RU2234123C1 - Система разграничения прав доступа к файловым объектам - Google Patents

Система разграничения прав доступа к файловым объектам Download PDF

Info

Publication number
RU2234123C1
RU2234123C1 RU2002131323/09A RU2002131323A RU2234123C1 RU 2234123 C1 RU2234123 C1 RU 2234123C1 RU 2002131323/09 A RU2002131323/09 A RU 2002131323/09A RU 2002131323 A RU2002131323 A RU 2002131323A RU 2234123 C1 RU2234123 C1 RU 2234123C1
Authority
RU
Russia
Prior art keywords
access
block
file objects
input
output
Prior art date
Application number
RU2002131323/09A
Other languages
English (en)
Other versions
RU2002131323A (ru
Inventor
А.Ю. Щеглов (RU)
А.Ю. Щеглов
Original Assignee
Щеглов Андрей Юрьевич
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Щеглов Андрей Юрьевич filed Critical Щеглов Андрей Юрьевич
Priority to RU2002131323/09A priority Critical patent/RU2234123C1/ru
Publication of RU2002131323A publication Critical patent/RU2002131323A/ru
Application granted granted Critical
Publication of RU2234123C1 publication Critical patent/RU2234123C1/ru

Links

Images

Landscapes

  • Storage Device Security (AREA)

Abstract

Изобретение относится к вычислительной технике, а именно к информационным вычислительным системам и сетям, и может быть использовано в части разграничения доступа к файловым объектам рабочих станций и серверов. Технический результат заключается в повышении уровня защищенности рабочих станций и серверов за счет реализации разграничения доступа к общим для пользователей каталогам, создаваемым ОС и приложениями. Система содержит блок авторизации пользователя, блок разграничения прав доступа к файловым объектам, блок анализа объекта доступа, блок формирования объекта доступа, блок формирования запроса доступа. 2 ил.

Description

Изобретение относится к вычислительной технике, а именно к информационным вычислительным системам и сетям, и может быть использовано в части разграничения доступа к файловым объектам рабочих станций и серверов.
Известна система разграничения прав доступа к файловым объектам, входящая в состав системы защиты Secret Net (см. “Система разграничения доступа Secret Net. Руководство пользователя, 1996").
К недостаткам системы разграничения прав доступа к файловым объектам может быть отнесено следующее. При работе ОС и приложений существует ряд каталогов, не разделяемых между пользователями. К таким каталогам можно отнести “корзину” (каталог RECYCLED), переменные окружения (каталоги TEMP, TMP), каталог “Мои документы”, различные каталоги приложений для хранения временной информации и др. При этом для некоторых приложений, предполагающих автосохранение информации, нельзя запретить доступ пользователям в данные каталоги, причем информация в них записывается автоматически приложением. Таким образом, существуют каталоги, для которых невозможно разграничить доступ пользователям системой разграничения прав доступа к файловым объектам (при этом либо пользователи, которым запрещен доступ к рассматриваемым каталогам, не смогут работать с приложением, либо им не сможет предоставляться необходимый сервис, например, работы с корзиной). Наличие каталогов, доступ к которым должен разрешаться всем пользователям, существенно снижает уровень защищенности (имеются пересекающиеся области файловой системы, доступ к которым должен быть разрешен всем пользователям) и противоречит требованиям соответствующих нормативных документов в области информационной безопасности к решению задачи разграничения прав доступа к файловой системе.
Наиболее близкой по технической сущности к заявляемой (прототипом) является система разграничения прав доступа к файловым объектам (см. кн. В.М. Зима, А.А. Молдовян, Н.А. Молдовян. Защита компьютерных ресурсов от несанкционированных действий пользователей: Учебное пособие. - СПб., 1997, - 189 с. (с. 34-39)).
Система разграничения прав доступа к файловым объектам представлена на фиг.1. Система разграничения прав доступа к файловым объектам содержит: блок авторизации пользователя 1, блок разграничения прав доступа к файловым объектам 2, причем вход/выход блока авторизации пользователя 1 соединен со входом/выходом авторизации пользователя 3, выход - с первым входом блока разграничения прав доступа к файловым объектам 2, второй вход которого - со входом запроса доступа приложением к файловым объектам 4, первый выход - с выходом разрешения запроса доступа приложением к файловым объектам 5, второй выход - с выходом запрета запроса доступа приложением к файловым объектам 6.
Работает система разграничения прав доступа к файловым объектам следующим образом. При входе пользователя в систему блоком 1 осуществляется его авторизация (проверяется имя и пароль). Имя текущего пользователя блоком 1 передается в блок 2, который содержит данные о разграничительной политике доступа каждого пользователя к файловым объектам (логическим дискам, каталогам, файлам) - к каким файловым объектам доступ разрешен пользователю и какие права доступа к файловому объекту ему разрешены - чтение, запись, выполнение (для исполняемых файлов - программ). При обращении приложением (например, программой Word) к файловым объектам приложение выдает на вход 4 запрос доступа, в котором указывается к какому файловому объекту запрашивается доступ и какую операцию необходимо выполнить над файловым объектом (чтение, запись, выполнение). Запрос приложения поступает в блок 2, который сравнивает параметры запроса с правами доступа текущего пользователя. Если запрашиваемый приложением доступ текущему пользователю разрешен, запрос выдается на выход 5, в противном случае на выход 6 блоком 2 формируется отказ приложению в запрашиваемом доступе.
К недостаткам системы разграничения прав доступа к файловым объектам может быть отнесено следующее. При работе ОС и приложений существует ряд каталогов, не разделяемых между пользователями. К таким каталогам можно отнести “корзину” (каталог RECYCLED), переменные окружения (каталоги TEMP, TMP), каталог “Мои документы”, различные каталоги приложений для хранения временной информации и др. При этом для некоторых приложений, предполагающих автосохранение информации, нельзя запретить доступ пользователям в данные каталоги, причем информация в них записывается автоматически приложением. Таким образом, существуют каталоги, для которых невозможно разграничить доступ пользователям системой разграничения прав доступа к файловым объектам (при этом либо пользователи, которым запрещен доступ к рассматриваемым каталогам, не смогут работать с приложением, либо им не сможет предоставляться необходимый сервис, например, работы с корзиной). Наличие каталогов, доступ к которым должен разрешаться всем пользователям, существенно снижает уровень защищенности (имеются пересекающиеся области файловой системы, доступ к которым должен быть разрешен всем пользователям) и противоречит требованиям соответствующих нормативных документов в области информационной безопасности к решению задачи разграничения прав доступа к файловой системе.
Целью изобретения является повышение уровня защищенности рабочих станций и серверов за счет реализации разграничения доступа к общим для пользователей каталогам, создаваемым ОС и приложениями.
Достигается это тем, что в систему разграничения прав доступа к файловым объектам, содержащую блок авторизации пользователя, блок разграничения прав доступа к файловым объектам, причем вход/выход блока авторизации пользователя соединен со входом/выходом авторизации пользователя, выход - с первым входом блока разграничения прав доступа к файловым объектам, первый выход которого - с выходом разрешения запроса доступа приложением к файловым объектам, второй выход - с выходом запрета запроса доступа приложением к файловым объектам, дополнительно введены: блок анализа объекта доступа, блок формирования объекта доступа, блок формирования запроса доступа, причем выход блока авторизации пользователя соединен с первым входом блока формирования объекта доступа, второй вход которого - со вторым выходом блока анализа объекта доступа, первый выход которого - с первым входом блока формирования запроса доступа, второй вход которого - с выходом блока формирования объекта доступа, выход - со вторым входом блока разграничения прав доступа к файловым объектам, вход блока анализа объекта доступа - со входом запроса доступа приложением к файловым объектам.
Система разграничения прав доступа к файловым объектам представлена на фиг.2. Система разграничения прав доступа к файловым объектам содержит: блок авторизации пользователя 1, блок анализа объекта доступа 2, блок формирования объекта доступа 3, блок формирования запроса доступа 4, блок разграничения прав доступа к файловым объектам 5, причем вход/выход блока авторизации пользователя 1 соединен со входом/выходом авторизации пользователя 6, выход - с первым входом блока формирования объекта доступа 3, с первым входом блока разграничения прав доступа к файловым объектам 5, второй вход которого - с выходом блока формирования запроса доступа 4, первый вход которого - с первым выходом блока анализа объекта доступа 2, вход которого - со входом запроса доступа приложением к файловым объектам 7, второй выход - со вторым входом блока формирования объекта доступа 3, выход которого - со вторым входом блока формирования запроса доступа 4, первый выход блока разграничения прав доступа к файловым объектам 5 - с выходом разрешения запроса доступа приложением к файловым объектам 8, второй выход - с выходом запрета запроса доступа приложением к файловым объектам 9.
Работает система разграничения прав доступа к файловым объектам следующим образом. Для каждого каталога, создаваемого ОС или приложениями, доступ к которому не может быть разграничен для пользователей, например, C:\RECYCLED, создаются соответствующие каталоги, например каталог C:\user 1 для первого пользователя, C:\user 2 для второго пользователя и т.д., к которым осуществляется переадресация запроса доступа, - каталог, доступ к которому не может быть разграничен для пользователей, становится виртуальным (физически в него не может быть записан, соответственно из него не может быть считан ни один файл). В блоке 5 прописываются разграничения доступа для данных каталогов, в частности к каталогу C:\RECYCLED разрешается полный доступ (чтение и запись) всем пользователям, к катологу C:\user 1 разрешается доступ только первому пользователю (остальным запрещается), к каталогу C:\user 2 разрешается доступ только второму пользователю (остальным запрещается) и т.д. Суть реализуемого подхода состоит в переадресации обращения к каталогу, доступ к которому не может быть разграничен для пользователей, в соответствующий пользовательский каталог, т.е., например, при обращении первого пользователя к каталогу C:\RECYCLED запрос пользователя будет переадресован к каталогу C:\user 1 (при этом физического обращения к каталогу C:\RECYCLED не произойдет). При обращении приложением (например, программой Word) к файловым объектам приложение выдает на вход 7 запрос доступа, в котором указывается, к какому файловому объекту запрашивается доступ и какую операцию необходимо выполнить над файловым объектом (чтение, запись, выполнение). При входе пользователя в систему (со входа 6) блоком 1 осуществляется его авторизация (проверяется имя и пароль). Имя текущего пользователя блоком 1 передается в блок 5, который содержит данные о разграничительной политике доступа каждого пользователя к файловым объектам (логическим дискам, каталогам, файлам) - к каким файловым объектам доступ разрешен пользователю и какие права доступа к файловому объекту ему разрешены - чтение, запись, выполнение (для исполняемых файлов - программ), и в блок 3, который формирует переадресацию запроса доступа для текущего пользователя. Блок 2 выявляет, к какому каталогу запрошен доступ, если к каталогу, к которому не производится переадресации, то блок 2 транслирует исходный запрос через блок 4 в блок 5, в противном случае передает запрос в блок 3. В блоке 3 для каждого каталога, доступ к которому переадресуется, содержится список переадресуемых каталогов, - для каждого пользователя задан переадресуемый каталог, например для каталога C:\RECYCLED задан следующий список
каталог C:\user 1 для первого пользователя, C:\user 2 для второго пользователя и т.д. Блоком 3 в исходный запрос вместо имени запрашиваемого каталога подстанавливается имя переадресуемого каталога для текущего пользователя (имя текущего пользователя поступает в блок 3 из блока 1), и сформированный таким образом запрос через блок 4 поступает в блок 5. Запрос приложения поступает в блок 5, который сравнивает параметры запроса с правами доступа текущего пользователя. Если запрашиваемый приложением доступ текущему пользователю разрешен, запрос выдается на выход 8, в противном случае на выход 9 блоком 5 формируется отказ приложению в запрашиваемом доступе.
Таким образом, заявляемая система позволяет разделить каталоги, создаваемые общими для всех пользователей ОС и приложениями, за счет чего повысить безопасность системы, обеспечив решение задачи разграничения прав доступа к файловым объектам в полном объеме (отсутствуют общие каталоги для всех пользователей системы).
Блоки, используемые в заявляемой системе, могут быть реализованы следующим образом.
Блоки 1 и 5 реализованы аналогично соответствующим блокам 1 и 2 прототипа.
Блок 2 - это анализирующее запрос программное средство (функции простейшего анализатора), выделяющее из строки запроса доступа поле имени каталога, к которому происходит обращение доступа, и сравнивающее выделенное значение со значениями, хранящимися в списке, логическая схема блока 2 формирует передачу запроса на один из двух выходов, в зависимости от результатов сравнения.
Блок 3 - это программное средство формирователя запроса (функции простейшего формирователя), выделяющее из строки запроса доступа поле имени каталога, к которому происходит обращение доступа, и подстанавливающее вместо него соответствующее для текущего пользователя значение имени каталога из хранящихся в списке.
Блок 4 - это программное средство, реализующее логическое преобразование - функцию “ИЛИ”.
К достоинствам предлагаемой системы может быть отнесено следующее.
1. Система позволяет в полном объеме обеспечить решение задачи разграничения прав доступа к файловым объектам за счет реализации разграничения доступа к каталогам, создаваемым ОС и приложениями, общими для пользователей системы.
2. Система позволяет создавать общие виртуальные каталоги для пользователей (обратная задача) с целью упрощения назначения прав доступа пользователям. Например, полный доступ для всех пользователей может назначаться к одному виртуальному каталогу, в то время как фактически за счет переадресации запросов доступа каталоги пользователей будут различными.

Claims (1)

  1. Система разграничения прав доступа к файловым объектам, содержащая блок авторизации пользователя, блок разграничения прав доступа к файловым объектам, причем вход/выход блока авторизации пользователя соединен со входом/выходом авторизации пользователя, выход - с первым входом блока разграничения прав доступа к файловым объектам, первый выход которого - с выходом разрешения запроса доступа приложением к файловым объектам, второй выход - с выходом запрета запроса доступа приложением к файловым объектам, отличающаяся тем, что в нее дополнительно введены блок анализа объекта доступа, блок формирования объекта доступа, блок формирования запроса доступа, причем выход блока авторизации пользователя соединен с первым входом блока формирования объекта доступа, второй вход которого - со вторым выходом блока анализа объекта доступа, первый выход которого - с первым входом блока формирования запроса доступа, второй вход которого - с выходом блока формирования объекта доступа, выход - со вторым входом блока разграничения прав доступа к файловым объектам, вход блока анализа объекта доступа - со входом запроса доступа приложением к файловым объектам.
RU2002131323/09A 2002-11-21 2002-11-21 Система разграничения прав доступа к файловым объектам RU2234123C1 (ru)

Priority Applications (1)

Application Number Priority Date Filing Date Title
RU2002131323/09A RU2234123C1 (ru) 2002-11-21 2002-11-21 Система разграничения прав доступа к файловым объектам

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
RU2002131323/09A RU2234123C1 (ru) 2002-11-21 2002-11-21 Система разграничения прав доступа к файловым объектам

Publications (2)

Publication Number Publication Date
RU2002131323A RU2002131323A (ru) 2004-06-20
RU2234123C1 true RU2234123C1 (ru) 2004-08-10

Family

ID=33413315

Family Applications (1)

Application Number Title Priority Date Filing Date
RU2002131323/09A RU2234123C1 (ru) 2002-11-21 2002-11-21 Система разграничения прав доступа к файловым объектам

Country Status (1)

Country Link
RU (1) RU2234123C1 (ru)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2538918C1 (ru) * 2013-06-26 2015-01-10 Закрытое акционерное общество "Научно-производственное предприятие "Информационные технологии в бизнесе" Система переформирования объекта в запросе доступа
RU2543561C1 (ru) * 2013-10-25 2015-03-10 Закрытое акционерное общество "Научно-производственное предприятие "Информационные технологии в бизнесе" Система сессионного контроля доступа к ресурсам
RU2562410C2 (ru) * 2013-12-10 2015-09-10 Закрытое акционерное общество "Научно-производственное предприятие "Информационные технологии в бизнесе" Система сессионного контроля доступа к файловым объектам

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
ВАЛДА ХИЛЛЕЙ. СЕКРЕТЫ WINDOWS NT SERVER 4.0. - КИЕВ: ДИАЛЕКТИКА, 1997, c.14 и 15. *
ЗИМА В.М. и др. ЗАЩИТА КОМПЬЮТЕРНЫХ РЕСУРСОВ ОТ НЕСАНКЦИОНИРОВАННЫХ ДЕЙСТВИЙ ПОЛЬЗОВАТЕЛЕЙ: УЧЕБНОЕ ПОСОБИЕ. - C.-Пб., 1997, c. 34-39 *

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2538918C1 (ru) * 2013-06-26 2015-01-10 Закрытое акционерное общество "Научно-производственное предприятие "Информационные технологии в бизнесе" Система переформирования объекта в запросе доступа
RU2543561C1 (ru) * 2013-10-25 2015-03-10 Закрытое акционерное общество "Научно-производственное предприятие "Информационные технологии в бизнесе" Система сессионного контроля доступа к ресурсам
RU2562410C2 (ru) * 2013-12-10 2015-09-10 Закрытое акционерное общество "Научно-производственное предприятие "Информационные технологии в бизнесе" Система сессионного контроля доступа к файловым объектам

Similar Documents

Publication Publication Date Title
KR100450402B1 (ko) 컴퓨터 시스템에 있어서 보안속성을 갖는 토큰을 이용한접근 제어방법
Karger Limiting the damage potential of discretionary Trojan horses
EP0561509B1 (en) Computer system security
JP2739029B2 (ja) データ・オブジェクトへのアクセスを制御する方法
KR920005231B1 (ko) 데이타 처리 시스템
Moffett Specification of management policies and discretionary access control
KR101101085B1 (ko) 데이터 아이템의 구역 기반 보안 관리
JPH0812645B2 (ja) データ処理システム内のシステムフアイルを保護する方法及びデータ処理システム
CN100574210C (zh) 一种基于无等级角色间映射的访问控制方法
KR20190106551A (ko) 블록체인 기반의 접근 제어 장치 및 그 동작 방법
Friedman The authorization problem in shared files
KR100343069B1 (ko) 다중 등급 보안 방식에 의한 강제적 객체접근 제어 방법및 이를 프로그램화하여 수록한 컴퓨터로 읽을 수 있는기록매체
RU2311676C2 (ru) Способ обеспечения доступа к объектам корпоративной сети
KR101284783B1 (ko) 전자문서 유출 방지 시스템 및 그 방법
KR101227187B1 (ko) 보안영역 데이터의 반출 제어시스템과 그 제어방법
RU2234123C1 (ru) Система разграничения прав доступа к файловым объектам
RU2207619C2 (ru) Система разграничения доступа к ресурсам
Hamidi et al. Database Security Mechanisms in MySQL
RU2134931C1 (ru) Способ обеспечения доступа к объектам в операционной системе мсвс
SE1051167A1 (sv) A system and method for performing partial evaluation in order to construct a simplified policy
KR20090103396A (ko) 다중 등급 보안 방식에 기초한 강제적 프로세스 메모리접근 제어 방법 및 이를 프로그램화하여 수록한 컴퓨터로읽을 수 있는 기록매체
KR930004434B1 (ko) 다중 등급기밀 데이타 보호용 액세스 제어방법
RU2825554C1 (ru) Способ и система контроля доступа к конфиденциальной информации в операционной системе
CN111209580B (zh) 基于强制访问控制的共享用户环境隔离方法、系统及介质
US7653630B2 (en) Method and apparatus for facilitating privileged object stores in a database

Legal Events

Date Code Title Description
MM4A The patent is invalid due to non-payment of fees

Effective date: 20091122