10. Сценарии управления доступом, основанном на метках

 

10.1. Сценарии

Управление доступом ATM может происходить или в оконечной точке ATM или в любом промежуточном узле ATM (то есть, коммутаторе ATM или сетевом(in-line) устройство защиты). В каждом случае, сетевые администраторы устанавливают (либо через протокол управления сетью или через непосредственную конфигурацию устройств ATM), что физический интерфейс ATM требует параметров управления доступом (устанавливают параметры требуемые для физического интерфейса АТМ). В течение установления соединения, компонент ATM для которого требуется интерфейс , чтобы сообщить необходимые параметры управления доступом, и устройство ATM принимающее эти параметры управления доступом выполняют управление доступом, используя следующие параметры. Этот обмен данными управления доступом может происходить через (1) интерфейс оконечная точка - частный коммутатор(private switch), (2) интерфейс частный коммутатор- частный коммутатор, (3) интерфейс частный коммутатор-коммутатор общего пользования (public switch), или (4) интерфейс коммутатор общего пользования -коммутатор общего пользования . Также, инициатор параметров управления доступом может быть либо инициатором соединения, некоторым промежуточным коммутатором ATM, либо устройством защиты ATM. Типичное приложение для основанного на метках управления доступом показаны на Рисунке 9.

В этом контексте, многоуровневый относится к устройству, которое может интерпретировать метки защиты и может обслуживать разделение данных, маркированных на различных уровнях защит. Для этого сценария, предприятие отмечает cвои данные либо как "общего пользования(public)",

Рисунок 9. Типичные Сценарии Управления доступом.

показывая, что данные являются доступными для общего пользования, или "ограниченными(limited)", указывая что данные должны оставаться в пределах предприятия. В этом сценарии, многоуровневые устройства (коммутаторы и многоуровневые абонентские устройства) в пределах частной сети ATM гарантируют, что только информация общего пользования посылается абонентским устройствам общего пользования или сквозь коммутаторы общего пользования ATM. В пределах частной сети ATM, многоуровневые устройства (коммутаторы и многоуровневые абонентские устройства) гарантируют, что все соединения помечены.

Этот сценарий требует механизмы маркирования в пределах частного UNI и P-NNI. Рисунок 10 показывает сценарий использование маркирования механизмов в пределах коммутаторов ATM общего пользования, требующих механизмов маркирования в пределах UNI общего пользования и B-ICI.

В этом втором сценарии, средство доступа(provider) сети общего пользования предлагает многоуровневую службу управления доступом для абонентских сетей, давая возможность связываться выбранным частным сетям. Каждый абонентский интерфейс помечен набором компаний, которым разрешено посылать данные через этот интерфейс. Этот механизм ограничивает набор частных сетей, которые могут связываться с частными сетями определенной компании. Например, ни Компания A, ни Компания B не могут связываться прямо с частными сетями Компании С. Однако, компании A и C совместно использует общую частную сеть (возможно консорциум, общий поставщик, или общий заказчик), через которую они могут связываться, в зависимости от политики этой частной сети. Многоуровневые устройства (то есть, коммутаторы общего пользования и коммутаторы в пределах многоуровневых абонентских сетей) гарантируют, что каждое соединение помечено.

Принуждение(enforcement) Управления доступом одинаковое для обоих сценариев. По получении запроса соединения, многоуровневые устройства гарантируют, что запрос соединения либо (1), исходил из одноуровневого интерфейса, в случае которого соединение помечено на уровне интерфейса; либо(2) исходил из многоуровневого интерфейса, в случае которого соединение должно быть в наборе уровней безопасности, разрешенных для данного интерфейса. На передаче запроса соединения, многоуровневые устройства гарантируют, что уровень безопасности соединений передается в течение протокола установки соединения, если запрос помещен на интерфейсе, требуемой маркировки (например, многоуровневый интерфейс).

Рисунок 10. Сценарий Управления доступом для коммутаторов общего пользования.

 

10.2. Концепции Управления доступом основанные на метках

Типичные механизмы управления доступом основанные на метках базируются на концепции уровней чувствительности. Уровень чувствительности представляет чувствительность данных к раскрытию(disclosure). Например, уровень чувствительности может указывать cтепень, с которой данные компании должны быть защищены, с различными уровнями чувствительности (например, данные общего пользования(public), частные(proprietary), конфиденциальные данные компании(company confidential), ограниченные данные компании(company limited) , и конкурсно-чувствительные(competition sensitive)) показывающих различные степени управления.

Типичный уровень чувствительности включает два компонента: (1) иерархический уровень и (2) набор категорий доступа. Эти уровни используются с частично упорядоченным соотношением на наборе уровней чувствительности. Это соотношение определяет, является ли один уровень чувствительности меньше чем, равный, больший чем, или не сопоставимый с другим уровнем чувствительности. Компонент иерархического уровня чувствительности линейно упорядочивается, своим собственным соотношением " меньше чем ". Соотношение, использованное для множеств(set) категории доступа устанавливает вместимость. То есть, говорят ,что одно множество категории доступа, " меньше чем или равно " другому множеству категории доступа, если первое - подмножество второго. Говорят, что первое, " меньше чем " второе, если первое - собственное подмножество второго. Таким образом, уровень чувствительности SL1 = (HL1, SC1) - меньше чем или равен уровню чувствительности SL2 = (HL2, SC2) если HL1 меньше чем или равен HL2, и SC1 - подмножество SC2, где HL1 и HL2 - иерархические компоненты уровня и SC1 и SC2 -компоненты множеств категории доступа SL1 и SL2, соответственно.

Метки чувствительности - физическое представление уровня чувствительности. Может иметься множество представлений одного и того же уровня чувствительности. Для данного уровня чувствительности, имеется несколько типичных представления (или метки чувствительности), включая читаемую человеком метку (например, ограничен компанией / финансовая) и внутреннее представление той метки в пределах вычислительной системы.

10.3. Правила Управления доступом основанные на метках

Механизмы управления доступом основанные на метках в пределах сетевого компонента требуют чтобы каждый сетевой объекта (то есть, пакет или соединение) имел ассоциированный уровень чувствительности и типично назначенные максимальный и минимальный уровень чувствительности для каждого внешнего физического интерфейса, чтобы допустить требования следующих правил.

1. Система может передать сетевой объект через физический интерфейс, обеспеченный уровнем чувствительности объекта - меньшим, чем или равным максимальному уровню чувствительности интерфейса.

2. Система может принимать сетевой объект через физический интерфейс для передачи, обеспеченный уровнем чувствительности объекта - меньшим, чем или равным максимальному уровню чувствительности интерфейса и большим чем или равным минимальному уровню чувствительности интерфейса.

Заметьте, что объектный уровень чувствительности может быть определен или меткой, привязанной к объекту или неявно уровнем чувствительности физического интерфейса в случае, когда максимальный и минимальный уровни чувствительности физического интерфейса равны.

В контексте выполнения управления доступом основанного на метках только во время установки соединений, сетевой объект - соединение, и метка передается в сообщении установки.


з Назад Вверхй Дальшеи

Содержание

Hosted by uCoz