ) Наследование ресурсов (E R ) Группа Пользователь Модель представляется в виде ориентированного графа, объединяющего множества субъектов, ресурсов и прав доступа. При этом дуги графа обозначают передачу прав доступа от одного элемента системы другому.
Модель организации прав доступа в веб-приложениях для дискреционных и ролевых схем 4 Пример маршрута доступа sisi ajaj Пример маршрута доступа из субъекта s i к праву a j. Если такой маршрут существует, пользователь s i имеет доступ a j к ресурсу r k
Модель организации прав доступа в веб-приложениях для дискреционных и ролевых схем 5 Пример представления табличной схемы Табличная схема предполагает отсутствие наследования по всем множествам.
Модель организации прав доступа в веб-приложениях для дискреционных и ролевых схем 6 Пример представления схемы с наследованием по ресурсам Наиболее популярная схема для простых веб-приложений. Позволяет наследовать права по иерархии ресурсов.
Модель организации прав доступа в веб-приложениях для дискреционных и ролевых схем 7 Схема IBM WebSphere Portal Схема, применяемая в WebSphere Portal является одной из наиболее универсальных из представленных на рынке. Позволяет наследовать права по иерархии пользователей, ресурсов и прав внутри ресурсов. Также позволяет блокировать наследование определенной роли по иерархии ресурсов.
Модель организации прав доступа в веб-приложениях для дискреционных и ролевых схем 8 Сложность реализации Сложность реализации – трудозатраты на программную реализацию схемы. Сложность реализации имеет значение при реализации относительно небольших проектов, где на первое место ставится простота и быстродействие. Эта характеристика применима только к схемам, но не к конечным системам, поскольку именно схема определяет программный код. С реализации ~ K 1 *наличие схемы прав доступа + K 2 *наличие групп + K 3 *наличие связей между группами + K 4 *наличие наследования ресурсов + K 5 *наличие ролей
Модель организации прав доступа в веб-приложениях для дискреционных и ролевых схем 9 Сложность администрирования Сложность администрирования – трудозатраты на администрирование системы, построенной по заданной схеме. Сложность администрирования возрастает с увеличением количества администрируемых объектов. Будем рассматривать сложность администрирования как количество узлов и дуг графа, создаваемых вручную администратором. С администрирования ~ (Среднее количество прав, назначаемых одному субъекту) * (!Наличие групп * Количество пользователей + Наличие групп * (!Наличие связей между группами * Количество пользователей/Среднее количество пользователей в группе + Наличие связей между группами / Среднее количество подгрупп всех уровней для групп схемы))
Модель организации прав доступа в веб-приложениях для дискреционных и ролевых схем 10 Вычислительная сложность Вычислительная сложность – среднее количество операций, выполняемых системой для определения наличия права доступа. Чем сложнее схема и больше объектов, тем выше вычислительная сложность. С вычислительная ~ log (Количество пользователей) * log (Количество групп) * Средняя глубина наследования групп * log (Количество ресурсов) * Средняя глубина наследования ресурсов * log (Среднее количество прав доступа для ресурса) * Средняя глубина наследования ролей в ресурсе
Модель организации прав доступа в веб-приложениях для дискреционных и ролевых схем 11 Избыточность Избыточность – свойство схемы, позволяющее назначать право доступа несколькими путями в один момент времени (за счет наследования). В конечном итоге влияет на безопасность системы, например администратор может удалить пользователя из группы с целью отобрать у него право доступа к определенному ресурсу. Но при этом пользователь будет наследовать это право через другую группу. S(M) – сумма элементов матрицы M, M* - матрица количества всех возможных путей в графе, М* 1 – матрица, полученная из M* путем замены всех ненулевых элементов на 1
Модель организации прав доступа в веб-приложениях для дискреционных и ролевых схем 12 Превышение доступа Превышение доступа – получение пользователями системы не запрошенных прав доступа. Возникает при наличии наследования. Пользователь может получить унаследованное право на ресурс, в то время как доступ к нему не был необходим. P D – множество запрошенных прав доступа, P P – множество предоставленных прав доступа
Модель организации прав доступа в веб-приложениях для дискреционных и ролевых схем 13 Сравнение различных схем В качестве примера для сравнения приведем две схемы. В первой схеме используются группы пользователей, во второй группы отсутствуют.
Модель организации прав доступа в веб-приложениях для дискреционных и ролевых схем 14 Зависимость сложности администрирования от количества пользователей При наличии групп сложность администрирования значительно ниже.
Модель организации прав доступа в веб-приложениях для дискреционных и ролевых схем 15 Зависимость вычислительной сложности от количества пользователей В схеме с группами вычислительная сложность выше.
Модель организации прав доступа в веб-приложениях для дискреционных и ролевых схем 16 Зависимость сложности администрирования от количества ресурсов Наличие наследования ресурсов так же существенно снижает сложность администрирования, как и наличие групп пользователей. Сравним две другие схемы. В первой присутствует наследование ресурсов, во второй – нет.
Модель организации прав доступа в веб-приложениях для дискреционных и ролевых схем 17 Зависимость вычислительной сложности от количества ресурсов Вычислительная сложность при наличии наследования значительно выше, чем без наследования ресурсов.
Модель организации прав доступа в веб-приложениях для дискреционных и ролевых схем 18 Имитационная модель Для подтверждения результатов аналитической модели была разработана имитационная модель, эмулирующая различные схемы. В ходе имитации был подтвержден характер зависимостей, проанализированных в аналитической модели.
Спасибо за внимание! Новгородский государственный университет Докладчик: Курмышев Николай Васильевич, к.т.н., проректор по НИТ НовГУ, Тел. +7 (8162)