Организация доступа к базам данных общего пользования Основной характеристикой базы данных является ее доступность широкому кругу субъектов. Очень часто субъекты взаимодействуют с несколькими подсетями, и тогда управление осуществляется через администраторов подсетей. С точки зрения защиты особое значение имеют следующие вопросы: - зарегистрированный субъект (абонент) должен иметь доступ к функциям сети; - незарегистрированному субъекту должен быть запрещен доступ к функциям сети. Субъект, желающий выполнить ту или иную функцию, обращается к администратору защиты открытой системы. В зависимости от типа используемой функции субъект может запросить определенную категорию защиты. Администратор защиты классифицирует субъекта, принимая во внимание его запрос и учитывая его характеристики. После этого он размещает информацию субъекта в базе защищаемой информации. База защищаемой информации для баз данных общего пользования содержит информацию о каждой функции, реализуемой в открытой системе. Более точно спецификация такой базы данных для открытых систем отражена на рис. 7.1. В ее состав входят: * Столбец "Субъект", в котором указывается идентификатор субъекта. * Столбец "Функция", в котором указывается для выполнения данным субъектом функция. * Столбец "Категория", допускающий значение категорий от 1 до 5 с соответствующими паролями (столбец "Пароль") для каждой категории, уникальными для каждого субъекта. При этом даже если более одного субъекта имеют одинаковую категорию защиты по отношению к одной и той же функции, тем не менее они имеют различные пароли, соответствующие этой категории. Этот пароль используется администратором защиты. уммммммммммяммммммммяммммммммммммммммммммямммммммммммммммммммммммT Ё СубъектЁФункция ЁАтрибыты секретностиЁ Пароли Ё Ё Ё ЁммммммммммммммммммммЁмммммммммммммммммммммммЁ Ё Ё ЁКатегорияЁ Пароль Ё П1 Ё П2 Ё фммммммммммьммммммммьмммммммммьммммммммммьмммммммммммьммммммммммм Ё 1 Ё 2 Ё 3 Ё 4 Ё 5 Ё 6 Ё фммммммммммьммммммммьмммммммммьммммммммммьмммммммммммьммммммммммм Ё Ё Ё Ё Ё Ё Ё Ё Ё Ё Ё Ё Ё Ё Ё Ё Ё Ё Ё Ё Ё Ё Ё Ё Ё Ё Ё Ё Ё Ё Ё Ё Ё Ё Ё Ё Ё Ё Ё Ё Ё Ё Рис.7.1. База защищаемой информации для объектов общего пользования. * Графа "Пароли", состоящая из двух столбцов, в которых указываются два пароля для каждого субъекта и для каждой функции. Первый пароль П1 используется субъектом во время идентификации/предоставления полномочий. Второй пароль П2 необходим для обеспечения доступа субъекта к базе данных общего пользования через сеть. Вначале каждый субъект должен сам ввести пароли П1 и П2. Пароли храняться в шифрованной форме. Теперь опишем механизм защиты, используемый в процессе доступа к сетевой базе данных общего пользования. Доступ к процедуре идентификации. Субъект, желающий получить доступ к базе данных общего пользования, открывает сеанс связи в пределах собственной открытой системы. При этом субъект сообщает: - свой идентификатор; - адрес открытой системы, где размещается база данных; - соответствующий пароль П1. Открытая система, пользователем которой является субъект, пересылает эту информацию менеджеру защиты локальной подсети, который может работать с подсистемой сетевого доступа NSAP (Network Service Access Point). При этом открытая система связывается с подсистемой NSAP, которая направляет идентификационную информацию по адресу назначения через соответствующие подсети. Субъекту предоставляется возможность выбрать для этой передачи некоторое значение категории секретности (как правило, минимальное). В свою очередь на сетевом уровнепротокола передачи данных должна быть обеспечена максимально возможная категория защиты, которая должна быть больше или по крайней мере равна запрошенной категории. Если протокол сетевого уровня не может обеспечить минимального значения, связь прерывается. Если связь установлена, то открытая система, в пределах которой размещена база данных, получает информацию и ее менеджер защиты начинает поиск в базе защищаемой информации. Если поиск информации успешен, менеджер базы данных пересылает менеджеру защиты подсистемы сетевого доступа следующую информацию: - идентификатор запрашивающего субъекта; - идентификатор базы данных; - пароль П2 в шифрованном виде; - категорию секретности вместе с паролем, соответствующим этой категории. Передача данного сообщения должна осуществляться с категорией секретности по крайней мере на уровень выше остальных сообщений, передаваемых между субъектом и базой данных. Если же в базе защищаемой информации данных не найдена или не может быть обеспечена необходимая категория секретности, менеджер пересылает в подсистему сетевого доступа следующую информацию: - идентификатор запрашивающего субъекта; - пароль, введенный пользователем; - идентификатор базы данных. В том случае если база данных связана с подсистемой сетевого доступа, процедура аналогична описанной выше, исключая проверку связи. В случае отказа субъекта извещают об этом, а связь разрывается. Субъект, однако, может попытаться вторично получить доступ к базе данных. Если такая попытка предпринимается, менеджер защиты осуществит требуемый запрос. Однако, если менеджер защиты базы данных даст вторичный отказ, менеджер защиты исходной системы зачтет эту попытку как вторую. Все последующие попытки доступа данного субъекта к этой базе данных будут запрещаться менеджером защиты исходной системы. Доступ к сети после идентификации. Если идентификатор субъекта подтверждается, последнего информируют об этом и связь с базой данных сохраняется в течение определенного промежутка времени. За это время субъект должен попытаться установить взаимную связь для обмена запросами с базой данных. Для этого субъект должен ввести второй пароль П2, первый пароль П1, а также пароль для соответствующей категории защиты. Пароли П1 и П2 передаются в шифрованном виде. Пароль П1 передается еще раз, чтобы в случае, когда пароль П2 скомпрометирован перед подсистемой сетевого доступа, пароль П! мог быть использован менеджером защиты объекта для дополнительной проверки. Эти пароли, а вместе с ними идентификатор базы данных передаются менеджеру защиты подсистемы сетевого доступа, который выполняет сравнение полученной информации с уже имеющейся. Если обнаруживается несоответствие в пароле П1 или пароле категории секретности, субъекта информируют об этом и он должен повторить ввод паролей. Если соответствие вторично не подтверждается, связь прекращается. Если субъект желает снова получить доступ к базе данных, он должен снова пройти через процедуру начальной идентификации. Если соответствие подтвержено, менеджер защиты подсистемы сетевого доступа использует пароль атрибута секретности для поиска соответствующей категории секретности, так как она содержит требуемую информацию. В соответствии с категорией секретности менеджер пытается установить связь с открытой системой, где размещается база данных общего пользования. Если связь не может быть установлена, менеджер базы данных ставит в известность субъекта и связь между субъектом и подсистемой сетевого доступа разрывается. При этом для доступа к базе данных разрешается еще только одна попытка. Если связь снова не устанавливается, все последующие попытки пресекаются подситемой сетевого доступа. Если субъект хочет продолжить попытки доступа, он должен повторить фазу идентификации с этой же или другой подсистемой сетевого доступа. Если категория секретности является допустимой, информация передается менеджеру защиты объекта, который проверяет пароли П1 и П2, а также категорию защиты, которая была использована для передачи информации. Если нет соответствия в паролях или категории секретности, связь прерывается. Если соответствие имеется, выполняется подтверждение и все данные передаются с той категорией секретности, которая была назначена при установлении связи. Связь разрывается после ответа на запрос субъекта.