6.7 Модель управления доступом ГОСТ 34.321-96

Модель управления доступом - это специализированная общая модель. Ее назначение - показать услуги контроллера базы для управления доступом к данным в среде базы данных и услуги для определения данных управления доступом, необходимых для этого управления доступом.

Управление доступом требует, чтобы каждый запрос на услугу контроллера базы данных был связан явно или неявно с аутентичным идентификатором. Этот идентификатор может быть неявно связан с запросом услуги с помощью декларирования при запуске или модификации в течение сеанса управления данными для клиента. Разрешение на конкретный запрос на услугу зависит от того, имел ли связанный с ним идентификатор заранее объявленные привилегии для процессов и вызванных данных.

Если соответствующие привилегии для запроса на услугу не существуют, то ответ на запрос указывает нарушение управления доступом, и это нарушение может быть записано для общего управления доступом.

Чтобы поддерживать управление доступом, услуги любого типа контроллера базы данных в общей модели должны быть соответственно модифицированы с учетом необходимости требуемых привилегий. Для большинства услуг не требуются изменения в форме запроса на услугу, но возможные ответы должны разрешать отказ из-за отсутствия привилегий.

Дополнительные услуги требуются для определения действительных идентификаторов для среды базы данных и привилегий, связанных с этими идентификаторами.

Составляющими архитектурной модели управления доступом в распределенной среде являются администратор управления доступом, определитель управления доступом, пользователь, процессор пользователя, процессор управления доступом, контроллер распределенной базы данных, схема данных управления доступом, данные управления доступом, распределенная схема, распределенная база данных. Связь между составляющими представлена на рисунке 14.

- Управление доступом в распределенной среде

Рисунок 14 - Управление доступом в распределенной среде

Архитектурная модель управления доступом основывается на декомпозиции, которая разделяет контроллеры базы данных, предоставляющие услуги для среды базы данных без управления доступом, и процессоры, связанные с управлением доступом.

Администратор управления доступом - это пользователь, касающийся задачи определения данных управления доступом. Определитель управления доступом - это процессор пользователя, который обеспечивает услуги администраторам управления доступом.

Процессор управления доступом принимает любой запрос от идентифицированного пользователя на услугу. Это или запрос от процессора пользователя на общую услугу, или запрос от определителя управления доступом на услугу, связанную с определением данных управления доступом. Процессор управления доступом сначала использует данные управления доступом для определения, разрешен ли запрос. Тогда запрос или отклоняется, если пользователь не имеет соответствующих привилегий, или процессор управления доступом вызывает услуги контроллера базы данных, чтобы выполнить запрос. Это может заканчиваться доступом к базе данных или данным управления доступом [из 6.7 Модель управления доступом ГОСТ 34.321-96]