Система разграничения прав доступа к файловым объектам

 

Изобретение относится к вычислительной технике, а именно к информационным вычислительным системам и сетям, и может быть использовано в части разграничения доступа к файловым объектам рабочих станций и серверов. Технический результат заключается в повышении уровня защищенности рабочих станций и серверов за счет реализации разграничения доступа к общим для пользователей каталогам, создаваемым ОС и приложениями. Система содержит блок авторизации пользователя, блок разграничения прав доступа к файловым объектам, блок анализа объекта доступа, блок формирования объекта доступа, блок формирования запроса доступа. 2 ил.

Изобретение относится к вычислительной технике, а именно к информационным вычислительным системам и сетям, и может быть использовано в части разграничения доступа к файловым объектам рабочих станций и серверов.

Известна система разграничения прав доступа к файловым объектам, входящая в состав системы защиты Secret Net (см. “Система разграничения доступа Secret Net. Руководство пользователя, 1996").

К недостаткам системы разграничения прав доступа к файловым объектам может быть отнесено следующее. При работе ОС и приложений существует ряд каталогов, не разделяемых между пользователями. К таким каталогам можно отнести “корзину” (каталог RECYCLED), переменные окружения (каталоги TEMP, TMP), каталог “Мои документы”, различные каталоги приложений для хранения временной информации и др. При этом для некоторых приложений, предполагающих автосохранение информации, нельзя запретить доступ пользователям в данные каталоги, причем информация в них записывается автоматически приложением. Таким образом, существуют каталоги, для которых невозможно разграничить доступ пользователям системой разграничения прав доступа к файловым объектам (при этом либо пользователи, которым запрещен доступ к рассматриваемым каталогам, не смогут работать с приложением, либо им не сможет предоставляться необходимый сервис, например, работы с корзиной). Наличие каталогов, доступ к которым должен разрешаться всем пользователям, существенно снижает уровень защищенности (имеются пересекающиеся области файловой системы, доступ к которым должен быть разрешен всем пользователям) и противоречит требованиям соответствующих нормативных документов в области информационной безопасности к решению задачи разграничения прав доступа к файловой системе.

Наиболее близкой по технической сущности к заявляемой (прототипом) является система разграничения прав доступа к файловым объектам (см. кн. В.М. Зима, А.А. Молдовян, Н.А. Молдовян. Защита компьютерных ресурсов от несанкционированных действий пользователей: Учебное пособие. - СПб., 1997, - 189 с. (с. 34-39)).

Система разграничения прав доступа к файловым объектам представлена на фиг.1. Система разграничения прав доступа к файловым объектам содержит: блок авторизации пользователя 1, блок разграничения прав доступа к файловым объектам 2, причем вход/выход блока авторизации пользователя 1 соединен со входом/выходом авторизации пользователя 3, выход - с первым входом блока разграничения прав доступа к файловым объектам 2, второй вход которого - со входом запроса доступа приложением к файловым объектам 4, первый выход - с выходом разрешения запроса доступа приложением к файловым объектам 5, второй выход - с выходом запрета запроса доступа приложением к файловым объектам 6.

Работает система разграничения прав доступа к файловым объектам следующим образом. При входе пользователя в систему блоком 1 осуществляется его авторизация (проверяется имя и пароль). Имя текущего пользователя блоком 1 передается в блок 2, который содержит данные о разграничительной политике доступа каждого пользователя к файловым объектам (логическим дискам, каталогам, файлам) - к каким файловым объектам доступ разрешен пользователю и какие права доступа к файловому объекту ему разрешены - чтение, запись, выполнение (для исполняемых файлов - программ). При обращении приложением (например, программой Word) к файловым объектам приложение выдает на вход 4 запрос доступа, в котором указывается к какому файловому объекту запрашивается доступ и какую операцию необходимо выполнить над файловым объектом (чтение, запись, выполнение). Запрос приложения поступает в блок 2, который сравнивает параметры запроса с правами доступа текущего пользователя. Если запрашиваемый приложением доступ текущему пользователю разрешен, запрос выдается на выход 5, в противном случае на выход 6 блоком 2 формируется отказ приложению в запрашиваемом доступе.

К недостаткам системы разграничения прав доступа к файловым объектам может быть отнесено следующее. При работе ОС и приложений существует ряд каталогов, не разделяемых между пользователями. К таким каталогам можно отнести “корзину” (каталог RECYCLED), переменные окружения (каталоги TEMP, TMP), каталог “Мои документы”, различные каталоги приложений для хранения временной информации и др. При этом для некоторых приложений, предполагающих автосохранение информации, нельзя запретить доступ пользователям в данные каталоги, причем информация в них записывается автоматически приложением. Таким образом, существуют каталоги, для которых невозможно разграничить доступ пользователям системой разграничения прав доступа к файловым объектам (при этом либо пользователи, которым запрещен доступ к рассматриваемым каталогам, не смогут работать с приложением, либо им не сможет предоставляться необходимый сервис, например, работы с корзиной). Наличие каталогов, доступ к которым должен разрешаться всем пользователям, существенно снижает уровень защищенности (имеются пересекающиеся области файловой системы, доступ к которым должен быть разрешен всем пользователям) и противоречит требованиям соответствующих нормативных документов в области информационной безопасности к решению задачи разграничения прав доступа к файловой системе.

Целью изобретения является повышение уровня защищенности рабочих станций и серверов за счет реализации разграничения доступа к общим для пользователей каталогам, создаваемым ОС и приложениями.

Достигается это тем, что в систему разграничения прав доступа к файловым объектам, содержащую блок авторизации пользователя, блок разграничения прав доступа к файловым объектам, причем вход/выход блока авторизации пользователя соединен со входом/выходом авторизации пользователя, выход - с первым входом блока разграничения прав доступа к файловым объектам, первый выход которого - с выходом разрешения запроса доступа приложением к файловым объектам, второй выход - с выходом запрета запроса доступа приложением к файловым объектам, дополнительно введены: блок анализа объекта доступа, блок формирования объекта доступа, блок формирования запроса доступа, причем выход блока авторизации пользователя соединен с первым входом блока формирования объекта доступа, второй вход которого - со вторым выходом блока анализа объекта доступа, первый выход которого - с первым входом блока формирования запроса доступа, второй вход которого - с выходом блока формирования объекта доступа, выход - со вторым входом блока разграничения прав доступа к файловым объектам, вход блока анализа объекта доступа - со входом запроса доступа приложением к файловым объектам.

Система разграничения прав доступа к файловым объектам представлена на фиг.2. Система разграничения прав доступа к файловым объектам содержит: блок авторизации пользователя 1, блок анализа объекта доступа 2, блок формирования объекта доступа 3, блок формирования запроса доступа 4, блок разграничения прав доступа к файловым объектам 5, причем вход/выход блока авторизации пользователя 1 соединен со входом/выходом авторизации пользователя 6, выход - с первым входом блока формирования объекта доступа 3, с первым входом блока разграничения прав доступа к файловым объектам 5, второй вход которого - с выходом блока формирования запроса доступа 4, первый вход которого - с первым выходом блока анализа объекта доступа 2, вход которого - со входом запроса доступа приложением к файловым объектам 7, второй выход - со вторым входом блока формирования объекта доступа 3, выход которого - со вторым входом блока формирования запроса доступа 4, первый выход блока разграничения прав доступа к файловым объектам 5 - с выходом разрешения запроса доступа приложением к файловым объектам 8, второй выход - с выходом запрета запроса доступа приложением к файловым объектам 9.

Работает система разграничения прав доступа к файловым объектам следующим образом. Для каждого каталога, создаваемого ОС или приложениями, доступ к которому не может быть разграничен для пользователей, например, C:\RECYCLED, создаются соответствующие каталоги, например каталог C:\user 1 для первого пользователя, C:\user 2 для второго пользователя и т.д., к которым осуществляется переадресация запроса доступа, - каталог, доступ к которому не может быть разграничен для пользователей, становится виртуальным (физически в него не может быть записан, соответственно из него не может быть считан ни один файл). В блоке 5 прописываются разграничения доступа для данных каталогов, в частности к каталогу C:\RECYCLED разрешается полный доступ (чтение и запись) всем пользователям, к катологу C:\user 1 разрешается доступ только первому пользователю (остальным запрещается), к каталогу C:\user 2 разрешается доступ только второму пользователю (остальным запрещается) и т.д. Суть реализуемого подхода состоит в переадресации обращения к каталогу, доступ к которому не может быть разграничен для пользователей, в соответствующий пользовательский каталог, т.е., например, при обращении первого пользователя к каталогу C:\RECYCLED запрос пользователя будет переадресован к каталогу C:\user 1 (при этом физического обращения к каталогу C:\RECYCLED не произойдет). При обращении приложением (например, программой Word) к файловым объектам приложение выдает на вход 7 запрос доступа, в котором указывается, к какому файловому объекту запрашивается доступ и какую операцию необходимо выполнить над файловым объектом (чтение, запись, выполнение). При входе пользователя в систему (со входа 6) блоком 1 осуществляется его авторизация (проверяется имя и пароль). Имя текущего пользователя блоком 1 передается в блок 5, который содержит данные о разграничительной политике доступа каждого пользователя к файловым объектам (логическим дискам, каталогам, файлам) - к каким файловым объектам доступ разрешен пользователю и какие права доступа к файловому объекту ему разрешены - чтение, запись, выполнение (для исполняемых файлов - программ), и в блок 3, который формирует переадресацию запроса доступа для текущего пользователя. Блок 2 выявляет, к какому каталогу запрошен доступ, если к каталогу, к которому не производится переадресации, то блок 2 транслирует исходный запрос через блок 4 в блок 5, в противном случае передает запрос в блок 3. В блоке 3 для каждого каталога, доступ к которому переадресуется, содержится список переадресуемых каталогов, - для каждого пользователя задан переадресуемый каталог, например для каталога C:\RECYCLED задан следующий список

каталог C:\user 1 для первого пользователя, C:\user 2 для второго пользователя и т.д. Блоком 3 в исходный запрос вместо имени запрашиваемого каталога подстанавливается имя переадресуемого каталога для текущего пользователя (имя текущего пользователя поступает в блок 3 из блока 1), и сформированный таким образом запрос через блок 4 поступает в блок 5. Запрос приложения поступает в блок 5, который сравнивает параметры запроса с правами доступа текущего пользователя. Если запрашиваемый приложением доступ текущему пользователю разрешен, запрос выдается на выход 8, в противном случае на выход 9 блоком 5 формируется отказ приложению в запрашиваемом доступе.

Таким образом, заявляемая система позволяет разделить каталоги, создаваемые общими для всех пользователей ОС и приложениями, за счет чего повысить безопасность системы, обеспечив решение задачи разграничения прав доступа к файловым объектам в полном объеме (отсутствуют общие каталоги для всех пользователей системы).

Блоки, используемые в заявляемой системе, могут быть реализованы следующим образом.

Блоки 1 и 5 реализованы аналогично соответствующим блокам 1 и 2 прототипа.

Блок 2 - это анализирующее запрос программное средство (функции простейшего анализатора), выделяющее из строки запроса доступа поле имени каталога, к которому происходит обращение доступа, и сравнивающее выделенное значение со значениями, хранящимися в списке, логическая схема блока 2 формирует передачу запроса на один из двух выходов, в зависимости от результатов сравнения.

Блок 3 - это программное средство формирователя запроса (функции простейшего формирователя), выделяющее из строки запроса доступа поле имени каталога, к которому происходит обращение доступа, и подстанавливающее вместо него соответствующее для текущего пользователя значение имени каталога из хранящихся в списке.

Блок 4 - это программное средство, реализующее логическое преобразование - функцию “ИЛИ”.

К достоинствам предлагаемой системы может быть отнесено следующее.

1. Система позволяет в полном объеме обеспечить решение задачи разграничения прав доступа к файловым объектам за счет реализации разграничения доступа к каталогам, создаваемым ОС и приложениями, общими для пользователей системы.

2. Система позволяет создавать общие виртуальные каталоги для пользователей (обратная задача) с целью упрощения назначения прав доступа пользователям. Например, полный доступ для всех пользователей может назначаться к одному виртуальному каталогу, в то время как фактически за счет переадресации запросов доступа каталоги пользователей будут различными.

Формула изобретения

Система разграничения прав доступа к файловым объектам, содержащая блок авторизации пользователя, блок разграничения прав доступа к файловым объектам, причем вход/выход блока авторизации пользователя соединен со входом/выходом авторизации пользователя, выход - с первым входом блока разграничения прав доступа к файловым объектам, первый выход которого - с выходом разрешения запроса доступа приложением к файловым объектам, второй выход - с выходом запрета запроса доступа приложением к файловым объектам, отличающаяся тем, что в нее дополнительно введены блок анализа объекта доступа, блок формирования объекта доступа, блок формирования запроса доступа, причем выход блока авторизации пользователя соединен с первым входом блока формирования объекта доступа, второй вход которого - со вторым выходом блока анализа объекта доступа, первый выход которого - с первым входом блока формирования запроса доступа, второй вход которого - с выходом блока формирования объекта доступа, выход - со вторым входом блока разграничения прав доступа к файловым объектам, вход блока анализа объекта доступа - со входом запроса доступа приложением к файловым объектам.

РИСУНКИ

Рисунок 1, Рисунок 2