RU2583757C2 - System for session-based control of access to created files - Google Patents
System for session-based control of access to created files Download PDFInfo
- Publication number
- RU2583757C2 RU2583757C2 RU2013154846/08A RU2013154846A RU2583757C2 RU 2583757 C2 RU2583757 C2 RU 2583757C2 RU 2013154846/08 A RU2013154846/08 A RU 2013154846/08A RU 2013154846 A RU2013154846 A RU 2013154846A RU 2583757 C2 RU2583757 C2 RU 2583757C2
- Authority
- RU
- Russia
- Prior art keywords
- input
- access
- file
- output
- session
- Prior art date
Links
Images
Abstract
Description
Изобретение относится к области вычислительной техники, а именно к области защиты от несанкционированного доступа (НСД) к информации, создаваемой и хранимой в компьютерных системах (КС).The invention relates to the field of computer technology, and in particular to the field of protection against unauthorized access (unauthorized access) to information created and stored in computer systems (CS).
Одной из ключевых задач защиты информации, обрабатываемой в КС, является реализация контроля доступа (разграничительной политики доступа) к файловым объектам, которые могут быть предназначены как для хранения обрабатываемой на компьютере информации - создаваемые файлы, так и для хранения системных объектов - исполняемые файлы и файлы настройки ОС и приложений - системные файлы.One of the key tasks of protecting information processed in the CS is the implementation of access control (delimiting access policy) to file objects, which can be designed both for storing information processed on a computer - created files, and for storing system objects - executable files and files OS and application settings - system files.
Анализ литературных источников позволяет отметить следующее. Несмотря на то что наиболее актуальной современной задачей контроля доступа является реализация разграничительной политики доступа к информации между субъектами доступа (субъект доступа в общем случае определяется учетной информацией пользователя и именем процесса (полнопутевым именем исполняемого файла процесса), на практике разграничивается доступ субъектов к объектам. Т.е. первичным при назначении разграничений прав доступа в известных методах контроля доступа является объект, к нему разграничиваются права доступа субъектов. Основное противоречие в подобных решениях состоит в следующем. Создаваемых файлов при назначении разграничительной политики доступа администратором еще попросту нет, они создаются впоследствии, в процессе функционирования системы. Резонно возникает вопрос: как же к ним разграничивать доступ, если их еще нет в КС? А ведь это те объекты (прежде всего файлы), которые в первую очередь и нуждаются в защите от несанкционированного доступа, поскольку именно они и содержат защищаемую обрабатываемую в КС информацию.Analysis of literary sources allows us to note the following. Despite the fact that the most urgent modern task of access control is to implement a delimiting policy of access to information between access entities (the access subject is generally determined by the user’s account information and the process name (the full path name of the process executable file), in practice, the access of subjects to objects is differentiated. .e. the primary object when assigning access rights delimitation in known access control methods is an object, access rights of subjects are delimited to it. The main contradiction in such decisions consists in the following: there are simply no files created when the administrator defines a differentiated access policy, they are created later, during the system’s functioning. these are those objects (primarily files) that, in the first place, need protection against unauthorized access, since it is they that contain the protected information processed in the CS.
В известных методах реализация контроля доступа к статичным и к создаваемым файловым объектам не различается. В любом случае реализуется контроль доступа к статичным (созданным до момента администрирования системы - назначения прав доступа к объектам субъектов) объектам, посредством назначения атрибутов объекту (прав доступа субъектов к объекту). При этом существует две возможности назначения прав. Первая состоит в решении задачи задания прав доступа к создаваемому объекту опосредованно, путем включения в систему на момент задания разграничительной политики доступа соответствующих статичных включающих объектов - папок (своего рода «контейнеров»), доступ к которым субъектам разграничивается администратором, в том числе и по созданию в них новых объектов. При этом соответствующими разграничениями пользователь «принуждается» создавать новые файловые объекты (файлы) только в тех папках (контейнерах), которые специально для этих целей созданы. Создаваемые же файловые объекты наследуют разграничения доступа от соответствующих включающих объектов.In known methods, the implementation of access control to static and to created file objects does not differ. In any case, access control is implemented to static (created prior to the system administration - assigning access rights to subjects 'objects) objects by assigning attributes to an object (subjects' access rights to objects). There are two possibilities for assigning rights. The first consists in solving the task of setting access rights to the created object indirectly, by including in the system at the time of setting the differentiation policy of access the corresponding static inclusive objects - folders (a kind of "containers"), access to which the subjects are differentiated by the administrator, including creating in them new objects. At the same time, the user is “forced” to create new file objects (files) only in those folders (containers) that are specially created for these purposes by appropriate delineations. The created file objects inherit access control from the corresponding inclusive objects.
Как видим, при этом собственно к создаваемым объектам (файлам) контроля доступа как такового не осуществляется, файл вообще «исчезает» как сущность из разграничительной политики доступа - в ней используются две сущности - субъект доступа и специально созданный контейнер - объект доступа (папка). Такой подход подразумевает дополнительное создание администратором включающего объекта (с назначением прав доступа к нему субъектов) для каждого субъекта (группы равноправных субъектов) доступа, что само по себе является сложной задачей администрирования. Задача администрирования многократно усложняется в случае, если в качестве субъекта доступа должна выступать не только учетная запись, но и непосредственно процесс (приложение), без чего эффективную защиту в современных условиях не создать.As you can see, in this case access to the created objects (files) is not carried out as such, the file generally “disappears” as an entity from the delimiting access policy - it uses two entities - the access subject and the specially created container - the access object (folder). This approach implies the additional creation by the administrator of an inclusive object (with the assignment of access rights to subjects for it) for each subject (group of equal subjects) of access, which in itself is a complex administrative task. The task of administration is complicated many times if the subject of access should be not only an account, but also the process (application) itself, without which effective protection cannot be created in modern conditions.
Вторая возможность состоит в использовании в разграничительной политике доступа сущности «Владения», предоставляемой современными универсальными ОС, суть которой сводится к тому, что пользователь, создавший объект («Владелец» объекта), наделяется полномочиями разграничивать права доступа к этому объекту для иных пользователей. В этом случае, несмотря на то что опять же права доступа в виде атрибутов в конечном счете назначаются именно статичному объекту (файлу владельцем, уже после его создания - лишь после создания файла владелец может назначить права доступа к этому файлу), в определенном смысле можно говорить о контроле доступа к создаваемым файлам, поскольку права доступа на созданный файл назначаются пользователем-владельцем уже после задания администратором разграничительной политики доступа к объектам. Достигается же это за счет того, что изменяется собственно схема администрирования, непосредственно способ задания разграничительной политики - реализуется непрерывное администрирование в процессе функционирования системы.The second possibility is to use the “Ownership” entity in the access control policy provided by modern universal operating systems, the essence of which is that the user who created the object (the “Owner” of the object) is empowered to differentiate access rights to this object for other users. In this case, despite the fact that again access rights in the form of attributes are ultimately assigned to a static object (the file is owned by the owner, after its creation - only after the file is created, the owner can assign access rights to this file), in a certain sense we can say on access control to the created files, since access rights to the created file are assigned by the owner user after the administrator sets the delimiting policy of access to objects. This is achieved due to the fact that the administration scheme itself is being changed, directly the way to set a differentiating policy - continuous administration is being implemented during the functioning of the system.
Однако функции администрирования при этом возлагаются уже не на администратора, а непосредственно на пользователя, что недопустимо при построении безопасных КС в современных условиях, когда санкционированный пользователь (инсайдер) несет в себе наиболее вероятную угрозу осуществления несанкционированного доступа к обрабатываемой на КС информации.However, the administration functions are no longer assigned to the administrator, but directly to the user, which is unacceptable when building secure CAs in modern conditions, when an authorized user (insider) carries the most likely threat of unauthorized access to information processed on the CS.
Другой возможностью кардинального повышения уровня защиты является реализация сессионного контроля доступа, предполагающего реализацию разграничительной политики доступа к ресурсам между сессиями (режимами) обработки информации, где один и тот же пользователь может работать в различных сессиях (с различными правами доступа к одним и тем же ресурсам). Обоснование эффективности подобного контроля доступа, основанное на разработанной вероятностной модели контроля доступа (вероятность атак в различных сессиях обработки информации принципиально отличается), представлено в работе: Щеглов К.А., Щеглов А.Ю. Защита от атак на уязвимости приложений. Модели контроля доступа // Вопросы защиты информации. - Москва: ВИМИ, 2013. - Вып.101. - №2. - С.36-43. Как видим, для реализации сессионного контроля доступа, в качестве субъекта доступа - сущности, для которой разграничиваются права доступа к ресурсам (в нашем случае - к файловым объектам), должна выступать сущность "сессия", причем пользователь должен обладать возможностью выбора сессии (режима) обработки защищаемой информации, поскольку в общем случая ему должна предоставляться возможность работы в различных сессиях с различными правами доступа к ресурсам, например в открытой и в конфиденциальной.Another opportunity to dramatically increase the level of protection is the implementation of session-based access control, which implies the implementation of a delimiting policy of access to resources between information processing sessions (modes), where the same user can work in different sessions (with different access rights to the same resources) . The rationale for the effectiveness of such access control, based on the developed probabilistic model of access control (the probability of attacks in different information processing sessions is fundamentally different), is presented in the work: Shcheglov K.A., Shcheglov A.Yu. Protection against attacks on application vulnerabilities. Access Control Models // Information Security Issues. - Moscow: VIMI, 2013 .-- Issue 101. - No. 2. - S. 36-43. As we see, for the implementation of session access control, the entity “session” should act as the subject of access — an entity for which access rights to resources are distinguished (in our case, file objects), and the user must be able to choose a session (mode) processing protected information, since in the general case he should be given the opportunity to work in various sessions with different access rights to resources, for example, in open and confidential.
В настоящее время известны различные системы контроля доступа к файлам.Currently, various file access control systems are known.
Так, например, в заявке ЕПВ N 0192243 (кл. G06F 12/14, 1986) описан способ защиты системных файлов, в котором информация, определяющая права доступа системных пользователей, остается все время в безопасном процессоре. В разграничительной политике доступа присутствуют две сущности - субъект и объект доступа, метки безопасности должны присваиваться администратором и субъектам, и объектам доступа. Система не позволяет реализовать сессионный контроль доступа к файловым объектам.So, for example, in application EPO N 0192243 (CL G06F 12/14, 1986) a method for protecting system files is described in which information defining the access rights of system users remains all the time in a secure processor. In the delimiting access policy, there are two entities - the subject and the access object, security labels must be assigned by the administrator and the subjects and access objects. The system does not allow implementing session control of access to file objects.
В патенте №2134931 (кл. H04L 9/32, G06F 12/14) описан способ обеспечения доступа к объектам в операционной системе, основанный на назначении меток безопасности субъектам и объектам доступа, при этом для каждого объекта операционной системы заранее формируют и затем запоминают в памяти сигнал метки объекта, т.е. права доступа к объектам, назначаемые в виде меток безопасности, опять же должны присваиваться администраторам статичным объектам (папкам). В разграничительной политике доступа присутствуют две сущности - субъект и объект доступа, метки безопасности должны присваиваться администратором и субъектам, и объектам доступа. Система не позволяет реализовать сессионный контроль доступа к файловым объектам.Patent No. 2134931 (
Наиболее близкой по техническому решению и выбранной авторами за прототип является система контроля доступа к файлам, реализуемая в ОС Microsoft Windows с файловой системой NTFS, использующая для хранения прав доступа к файлам (ACL) атрибуты файлов (в частности, Security Descriptor - этот атрибут содержит информацию о защите файла: список прав доступа ACL и поле аудита, которое определяет, какого рода операции над этим файлом нужно регистрировать) [М. Руссинович, Д. Соломон. Внутреннее устройство Microsoft Windows. - СПб.: Питер, 2005 - 992 с. (глава 8, рис.8.5. Пример проверки прав доступа)].Closest to the technical solution and chosen by the authors for the prototype is a file access control system implemented in Microsoft Windows with the NTFS file system, which uses file attributes (in particular, Security Descriptor - to store file access rights (ACL) - this attribute contains information on file protection: ACL access list and audit field, which determines what kind of operations on this file should be registered) [M. Russinovich, D. Solomon. Microsoft Windows internal device. - St. Petersburg: Peter, 2005 - 992 p. (
Система представлена на Фиг.1. Система контроля доступа к файлам содержит решающий блок 1, блок хранения атрибутов файлов 2, причем первый вход решающего блока соединен с первым входом системы 3, второй вход - с выходом блока хранения атрибутов файлов 2, первый выход - с первым входом блока хранения атрибутов файлов 2, второй выход - с выходом системы 4, второй вход блока хранения атрибутов файлов 2 соединен со вторым входом системы 5.The system is presented in figure 1. The file access control system contains a deciding
Работает система следующим образом. Администратором или «Владельцем» (пользователем, создавшим файл) со второго входа системы 5 (со входа задания атрибутов доступа к файлам) в блок хранения атрибутов файлов 2 устанавливаются атрибуты (права) доступа к файлам (к объектам) субъектов, в которых для каждого файла указывается, какие субъекты имеют право доступа и какие им разрешены права доступа к файлу (чтение, запись, исполнение, переименование, удаление и т.д.). При запросе доступа, содержащем в своем составе имя субъекта (имя пользователя (учетной записи) и имя процесса, запрашивающих доступ, а также запрашиваемые права доступа - чтение, запись и т.д.) к файлу, запрос доступа с первого входа системы 3 (со входа запроса доступа к файлу) поступает на решающий блок 1. Для обработки запроса доступа решающий блок с первого выхода запрашивает у блока хранения атрибутов файлов 2 атрибуты файла, к которому запрошен доступ, получает их на второй вход и сравнивает запрошенные права доступа к файлу с разрешенными правами доступа к файлу, указанными в атрибутах файла. В результате сравнения решающий блок выдает на выход системы 4 (на управляющий выход разрешения/запрета доступа) управляющий сигнал, разрешающий (если запрос не противоречит разрешениям) или отклоняющий запрошенный у системы с первого входа системы 3 доступ.The system works as follows. The administrator or the “Owner” (the user who created the file) from the second input of the system 5 (from the input of setting the file access attributes) to the file
Недостатком прототипа является то, что он позволяет реализовать разграничительную политику доступа к статичным объектам (к объектам, созданным администратором до назначения прав доступа - к папкам), к создаваемым же в них файлам лишь опосредованно, через статичные объекты - папки. Вся разграничительная политика реализуется для двух равноправных сущностей - субъект и объект доступа - устанавливаются права доступа к объектам субъектов. Практическая же возможность назначать права доступа владельцами к созданным ими файлам не позволяет построить безопасную КС, как следствие, не должна использоваться в современных КС - пользователь должен быть исключен из схемы администрирования (назначения прав) прав доступа к файлам. Все это ограничивает функциональные возможности системы контроля доступа к файлам и существенно усложняет ее администрирование. Кроме того, прототип не позволяет реализовать сессионный контроль доступа к файловым объектам, в том числе к создаваемым. Один и тот же пользователь не имеет возможности работы в различных режимах - с различными разграничениями прав доступа к одним и тем же файловым объектам в различных сессиях.The disadvantage of the prototype is that it allows you to implement a delimiting policy of access to static objects (to objects created by the administrator before assigning access rights to folders), to files created in them only indirectly, through static objects - folders. The entire demarcation policy is implemented for two equal entities - the subject and the access object - access rights to the objects of the subjects are established. The practical ability to assign access rights to the files created by them by the owners does not allow building a secure CS; as a result, it should not be used in modern CSs - the user should be excluded from the administration (assignment of rights) file access rights scheme. All this limits the functionality of the file access control system and significantly complicates its administration. In addition, the prototype does not allow for session control of access to file objects, including created ones. The same user does not have the ability to work in different modes - with different delimitation of access rights to the same file objects in different sessions.
В предлагаемом изобретении решаются задачи расширения функциональных возможностей контроля доступа к файлам и упрощения задачи администрирования системы контроля доступа.The present invention solves the problem of expanding the functionality of access control to files and simplifying the task of administering an access control system.
Для достижения технического результата в систему контроля доступа к файлам, содержащую решающий блок, блок хранения атрибутов файлов, причем первый вход решающего блока соединен с первым входом системы, второй выход - с выходом системы, дополнительно введены блок автоматической разметки файлов, блок хранения правил доступа к файлам, блок выбора сессии пользователями, причем первый вход решающего блока соединен с первым входом блока автоматической разметки файлов, второй вход которого соединен с третьим входом системы, первый выход - с первым входом блока хранения атрибутов файлов, выход которого соединен с третьим входом блока автоматической разметки файлов, второй вход - со вторым выходом блока автоматической разметки файлов, третий выход которого соединен с первым входом блока хранения правил доступа к файлам, второй вход которого соединен со вторым входом системы, третий вход - с первым выходом решающего блока, второй вход которого - с выходом блока хранения правил доступа к файлам, вход/выход блока выбора сессии пользователями соединен со входом/выходом системы, вход - с четвертым входом системы, выход - с третьим входом решающего блока, с четвертым входом блока автоматической разметки файлов.To achieve a technical result, a file access control system containing a decision block, a file attribute storage unit, the first input of the decision block is connected to the first input of the system, the second output to the system output, an automatic file markup block, an access rules storage block are added files, a session selection unit by users, the first input of the deciding unit connected to the first input of the automatic file markup unit, the second input of which connected to the third input of the system, the first output to the first input of the file attribute storage unit, the output of which is connected to the third input of the automatic file marking unit, the second input - with the second output of the automatic file marking unit, the third output of which is connected to the first input of the file access rule storage unit, the second input of which is connected to the second input system, the third input is with the first output of the decisive block, the second input of which is with the output of the file access rules storage block, the input / output of the session selection block by users is connected to the input / output of the system, input - with the fourth input of the system, the output - with the third input of the decisive block, with the fourth input of the block for automatic file marking.
Новым в предлагаемом изобретении является снабжение системы контроля доступа к файлам блоком автоматической разметки файлов, блоком хранения правил доступа к файлам, блоком выбора сессии пользователями и их связей.New in the present invention is the provision of a file access control system with an automatic file markup unit, a file access rule storage unit, a session selection unit for users and their connections.
В результате проведенного заявителем анализа уровня техники, включая поиск по патентным и научно-техническим источникам информации и выявление источников, содержащих сведения об аналогах заявленного технического решения, не было обнаружено источника, характеризующегося признаками, тождественными всем существенным признакам заявленного технического решения. Определение из перечня выявленных аналогов прототипа, как наиболее близкого по совокупности признаков аналога, позволило установить совокупность существенных по отношению к усматриваемому заявителем техническому результату отличительных признаков заявленной системы сессионного контроля доступа к создаваемым файлам. Следовательно, заявленное техническое решение соответствует критерию «новизна».As a result of the analysis of the prior art by the applicant, including a search by patent and scientific and technical sources of information and identification of sources containing information about analogues of the claimed technical solution, no source was found characterized by features identical to all the essential features of the claimed technical solution. The determination from the list of identified analogues of the prototype as the closest analogue in terms of the totality of features made it possible to establish the set of distinguishing features essential to the applicant’s technical result of the claimed system of session control of access to the generated files. Therefore, the claimed technical solution meets the criterion of "novelty."
Проведенный заявителем дополнительный поиск не выявил известные решения, содержащие признаки, совпадающие с отличительными от прототипа признаками заявленной системы сессионного контроля доступа к создаваемым файлам. Заявленное техническое решение не вытекает для специалиста явным образом из известного уровня техники и не основано на изменении количественных признаков. Следовательно, заявленное техническое решение соответствует критерию «изобретательский уровень».An additional search carried out by the applicant did not reveal known solutions containing features that match the distinctive features of the claimed system of session control of access to generated files that are distinct from the prototype. The claimed technical solution does not follow for the specialist explicitly from the prior art and is not based on a change in quantitative characteristics. Therefore, the claimed technical solution meets the criterion of "inventive step".
Совокупность существенных признаков в предлагаемом изобретении позволила обеспечить расширение функциональных возможностей контроля доступа к файлам, а также упростить задачу администрирования системы.The set of essential features in the present invention made it possible to expand the functionality of access control to files, as well as simplify the task of administering the system.
В результате можно сделать вывод о том, что:As a result, we can conclude that:
- предлагаемое техническое решение обладает изобретательским уровнем, т.к. оно явным образом не следует из уровня техники;- the proposed technical solution has an inventive step, because it does not explicitly follow from the prior art;
- изобретение является новым, так как из уровня техники по доступным источникам информации не выявлено аналогов с подобной совокупностью признаков;- the invention is new, since the prior art on available sources of information did not reveal analogues with a similar set of features;
- изобретение является промышленно применимым, так как может быть использовано во всех областях, где требуется реализация контроля доступа (разграничений прав доступа) к файлам.- the invention is industrially applicable, as it can be used in all areas where implementation of access control (access rights delimitation) to files is required.
Предлагаемое изобретение поясняется чертежом, представленным на Фиг.2.The invention is illustrated by the drawing shown in Fig.2.
Заявляемая система сессионного контроля доступа к создаваемым файлам содержит: решающий блок 1, блок автоматической разметки файлов 2, блок хранения правил доступа к файлам 3, блок выбора сессии пользователями 4, блок хранения атрибутов файлов 5, причем первый вход решающего блока 1 соединен с первым входом системы 6, с первым входом блока автоматической разметки файлов 2, второй вход которого соединен третьим входом системы 9, первый выход - с первым входом блока хранения атрибутов файлов 5, выход которого соединен с третьим входом блока автоматической разметки файлов 2, второй выход которого - со вторым входом блока хранения атрибутов файлов 5, третий выход блока автоматической разметки файлов 2 соединен с первым входом блока хранения правил доступа к файлам 3, второй вход которого - со вторым входом системы 8, третий вход - с первым выходом решающего блока 1, второй вход которого - с выходом блока хранения правил доступа к файлам 3, второй выход решающего блока 1 - с выходом системы 7, вход/выход блока выбора сессии пользователями 4 соединен со входом/выходом системы 10, вход - с четвертым входом системы 11, выход - с третьим входом решающего блока 1, с четвертым входом блока автоматической разметки файлов 2.The inventive system of session control of access to the generated files contains: a decisive block 1, an automatic file markup unit 2, a file access rule storage unit 3, a session selection unit by users 4, a file attribute storage unit 5, the first input of the deciding unit 1 being connected to the first input system 6, with the first input of the automatic file markup unit 2, the second input of which is connected to the third input of the system 9, the first output is with the first input of the file attribute storage unit 5, the output of which is connected to the third input of the machine file marking 2, the second output of which is with the second input of the file attribute storage unit 5, the third output of the automatic file marking unit 2 is connected to the first input of the file access rule storage unit 3, the second input of which is with the second input of the system 8, the third input is with the first output of the deciding unit 1, the second input of which is with the output of the file access rules storage block 3, the second output of the deciding unit 1 is with the output of system 7, the input / output of the session selection unit by users 4 is connected to the input / output of system 10, the input is with the fourth system input 11, output - with the third input of the decisive unit 1, with the fourth input of the automatic file markup unit 2.
Рассмотрим работу системы сессионного контроля доступа к создаваемым файлам.Consider the operation of the session control system for access to created files.
Со входа 9 в блок 2 администратором задается то, доступ к файлам, созданным в какой сессии, какими субъектами (под какими учетными записями какими процессами), следует контролировать (разграничивать) - т.е. субъект доступа задается следующей сущностью "сессия, имя пользователя (SID), имя процесса (полнопутевое имя исполняемого файла процесса)". Все создаваемые этими субъектами файлы будут автоматически размечаться системой при создании - в атрибуты создаваемых ими файлов блоком 2 автоматически при создании будет записываться учетная информация субъекта ("сессия, имя пользователя (SID), имя процесса (полнопутевое имя исполняемого файла процесса")), создавшего файл. Если этими пользователями модифицируются ранее созданные файлы (еще не размеченные), либо файлы, созданные иными субъектами (созданные файлы которыми не размечаются), они также будут размечаться блоком 2 аналогичным образом. Со входа 8 в блок 3 администратором задаются правила доступа к размеченным (созданным) файлам, например, в виде таблицы (или матрицы) правил доступа, имеющей структуру, представленную в Табл. 1.From
Субъект доступа в Табл.1 задается перечислением соответствующих составляющих: наименование (обозначение) сессии, имя пользователя (SID), имя процесса (полнопутевое имя исполняемого файла процесса). При этом субъект, при назначении правил доступа, определяется следующим образом - доступ в такой-то сессии, таким-то пользователем, таким-то процессом.The access subject in Table 1 is specified by listing the relevant components: name (designation) of the session, user name (SID), process name (full path name of the process executable file). In this case, the subject, when assigning access rules, is defined as follows - access in such and such a session, by such and such a user, by such and such a process.
Замечание. В правилах "по умолчанию" (данное правило должно задаваться автоматически системой) целесообразно запретить исполнение всех создаваемых в процессе работы системы интерактивными пользователями файлов, что является эффективным способом защиты от вредоносных программ.Comment. In the "default" rules (this rule should be set automatically by the system), it is advisable to prohibit the execution of all files created by interactive users during the operation of the system, which is an effective way to protect against malicious programs.
Со входа 11 системы в блок 4 администратором задаются сессии, в которых разрешено работать пользователям (для каждого пользователя - учетной записи задается набор сессий, в которых он может работать, либо максимальный уровень сессии - метка безопасности (мандат), если сессии могут быть упорядочены по уровням иерархии и реализуется мандатный контроль доступа), а также идентификационные и аутентификационные (пароль) данные пользователя, для последующей идентификации и аутентификации пользователя в системе для задания им текущей сессии.From the
Замечание 1. Субъект доступа в общем случае задается следующей сущностью "сессия, имя пользователя (SID), имя процесса (полнопутевое имя исполняемого файла процесса)". В частных случаях какие-либо элементы, идентифицирующие субъект, могут не использоваться, например разграничения могут осуществляться только между сессиями, либо только для субъекта "сессия, пользователь", либо только "сессия, процесс" и т.д.
Замечание 2. При задании субъектов доступа в правилах могут использоваться маски и переменные среды окружения, например, маска * (Все) может использоваться для задания правил для любой (всех) сессии, любого пользователя, любого процесса.
Замечание 3. При использовании иерархических, либо неиерархических меток безопасности, элементы субъекта сессия и пользователь могут назначаться метками безопасности - мандатами, при этом решающий блок 1 при анализе корректности запроса доступа (непротиворечивости запроса заданным правилам) осуществляет арифметическое сравнение этих меток на равенство, больше, меньше - реализуется мандатный контроль доступа.
Со входа/выхода системы 10 пользователь в блоке 4 задает текущую сессию (пройдя идентификацию и аутентификацию, выбирает сессию из заданного для него списка администратором со входа системы 11, либо не превышающем максимально допустимого для него уровня сессии при реализации мандатного контроля доступа), данные о текущей сессии пользователя (идентификационные признаки пользователя и выбранной им сессии) в системе передаются в блоки 1 и 2.From the input / output of
Одновременно в системе может работать (после идентификации и аутентификации и выбора сессии, которые могут осуществляться как локально, так и удаленно) несколько пользователей как в различных, так и в одинаковых сессиях, что позволяет задание в системе субъекта доступа одновременно тремя сущностями: сессия, имя пользователя (SID), имя процесса (полнопутевое имя исполняемого файла процесса). При этом один пользователь может выбрать только одну текущую сессию.At the same time, several users can work in the system (after identification and authentication and session selection, which can be carried out both locally and remotely) both in different and in the same sessions, which allows the task to be set in the system of the subject of access simultaneously by three entities: session, name user name (SID), process name (full path name of the process executable file). In this case, one user can select only one current session.
При поступлении на вход 6 системы запроса доступа к файлу (запрос содержит имя пользователя, имя процесса и затребованное право доступа - запись, чтение и т.д. - эта информация поступает в блоки 1 и 2), по запросу с первого выхода блока 2 на первый вход блока 5, с выхода блока 5 на третий вход блока 2 считываются атрибуты файла, к которому запрошен доступ (созданная блоком 2 разметка файла - учетная информация субъекта, создавшего этот файл). Эти данные либо информация об отсутствии в атрибутах файла учетной информации субъекта (файл не был размечен), создавшего файл, блоком 2 передается в блок 3 - на первый вход. В случае если файл, к которому запрошен доступ, ранее не был размечен (его атрибуты не содержат учетной информации создавшего его субъекта) либо создается новый файл, а запрос доступа (на создание, запись, приводящей к модификации файла) исходит от контролируемого субъекта, со второго выхода блока 2 файл, к которому запрошен доступ, автоматически размечается - в его атрибуты со второго входа блока 5 записывается учетная информация субъекта создавшего/модифицировавшего ранее не размеченный файл.Upon receipt of input to the file access request system 6 (the request contains the user name, process name and the requested access right - write, read, etc. - this information is received in
В блок 3 на первый вход поступает с третьего выхода блока 2 определенное блоком 2 имя субъекта доступа, создавшего файл, к которому осуществляется доступ, либо информация о том, что файл не размечен, т.е. доступ к нему не контролируется. Исходя из этой информации, блоком 3, с использованием столбца таблицы (матрицы) доступа, см. Табл.1 , выбираются подходящие правила доступа, применительно к размеченному файлу, к которому запрошен доступ. По запросу с первого выхода решающего блока 1 блоком 3 на второй вход блока 1 выдаются выбранные им подходящие правила доступа, либо информация о том, что запрошенный доступ (доступ к запрошенному файлу) не контролируется.In
Замечание. Подходящих правил в общем случае может быть несколько, в том числе за счет возможности использования масок. Подходящие правила определяются по непротиворечивости идентификатора субъекта доступа в матрице доступа субъекту, запросившему доступ к файлу.Comment. There can be several suitable rules in the general case, including due to the possibility of using masks. Suitable rules are determined by the consistency of the identifier of the access subject in the access matrix to the subject requesting access to the file.
На первый вход решающего блока 1 поступает запрос доступа (запрос содержит имя пользователя, имя процесса и затребованное право доступа - запись, чтение и т.д.), на второй вход - правила доступа к файлу, к которому запрашивается доступа, на третий вход - идентификационный признак текущей сессии. Решающий блок 1 по более точному описателю субъекта в матрице доступа, из переданных ему блоком 3 правил, выбирает правило, наиболее точно относящееся к запросу. Данное правило выбирается по более точному совпадению описателя субъекта, заданного в матрице, идентификационным признакам субъекта, осуществляющего запрос доступа. Например, сессию можно задать уровнем (например, конфиденциально) либо маской, например * (Все). Если запрос доступа пользователем осуществляется в сессии конфиденциально, и в матрице существует правило, "покрывающее" (под которое подпадает) анализируемый запрос доступа, будет выбрано это правило, в противном случае система будет анализировать правило для сессии, заданной маской * (Все).An access request is received at the first input of the deciding unit 1 (the request contains the user name, process name and the requested access right - write, read, etc.), at the second input - access rules for the file to which access is requested, at the third input - an identification sign of the current session. The
После выбора правила решающий блок 1 анализирует соответствие запроса доступа к файлу, заданному для него выбранному правилу доступа, и в результате этого анализа вырабатывает на выход 7 системы (со второго выхода) управляющий сигнал, разрешающий либо отклоняющий запрошенный у системы доступ.After choosing a rule, the
При необходимости смены пользователем текущей сессии со входа/выхода системы 10 пользователь в блоке 4 задает новую (изменяет) текущую сессию (пройдя идентификацию и аутентификацию, выбирает сессию из заданного для него списка администратором со входа системы 11, либо не превышающем максимально допустимого для него уровня сессии при реализации мандатного контроля доступа), данные о текущей сессии пользователя в системе (идентификационные признаки пользователя и выбранной им сессии) передаются в блоки 1 и 2, в силу вступают соответствующие правила контроля (разграничения) доступа - для вновь выбранной пользователем сессии. В каждый момент времени каждый пользователь однозначно сопоставляется системой с выбранной им сессией.If it is necessary for the user to change the current session from the input / output of
Замечание. До тех пор, пока пользователем сессия со входа/выхода системы 10 не выбрана - блоком 4 не выданы в блоки 1 и 2 идентифицирующие признаки сессии, в системе действуют правила контроля доступа для режима "невыбранной сессии". При этом система работает аналогично описанию, приведенному выше, правила контроля доступа для режима "невыбранной сессии" соответствующим образом задаются администратором со входов 8 и 9 системы (в Табл.1 в заданных администратором правилах для режима "невыбранной сессии" в субъекте доступа сессия идентифицируется соответствующим образом - используется соответствующий идентификационный признак отсутствия выбора сессии).Comment. Until the user selects the session from the input / output of the system 10 - the identifying attributes of the session are sent to
Как видим, действия по администрированию системы простейшие. Администратором задаются единожды (при установке системы) правила в виде таблицы (матрицы) доступа, которые распространяются на все создаваемые в процессе работы файлы, где бы (в каких папках) они не создавались пользователями. Т.е. разграничения устанавливаются в момент отсутствия создаваемых файлов и действуют на все создаваемые в процессе работы КС файлы. Объект доступа исключается из схемы администрирования - все разграничения устанавливаются исключительно между субъектами.As you can see, the system administration steps are simple. The administrator sets once (during the installation of the system) rules in the form of a table (matrix) of access, which apply to all files created during the operation, wherever (in which folders) they are not created by users. Those. delimitations are established at the moment of the absence of created files and apply to all files created during the operation of the CS. The access object is excluded from the administration scheme - all distinctions are established exclusively between the subjects.
Кроме того, как видим, реализуется сессионный контроль доступа к создаваемым файлам, при котором один и тот же пользователь, зарегистрированный в системе, равно как и один и тот же процесс могут работать в КС в различных режимах (сессиях) с различными правами доступа к одним и тем же создаваемым в процессе работы системы файлам, причем в системе одновременно может работать как один, так и несколько пользователей как в различных, так и в одинаковых сессиях (пользователь не может работать одновременно в нескольких сессиях).In addition, as we see, session control of access to the created files is implemented, in which the same user registered in the system, as well as the same process, can work in the CS in different modes (sessions) with different access rights to one and the same files created during the operation of the system, moreover, one or several users can work in the system at the same time, both in different and in the same sessions (the user cannot work simultaneously in several sessions).
Таким образом, описание работы системы иллюстрирует достижение поставленной цели - решение задачи расширения функциональных возможностей контроля доступа к файлам, а также упрощения задачи администрирования системы.Thus, the description of the system operation illustrates the achievement of the goal - the solution to the problem of expanding the functionality of access control to files, as well as simplifying the task of administering the system.
Изобретение является промышленно применимым в части возможности технической реализации включенных в систему блока автоматической разметки файлов и блока хранения правил доступа к файлам.The invention is industrially applicable in terms of the possibility of technical implementation included in the system block automatic markup files and block storage rules for accessing files.
Техническая реализация блока хранения правил доступа к файлам и блока выбора сессии пользователями представляет собою достаточно типовое решение по хранению и обработке данных (таблицы (матрицы) доступа), идентификации и аутентификации пользователя.The technical implementation of the storage block for file access rules and the session selection block by users is a fairly standard solution for storing and processing data (access table (matrix)), user identification and authentication.
Техническая же реализация блока автоматической разметки файлов зависит от того, с какой файловой системой и каким образом взаимодействует заявленное решение. Рассмотрим пример технической реализации при работе системы с файловой системой NTFS Microsoft Windows (здесь возможны и иные технические реализации).The technical implementation of the automatic file markup block depends on which file system and how the claimed solution interacts. Consider an example of a technical implementation when the system works with the Microsoft Windows NTFS file system (other technical implementations are possible here).
Данное решение апробировано заявителем при построении опытного образца средства защиты информации.This decision was tested by the applicant when building a prototype of a means of information protection.
Для того чтобы заявленная система не конфликтовала с разграничительной политикой, реализуемой ОС, системой не используются для хранения данных автоматической разметки файлов непосредственно атрибуты, используемые ОС. Для хранения создаваемых системой атрибутов файлов, используемых системой для реализации контроля доступа (для автоматической записи/чтения учетных данных разметки файлов), использованы так называемые «альтернативные потоки данных».In order for the claimed system not to conflict with the delimitation policy implemented by the OS, the system does not directly use the attributes used by the OS to store data for automatic file marking. To store the file attributes created by the system that are used by the system to implement access control (for automatically writing / reading file markup credentials), the so-called "alternative data streams" are used.
Альтернативный поток - это создаваемая «жестко» привязанная к конкретному файлу область памяти, в которую можно производить запись, соответственно из которой можно считывать информацию. Альтернативный поток может быть удален и удаляется при удалении файла, для которого он создан.An alternative stream is a memory area that is “rigidly” attached to a specific file and into which you can write, respectively, from which information can be read. An alternative stream can be deleted and deleted when the file for which it is created is deleted.
В NTFS реализована и документирована (описанная штатная возможность ОС) поддержка альтернативных потоков данных (Alternate Data Streams) - была добавлена в NTFS для совместимости с файловой системой HFS от Macintosh, которая использовала поток ресурсов для хранения иконок и другой информации о файле. Использование альтернативных потоков позволяет хранить данные о файле скрытно от пользователя и не доступными обычными средствами. Проводник и другие приложения работают со стандартным потоком (файлом) и не могут читать данные из альтернативных потоков.NTFS implemented and documented (described the native OS feature) support for alternative data streams (Alternate Data Streams) - it was added to NTFS for compatibility with the Macintosh HFS file system, which used a resource stream to store icons and other file information. Using alternative streams allows you to store data about the file discreetly from the user and not accessible by conventional means. Explorer and other applications work with a standard stream (file) and cannot read data from alternative streams.
Создание альтернативных потоков - это документированная возможность. Создать их можно, например, следующим образом из командной строки. Сначала следует создать базовый файл, к которому и будет прикреплен поток.Creating alternative threads is a documented opportunity. You can create them, for example, as follows from the command line. First you need to create a base file to which the stream will be attached.
Создадим файл: C:\>echo Just a plan text file>sample.txtCreate a file: C: \> echo Just a plan text file> sample.txt
Далее, используя двоеточие в качестве оператора, создадим альтернативный поток:Next, using the colon as the operator, create an alternative stream:
C:\>echo You can′t see me>sample.txt:secret.txtC: \> echo You can’t see me> sample.txt: secret.txt
Для просмотра содержимого можно использовать следующие команды:You can use the following commands to view the contents:
С:\more<sample.txt:secret.txtC: \ more <sample.txt: secret.txt
илиor
С:\notepad sample.txt:secret.txtC: \ notepad sample.txt: secret.txt
Если все сделано правильно, то увидим текст: You can′t see me, при открытии из проводника данный текст виден не будет.If everything is done correctly, then we will see the text: You can’t see me, when you open it from the explorer this text will not be visible.
Альтернативный поток позволяет записывать в него неограниченное количество информации, при этом он «жестко» связан с базовым файлом (к которому прикрепляется поток) - может быть удален и будет удален только при удалении файла.An alternative stream allows you to write an unlimited amount of information into it, while it is "rigidly" connected to the base file (to which the stream is attached) - it can be deleted and will be deleted only when the file is deleted.
Замечание. Альтернативные потоки данных можно прикрепить не только к файлу, но и к папке.Comment. Alternative data streams can be attached not only to a file, but also to a folder.
Таким образом, альтернативный поток - это создаваемая «жестко» связанная с конкретным файлом область памяти, в которую можно производить запись, соответственно из которой можно считывать информацию (известными, описанными способами), при этом записываемые в альтернативном потоке данные хранятся скрытно от пользователя и не доступны обычными средствами.Thus, an alternative stream is a memory area that is “rigidly” connected with a specific file and can be written to, from which information can be read (by known, described methods), while data recorded in an alternative stream is stored secretly from the user and is not available by conventional means.
Как следствие, данная документированная возможность - описанная возможность создания альтернативного потока (защищенного от пользователей) для файла, с возможностью хранения в нем служебной информации (для заявляемой системы - для хранения данных разметки файлов), описана, технически реализуема и может быть использована при реализации заявляемого технического решения, что было апробировано заявителем при создании опытного образца средства защиты информации.As a result, this documented feature - the described ability to create an alternative stream (protected from users) for a file, with the ability to store service information in it (for the claimed system - for storing file markup data), is described, technically feasible and can be used to implement the claimed technical solution that was tested by the applicant when creating a prototype of a means of information protection.
Все используемые блоки технически реализуемы и их реализация достигается стандартными средствами.All used blocks are technically feasible and their implementation is achieved by standard means.
Таким образом, в предлагаемом изобретении решены задачи расширения функциональных возможностей контроля доступа к файлам и упрощения задачи администрирования системы контроля доступа. С учетом современного уровня развития вычислительной техники оно технически реализуемо.Thus, in the present invention solved the problem of expanding the functionality of access control to files and simplifying the task of administering an access control system. Given the current level of development of computer technology, it is technically feasible.
Claims (1)
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
RU2013154846/08A RU2583757C2 (en) | 2013-12-10 | 2013-12-10 | System for session-based control of access to created files |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
RU2013154846/08A RU2583757C2 (en) | 2013-12-10 | 2013-12-10 | System for session-based control of access to created files |
Publications (2)
Publication Number | Publication Date |
---|---|
RU2013154846A RU2013154846A (en) | 2015-06-20 |
RU2583757C2 true RU2583757C2 (en) | 2016-05-10 |
Family
ID=53433470
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
RU2013154846/08A RU2583757C2 (en) | 2013-12-10 | 2013-12-10 | System for session-based control of access to created files |
Country Status (1)
Country | Link |
---|---|
RU (1) | RU2583757C2 (en) |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
RU2134931C1 (en) * | 1999-03-15 | 1999-08-20 | ОАО "Всероссийский научно-исследовательский институт автоматизации управления в непромышленной сфере" | Method of obtaining access to objects in operating system |
US7149959B1 (en) * | 1999-03-25 | 2006-12-12 | Autodesk, Inc. | Method and apparatus for providing drawing collaboration on a network |
-
2013
- 2013-12-10 RU RU2013154846/08A patent/RU2583757C2/en not_active IP Right Cessation
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
RU2134931C1 (en) * | 1999-03-15 | 1999-08-20 | ОАО "Всероссийский научно-исследовательский институт автоматизации управления в непромышленной сфере" | Method of obtaining access to objects in operating system |
US7149959B1 (en) * | 1999-03-25 | 2006-12-12 | Autodesk, Inc. | Method and apparatus for providing drawing collaboration on a network |
Also Published As
Publication number | Publication date |
---|---|
RU2013154846A (en) | 2015-06-20 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
RU2637878C2 (en) | Authentication of processes and resource permission | |
KR100450402B1 (en) | Access control method by a token with security attributes in computer system | |
US20160292445A1 (en) | Context-based data classification | |
KR101382222B1 (en) | System and method for mobile data loss prevention which uses file system virtualization | |
WO2019052496A1 (en) | Account authentication method for cloud storage, and server | |
US10013570B2 (en) | Data management for a mass storage device | |
US10061932B1 (en) | Securing portable data elements between containers in insecure shared memory space | |
US20230161895A1 (en) | Controlling access to cloud resources in data using cloud-enabled data tagging and a dynamic access control policy engine | |
US20210286890A1 (en) | Systems and methods for dynamically applying information rights management policies to documents | |
EP3789899A1 (en) | Charter-based access controls for managing computer resources | |
US10210337B2 (en) | Information rights management using discrete data containerization | |
US8132261B1 (en) | Distributed dynamic security capabilities with access controls | |
CA2149866C (en) | A method and system for maintaining access security of input and output operations in a computer system | |
US20130332989A1 (en) | Watermarking Detection and Management | |
RU2543556C2 (en) | System for controlling access to files based on manual and automatic markup thereof | |
KR101227187B1 (en) | Output control system and method for the data in the secure zone | |
EP3779747B1 (en) | Methods and systems to identify a compromised device through active testing | |
KR101265533B1 (en) | Apparatus and method for controling folder access | |
Cho et al. | Vulnerabilities of android data sharing and malicious application to leaking private information | |
RU2524566C1 (en) | System for controlling file access based on automatic tagging thereof | |
RU2583759C1 (en) | System for controlling access to files based on automatic markup thereof with arrangement of account data of access subject to created file | |
RU2533061C1 (en) | System for controlling access to created encrypted files | |
RU2583757C2 (en) | System for session-based control of access to created files | |
RU2134931C1 (en) | Method of obtaining access to objects in operating system | |
JP2007004610A (en) | Complex access approval method and device |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
HZ9A | Changing address for correspondence with an applicant | ||
MM4A | The patent is invalid due to non-payment of fees |
Effective date: 20160512 |