RU2234123C1 - Система разграничения прав доступа к файловым объектам - Google Patents
Система разграничения прав доступа к файловым объектам Download PDFInfo
- Publication number
- RU2234123C1 RU2234123C1 RU2002131323/09A RU2002131323A RU2234123C1 RU 2234123 C1 RU2234123 C1 RU 2234123C1 RU 2002131323/09 A RU2002131323/09 A RU 2002131323/09A RU 2002131323 A RU2002131323 A RU 2002131323A RU 2234123 C1 RU2234123 C1 RU 2234123C1
- Authority
- RU
- Russia
- Prior art keywords
- access
- block
- file objects
- input
- output
- Prior art date
Links
Images
Landscapes
- Storage Device Security (AREA)
Abstract
Изобретение относится к вычислительной технике, а именно к информационным вычислительным системам и сетям, и может быть использовано в части разграничения доступа к файловым объектам рабочих станций и серверов. Технический результат заключается в повышении уровня защищенности рабочих станций и серверов за счет реализации разграничения доступа к общим для пользователей каталогам, создаваемым ОС и приложениями. Система содержит блок авторизации пользователя, блок разграничения прав доступа к файловым объектам, блок анализа объекта доступа, блок формирования объекта доступа, блок формирования запроса доступа. 2 ил.
Description
Изобретение относится к вычислительной технике, а именно к информационным вычислительным системам и сетям, и может быть использовано в части разграничения доступа к файловым объектам рабочих станций и серверов.
Известна система разграничения прав доступа к файловым объектам, входящая в состав системы защиты Secret Net (см. “Система разграничения доступа Secret Net. Руководство пользователя, 1996").
К недостаткам системы разграничения прав доступа к файловым объектам может быть отнесено следующее. При работе ОС и приложений существует ряд каталогов, не разделяемых между пользователями. К таким каталогам можно отнести “корзину” (каталог RECYCLED), переменные окружения (каталоги TEMP, TMP), каталог “Мои документы”, различные каталоги приложений для хранения временной информации и др. При этом для некоторых приложений, предполагающих автосохранение информации, нельзя запретить доступ пользователям в данные каталоги, причем информация в них записывается автоматически приложением. Таким образом, существуют каталоги, для которых невозможно разграничить доступ пользователям системой разграничения прав доступа к файловым объектам (при этом либо пользователи, которым запрещен доступ к рассматриваемым каталогам, не смогут работать с приложением, либо им не сможет предоставляться необходимый сервис, например, работы с корзиной). Наличие каталогов, доступ к которым должен разрешаться всем пользователям, существенно снижает уровень защищенности (имеются пересекающиеся области файловой системы, доступ к которым должен быть разрешен всем пользователям) и противоречит требованиям соответствующих нормативных документов в области информационной безопасности к решению задачи разграничения прав доступа к файловой системе.
Наиболее близкой по технической сущности к заявляемой (прототипом) является система разграничения прав доступа к файловым объектам (см. кн. В.М. Зима, А.А. Молдовян, Н.А. Молдовян. Защита компьютерных ресурсов от несанкционированных действий пользователей: Учебное пособие. - СПб., 1997, - 189 с. (с. 34-39)).
Система разграничения прав доступа к файловым объектам представлена на фиг.1. Система разграничения прав доступа к файловым объектам содержит: блок авторизации пользователя 1, блок разграничения прав доступа к файловым объектам 2, причем вход/выход блока авторизации пользователя 1 соединен со входом/выходом авторизации пользователя 3, выход - с первым входом блока разграничения прав доступа к файловым объектам 2, второй вход которого - со входом запроса доступа приложением к файловым объектам 4, первый выход - с выходом разрешения запроса доступа приложением к файловым объектам 5, второй выход - с выходом запрета запроса доступа приложением к файловым объектам 6.
Работает система разграничения прав доступа к файловым объектам следующим образом. При входе пользователя в систему блоком 1 осуществляется его авторизация (проверяется имя и пароль). Имя текущего пользователя блоком 1 передается в блок 2, который содержит данные о разграничительной политике доступа каждого пользователя к файловым объектам (логическим дискам, каталогам, файлам) - к каким файловым объектам доступ разрешен пользователю и какие права доступа к файловому объекту ему разрешены - чтение, запись, выполнение (для исполняемых файлов - программ). При обращении приложением (например, программой Word) к файловым объектам приложение выдает на вход 4 запрос доступа, в котором указывается к какому файловому объекту запрашивается доступ и какую операцию необходимо выполнить над файловым объектом (чтение, запись, выполнение). Запрос приложения поступает в блок 2, который сравнивает параметры запроса с правами доступа текущего пользователя. Если запрашиваемый приложением доступ текущему пользователю разрешен, запрос выдается на выход 5, в противном случае на выход 6 блоком 2 формируется отказ приложению в запрашиваемом доступе.
К недостаткам системы разграничения прав доступа к файловым объектам может быть отнесено следующее. При работе ОС и приложений существует ряд каталогов, не разделяемых между пользователями. К таким каталогам можно отнести “корзину” (каталог RECYCLED), переменные окружения (каталоги TEMP, TMP), каталог “Мои документы”, различные каталоги приложений для хранения временной информации и др. При этом для некоторых приложений, предполагающих автосохранение информации, нельзя запретить доступ пользователям в данные каталоги, причем информация в них записывается автоматически приложением. Таким образом, существуют каталоги, для которых невозможно разграничить доступ пользователям системой разграничения прав доступа к файловым объектам (при этом либо пользователи, которым запрещен доступ к рассматриваемым каталогам, не смогут работать с приложением, либо им не сможет предоставляться необходимый сервис, например, работы с корзиной). Наличие каталогов, доступ к которым должен разрешаться всем пользователям, существенно снижает уровень защищенности (имеются пересекающиеся области файловой системы, доступ к которым должен быть разрешен всем пользователям) и противоречит требованиям соответствующих нормативных документов в области информационной безопасности к решению задачи разграничения прав доступа к файловой системе.
Целью изобретения является повышение уровня защищенности рабочих станций и серверов за счет реализации разграничения доступа к общим для пользователей каталогам, создаваемым ОС и приложениями.
Достигается это тем, что в систему разграничения прав доступа к файловым объектам, содержащую блок авторизации пользователя, блок разграничения прав доступа к файловым объектам, причем вход/выход блока авторизации пользователя соединен со входом/выходом авторизации пользователя, выход - с первым входом блока разграничения прав доступа к файловым объектам, первый выход которого - с выходом разрешения запроса доступа приложением к файловым объектам, второй выход - с выходом запрета запроса доступа приложением к файловым объектам, дополнительно введены: блок анализа объекта доступа, блок формирования объекта доступа, блок формирования запроса доступа, причем выход блока авторизации пользователя соединен с первым входом блока формирования объекта доступа, второй вход которого - со вторым выходом блока анализа объекта доступа, первый выход которого - с первым входом блока формирования запроса доступа, второй вход которого - с выходом блока формирования объекта доступа, выход - со вторым входом блока разграничения прав доступа к файловым объектам, вход блока анализа объекта доступа - со входом запроса доступа приложением к файловым объектам.
Система разграничения прав доступа к файловым объектам представлена на фиг.2. Система разграничения прав доступа к файловым объектам содержит: блок авторизации пользователя 1, блок анализа объекта доступа 2, блок формирования объекта доступа 3, блок формирования запроса доступа 4, блок разграничения прав доступа к файловым объектам 5, причем вход/выход блока авторизации пользователя 1 соединен со входом/выходом авторизации пользователя 6, выход - с первым входом блока формирования объекта доступа 3, с первым входом блока разграничения прав доступа к файловым объектам 5, второй вход которого - с выходом блока формирования запроса доступа 4, первый вход которого - с первым выходом блока анализа объекта доступа 2, вход которого - со входом запроса доступа приложением к файловым объектам 7, второй выход - со вторым входом блока формирования объекта доступа 3, выход которого - со вторым входом блока формирования запроса доступа 4, первый выход блока разграничения прав доступа к файловым объектам 5 - с выходом разрешения запроса доступа приложением к файловым объектам 8, второй выход - с выходом запрета запроса доступа приложением к файловым объектам 9.
Работает система разграничения прав доступа к файловым объектам следующим образом. Для каждого каталога, создаваемого ОС или приложениями, доступ к которому не может быть разграничен для пользователей, например, C:\RECYCLED, создаются соответствующие каталоги, например каталог C:\user 1 для первого пользователя, C:\user 2 для второго пользователя и т.д., к которым осуществляется переадресация запроса доступа, - каталог, доступ к которому не может быть разграничен для пользователей, становится виртуальным (физически в него не может быть записан, соответственно из него не может быть считан ни один файл). В блоке 5 прописываются разграничения доступа для данных каталогов, в частности к каталогу C:\RECYCLED разрешается полный доступ (чтение и запись) всем пользователям, к катологу C:\user 1 разрешается доступ только первому пользователю (остальным запрещается), к каталогу C:\user 2 разрешается доступ только второму пользователю (остальным запрещается) и т.д. Суть реализуемого подхода состоит в переадресации обращения к каталогу, доступ к которому не может быть разграничен для пользователей, в соответствующий пользовательский каталог, т.е., например, при обращении первого пользователя к каталогу C:\RECYCLED запрос пользователя будет переадресован к каталогу C:\user 1 (при этом физического обращения к каталогу C:\RECYCLED не произойдет). При обращении приложением (например, программой Word) к файловым объектам приложение выдает на вход 7 запрос доступа, в котором указывается, к какому файловому объекту запрашивается доступ и какую операцию необходимо выполнить над файловым объектом (чтение, запись, выполнение). При входе пользователя в систему (со входа 6) блоком 1 осуществляется его авторизация (проверяется имя и пароль). Имя текущего пользователя блоком 1 передается в блок 5, который содержит данные о разграничительной политике доступа каждого пользователя к файловым объектам (логическим дискам, каталогам, файлам) - к каким файловым объектам доступ разрешен пользователю и какие права доступа к файловому объекту ему разрешены - чтение, запись, выполнение (для исполняемых файлов - программ), и в блок 3, который формирует переадресацию запроса доступа для текущего пользователя. Блок 2 выявляет, к какому каталогу запрошен доступ, если к каталогу, к которому не производится переадресации, то блок 2 транслирует исходный запрос через блок 4 в блок 5, в противном случае передает запрос в блок 3. В блоке 3 для каждого каталога, доступ к которому переадресуется, содержится список переадресуемых каталогов, - для каждого пользователя задан переадресуемый каталог, например для каталога C:\RECYCLED задан следующий список
каталог C:\user 1 для первого пользователя, C:\user 2 для второго пользователя и т.д. Блоком 3 в исходный запрос вместо имени запрашиваемого каталога подстанавливается имя переадресуемого каталога для текущего пользователя (имя текущего пользователя поступает в блок 3 из блока 1), и сформированный таким образом запрос через блок 4 поступает в блок 5. Запрос приложения поступает в блок 5, который сравнивает параметры запроса с правами доступа текущего пользователя. Если запрашиваемый приложением доступ текущему пользователю разрешен, запрос выдается на выход 8, в противном случае на выход 9 блоком 5 формируется отказ приложению в запрашиваемом доступе.
Таким образом, заявляемая система позволяет разделить каталоги, создаваемые общими для всех пользователей ОС и приложениями, за счет чего повысить безопасность системы, обеспечив решение задачи разграничения прав доступа к файловым объектам в полном объеме (отсутствуют общие каталоги для всех пользователей системы).
Блоки, используемые в заявляемой системе, могут быть реализованы следующим образом.
Блоки 1 и 5 реализованы аналогично соответствующим блокам 1 и 2 прототипа.
Блок 2 - это анализирующее запрос программное средство (функции простейшего анализатора), выделяющее из строки запроса доступа поле имени каталога, к которому происходит обращение доступа, и сравнивающее выделенное значение со значениями, хранящимися в списке, логическая схема блока 2 формирует передачу запроса на один из двух выходов, в зависимости от результатов сравнения.
Блок 3 - это программное средство формирователя запроса (функции простейшего формирователя), выделяющее из строки запроса доступа поле имени каталога, к которому происходит обращение доступа, и подстанавливающее вместо него соответствующее для текущего пользователя значение имени каталога из хранящихся в списке.
Блок 4 - это программное средство, реализующее логическое преобразование - функцию “ИЛИ”.
К достоинствам предлагаемой системы может быть отнесено следующее.
1. Система позволяет в полном объеме обеспечить решение задачи разграничения прав доступа к файловым объектам за счет реализации разграничения доступа к каталогам, создаваемым ОС и приложениями, общими для пользователей системы.
2. Система позволяет создавать общие виртуальные каталоги для пользователей (обратная задача) с целью упрощения назначения прав доступа пользователям. Например, полный доступ для всех пользователей может назначаться к одному виртуальному каталогу, в то время как фактически за счет переадресации запросов доступа каталоги пользователей будут различными.
Claims (1)
- Система разграничения прав доступа к файловым объектам, содержащая блок авторизации пользователя, блок разграничения прав доступа к файловым объектам, причем вход/выход блока авторизации пользователя соединен со входом/выходом авторизации пользователя, выход - с первым входом блока разграничения прав доступа к файловым объектам, первый выход которого - с выходом разрешения запроса доступа приложением к файловым объектам, второй выход - с выходом запрета запроса доступа приложением к файловым объектам, отличающаяся тем, что в нее дополнительно введены блок анализа объекта доступа, блок формирования объекта доступа, блок формирования запроса доступа, причем выход блока авторизации пользователя соединен с первым входом блока формирования объекта доступа, второй вход которого - со вторым выходом блока анализа объекта доступа, первый выход которого - с первым входом блока формирования запроса доступа, второй вход которого - с выходом блока формирования объекта доступа, выход - со вторым входом блока разграничения прав доступа к файловым объектам, вход блока анализа объекта доступа - со входом запроса доступа приложением к файловым объектам.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
RU2002131323/09A RU2234123C1 (ru) | 2002-11-21 | 2002-11-21 | Система разграничения прав доступа к файловым объектам |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
RU2002131323/09A RU2234123C1 (ru) | 2002-11-21 | 2002-11-21 | Система разграничения прав доступа к файловым объектам |
Publications (2)
Publication Number | Publication Date |
---|---|
RU2002131323A RU2002131323A (ru) | 2004-06-20 |
RU2234123C1 true RU2234123C1 (ru) | 2004-08-10 |
Family
ID=33413315
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
RU2002131323/09A RU2234123C1 (ru) | 2002-11-21 | 2002-11-21 | Система разграничения прав доступа к файловым объектам |
Country Status (1)
Country | Link |
---|---|
RU (1) | RU2234123C1 (ru) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
RU2538918C1 (ru) * | 2013-06-26 | 2015-01-10 | Закрытое акционерное общество "Научно-производственное предприятие "Информационные технологии в бизнесе" | Система переформирования объекта в запросе доступа |
RU2543561C1 (ru) * | 2013-10-25 | 2015-03-10 | Закрытое акционерное общество "Научно-производственное предприятие "Информационные технологии в бизнесе" | Система сессионного контроля доступа к ресурсам |
RU2562410C2 (ru) * | 2013-12-10 | 2015-09-10 | Закрытое акционерное общество "Научно-производственное предприятие "Информационные технологии в бизнесе" | Система сессионного контроля доступа к файловым объектам |
-
2002
- 2002-11-21 RU RU2002131323/09A patent/RU2234123C1/ru not_active IP Right Cessation
Non-Patent Citations (2)
Title |
---|
ВАЛДА ХИЛЛЕЙ. СЕКРЕТЫ WINDOWS NT SERVER 4.0. - КИЕВ: ДИАЛЕКТИКА, 1997, c.14 и 15. * |
ЗИМА В.М. и др. ЗАЩИТА КОМПЬЮТЕРНЫХ РЕСУРСОВ ОТ НЕСАНКЦИОНИРОВАННЫХ ДЕЙСТВИЙ ПОЛЬЗОВАТЕЛЕЙ: УЧЕБНОЕ ПОСОБИЕ. - C.-Пб., 1997, c. 34-39 * |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
RU2538918C1 (ru) * | 2013-06-26 | 2015-01-10 | Закрытое акционерное общество "Научно-производственное предприятие "Информационные технологии в бизнесе" | Система переформирования объекта в запросе доступа |
RU2543561C1 (ru) * | 2013-10-25 | 2015-03-10 | Закрытое акционерное общество "Научно-производственное предприятие "Информационные технологии в бизнесе" | Система сессионного контроля доступа к ресурсам |
RU2562410C2 (ru) * | 2013-12-10 | 2015-09-10 | Закрытое акционерное общество "Научно-производственное предприятие "Информационные технологии в бизнесе" | Система сессионного контроля доступа к файловым объектам |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
KR100450402B1 (ko) | 컴퓨터 시스템에 있어서 보안속성을 갖는 토큰을 이용한접근 제어방법 | |
Karger | Limiting the damage potential of discretionary Trojan horses | |
EP0561509B1 (en) | Computer system security | |
JP2739029B2 (ja) | データ・オブジェクトへのアクセスを制御する方法 | |
KR920005231B1 (ko) | 데이타 처리 시스템 | |
Moffett | Specification of management policies and discretionary access control | |
KR101101085B1 (ko) | 데이터 아이템의 구역 기반 보안 관리 | |
JPH0812645B2 (ja) | データ処理システム内のシステムフアイルを保護する方法及びデータ処理システム | |
CN100574210C (zh) | 一种基于无等级角色间映射的访问控制方法 | |
KR20190106551A (ko) | 블록체인 기반의 접근 제어 장치 및 그 동작 방법 | |
Friedman | The authorization problem in shared files | |
KR100343069B1 (ko) | 다중 등급 보안 방식에 의한 강제적 객체접근 제어 방법및 이를 프로그램화하여 수록한 컴퓨터로 읽을 수 있는기록매체 | |
RU2311676C2 (ru) | Способ обеспечения доступа к объектам корпоративной сети | |
KR101284783B1 (ko) | 전자문서 유출 방지 시스템 및 그 방법 | |
KR101227187B1 (ko) | 보안영역 데이터의 반출 제어시스템과 그 제어방법 | |
RU2234123C1 (ru) | Система разграничения прав доступа к файловым объектам | |
RU2207619C2 (ru) | Система разграничения доступа к ресурсам | |
Hamidi et al. | Database Security Mechanisms in MySQL | |
RU2134931C1 (ru) | Способ обеспечения доступа к объектам в операционной системе мсвс | |
SE1051167A1 (sv) | A system and method for performing partial evaluation in order to construct a simplified policy | |
KR20090103396A (ko) | 다중 등급 보안 방식에 기초한 강제적 프로세스 메모리접근 제어 방법 및 이를 프로그램화하여 수록한 컴퓨터로읽을 수 있는 기록매체 | |
KR930004434B1 (ko) | 다중 등급기밀 데이타 보호용 액세스 제어방법 | |
RU2825554C1 (ru) | Способ и система контроля доступа к конфиденциальной информации в операционной системе | |
CN111209580B (zh) | 基于强制访问控制的共享用户环境隔离方法、系统及介质 | |
US7653630B2 (en) | Method and apparatus for facilitating privileged object stores in a database |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
MM4A | The patent is invalid due to non-payment of fees |
Effective date: 20091122 |