1 УДК 004.6 А.Ю. Ужаринский, А.В. Коськин A.U. Uzharinskiy, A.V. Koskin ПОДСИСТЕМА РАЗГРАНИЧЕНИЯ ПРАВ ДОСТУПА К РЕСУРСАМ ИНТЕГРИРОВАННОЙ ИНФОРМАЦИОННОЙ СИСТЕМЫ ОБРАЗОВАТЕЛЬНОГО УЧРЕЖДЕНИЯ SUBSYSTEM FOR PERMISSION TO ACCESS THE RESOURCES OF THE INTEGRATED SYSTEM OF EDUCATIONAL INSTITUTIONS В данной статье рассматриваются вопросы реализации системы разграничения и контроля прав доступа для пользователей интегрированной информационной системы образовательного учреждения. Представлена структура базы данных для реализации системы разграничения прав доступа к ресурсам. Описан алгоритм реализации системы разграничения прав доступа на основе ролей пользователей и web-сервисов. Ключевые слова: разграничение прав доступа, роли пользователей, интегрированная информационная система, web-сервисы. This article discusses the issues of realization the system of differentiation and control the access rights for users of the integrated information system of educational institutions. The structure of the database to implement a system of differentiation of access rights to resources introduced. The algorithm for implementing the system of differentiation of access rights based on user roles and web-services described. Keywords: access rights, user roles. integrated information system, web-services. Введение Важной проблемой, возникающей при построении системы интеграции и управления разнородными приложениями на основе web-сервисов, является обеспечение безопасности информационных ресурсов интегрированной информационной системы ВУЗа и предоставление пользователям возможности работать только с интересующими их сервисами. В связи с тем, что доступ к информационной системе ВУЗа осуществляется различными категориями и группами пользователей, необходимо реализовать механизм, предоставляющий каждому пользователю уникальный набор прав для доступа к системе. Решение данной проблемы связано с созданием гибкой системы аутентификации и авторизации, а также создания групп и профилей пользователей. Рассмотрим этот процесс подробнее применительно к решаемой задаче. Место системы авторизации и контроля доступа к сервисам в системе интеграции приложений Для осуществления доступа пользователей к ресурсам интегрированной информационной системы образовательного учреждения, необходимо пройти процедуру авторизации и аутентификации пользователей. Данная процедура предназначена для защиты информационных ресурсов от несанкционированного доступа, а также для предоставления пользователю интересующих именно его ресурсов. После выполнения авторизации пользователь получает доступ к своему индивидуальному набору ресурсов. Система контроля доступа является промежуточным звеном между сервисами и пользователем. При получении запроса на доступ к ресурсу, запрос поступает в систему контроля доступа, где определяются права пользователя на доступ к данному ресурсу. Если пользователь имеет необходимые разрешения, то запрос передаётся запрашиваемому сервису и выполняется. Общая схема доступа к данными в интегрированной образовательной системе представлена на рисунке 1. 2 Рисунок 1 – Схема доступа к ресурсам интегрированной системы образовательного учреждения Основными функциями, выполняемыми модулем авторизации и контроля доступа, являются: – регистрация пользователей и назначение индивидуальных прав доступа к ресурсам системы. – разделение пользователей на группы и назначение групповой политики доступа к ресурсам; – авторизация пользователей и предоставление доступа к индивидуальному набору ресурсов; – контроль прав доступа при работе с интегрирующей моделью данных. Модель регистрации и хранения информации о пользователях системы Для получения доступа к ресурсам интегрированной образовательной системы необходимо пройти процедуру регистрации. Процесс регистрации включает в себя два этапа. На первом этапе пользователь вводит информацию и оставляет заявку на регистрацию. На втором этапе администратор проверяет подлинность введённой пользователем информации, определяет к какой группе пользователей интегрированной образовательной системы принадлежит регистрируемый пользователь и устанавливает права пользователя на доступ к ресурсам системы. После этого пользователь получает возможность работы с информационной системой. Информационная схема базы данных, используемая для хранения информации о пользователях системы представлена на рисунке 2. Для хранения пользователей используется таблица Users. Поле active показывает, является ли текущий пользователь активным и имеющим доступ к ресурсам системы. Когда новый пользователь заполняет заявку на регистрацию в системе, то при сохранении информации о нём в базе данных это поле имеет значение false, а после того, как администратор подтвердит права пользователя на доступ к системе, данное поле приобретает значение true. Таблица UserGroups используется для хранения информации о группах пользователей. Эти данные вводятся администратором системы. Каждый пользователь может одновременно состоять в нескольких группах, что реализуется связью «многие ко многим» на логическом уровне между таблицами Users и UserGroups, а на физическом уровне введением дополнительного отношения UsersInUserGroups. Информация о сервисах хранится в таблице Services. 3 Модель реализации контроля доступа пользователей к ресурсам системы Контроль доступа к ресурсам интегрированной информационной системы ВУЗа будет осуществляться на основе матрицы установления полномочий. В строках такой матрицы будут располагаться субъекты, осуществляющие доступ к ресурсам, а в столбцах объекты доступа. В разработанной системе явно выделяются две группы субъектов доступа к ресурсам – это отдельные пользователи, для которых устанавливаются индивидуальные политики и группы пользователей, реализующие групповые политики доступа к ресурсам. В качестве первичных ресурсов, доступ к которым необходимо контролировать выступают отдельные сервисы, с которыми непосредственно работают пользователи. На более глубоком уровне в самой системе интеграции сервисы осуществляют доступ к объектам интегрирующей модели данных. Эта процедура также нуждается в контроле, для сохранения безопасности данных, как основного ресурса системы. Рисунок 2 – Фрагмент схемы базы данных подсистемы контроля доступа к ресурсам При этом следует учитывать, что права доступа настраиваются не для всех ресурсов системы. Есть ряд внешних сервисов, доступ к которым может осуществляться любыми посетителями ресурса. Для организации доступа к таким сервисам не нужно специальных прав доступа, но должны контролироваться данные, к которым эти сервисы имеют доступ. Для хранения прав доступа групп пользователей к сервисам в базе данных введём таблицу GroupServicesPermition. Данная таблица содержит ссылку на группу пользователей и ссылку на конкретный сервис. Групповые права доступа автоматически наследуются всеми пользователями, являющимися членами данной группы. Каждая запись данной таблицы показывает разрешение на доступ группы с идентификатором GID к сервису с идентификатором CID. Кроме этого иногда возникают ситуации, когда пользователю нужно предоставить доступ к отдельному сервису, не входящему в его групповые права доступа. При этом включение данного пользователя в другие группы нецелесообразно. Для решения задачи введена таблица UserServicesPermition определяющей индивидуаль- 4 ные права пользователя на доступ к сервисам. Данная таблица также нужна для определения активных сервисов, используемых конкретным пользователем, т.к. не все из доступных сервисов нужны каждому пользователю. На втором этапе после проверки прав доступа пользователя к сервису проверяется корректность доступа сервиса к ресурсам интегрирующей модели данных. Это осуществляется за счёт установки прав сервиса на доступ к объектам интегрирующей модели данных. Каждый сервис имеет полные права на доступ к своей собственной базе данных плюс права на доступ к ограниченному числу объектов интегрирующей модели данных. Для поддержки этого алгоритма в базе данных системы интеграции введено отношение ServiceResourcePermition. Каждая запись данного отношения определяет права сервиса на доступ к объекту интегрирующей модели данных. В поле rul, содержится уровень прав в виде числа. Данное число определяет четыре основных привилегии RIUD: read – чтение данных, insert – вставка данных, update – изменение имеющихся данных, delete – удаление данных. Каждая привилегия определяется значением 1 или 0 в соответствующей позиции числа. Например, права на чтение и вставку данных будет определяться кодом: 1100. На уровне приложения процесс доступа реализуется с помощью списков контроля доступа ACL. После авторизации пользователя для каждого пользователя формируется список сервисов, к которым пользователь имеет доступ. Каждый запрос к системе интеграции должен идентифицироваться тройкой значений: UID, CID, RID. При появлении в системе интеграции запроса на доступ к данным от сервиса производится, сохранение поступившего запроса в системном журнале, проверка прав текущего пользователя с идентификатором UID на взаимодействие с сервисом с идентификатором CID на основе списка ACL; далее проверяются тип запроса, права сервиса на выполнение данного типа запроса и на доступ к данным c идентификатором RID. Блок-схема полученного алгоритма представлена на рисунке 3. Рисунок 3 – Блок-схема алгоритма контроля доступа к ресурсам системы. 5 Заключение Для осуществления контроля доступа пользователей к интегрированной образовательной системе ВУЗа предлагается использовать динамические списки контроля доступа, основанные на матрице распределения прав доступа. Предлагаемая система основана на двухуровневом контроле, заключающемся в проверке прав пользователя на доступ к сервису и проверке прав сервиса на доступ к ресурсам. Описанный подход позволит эффективно осуществлять назначение и контроль прав доступа для пользователей и ресурсов. СПИСОК ЛИТЕРАТУРЫ 1. Техники и технологии управления доступом [Электронный ресурс] / Режим доступа: http://dorlov.blogspot.ru/2009/09/issp-02-7.html. 2. Козинин, Ф.А. Модели политики безопасности [Электронный ресурс] / Режим доступа http://re.mipt.ru/infsec/2004/essay/2004_Security_Policy_Models__Kozin.pdf. 3. Ужаринский, А.Ю. Модель интеграции разнородных источников данных при объединении разнородных приложений на основе web-сервисов [Текст] / А.Ю. Ужаринский // Информационные системы и технологии. – 2013. – №6(80). – С. 46-53. 4. Ужаринский, А.Ю. Принципы построения распределённой информационной системы ВУЗа с использованием web-сервисов [Текст] / А.В. Коськин, А.Ю. Ужаринский // Теория и практика системного анализа: сборник трудов Всерос. молодеж. конф., Белгород, 1-3 октября 2012 г. – Белгород: ИД «Белгород», 2012. – С. 501 – 504. Ужаринский Антон Юрьевич ФГБОУ ВПО Госуниверситет – УНПК, г. Орел Аспирант E-mail: udjal89@mail.ru Коськин Александр Васильевич ФГБОУ ВПО «Госуниверситет – УНПК», г. Орел Доктор технических наук, профессор E-mail: koskin@ostu.ru