Информационная система "Конференции"

Тезисы докладов

Информационные технологии

Уже довольно давно, как практически все организации признали неоспоримые преимущества использования интернет для управления знаниями. Однако если организация имеет множество отделений и при этом эти отделения должны иметь доступ к знаниям других отделений, требуется объединение баз знаний всех отделений.

На данный момент, мы подошли к черте, когда без возможности связать базы знаний нескольких отделений организаций или даже нескольких организаций воедино не обойтись. Но при этом вопрос о разграничении прав доступа к документам становится еще более актуальным. Без удобного и надежного способа управления правами доступа либо наступит полный хаос и потеряется весь смысл объединения.

Управление доступом в распределенной среде может быть как централизованным, так и децентрализованным. Их отличие состоит в том, что в централизованной системе должен быть центр управления доступом, который будет регулировать все вопросы определения доступа к ресурсам всех систем. Эта модель фактически не является распределенной системой, и может быть востребована только в организациях в которых доступ должен регулироваться только фиксированной группой лиц (например военные организации).

Однако в большенстве случаев, организации желающих свои объеденить ресурсы друг с другом, не устраивает схема, при котором доступ к их ресурсам будет регулироваться не ими. В этом случае используется децентрализованная модель управления доступом. В ней нет центра регулирующего права пользоватей к ресурсам каждой организации, а доступ к ресурсам каждой организации управляется самой организацией.

В этой работе мы покажем как на основе ролевой модели доступа можно построить децентрализованную систему доступа в распределенной среде. Основой этой системы будут два понятия: роль – абстрактная сущность принадлежащая некоторому ресурсу и определяющая права доступа к нему. А также понятие делегирования роли, процесса передачи привелегий одной роли пользователю или другой роли. Каждое делегирование должно быть подписано неким доверителем. Поскольку делегирование не работает с определенными объектами или субъектами, а работает только с абстрактными ролями (суть некоторыми названиями), то появляется возможность делегировать привилегии одной роли, принадлежащей одной системе, другой роли из другой системы, при условии, что подпись подтверждена и доверитель имеет право на такое делегирование.

Мы рассмотрим следующие типы делегирования:

1. Само-подтверждающее делегирование, при котором некоторая сущность делегирует пользователю или роли права своей собственной роли.

2. Третье-сторонее делегирование, при котором доверителем делегирования является сущность имеющая права на делегирование определенной роли.

3. Административное делегирование, которое позволяет давать права на делегирование определенных ролей третьим лицам.

Также мы рассмотрим алгоритм проверки цепочек делегирования, который сможет однозначно ответить на вопрос имеет ли пользователь привилегии определенной роли.

И наконец, мы кратко опишем инфраструктуру системы в которой несколько организаций могут давать доступ к своим ресурсам для пользователей других организаций.

Дополнительные материалы:

HTML

Примечание. Тезисы докладов публикуются в авторской редакции

Ваши комментарии Обратная связь

[Головная страница] [Конференции]

© 1996-2000, Институт вычислительных технологий СО РАН, Новосибирск
© 1996-2000, Сибирское отделение Российской академии наук, Новосибирск