автореферат диссертации по информатике, вычислительной технике и управлению, 05.13.11, диссертация на тему:Семантическая интеграция управления доступом к сервисам

На правах рукописи

Созыкин Андрей Владимирович

СЕМАНТИЧЕСКАЯ ИНТЕГРАЦИЯ УПРАВЛЕНИЯ ДОСТУПОМ К

СЕРВИСАМ

Специальность 05.13.11 - Математическое и программное обеспечение вычислительных машин, комплексов и компьютерных сетей

АВТОРЕФЕРАТ диссертации на соискание ученой степени кандидата технических

Пермь-2008

003453662

Работа выполнена в Институте механики сплошных сред Уральского отделения Российской академии наук (ИМСС УрО РАН)

Научный руководитель:

Официальные оппоненты:

Ведущая организация:

кандидат технических наук Масич Григорий Федорович

доктор технических наук, профессор Сухов Андрей Михайлович

кандидат физико-математических наук Филиппов Виктор Иванович

Пермский Государственный Технический Университет

Защита состоится_декабря 2008 года в_часов на заседании диссертационного совета Д002.073.01 при Институте проблем информатики РАН по адресу. 119333, Москва, ул. Вавилова, д.44, кор.2.

С диссертацией можно ознакомиться в библиотеке Института проблем информатики РАН

Отзывы в одном экземпляре, с заверенной подписью, просим направлять по адресу: 119333, Москва, ул. Вавилова, д.44, кор.2, в диссертационный Совет.

Автореферат разослан «_» ноября 2008 г.

Ученый секретарь диссертационного совета Д002.073.01 доктор технических наук, профессор

С.Н.Гринченко

ОБЩАЯ ХАРАКТЕРИСТИКА РАБОТЫ

Актуальность темы. Современные научные и коммерческие организации строят корпоративные сети, предоставляющие сотрудникам сервисы разных типов: сетевые (электрон-пая почта, доступ в Интернет), вычислительные (кластеры, многопроцессорные серверы), информационные (справочные системы, порталы, системы управления предприятием, прикладные научные системы). В таких сетях повышенное внимание уделяется управлению доступом к сервисам в целях обеспечения безопасности и удобства работы.

В крупных сетях с большим количеством сервисов и пользователей управление доступом к сервисам связано с рядом проблем. Управление является трудоемкой задачей, создающей большую нагрузку на администраторов и предъявляющей высокие требования к их квалификации. Для управления доступом к сервисам разных типов приходится использовать несколько разных систем управления и выполнять большое число операций. Сервисы разных типов используют отдельные репозитории правил разграничения доступа, часть информации в которых дублируется и требует синхронизации при изменении. Пользователям работать с сервисами неудобно из-за большого количества идентификаторов и паролей, требуемых для разрешения доступа к сервисам. Безопасность работы с сервисами находится на низком уровне: пользователи выбирают простые пароли, которые легко подобрать, сложные пароли записывают, нетрудно реализуются атаки социальных инженеров.

Актуальной является задача повышения эффективности процесса управления доступом и увеличения удобства работы с сервисами путем интеграции механизмов управления доступом к сервисам разных типов. Интеграция осложняется тем, что сервисы используют различные протоколы управления доступом: RADIUS, KERBEROS, LDAP, SAML, WS-Security и др Для хранения правил разграничения доступа применяются различные репозитории: текстовые файлы, XML, реляционные СУБД, каталога LDAP. В последнее время все большей популярностью пользуются интегрированные системы, позволяющие управлять доступом к сервисам разных типов, независимо от деталей взаимодействия. При этом расхождения в базовых семантических моделях этих систем приводят к проблемам интероперабельности и существенно ограничивают круг поддерживаемых сервисов.

В данной работе предложена формальная основа для иитеграции механизмов управления доступом к сервисам разных типов на основе семантического похода и разработан комплекс программ для интеграции управления доступом к сервисам разных типов. Данный комплекс обеспечивает хранение правил разграничения доступа, реализацию процедур защиты информации (идентификация, аутентификация и авторизация), предоставляет единую систему управления правилами разграничения доступа для всех сервисов, используемых в организации, независимо от их типа.

Целью диссертационной работы является повышение эффективности процесса управления доступом к сервисам за счет интеграции механизмов управления доступом к сервисам разных типов (информационным, сетевым и вычислительным). В работе исследованы и решены следующие задачи.

1. Исследование и сравнительный анализ существующих подходов к управлению доступом к сервисам с точки зрения возможности интеграции процессов управления доступом к сервисам разных типов.

2. Разработка методики семантической интеграции управления доступом к сервисам разных типов.

3. Построение семантической модели системы управления доступом к сервисам.

4. Создание средств описания правил разграничения доступа в формальном виде.

5. Разработка комплекса программ, интегрирующего управление доступом к сервисам разных типов.

6. Исследование эффективности применения семантической интеграции управления доступом к сервисам в сетях научных организаций.

Объект исследовании: процесс управления доступом к сервисам.

Предмет исследования: интеграция управления доступом к сервисам разных типов.

Научая новизна. В диссертационной работе получены следующие новые результаты:

- Применен семантический подход для интеграции управления доступом к сервисам разных типов, что позволило значительно расширить ингероперабелыюсть. Разработана методика интеграции управления доступом к сервисам на основе семантического подхода.

- Предложена унифицированная онтологическая модель, определяющая базовые понятия и операции управления доступом к сервисам. Модель делает возможной интеграцию управления доступом к сервисам разных типов, использующих различные модели, методы и технологии управления доступом на основе семантического подхода.

- Разработана алгебраическая запись правил разграничения доступа, представляющая собой формальную запись понятий разработанной онтологической модели. Алгебраическая запись позволяет в формальном виде описывать правила разграничения доступа с использованием различных методов управления доступом.

- Реализован комплекс программ управления доступом к сервисам на основе разработанных технологий.

Положения, выносимые па защиту:

1. Методика семантической интеграции управлении доступом к сервисам, позволяющая значительно расширить круг поддерживаемых сервисов и методов управления доступом.

2. Система моделей управления доступом к сервисам, включающая онтологическую модель управления доступом к сервисам и алгебраическую запись правил разграничения доступа. Модели предоставляют основу для интеграции управления доступом к сервисам разных типов: онтология задает общую семантику понятий предметной области управления доступом и операций над ними, общий формальный синтаксис задает алгебраическая запись правил разграничения доступом.

3. Результаты оценки эффективности применения семантической интеграции управления доступом к сервисам в сетях научных организаций.

Практическая ценность. Разработанные модели, методы, технологии и созданный на их основе комплекс программ позволяют интегрировать управление доступом к сервисам разных типов. Работа пользователей с сервисами становится более удобной за счет интеграции учетных записей для доступа ко всем сервисам с возможностью однократной регистрации. Администраторам, отвечающим за управление доступом к сервисам, предоставляет единая, удобная, интуитивно понятная система управления.

Апробации работы. Основные результаты работы докладывались и обсуждались на следующих научных конференциях и семинарах:

- Всероссийская научная конференция «Научный сервис в сети Интернет», Новороссийск, 2002, 2006,2007.

- 13 Зимняя школа по механике сплошных сред, Пермь, 2003.

- Региональная молодежная конференция «Проблемы теоретической и прикладной математики», Екатеринбург, 2003,2004.

- Конференция представителей региональных научно-образовательных сетей «RELARN», 2004,2006,2007.

- XIV Всероссийская научно-методическая конференция «Телематика'2007» Санкт-Петербург, 2007.

- Международная конференция «Вычислительные и информационные технологии в науке, технике и образовании», Казахстан, Алматы, 2008

Публикации. По теме диссертации опубликовано 17 научных работ, в том числе 2 в изданиях, входящих в список ВАК.

Структура и объём работы. Диссертация состоит из введения, четырех глав, заключения, списка использованных источников, включающего 112 работ, приложения. Работа изложена на 107 страницах, содержит 29 рисунков, 8 таблиц.

КРАТКОЕ СОДЕРЖАНИЕ РАБОТЫ

Во введении обоснована актуальность темы исследования, описаны решаемые проблемы и задачи.

В первой главе выполнен обзор текущего состояния систем, интегрирующих управления доступом к сервисам разных типов. В первом разделе рассмотрены существующие технологий управления доступом к сервисам Управление доступом (access control) - это процесс проверки запросов на доступ к сервису с целью определить разрешить или запретить доступ Большая часть современных систем использует модель управления доступом, предложенную Лампсоном в 1974_г(рис. 1.).

Do

Reference Object

Monitor -№>

Source Request Guard Resource

Рис. 1. Модель управления доступом (Лампсон, 1974).

Модель Лампсона включает следующие элементы.

- Principal - автор запроса (принципал, иногда называют субъектом).

- Object - ресурс, информационный, сетевой или вычислительный.

- Request - запрос на выполнение операции с объектом.

- Reference Monitor - диспетчер доступа, проверяющий все запросы к объекту и принимающий решение о разрешении или запрещении доступа.

Диспетчер доступа для принятия решения проводит три процедуры защиты информации. Определение источника запроса называется идентификацией, подтверждение подлинности источника называется аутентификацией, анализ правил разграничения доступа называется авторизацией.

В настоящее время существует большое количество реализаций процедур защиты. В работе описаны распространенные методы идентификации и аутентификации: парольная, многофакторная, биометрическая, с использованием криптографии и с пулевой передачей знаний (Фейге, Фиат, Шамир, 1986). Приведен обзор методов управления доступом (авторизации): дискреционного (Лампсон, 1974), мандатного (Белл и Ла Падула, 1975), ролевого (Сапдху, 1996), атрибутного (Юан и Тонг, 2005).

Показано, что основной причиной неэффективности процесса управления доступом к сервисам является многообразие технологий управления доступом. Многообразие технологий обеспечивает гибкость процесса управления, но значительно увеличивает сложность и трудоемкость. Для упрощения процесса управления необходима интеграция систем управления доступом к сервисам, использующих различные технологии.

Во втором разделе рассмотрены подходы к интеграции информационных систем, обеспечивающие различные уровни интероперабсльности:

- Синтаксическая интеграция основывается на использовании согласованных форматов данных;

- Структурная интеграция обеспечивает согласование структур данных путем преобразования форматов с применением метаданных;

- Семантическая интеграция устанавливает смысловое соответствие между сущностями.

Наиболее полную иптероперабельноеть интегрируемых систем обеспечивает семантическая интеграция. Интеграционные решения, использующие синтаксический и структурный подход являются частными, рассчитанными на определенные системы Широкое применение таких решений затруднено.

В настоящее время наиболее популярной технологией семантической интеграции являются онтологии. Отологии определяют общий словарь предметной области, который может совместно использоваться людьми или информационными системами. Для разработки онтологий существует широкий набор инструментальных средств: язык описания онтологий OWL (Web Ontology Language), являющийся стандартом W3C, среды редактирования онтологии Protege, Ontolingua, Chimaera, готовые и доступные к использованию онтологии, описывающие различные предметные области.

На основе анализа подходов к интеграции информационных систем делается вывод, что интеграцию систем управления доступом к сервисам необходимо выполнять с помощью семантического подхода, что обеспечит максимальную иптероперабельноеть. В качестве инструментария интеграции целесообразно использовать онтологии.

В третьем разделе выполнен обзор существующих систем интеграции управления доступом к сервисам. Выявлены аналоги трех типов: системы централизованного управления, системы федеративной идентификации, системы интегрированного управления. Оценка наиболее близких аналогов приведена в табл. 1.

Таблица 1. Оценка существующих систем интеграции управления доступом

Название Интеропера-бе ль-ность Функциональные возможности Методы управления доступом Схема распространения Область применения Всего

Системы централизованного управления

AAA 1 б 1 10 5 23

LDAP 1 6 1 10 5 23

KERBEROS 1 6 1 10 5 23

A-Select 1 б 1 10 5 23

SAML 1 7 1 10 5 24

Системы федеративной идентификации

Liberty 4 7 7 8 5 31

WS-Fedcration 3 7 7 5 5 27

OpenID 2 5 5 8 3 23

Windows CardSpace 2 5 6 5 3 21

Системы интегрированного управления

IBM Tivoli Identity Manager 5 10 10 5 10 40

Sun Identity Manager 5 10 10 10 10 45

Oracle Identity Manager 5 10 10 5 10 40

Novell Identity Manager 5 9 8 5 10 37

Microsoft Identity Intergation Server 5 9 8 5 10 37

Анализ позволил выбрать прототип - Sun Identity Manager. Основным недостатком прототипа и других аналогов является низкая интеропсрабсльность. Это объясняется применением синтаксической (системы централизованного управления и федеративной идентификации) и структурной (системы интегрированного управления) интеграции. В результате задача интеграции механизмов управления доступом к сервисам разных типов с использованием

существующих систем затруднена. Расширить интероперабелыюегь можно с помощью семантической интеграции, для чего необходимо разработать четкую семантическую модель управления доступом к сервисам

В четвертом разделе выполнен обзор существующих онтологии в области управления доступом к сервисам. Выявлены аналоги трех типов: онтологии для управления доступом к конкретным информационным системам, онтологии для различных методов управления доступом, и онтологии верхнего уровня. Оценка наиболее близких онтологий с точки зрения возможности применения для интеграции управления доступом к сервисам разных типов приведена в табл. 2.

На основе результатов оценки в качестве прототипа была выбрана онтология BWW (Bunge, Wand and Weber ontology). Недостатком онтологии BWW является слишком высокий уровень абстракции: онтология описывает информационные системы в целом, без учета особенностей конкретных информационных систем. Необходимо выполнить адаптацию онтологии BWW к предметной области управления доступом к сервисам разных типов с учетом существующих Российских и международных стандартов и распространенных методов управления доступом.

Таблица 2. Оценка онтологий в предметной области управления доступом

Онтология Широта применения Ориентация на информационные системы Практическое использование Всего

Онтологии для управления доступом к конкретным информационным системам

HL7 1 10 1 12

LSDIS 1 10 1 12

Access-cGov 1 10 1 12

Онтологии для методов управления доступом к сервисам

Access Control Lists ontology 3 10 3 16

Role base access control ontology 3 10 3 16

Attribute base access control ontology 3 10 2 ¡5

Rule base access control ontology 3 10 2 15

Context aware access control ontology 2 10 1 13

Отологии верхнего уровня

Cys 10 1 10 21

SUMO 10 2 9 21

GOL 8 2 6 16

BWW 6 10 8 24

DOLCE 7 8 8 23

Вторая глава посвящена семантической интеграции управления доступом к сервисам разных типов.

В первом разделе представлены анализ и критика прототипа. Схема прототипа и предлагаемого решения приведена на рис. 2,

Основным недостатком прототипа является низкая интероперабельность, вызванная использованием структурной интеграции. Для увеличения интеропсрабельности предлагается использовать семантическую интеграцию: разработать семантическую модель в виде онтологии, ввести блок согласования семантики в адаптеры сервисов, модифицировать схему дан-

ных и блоки хранения правил разграничения доступа, ПО управления доступом и консоль управления доступом.

Сервис

Администратор

Идентификация Аутентификация Авторизация

X

Гг

Согласование I синтаксиса

Согласование структуры

Согласование семантики

Адаптер —

Управления правилами разграничения доступа

1

ПО управления доступом -^ _

1г

Система интеграции управления доступом к сервисам

Схема данньи^

Правила разграничения _доступа /

Репозиторнй правил I разграничения доступа I

Рис. 2. Прототип и предлагаемое решение (новые блоки закрашены, развитые отмечены

уголком)

Во втором разделе предложена методика интеграции управления доступом к сервисам разных типов на основе семантического подхода. Методика заключается в выполнении следующих шагов:

1. Задать множество сервисов 5, которые подлежат интеграции.

2. Задать множество моделей М, используемых для управления доступом к сервисам из множества 5.

3. Задать множество репозиториев правил разграничения доступа Я, которые подлежат интеграции.

4. Задать множество протоколов управления доступом Р, которые используются сервисами из множества 5.

5. Разработать унифицированную модель управления доступом Л/о. Модель включает семантическое описание базовых понятий и операций систем управления доступом (представленное в виде онтологии) и синтаксис записи правил разграничения доступа с использованием дайной семантики.

6. Определить отображение моделей управления доступом т,еМ в унифицированную модель Мо. Р:т.—>Мп\т,еМ.

7. Создать консолидированный репозоторий правил разграничения доступа Л», использующий унифицированную модель М>.

8. Разработать адаптеры ЛЯ, обеспечивающие перенос данных из репозиториев г, в Я в консолидированный репозиторий Ко.

9. Создать программное обеспечение управления доступом, реализующее процедуры защиты информации с использованием правил разграничения доступа в консолидированном репозитории

10. Разработать адаптеры Л,У протоколов управления доступом р,еР, обеспечивающие взаимодействие сервисов с ПО управления доступом, для выполнения процедур защиты информации с использованием протоколар,еР.

11. Настроить сервисы для взаимодействия с ПО управления доступом с помощью адаптеров а,еЛ$ по протоколам р,еР.

12. Разработать консоль управления правилами разграничения доступа в консолидированном репозитории Л».

Структурная схема системы семантической интеграции управления доступом к сервисам разных типов, получаемой с помощью предлагаемой методики, показана на рис. 3.

Сервисы

Администраторы

*1 «г

Модель ОТ; Модель тг Модель т„

■ Система > семантической | интеграции управления ] доступом к ^сервисам

[Модель 1пл Репозитории правил разграничения доступа Рис. 3. Структурная схема системы семантической интеграции управления доступом к сервисам

Особенность предлагаемого метода интеграции управления доступом к сервисам разных типов заключается в применении семантического подхода к интеграции, обеспечивающее большую интероперабельность, по сравнению с используемыми в настоящее время синтаксическим и структурным подходами. Построенная с применением данного метода система обеспечит интеграцию более широкого круга сервисов и использование большего количества методов управления доступом.

В третьей главе представлена разработанная система моделей управления доступом к сервисам. В соответствии с методикой интеграции управления доступом к сервисам, предложенной во второй главе, система моделей состоит из двух частей:

- Семантическая модель, описывающая базовые понятия и операции предметной области управления доступом к сервисам.

- Алгебраическая модель, определяющая синтаксис записи правил разграничения доступа.

В первом разделе представлена семантическая модель управления доступом к сервисам. Модель представлена в виде онтологии управления доступом к сервисам на основе онтологии верхнего уровня В\У\\'.

Основные сущности разработанной онтологии управления доступом показаны на иМЬ-диаграмме на рис. 4. В верхней части диаграммы представлены базовые понятия онтологии В\У\У, в нижней их сужение на предметную область управления доступом к сервисам.

Онтология В WW

«interface» Thing

«interface» Property

ту

Онтология

управления

доступом

Principal

-Permissions -Attributes

AccessObject

AccessSubject

-Identificators

-Authenticators

-Roles

Container

■AccessSubjects

Role

Session

-AccessSubject -Roles

-Permissions -Attributes

Policy

Identifier Authenticator Permission Attribute

Рис. 4. Структура системы управления доступом к сервисам

Основными классами сущностей являются:

- AccessObject - объект, управление доступом к которому ведется.

- Principal - сущность, наделенная правами доступа и атрибутами. Principal - абстрактный класс, который не может иметь экземпляров. Класс имеет три наследника: Access-Subject (субъект доступа), Container (контейнер) и Role (роль). Субъект доступа представляет собой персону, программу или систему, взаимодействующую с объектом доступа. Контейнеры и роли введены для упрощения процесса управления.

- Session - сессия, возникающая при обращении субъекта к объекту.

- Policy - совокупность правил разграничения доступа.

Основными свойствами являются:

- Identifier - уникальный признак объекта.

- Authenticator - аутентификатор, позволяющий подтвердить подлинность объекта.

- Permission - права доступа субъекта к объекту. Онтология не накладывает никаких ограничений на семантику и синтаксис прав доступа Анализ прав и принятие решения о разрешении или запрещении доступа - это задача каждого конкретного сервиса. За счет этого обеспечивается возможность широкого применения.

- Attribute - атрибут, может содержать различную информацию. Как и в случае с правами доступа, на семантику и синтаксис атрибутов не накладывается никаких ограничений.

Кроме определения основных классов и атрибутов, онтология задает состояния, правила изменения состояний, события системы управления доступом. Работа содержит подробное описание онтологии.

Во втором разделе вводится алгебраическая запись правил разграничения доступа к сервисам, которая предоставляет формальный синтаксис для записи правил разграничения доступа к сервисам с использованием семантики предложенной онтологии.

Определено несколько уровней алгебраической записи с разными выразительными возможностями. Базовый уровень содержит основные компоненты, необходимые для управления доступом к сервисам. Первый уровень позволяет использовать контейнеры, второй - ролевое управление доступом, а третий обеспечивает возможность делегирования полномочий управления доступом к сервисам. Компоненты алгебраической записи более высокого уровня включают все компоненты записи уровней ниже.

Базовый уровень алгебраической записи правил разграничения доступ включает (рис.

5.):

- Множества Ц I, А, Р, V, S (субъектов, идентификаторов, аутентификаторов, прав доступа, атрибутов и сессий соответственно)

- user; 1 —> V—функция, отображающая каждый идентификатор в единственный субъект доступа uscr(ij.

- *(-„)= J';|"sf('y)= "J - классы эквивалентности идентификаторов г,„ задающие разбиение множества идентификаторов / на подмножества идентификаторов, принадлежащих одному субъекту и.

- id: А —> /-функция, отображающая каждый аутентификатор а, в единственный идентификатор id(aj.

Рис. 5. Алгебраическое представление правил разграничения доступа к сервисам (базовый

уровень)

- UP с U хР-отношение, задающее соответствие между субъектами и правами доступа.

- UV с UX V- отношение, задающее соответствие между субъектами и атрибутами.

- suser: S —> U-функция, отображающая каждую сессию s, в единственный субъект suser(sj).

- sid S функция, отображающая каждую сессию s, в единственный идентификатор sidfsj.

- sauíh: S А-функция, отображающая каждую сессию s, в единственный аутенти-фикатор sauth(s).

- PH сР XР- частичный порядок на множестве прав доступа Р, называемый иерархией прав доступа и обозначаемый >.

- VII с: V X V— частичный порядок на множестве атрибутов V, называемый иерархией атрибутов и обозначаемый >

- perm: U-*2P- функция, ставящая в соответствие субъекту и, множество прав доступа p)«((4f,p'H VP)\

- altr: U —> 2r- функция, ставящая в соответствие субъекту ц множество атрибутов С }v¡{3v's v)h((i^,v')e VC)J

- Множество ограничений, определяющих, какие сочетания компонентов модели являются допустимыми. Разрешены только допустимые компоненты. ■

Предложенная система моделей используется в качестве унифицированной модели управления доступом в методике семантической интеграции, разработанной во второй главе, и служит основой для интеграции систем управления доступом к сервисам, использующих различные модели, методы и технологии.

В четвертой главе описано практическое применение семантической интеграции управления доступом к сервисам разных типов.

В первом разделе представлен разработанный комплекс программ по управлению доступом к сервисам. Логическая архитектура комплекса программ показана па рис. 6 и состоит из трех уровней:

- Уровень технических служб отвечает за взаимодействие с репозиториями правил разграничения доступа r,eR, обеспечивает создание консолидированного репозитория правил разграничения доступа Re.

- Уровень приложений реализует прикладную логику управления доступом: процедуры защиты информации, управление сессиями и т.д.

- Уровень представления обеспечивает взаимодействие комплекса с внешним миром: сервисами, администраторами, пользователями и внешними информационными системами.

Комплекс реализован с использованием бесплатно распространяемого программного обеспечения. Консолидированный репозиторий правил разграничения доступа построен на основе LDAP-каталога Sun Java System Directory Server. Адаптеры протоколов идентификации реализованы с использованием ПО FreeRADIUS, OpenSSO, Samba. Система управления построена на основе Sun Java System Delegated Administrator, функциональность которого расширена для возможности управления доступом к сервисам разных типов. Система управления предоставляет два типа интерфейса: Web и командную строку. Распределение полномочий между администраторами реализовано с помощью делегирования ia двух уровнях: администратор с полным доступом и администратор организации. Комплекс работает под управлением ОС Solaris. Надежность работы комплекса обеспечивается с помощью структурного резервирования. <

Администраторы Пользователи

Уровень технических служб

[ _ _ Система ин reí рации управления доступом к сервисам_ _

Рис. 6. Архитектура комплекса программ по управлению доступом к сервисам

Во втором разделе описано применение разработанной методики и комплекса программ для интеграции управления доступом к сервисам корпоративной сети Пермского Научного центра Уральского отделения Российской Академии наук (ГШЦ), которая объединяет четыре академических института и Президиум.

Комплекс программ применяется для управления доступом к следующим сервисам

ПНЦ:

- Шлюз доступа в Интернет, точки беспроводного доступа Wi-Fi, модемные пулы (аналоговый и ISDN) по протоколу RADIUS.

- Портал ПНЦ и система Web-отчетов статистики использования сервисов с помощью средств J2EE.

- Вычислительный кластер МВС-1000/16, почтовый и файловые серверы UNIX, система хранения документов по протоколу LDAP.

В третьем разделе проведен анализ эффективности использования семантической интеграции управления доступом к сервисам. Для этой цели был проведен ряд экспериментов с системой, внедренной в сети ПНЦ. Анализ эффективности показал, что интеграция управления доступом к сервисам разных типов на основе семантического подхода повышает удобство использования сервисов корпоративной сети и снижает затраты на управление доступом к сервисам.

Удобство использования сервисов повышается за счет единого идентификатора и пароля. Количество необходимых для работы идентификаторов сократилось с 10 (соответствует количеству сервисов, подключенных к системе управления доступом) до одного. Сокращение количества идентификаторов также привело к уменьшению количества запросов в службу поддержки по восстановлению забытых паролей и консультаций по порядку доступа к сервисам на 60%.

Проведен сравнительный анализ временных характеристик процесса управления доступом к сервисам с использование системы интегрированного управления и без нее. Результаты сравнительного анализа представлены в табл. 3.

Таблица 3.

Результаты сравнительного анализа временных затрат в ходе управления доступом к серви-__сам _

Операция С помощью традиционных систем управления доступом, мин. С помощью системы интегрированного управления, мин.

Создание учетной записи 15-30 3-5

Изменение учетной записи 5-10 2-3

Удаление учетной записи 15-30 3-5

Назначение прав доступа 10-15 4-10

Изменение прав доступа 5-10 1-2

Время, сэкономленное при управлении доступом с использованием системы интегрированного управления, может составлять до 80% от обычного времени работы с применением существующих систем управления доступом за счет сокращения количества ручных операций.

Интеграция управления доступом к сервисам разных типов позволила снизить требования к администраторам за счет предоставления единой интуитивной понятной системы управления с АУеЬ-интерфейсом.

Внедрение системы семантической интеграции управления доступом позволило повысить эффективность управления доступом к сервисам за счет повышения удобства работы пользователей с сервисами, сокращения временных затрат на управление доступом и снижения требований к администраторам.

В заключении приведены основные результаты диссертационной работы.

ОСНОВНЫЕ РЕЗУЛЬТАТЫ РАБОТЫ

1. Выполнено исследование подходов к управлению доступом к сервисам. Показано, что причиной низкой эффективности процесса управления доступом является многообразие методов и технологий управления доступом. Возможности существующих систем интеграции управления доступом ограниченны из-за использования сшгтаксичсского или структурного подходов к интеграции. Для расширения возможностей существующих систем предлагается применить семантическую интеграцию.

2. Предложена методика интеграции управления доступом к сервисам разных типов на основе семантического подхода. Методика обеспечивает повышение интероперабельности: значительно расширяет круг поддерживаемых сервисов и методов управления доступом.

3. Предложена онтология управления доступом к сервисам. Онтология определяет семантику базовых понятий и операций предметной области управления доступом к сервисам и служит основой для семантической интеграции механизмов управления доступом к сервисам разных типов, использующим различные модели, методы и технологии управления доступом

4. Разработана алгебраическая запись правил разграничения доступа к сервисам, позволяющая описывать правила разграничения доступа в формальном виде с использованием разных методов управления доступом

5 Реализован комплекс программ управления доступом на основе разработанных технологий.

6 Комплекс программ успешно применен для интеграции управления доступом к сервисам ПНЦ Исследование эффективности использования системы показало, что интеграция управления доступом повышает удобство использования сервисов корпоративной сети, сокращает временные затраты на управление доступом и снижает требования к администраторам.

СПИСОК ПУБЛИКАЦИЙ НО ТЕМЕ ДИССЕРТАЦИИ

В рецензируемых журналах из списка ВАК

1. Созыкин A.B. Модели и методы создания интегрированной инфраструктуры управления доступом к сервисам // Системы управления и информационные технологии, 2007, .№4.1(30). - С. 191-195.

2. Созыкин А.В, Масич Г.Ф., Бездушный А.Н., Бобров А.В, Босое AB , Масич А.Г. Онтология управления доступом к сервисам// Наукоемкие технологии, №11, 2008, с 34-43.

В других изданиях

1. Бездушный АН., Масич А.Г., Масич Г.Ф., Созыкнн A.B., Серебряков В.А. Интеграция сервисов управления объектами сети с информационными ресурсами посредством службы каталогов I.DAP // Труды Всероссийской научной конференции "Научный сервис в сети Интернет" (23-28 сентября 2002г., Новороссийск). - М.: Изд-во МГУ, 2002.-с. 119-122

2. Алексеев А.Н., Масич А.Г., Масич Г.Ф, Созыкин A.B. Использование метакаталогов для создания справочной системы научного института //Тез.докл 13 Зимней школы по механике сплошных сред, Пермь, 2003, с.15

3. Алексеев АН., Масич А.Г., Масич Г.Ф., Созыкин AB. О некоторых аспектах разработки метакаталога для справочной системы научного института // Труды 34-й Региональной молодежной конференции «Проблемы теоретической и прикладной математики», Екатеринбург, 2003.

4. Масич А.Г., Масич Г.Ф., Созыкин A.B. Использование каталога LDAP для управления данными о пользователях сервисами корпоративной сети научного центра РАН // Труды 35-й Региональной молодежной конференции «Проблемы теоретической и прикладной математики», Екатеринбург, УрО РАН, 2004,- с.323-327

5. Масич А.Г., Масич Г.Ф., Созыкин A.B. Аспекты развития и управления в корпоративной сети Пермского научного центра УрО РАН И Тез. докл. XI конференции представителей региональных научно-образовательных сетей «RELARN-2004», Самара, 2004,-с. 51-55

б Созыкин А.В, Масич Г.Ф., Масич А.Г., Бездушный А II. Вопросы интеграции управления идентификацией пользователей сетевых, вычислительных и информационных сервисов. И Журнал «Электронные библиотеки», том 7, выпуск 2. М.: Институт развития информационного общества, 2004.

7. Масич А.Г., Масич Г.Ф., Созыкин A.B. Организация распределенного каталога корпоративной сети. // Информационные управляющие системы: Сборник научных трудов ПГТУ, - Пермь, 2004. - с. 279-283

8 Масич Г.Ф., Алексеев А.Н., Бобров A.B., Созыкин А В., Чугунов Д.П. Использование технологии ИСИР при построении корпоративного портала // Информационные и математические технологии в пауке, технике и образовании: Труды X Байкальской Всероссийской конференции «Информационные и математические технологии в науке, технике и образовании». Часть I. - Иркутск: ИСЭМ СО РАН, 2005. - С. 12-18.

9. Созыкин A.B., Масич Г.Ф., Масич А.Г., Бобров A.B. Архитектура консолидированного хранилища данных о пользователях и сервисах корпоративной сети. // Материалы XIII конференций представителей региональных научно-образовательных сетей «RELARN-2006». Сборник тезисов докладов - Барнаул: Изд-во АлтГГУ, 2006 - С 69-73.

10 Масич Г.Ф., Созыкин A.B., Бобров A.B. Модель системы управления доступом к сервисам корпоративной сети // Научный сервис в сети Интернет технологии параллельного программирования: Труды Всероссийской научной конференции - М.: Изд-во МГУ, 2006. -С.221-223.

11. Созыкин A.B., Масич Г.Ф. Использование централизованного управления идентификацией пользователей в Пермском научном центре УрО РАН. // Материалы XIV конференции представителей региональных научно-образовательных сетей «RELARN-2007». Сборник тезисов докладов - Нижний Новгород, 2007 - С.42-48.

12. Масич Г.Ф., Созыкин A.B., Бобров A.B.. Использование системы РАМ (Pluggable Authentication Modules) для реализации однократной регистрации пользователей UNIX-серверов. // Труды XIV Всероссийской научно-методической конференции Тслсматика'2007 -СПб.: Редакционио-издательский отдел СПбГИТМО, 2007. - С.385-387.

13. Созыкин A.B., Масич Г.Ф.. Бобров A.B. Интеграция управления идентификацией пользователей научных сервисов // Научный сервис в сети Интернет: многоядерный компьютерный мир: 15 лет РФФИ' Труды Всероссийской научной конференции (24-29 сентября 2007 г., г. Новороссийск) - М.: изд-во МГУ, 2007. - с. 323-328.

14. Созыкин A.B. Масич Г.Ф. Бобров А В Формальная модель управления доступом к сервисам // Журнал «Информационные технологии моделирования и управления» -Воронеж: изд-во "Научная книга", ISSN 1813-9744,2007, № 7. - с. 841-849.

15. Sozykin A. V., Masich G.F. Integrated access control infrastructure for network of Perm Research Center of the UrB of RAS // International Conference: Computational and Informational Technologies in Science, Engineering and Education (CTMM-2008) Almaty, Kazakhstan, September 10 —September 14.2008. - http://www.nsc.ni/ws/show abstract dhtmPen+ 186+13669

Личный вклад автора в работах с соавторами заключается в разработке методики семантической интеграции управления доступом к сервисам разных типов, создании онтологии управления доступом к сервисам, разработке алгебраического представления правил разграничения доступа, описания реализации предложенных технологий в виде комплекса программ.

Подписано в печать 1Ц. И. О 8>. Формат 60x84/16 Усл. печ. л. О/аз. Тираж 100 экз. Заказ 5"ОХ,.

Типография Пермского государственного университета 614990. г. Пермь, ул. Букирева, 15

СОДЕРЖАНИЕ.

ВВЕДЕНИЕ.

1 ОБЗОР ТЕХНОЛОГИЙ ИНТЕГРАЦИИ УПРАВЛЕНИЯ ДОСТУПОМ К СЕРВИСАМ.

1.1 Технологии управления доступом к сервисам.

1.1.1 Модель управления доступом к сервисам.

1.1.2 Идентификация и аутентификация.

1.1.2.1 Типовая схема идентификации и аутентификации.

1.1.2.2 Парольная аутентификация.

1.1.2.3 Многофакторная аутентификация.

1.1.2.4 Биометрическая аутентификация.

1.1.2.5 Аутентификация с использованием криптографии.

1.1.2.6 Аутентификация с нулевой передачей знаний.

1.1.3 Однократная регистрация.

1.1.4 Авторизация.

1.1.4.1 Дискреционное управление доступом.

1.1.4.2 Мандатное управление доступом.

1.1.4.3 Ролевое управление доступом.

1.1.4.4 Атрибутное управление доступом.

1.1.5 Делегирование.

1.1.6 Анализ состояния технологий в области управления доступом к сервисам.

1.2 Методы интеграции информационных систем.

1.3 Существующие системы интеграции управления доступом к сервисам.

1.3.1 Традиционный подход.

1.3.2 Централизованное управление.

1.3.3 Федеративная идентификация.

1.3.4 Интегрированное управление доступом к сервисам.

1.3.5 Оценка существующих систем интеграции управления доступом к сервисам.

1.4 Онтологии предметной области управления доступом к сервисам.

1.4.1 Специализированные онтологии управления доступом.

1.4.2 Онтологии верхнего уровня.

1.4.3 Оценка онтологий в области управления доступом к сервисам.

1.5 Официальные документы в области управления доступом.

1.6 Выводы по главе.

2 СЕМАНТИЧЕСКАЯ ИНТЕГРАЦИЯ УПРАВЛЕНИЯ ДОСТУПОМ К СЕРВИСАМ.

2.1 Анализ и критика прототипа.

2.1.1 Анализ прототипа.

2.1.2 Недостатки прототипа.

2.1.3 Предлагаемое решение.

2.2 Методика интеграции управления доступом к сервисам на основе семантического подхода.

2.3 Выводы по главе.

3 СИСТЕМА МОДЕЛЕЙ УПРАВЛЕНИЯ ДОСТУПОМ К СЕРВИСАМ.

3.1 Онтология управления доступом к сервисам.

3.1.1 Структура системы управления доступом к сервисам.

3.1.1.1 Объекты.

3.1.1.2 Свойства.

3.1.2 Динамика управления доступом.

3.1.2.1 Состояния.

3.1.2.2 События.

3.1.2.3 Операции.

3.1.3 Диаграмма состояний системы управления доступом к сервисам

3.2 Алгебраическая запись правил разграничения доступа к сервисам.

3.2.1 Базовый уровень.

3.2.2 Контейнеры.

3.2.3 Роли.

3.2.4 Делегирование полномочий управления доступом к сервисам.

3.2.5 Применение методов авторизации в алгебраической записи.

3.3 Выводы по главе.

4 РЕАЛИЗАЦИЯ И ПРИМЕНЕНИЕ РАЗРАБОТАННЫХ МЕТОДОВ И ТЕХНОЛОГИЙ.

4.1 Комплекс программ по управлению доступом к сервисам.

4.1.1 Функции комплекса программ.

4.1.2 Уровни интеграции.

4.1.3 Логическая архитектура.

4.1.3.1 Уровень технических служб.

4.1.3.2 Уровень приложений.

4.1.3.3 Уровень представления.

4.1.4 Взаимодействие сервисов с комплексом программ.

4.1.5 Архитектура развертывания.

4.1.6 Реализация.

4.1.6.1 Репозиторий правил разграничения доступа.

4.1.6.2 Адаптеры сервисов.

4.1.6.3 Консоль управления доступом к сервисам.

4.2 Практическое применение.

4.2.1 Сеть Пермского научного центра.

4.2.2 Сервисы сети Пермского научного центра.

4.2.3 Схема реализации системы управления доступом к сервисам.

4.2.4 Интеграция с системой статистики использования сервисов.

4.3 Оценка эффективности использования системы семантической интеграции управления доступом к сервисам.

4.3.1 Удобство работы с сервисами.

4.3.2 Сокращение затрат на управления доступом.

4.4 Выводы по главе.

Актуальность темы. Современные научные и коммерческие организации строят корпоративные сети, предоставляющие сотрудникам сервисы разных типов: сетевые (электронная почта, доступ в Интернет), вычислительные (кластеры, многопроцессорные серверы), информационные (справочные системы, порталы, системы управления предприятием, прикладные научные системы). В таких сетях повышенное внимание уделяется управлению доступом к сервисам в целях обеспечения безопасности и удобства работы.

В крупных сетях с большим количеством сервисов и пользователей, управление доступом к сервисам связано с рядом проблем. Управление является трудоемкой задачей, создающей большую нагрузку на администраторов и предъявляющей высокие требования к их квалификации. Для управления доступом к сервисам разных типов приходится использовать несколько разных систем управления и выполнять большое число операций. Сервисы разных типов используют отдельные репозитории правил разграничения доступа, часть информации в которых дублируется и требует синхронизации при изменении. Пользователям работать с сервисами неудобно из-за большого количества идентификаторов и паролей, требуемых для разрешения доступа к сервисам. Безопасность работы с сервисами находится на низком уровне: пользователи выбирают простые пароли, которые легко подобрать, сложные пароли записывают, нетрудно реализуются атаки социальных инженеров.

Актуальной является задача повышения эффективности процесса управления доступом и удобства работы с сервисами путем интеграции механизмов управления доступом к сервисам разных типов. Интеграция осложняется тем, что сервисы используют различные протоколы управления доступом: RADIUS, KERBEROS, LDAP, SAML, WS-Security и др. Для хранения правил разграничения доступа применяются различные репозитории: текстовые файлы, XML, реляционные СУБД, каталоги LDAP. В последнее время все большей популярностью пользуются интегрированные системы, позволяющие управлять доступом к сервисам разных типов, независимо от деталей взаимодействия. При этом расхождения в базовой семантической модели этих систем приводят к проблемам интероперабельности и существенно ограничивают круг поддерживаемых сервисов.

В работе предложена формальная основа для интеграции механизмов управления доступом к сервисам разных типов на основе семантического подхода и разработан комплекс программ для интеграции управления доступом к сервисам разных типов. Данный комплекс обеспечивает хранение правил разграничения доступа, реализацию процедур защиты информации (идентификация, аутентификация и авторизация), предоставляет единую систему управления правилами разграничения доступа для всех сервисов, используемых в организации, независимо от их типа.

Целью диссертационной работы является повышение эффективности процесса управления доступом к сервисам за счет интеграции механизмов управления доступом к сервисам разных типов (информационным, сетевым и вычислительным). В работе исследованы и решены следующие задачи:

1. Исследование и сравнительный анализ существующих подходов к управлению доступом с точки зрения возможности интеграции управления доступом к сервисам разных типов.

2. Разработка методики семантической интеграции управления доступом к сервисам разных типов.

3. Построение семантической модели системы управления доступом к сервисам.

4. Создание средств описания правил разграничения доступа к сервисам в формальном виде.

5. Разработка комплекса программ, интегрирующего управление доступом к сервисам разных типов.

6. Исследование эффективности применения семантической интеграции управления доступом к сервисам в сетях научных организаций.

Объект исследования: процесс управления доступом к сервисам.

Предмет исследования: интеграция управления доступом к сервисам разных типов.

Научая новизна. В диссертационной работе получены следующие новые результаты:

- Применен семантический подход для интеграции управления доступом к сервисам разных типов, что позволило значительно расширить интеропе-рабельность. Разработана методика интеграции управления доступом к сервисам на основе семантического подхода.

- Предложена унифицированная онтологическая модель, определяющая базовые понятия и операции управления доступом к сервисам. Модель делает возможной интеграцию управления доступом к сервисам разных типов, использующих различные модели, методы и технологии управления доступом на основе семантического подхода.

- Разработана алгебраическая запись правил разграничения доступа, представляющая собой формальную запись понятий разработанной онтологической модели. Алгебраическая запись позволяет в формальном виде описывать правила разграничения доступа с использованием различных методов управления доступом.

- Реализован комплекс программ управления доступом к сервисам на основе разработанных технологий.

На защиту выносятся:

1. Методика семантической интеграции управлении доступом к сервисам, позволяющая значительно расширить круг поддерживаемых сервисов и методов управления доступом.

2. Система моделей управления доступом к сервисам, включающая онтологическую модель управления доступом к сервисам, и алгебраическую запись правил разграничения доступа. Модели предоставляют основу для интеграции управления доступом к сервисам разных типов: онтология задает общую семантику понятий предметной области управления доступом и операций над ними, общий формальный синтаксис задает алгебраическая запись правил разграничения доступом.

3. Результаты оценки эффективности применения семантической интеграции управления доступом к сервисам в сетях научных организаций.

Практическая ценность. Разработанные модели, методы, технологии и созданный на их основе комплекс программ позволяют интегрировать управление доступом к сервисам разных типов. Работа пользователей с сервисами становится более удобной за счет интеграции учетных записей для доступа ко всем сервисам с возможностью однократной регистрации. Администраторам, отвечающим за управление доступом к сервисам, предоставляется единая, удобная, интуитивно понятная система управления.

Краткое содержание работы

В главе 1 рассмотрены существующие технологии управления доступом к сервисам. Описаны методы интеграции информационных систем, выполнен обзор существующих систем интеграции управления доступом к сервисам. Описаны существующие онтологии и стандарты в области управления доступом к сервисам.

В главе 2 представлен метод интеграции управления доступом к сервисам на основе семантического подхода. Разработана методика семантической интеграции управления доступом к сервисам.

В главе 3 предложена система моделей управления доступом к сервисам, состоящая из онтологии управления доступом и алгебраической записи правил разграничения доступа. Система моделей служит основой для семантической интеграции управления доступом к сервисам, предложенной во второй главе.

В главе 4 описан комплекс программ, реализующий семантическую интеграцию управления доступом к сервисам. Рассмотрено внедрение комплекса в сети Пермского научного центра Уральского отделения Российской Академии Наук (ПНЦ УрО РАН). Выполнен анализ эффективности использования семантической интеграции управления доступом к сервисам разных типов.

В заключении приведены основные результаты диссертационной работы.

Приложения содержат детали реализации системы и акты внедрения.

Основные результаты работы докладывались и обсуждались на следующих научных конференциях и семинарах:

- Всероссийская научная конференция «Научный сервис в сети Интернет», Новороссийск, 2002.

- 34-я Региональная молодежная конференция «Проблемы теоретической и прикладной математики», Екатеринбург, 2003.

- 35-я Региональная молодежная конференция «Проблемы теоретической и прикладной математики», Екатеринбург, 2004.

- XI конференция представителей региональных научно-образовательных сетей «RELARN-2004», Самара, 2004.

- XIII конференция представителей региональных научно-образовательных сетей «RELARN-2006», Барнаул, 2006.

- Всероссийская научная конференция «Научный сервис в сети Интернет: технологии параллельного программирования», Новороссийск, 2006.

- XIV конференция представителей региональных научно-образовательных сетей «RELARN-2007», Нижний Новгород, 2007.

- XIV Всероссийская научно-методическая конференция «Телемати-ка'2007», Санкт-Петербург, 2007.

- Всероссийская научная конференция «Научный сервис в сети Интернет: многоядерный компьютерный мир. 15 лет РФФИ», Новороссийск, 2007.

- International Conference: Computational and Informational Technologies in Science, Engineering and Education (CTMM-2008) Almaty, Kazakhstan, 2008

По теме диссертации опубликовано 17 научных работ.

Публикации в рецензируемых журналах из списка ВАК:

1. Созыкин А.В. Модели и методы создания интегрированной инфраструктуры управления доступом к сервисам // Системы управления и информационные технологии, 2007, №4.1(30). - С. 191-195.

2. Созыкин А.В., Масич Г.Ф., Бездушный А.Н., Бобров А.В., Босов А.В., Масич А.Г. Онтология управления доступом к сервисам // Наукоемкие технологии, №11, 2008. - С.34-43.

Публикации в других изданиях:

1. Бездушный А.Н., Масич А.Г., Масич Г.Ф., Созыкин А.В., Серебряков В.А. Интеграция сервисов управления объектами сети с информационными ресурсами посредством службы каталогов LDAP // Труды Всероссийской научной конференции "Научный сервис в сети Интернет" (23-28 сентября 2002г., Новороссийск). -М.: Изд-во МГУ, 2002. - С.119-122

2. Алексеев А.Н., Масич А.Г., Масич Г.Ф., Созыкин А.В. Использование метакаталогов для создания справочной системы научного института. // Тез. докл. 13 Зимней школы по механике сплошных сред, Пермь, 2003, С. 15

3. Алексеев А.Н., Масич А.Г., Масич Г.Ф., Созыкин А.В. О некоторых аспектах разработки метакаталога для справочной системы научного института // Труды 34-й Региональной молодежной конференции «Проблемы теоретической и прикладной математики», Екатеринбург, 2003.

4. Масич А.Г., Масич Г.Ф., Созыкин А.В. Использование каталога LDAP для управления данными о пользователях сервисами корпоративной сети научного центра РАН // Труды 35-й Региональной молодежной конференции «Проблемы теоретической и прикладной математики», Екатеринбург, УрО РАН, 2004,- С.323-327

5. Масич А.Г., Масич Г.Ф., Созыкин А.В. Аспекты развития и управления в корпоративной сети Пермского научного центра УрО РАН // Тез. докл. XI конференции представителей региональных научно-образовательных сетей «RELARN-2004», Самара, 2004, - С. 51-55

6. Созыкин А.В., Масич Г.Ф., Масич А.Г., Бездуишый А.Н. Вопросы интеграции управления идентификацией пользователей сетевых, вычислительных и информационных сервисов. // Журнал «Электронные библиотеки», том 7, выпуск 2. М.: Институт развития информационного общества, 2004.

7. Масич А.Г., Масич Г. Ф., Созыкин А.В. Организация распределенного каталога корпоративной сети. // Информационные управляющие системы: Сборник научных трудов ПГТУ, - Пермь, 2004. - С. 279-283

8. Масич Г.Ф., Алексеев А.Н., Бобров А.В., Созыкин А.В., Чугунов Д.П. Использование технологии ИСИР при построении корпоративного портала // Информационные и математические технологии в науке, технике и образовании: Труды X Байкальской Всероссийской конференции «Информационные и математические технологии в науке, технике и образовании». Часть I. - Иркутск: ИСЭМ СО РАН, 2005. - С. 12-18.

9. Созыкин А.В., Масич Г.Ф., Масич А.Г., Бобров А.В. Архитектура консолидированного хранилища данных о пользователях и сервисах корпоративной сети. // Материалы XIII конференций представителей региональных научно-образовательных сетей «RELARN-2006». Сборник тезисов докладов - Барнаул: Изд-во АлтГТУ, 2006 - С.69-73.

10. Масич Г.Ф., Созыкин А.В., Бобров А.В. Модель системы управления доступом к сервисам корпоративной сети // Научный сервис в сети Интернет: технологии параллельного программирования: Труды Всероссийской научной конференции - М.: Изд-во МГУ, 2006. - С.221-223.

11. Созыкин А.В., Масич Г.Ф. Использование централизованного управления идентификацией пользователей в Пермском научном центре УрО РАН. // Материалы XIV конференции представителей региональных научно-образовательных сетей «RELARN-2007». Сборник тезисов докладов - Нижний Новгород, 2007 - С.42-48.

12. Масич Г.Ф., Созыкин А.В., Бобров А.В. Использование системы РАМ (Pluggable Authentication Modules) для реализации однократной регистрации пользователей UNIX-серверов. // Труды XIV Всероссийской научно-методической конференции Телематика'2007 - СПб.: Редакционно-издательский отдел СПбГИТМО, 2007. - С.385-387.

13. Созыкин А.В., Масич Г.Ф., Бобров А.В. Интеграция управления идентификацией пользователей научных сервисов // Научный сервис в сети Интернет: многоядерный компьютерный мир: 15 лет РФФИ: Труды Всероссийской научной конференции (24-29 сентября 2007 г., г. Новороссийск) - М.: изд-во МГУ, 2007. - С. 323-328.

14. Созыкин А.В. МасичГ.Ф, Бобров А.В. Формальная модель управления доступом к сервисам // Журнал «Информационные технологии моделирования и управления» - Воронеж: изд-во "Научная книга", ISSN 1813-9744, 2007, № 7. -С. 841-849.

15. Sozykin А. V., Masich G.F. Integrated access control infrastructure for network of Perm Research Center of the UrB of RAS // International Conference: Computational and Informational Technologies in Science, Engineering and Education (CTMM-2008) Almaty, Kazakhstan, September 10 — September 14, 2008. -http://www.nsc.ru/ws/sho wabstract.dhtml?en+186+13669

Личный вклад автора в работах с соавторами заключается в разработке методики семантической интеграции управления доступом к сервисам разных типов, создании онтологии управления доступом к сервисам, разработке алгебраического представления правил разграничения доступа, описания реализации предложенных технологий в виде комплекса программ.

Работа поддержана грантами РФФИ:

- «Корпоративный портал научного института на основе интеграции информационно-справочных сервисов и сервисов сетевого управления» № 03-07-90140-в (2003-2005).

- «Телекоммуникационные ресурсы ПНЦ УрО РАН» № 04-07-96003-Урал (2004-2006).

Работа поддержана программой Президиума РАН «Информатизация»:

- Разработка пилотного проекта системы «Научный институт РАН» в ИМСС УрО РАН (2005).

- Развитие и внедрение системы «Научный институт РАН» в ИМСС и Президиуме ПНЦ УрО РАН (2006).

В заключении автору хотелось бы поблагодарить всех сотрудников Лаборатории телекоммуникационных и информационных систем Института механики сплошных сред УрО РАН, сотрудников Вычислительного Центра им. А.А. Дородницына РАН: к.ф.-м.н. А.Н. Бездушного, к.т.н. А.К. Нестеренко, к.т.н. Т.М. Сысоева и сотрудников Института математики и механики УрО РАН д.т.н. Ю.И. Кузякина, к.т.н. И.А. Хохлова, к.т.н. M.JI. Гольдштейна. Особо хочу поблагодарить моего научного руководителя к.т.н. Г.Ф. Масича.

ЗАКЛЮЧЕНИЕ

В данной диссертационной работе получены следующие научные и практические результаты:

1. Выполнено исследование подходов к управлению доступом к сервисам. Показано, что причиной низкой эффективности процесса управления доступом является многообразие методов и технологий управления доступом. Возможности существующих систем интеграции управления доступом ограничены из-за использования синтаксического или структурного подходов к интеграции. Для расширения возможностей существующих систем предлагается применить семантическую интеграцию.

2. Предложена методика интеграции управления доступом к сервисам разных типов на основе семантического подхода. Методика обеспечивает повышение интероперабельности: значительно расширяет круг поддерживаемых сервисов и методов управления доступом.

3. Предложена онтология управления доступом к сервисам. Онтология задает семантику базовых понятий и операции предметной области управления доступом к сервисам и служит основой для семантической интеграции механизмов управления доступом к сервисам разных типов, использующим различные модели, методы и технологии.

4. Разработана алгебраическая запись правил разграничения доступа к сервисам, позволяющая описывать правила разграничения доступа в формальном виде с использованием различных методов управления доступом.

5. Реализован комплекс программ управления доступом к сервисам на основе разработанных технологий.

6. Комплекс программ успешно применен для интеграции управления доступом к сервисам Пермского научного центра.

7. Исследование эффективности использования системы показало, что семантическая интеграция управления доступом повышает удобство использования сервисов корпоративной сети, сокращает временные затраты на управление доступом и снижает требования к администраторам.

1. De Capitani di Vimercati S., Paraboschi S, Samarati P. Access control: principles and solutions. Software Practice and Experience, № 33, P. 397-421, 2003.

2. Lampson В., Abadi M., Burrows M., Wobber E. Authentication in distributed systems: Theory and practice // ACM Transactions on Computer Systems, № 10(4), P. 265-310,1992.

3. Lampson B. Computer security in the real world. Annual Computer Security Applications Conference, 2000.

4. Abadi M., Burrows M., Lampson В., Plotkin G. A calculus for access control in distributed systems. // ACM Transactions on Programming Languages and Systems (TOPLAS), volume 15, P. 706-734. ACM Press, Sep 1993.

5. Романец Ю.В., Тимофеев П.А., Шаньгин В.Ф. Защита информации в компьютерных системах и сетях. / Под ред. Шаньгина В.Ф. — 2-е изд., перераб. и доп. -М.: Радио и связь, 2001. 376 с.

6. Белкин П.Ю., Михайлский О.О., Першаков А.С. Программно-аппаратные средства обеспечения информационной безопасности. Защита программ и данных: Учеб. пос. для вузов. М.: Радио и связь. - 1999. - 168 с.

7. Rivest R. The MD5 Message-Digest Algorithm. // Network Working Group. RFC 1321.

8. U.S. Department of Commerce. National Bureau of Standards. Secure Hash Standard. 1995.

9. Мафтик С. Механизмы защиты в сетях ЭВМ: Пер. с англ. М.: Мир, 1993.-216 с.

10. Schneier В. Applied Cryptography. John Wiley & Sons, Inc., 1996.758 p.

11. Feige U., Fiat A., Shamir A. Zero Knowledge Proofs of Identity. // Journal of Cryptology v. 1, n.2, 1988, P. 77-94.

12. Needham R.M., Schroeder M.D. Using Encryption for Authentication in Large Networks of Computers. // Communication of the ACM, V.21, N12, December 1978.

13. Neuman B.C., Ts'o T. Kerberos: An Authentication Service for Computer Networks//IEEE Communications, 32(9):33-38. September 1994.

14. National Institute of Standards and Technology. Public Key Infrastructure Technology. ITL Bulletin, July 1997. http://www.nist.gov/itl/lab/bulletns/archives/july97bull.htm

15. Adams C., Farrell S. "Internet X.509 Public Key Infrastructure: Certificate Management Protocols" // RFC 2510, 1999

16. Housley R., Ford W., Polk W., Solo D., "Internet X.509 Public Key Infrastructure: Certificate and CRL Profile" // RFC 3280, 2002.

17. Trado J., Alagappan K. SPX: Global authentication using public key certificates. // IEEE Symposium on Security and Privacy (Oakland, Calif., May 1991), P. 232-244.

18. Guillou L.C., Quisquater J.J. A Practical Zero-Knowledge Protocol Fitted to Security Microprocessor Minimizing Both Transmission and Memory. // Advanced in Cryptology EUROCRYPT'88 Proceedings, Spring-Verlag, 1998, P. 123128.

19. Department of Defense. Trusted Computer Security Evaluation Criteria, DOD 5200.28-STD., 1985.

20. Lampson B. Protection. // ACM Operating Systems Rev. 8, 1 (Jan. 1974), P. 18-24.

21. Levy, Henry M., Capability-Based Computer Systems. // Digital Equipment Corporation, 1984. ISBN 0-932376-22-3.

22. Bell D., La Padula L. Secure computer systems: unified exposition and Multics interpretation. // Technical Report MTR-2997, MITRE Corporation, 1975.

23. Sandhu R. S., Coynek E.J., Feinsteink H.L., Youmank C.E. Role-Based Access Control Models. IEEE Computer, Volume 29, Number 2, February 1996, P. 38-47.

24. Yuan E., Tong J. Attribute Based Access Control (ABAC) for Web Services. // 3rd International Conference on Web Services (ICWS 2005), Orlando, USA, July 2005, P. 561-569.

25. Obrst L. Ontologies for semantically interoperable systems. // Conference on Information and Knowledge Management. New Orleans, LA, USA, 2003. P. 366 -369. ISBN:1-58113-723-0.

26. OWL Web Ontology Language Overview. // http://www.w3.org/TR/owl-features.

27. The Protege Project. // http://protege.stanford.edu

28. Ontolingua. // http://www.ksl.stanford.edu/software/ontolingua

29. Chimaera // http://ksl.stanford.edu/software/chimaera

30. Laat C., Gross G., Gommans L., Vollbrecht J., Spence D. Generic AAA Architecture. // RFC 2903, 2000.

31. Rigney C., Willens S., Rubens A., Simpson W. Remote Authentication Dial In User Service (RADIUS). // RFC 2865, 2000.

32. Finseth C. An Access Control Protocol, Sometimes Called TACACS. // RFC 1492, 1993.

33. Calhoun P., Loughney J., Guttman E., Zorn G., Arkko J. Diameter Base Protocol. // RFC 3588, 2003.

34. Eduroam project // http://www.eduroam.org/

35. Solaris System Administration Guide: Naming and Directory Services (DNS, NIS, and LDAP). // Part No: 816-4556-10. http://d0cs.sun.c0m/app/d0cs/d0c/816-4556

36. Wahl M., Howes Т., Kille S. Lightweight Directory Access Protocol (v3). //RFC 2251, 1997.

37. Wahl M. A Summary of the X.500(96) User Schema for use with LDAPv3. //RFC 2256, 1997.

38. Zeilenga K„ COSINE LDAP/X.500 Schema. // RFC 4524, 2006.

39. Howard L. An Approach for Using LDAP as a Network Information Service.//RFC 2307, 1998.

40. Kohl J., Neuman C. The Kerberos Network Authentication Service (V5). // RFC 1510, 1993.

41. The A-Select Authentication System. // http://a-select.surfiiet.nl/

42. Демченко Ю.В. Федеративный доступ к ресурсам научных и университетских сетей. // Тез. докл. конференции представителей региональных научно-образовательных сетей «RELARN-2007», 2007.

43. Security Assertion Markup Language (SAML) // http://www.oasis-open.org/committees/security/

44. OpenSAML Project // http://www.opensaml.org

45. Windows Live ID //https://accountservices.passport.net/ppnetworkhome.srf

46. Маквитти JI. Федеративное управление идентификацией пользователей. // Сети и системы связи, № 13, 2003.

47. Liberty Alliance Project // http://www.projectliberty.org

48. WS-Security // http://www.oasis-open.org/committees/wss/

49. Valkenburg P., Stals B, Vooren T. Federated Identity Management in Higher Education. // http://aaa.surfhet.nl/info/en/artikelcontent.jsp7objectnum-ber=l 82026

50. Shibboleth Project // http://shibboleth.internet2.edu/

51. Tivoli Identity Manager // http://www-306.ibm.com/software/tivoli/products/identity-mgr/

52. Sun Identity Manager // http://www.sun.com/software/products/identitymgr/index.xml

53. Oracle Identity Manager. //http:// www. oracle. com/technology/products/i dmgmt/index.html

54. Microsoft Identity Intergation Server // http://technet.microsoft.com/ru-ru/miis/default(en-us).aspx

55. Novell Identity Manager // http://www.novell.com/products/identitymanager

56. Perkins E., Witty R.J. Magic Quadrant for User Provisioning, 2H07 Gartner, 23 August 2007, Note GOO 15 0475.

57. The Open Web SSO project // https://opensso.dev.java.net/

58. Gray N. ACLs in OWL: practical reasoning about access. // 3rd European Semantic Web Conference, Budva, Montenegro, 11th—14th June, 2006.

59. Agarwal S., Sprick В., Wortmann S. Credential Based Access Control for Semantic Web Services. // AAAI Spring Symposium, 2004.

60. Patterson R.S., Miller J.A., Cardoso J., Davis M. Security and Authorization Issues in HL7 Electronic Health Records: A Semantic Web Services Based Approach. // http://lsdis.cs.uga.edu/~rsp/pattersonrichards200612.pdf

61. Priebe Т., Dobmeier W., Schlager C., Kamprath N. Supporting Attribute-based Access Control in Authorization and Authentication Infrastructures with Ontologies. // Journal of software, Vol. 2, No. 1, 2007.

62. Li H., Zhang X., Wu H., Qu Y. Design and Application of Rule Based Access Control Policies. // ISWC Workshop on Semantic Web and Policy, 2005, P. 3441.

63. Toninelli A., Montanari В., Kagal L., Lassila O. A Semantic Context-Aware Access Control Framework for Secure Collaborations in Pervasive Computing Environments. // International Semantic Web Conference, 2006, P. 473-486.

64. Patterson R.S., Miller J.A. Expressing Authorization in Semantic Web Services. // IEEE International Conference Granular Computing, 2006, P. 792- 795.

65. Tomasek M., Furdik K. Service-based architecture of Access-eGov system. // 1st Workshop on Intelligent and Knowledge oriented Technologies, 2006, P. 29-32.

66. Su L., Chadwick D.W., Basden A., Cunningham J.A. Automated Decomposition of Access Control Policies. // Sixth IEEE International Workshop on Policies for Distributed Systems and Networks, 2005, P. 3-13.

67. Colomb R.M. Use of Upper Ontologies for Interoperation of Information Systems. // Technical Report 20/02 ISIB-CNR. Padova, Italy, November, 2002.

68. Cyc Knowledge Server // http://www.opencyc.org/

69. Niles I., Pease A. Towards a standard upper ontology. // Conf. Formal Ontology In Information Systems, Ogunquit, Maine, October 17-19, 2001, P. 2-9.

70. Degen W., Heller В., Herre H., Smith B. GOL a general ontological language. // Int. Conf. Formal Ontology In Information Systems Ogunquit, Maine, October 17-19, 2001, P. 34-46.

71. Gangemi A., Guarino N., Masolo C., Oltramari A., Schneider L. Sweetening ontologies with DOLCE. // 13th Int. Conf. Knowledge Engineering and Knowledge Management. Ontologies and the SemanticWeb, Siguenza, Spain, October 1-4, 2002, P. 166-181.

72. Weber R. Ontological Foundations of Information Systems // Monograph №4. /Australia: Melbourne, Vic., Coopers & Lybrand and the Accounting Association of Australia and New Zealand. 1997.

73. Wand Y., Weber R. An ontological model of an information system // IEEE Transactions on Software Engineering Journal. 1990. - 16(11). - P. 12811291.

74. ISO/IEC 2382-8:1998 Security.

75. ISO/IEC 27000 Information technology Security techniques - Information security management systems - Overview and vocabulary.

76. ГОСТ P 50739-95. Средства вычислительной техники. Защита он несанкционированного доступа к информации.

77. Гостехкомиссия России. Руководящий документ: Защита от несанкционированного доступа к информации. Термины и определения. М.: ГТК РФ, 1992. - 13 с.

78. Горбатов В.А., Горбатов А.В., Горбатова М.В. Дискретная математика. М.: ACT: Астрель, 2006. - 447 с.

79. Gray J. Why do computers stop and what can be done about it. // Proc. of the 5th Symp. on Reliability in Distributed Software and Database Systems, 1986.

80. Nurmi D., Brevik J., and Wolski R. Modeling machine availability in enterprise and wide-area distributed computing environments. // Euro-Par'05, 2005.

81. Sahoo R. К., Sivasubramaniam A., Squillante M. S., Zhang Y. Failure data analysis of a large-scale heterogeneous server environment. // Proc. of DSN'04, 2004.

82. Oppenheimer D. L., Ganapathi A., Patterson D. A. Why do internet services fail, and what can be done about it? // USENIX Symp. on Internet Technologies and Systems, 2003.

83. Heath Т., Martin R. P., Nguyen T. D. Improving cluster availability using workstation validation. // Proc. of ACM SIGMETRICS, 2002.

84. Schroeder В., Gibson G.A. A large-scale study of failures in high-performance computing systems. // International Conference on Dependable Systems and Networks. Philadelphia, PA, USA, June 25-28, 2006.

85. Lin T.Y., Siewiorek D.P. Error Log Analysis: Statistical Modeling and Heuristic Trend Analysis. // IEEE Transactions on reliability, VOL. 39, NO. 4, 1990. P. 419-432.

86. Половко A.M., Гуров C.B. Основы теории надежности. 2-е изд., пе-рераб. и доп. - СПб.: БХВ-Петербург, 2006. - 704 с.

87. Половко А.М. Принципы построения абсолютно надежных технических устройств. О-во «Знание», РСФСР. Л., 1993.

88. Смолицкий Х.Л., Чукреев П.А. О сравнении надежности систем при поэлементном и общем резервировании. Изв.АН СССР, ОТН, Энергетика и автоматика, № 3, 1959.

89. Б. Гнеденко, Ю. Беляев, А. Соловьев «Математические методы в теории надежности». М.:, Наука, 1965, 524 с.

90. Sun Java System Delegated Administrator Administration Guide. // Sun Microsystems, Part No: 819-4438-10, March 2007.

91. Mikrotik Router OS // http://www.mikrotik.com.

92. Miller M.S., Yee K.-P., Shapiro J. Capability Myths Demolished. Technical Report SRL2003-02, Systems Research Laboratory, Johns Hopkins University. 2003.

93. Gruber, T.R. Toward Principles for the Design of Ontologies Used for Knowledge Sharing. Technical Report KSL 93-04 Knowledge Systems Laboratory Stanford University. 1993.

94. Damiani E., De Capitani di Vimercati S., Fugazza C., Samarati P. Semantics-aware Privacy and Access Control: Motivation and Preliminary Results.

95. Ларман К. Применение UML и шаблонов проектирования. 2-е издание.: Пер. с англ. -М.: Издательский дом «Вильяме», 2004. 624 с.

96. Jordan C.S. Guide to Understanding Discretionary Access Control in Trusted Systems. DIANE Publishing. 1987. ISBN 0788122347.

97. Messaoud B. Access Control Systems / Security, Identity Management and Trust Models. Springer. 2006. 261 p. ISBN: 0387004459.

98. Zhang N., Ryan M., Guelev D.P. Synthesising verified access control systems through model checking. // Journal of Computer Security, Vol. 16, No 1 / 2008. P. 1-61.

99. Zhang N., Ryan M., Guelev D.P. Synthesising verified access control systems in XACML. // 2004 ACM Workshop on Formal Methods in Security Engineering, Washington DC, USA, Oct 2004, P. 56-65.

100. Zhang N., Ryan M., Guelev D.P. Evaluating access control policies through model-checking. // 8th Information Security Conference, Singapore, Sep 2005.

101. Gong L., Needham R., Yahalom R. Reasoning about Belief in Cryptographic Procols. // IEEE 1990 Symposium on Security and Privacy, Oakland, California, May 1990, P. 234-248.

102. Fisler K., Krishnamurthi Sh., Meyerovich L.A., Tschantz M.C. Verification and change-impact analysis of access-control policies. // ICSE!05, St. Louis, Missouri, USA, May 2005.

103. Guelev D.P., Ryan M., Schobbens P-Y. Model-checking access control policies. // 7th Information Security Conference (ISC'04), Springer-Verlag, 2004.

104. OASIS Standard, 1 Feb 2005. extensible Access Control Markup Language (XACML) Version 2.0.

105. Adams A., Sasse M.A., Users Are Not the Enemy: Why Users Compromise Security Mechanisms and How to Take Remedial Measures. // Comm. ACM, vol. 42, no. 12, 1999.

106. Dhamija R., Tygar J.D., Hearst M. Why Phishing Works. // Human Factors in Computing Systems (CHI 06), ACM Press, 2006.

107. Norman D.A. Design Rules Based on Analyses of Human Error. // Comm. ACM, vol. 26, no. 4, 1983.

108. Gross B.M., Churchill E.F. Addressing Constraints: Multiple Usernames Task Spillage and Notions of Identity. // Human Factors in Computing Systems :Extended Abstracts (CHI 07), ACM Press, 2007.

109. P. Дхамиджа, JI. Дюссо. Семь проблем управления идентификацией // «Открытые системы», №5, 2008. http://www.osp.ru/os/2008/05/5198740/

110. Florencio D., Herley С. A Large Scale Study of Web Password Habits. // Int'l Word Wide Web Conf. (WWW 07), ACM Press, 2007

111. Dhamija R., Perrig A., Deja Vu: A User Study Using Images for Authentication. // 9th Usenix Security Symp., Usenix Assoc., 2000.1. СПИСОК ИЛЛЮСТРАЦИЙ

112. Рис 1.1. Модель управления доступом Лампсона.10

113. Рис 1.2. Основные компоненты инфраструктуры открытого ключа.18

114. Рис 1.3. Списки контроля доступа и возможностей.23

115. Рис 1.4. Мандатное управление доступом.24

116. Рис 1.5. Модель ролевого управления доступом.26

117. Рис 1.6. Типы интеграции и уровни интероперабельности.29

118. Рис 1.7. Пример семантической интеграции на основе онтологии.30

119. Рис 2.1. Схема прототипа.44

120. Рис 2.2. Схема прототипа и предлагаемого решения (новые блоки закрашены,развитые отмечены уголком).47

121. Рис 2.3. Структурная схема системы семантической интеграции управлениядоступом к сервисам.49

122. Рис 3.1. Структура систем управления доступом к сервисам. Объекты.51

123. Рис 3.2. Структура систем управления доступом к сервисам. Свойства.52

124. Рис 3.3. Состояния управления доступом к сервисам.54

125. Рис 3.4. События управления доступом к сервисам.54

126. Рис 3.5. Операции управления доступом к сервисам.55

127. Рис 3.6. Диаграмма состояний системы управления доступом к сервисам.57

128. Рис 3.7. Базовый уровень алгебраической записи правил разграничения доступа59

129. Рис 3.8. Пример иерархии прав доступа.60

130. Рис 3.9. Алгебраическая запись правил разграничения доступа. Уровень 1.63

131. Рис ЗЛО. Алгебраическая запись правил разграничения доступа. Уровень 2. .65 Рис 3.11. Алгебраическая запись правил разграничения доступа. Уровень 3. .68 Рис 4.1. Логическая архитектура комплекса программ по интеграцииуправления доступом к сервисам.73

132. Рис 4.2. Диаграмма последовательности управления доступом к сервису.75

133. Рис 4.3. Архитектура развертывания комплекса программ по управлениюдоступом к сервисам.77

134. Рис 4.4. Пример окна Web-интерфейса системы управления доступом.80

135. Рис 4.5. Пример интерфейса командной строки системы управления доступом80

136. Рис 4.6. Схема корпоративной сети ПНЦ УрО РАН.81

137. Рис 4.7. Схема реализации системы управления доступом к сервисам в сети1. ПНЦ.83

138. Рис 4.8. Пример отчета системы статистики использования сервисов.84