8.5. Организация доступа к ресурсам в компьютерных сетях
Модель «клиент-сервер». Все действия в сети рассматриваются как действия между процессами, при этом один процесс выполняет роль вызывающего, а второй вызываемого.
Вызываемый процесс более сложен, так как он должен постоянно быть активизирован и находится в состоянии «слушаю». Говорят, что такой процесс – сервер, а вызывающий процесс – клиент. Это и есть основа модели «клиент-сервер».
Например, Web-сервер в Интернет – это сервер, а Internet Explorer, через который Вы подключаетесь – это клиент. Каждый сервер (программа) имеет своего клиента. На компьютере может быть установлено много клиентов-программ.
В сетевой операционной системе отдельной машины можно выделить несколько частей:
- Средства управления локальными ресурсами компьютера: функции распределения оперативной памяти между процессами, планирования и диспетчеризации процессов, управления процессорами в мультипроцессорных машинах, управления периферийными устройствами и другие функции управления ресурсами локальных ОС.
- Средства предоставления собственных ресурсов и услуг в общее пользование — серверная часть ОС (сервер). Эти средства обеспечивают, например, блокировку файлов и записей, что необходимо для их совместного использования; ведение справочников имен сетевых ресурсов; обработку запросов удаленного доступа к собственной файловой системе и базе данных; управление очередями запросов удаленных пользователей к своим периферийным устройствам.
- Средства запроса доступа к удаленным ресурсам и услугам и их использования — клиентская часть ОС (редиректор). Эта часть выполняет распознавание и перенаправление в сеть запросов к удаленным ресурсам от приложений и пользователей, при этом запрос поступает от приложения в локальной форме, а передается в сеть в другой форме, соответствующей требованиям сервера. Клиентская часть также осуществляет прием ответов от серверов и преобразование их в локальный формат, так что для приложения выполнение локальных и удаленных запросов неразличимо.
- Коммуникационные средства ОС, с помощью которых происходит обмен сообщениями в сети. Эта часть обеспечивает адресацию и буферизацию сообщений, выбор маршрута передачи сообщения по сети, надежность передачи и т.п., то есть является средством транспортировки сообщений.
В зависимости от функций, возлагаемых на конкретный компьютер, в его операционной системе может отсутствовать либо клиентская, либо серверная части.
На рисунке 4.1.1 показано взаимодействие сетевых компонентов. Здесь компьютер 1 выполняет роль «чистого» клиента, а компьютер 2 — роль «чистого» сервера, соответственно на первой машине отсутствует серверная часть, а на второй — клиентская.
Рис. 14. Взаимодействие сетевых компонентов
На рисунке отдельно показан компонент клиентской части — редиректор. Именно редиректор перехватывает все запросы, поступающие от приложений, и анализирует их. Если выдан запрос к ресурсу данного компьютера, то он переадресовывается соответствующей подсистеме локальной ОС, если же это запрос к удаленному ресурсу, то он переправляется в сеть. При этом клиентская часть преобразует запрос из локальной формы в сетевой формат и передает его транспортной подсистеме, которая отвечает за доставку сообщений указанному серверу. Серверная часть операционной системы компьютера 2 принимает запрос, преобразует его и передает для выполнения своей локальной ОС. После того, как результат получен, сервер обращается к транспортной подсистеме и направляет ответ клиенту, выдавшему запрос. Клиентская часть преобразует результат в соответствующий формат и адресует его тому приложению, которое выдало запрос.
Рис. 15. Типы серверов и способы хранения учетной информации о пользователе
- файл сервер,
- принт-сервер,
- факс – сервер
- сервер приложений,
- сервер коммуникаций.
- сервер сообщений
- сервер баз данных
Методы и средства управления доступом к информационным и вычислительным ресурсам
В современных телекоммуникационных системах используется широкий спектр программных и аппаратных средств разграничения доступа, которые основаны на различных подходах и методах, в том числе и на применении криптографии. В общем случае функции разграничения доступа выполняются после установления подлинности пользователя (аутентификации пользователя). Поэтому для более полного анализа возникающих при управлении доступом проблем целесообразно рассматривать аутентификацию пользователя как элемент механизма разграничения доступа.
Если сеть должна обеспечить управляемый доступ к своим ресурсам, то устройства управления, связанные с этими ресурсами, должны некоторым образом определять и проверять подлинность пользователя, выставившего запрос. При этом основное внимание уделяется следующим вопросам:
- установлению подлинности пользователей и устройств сети;
- установлению подлинности процессов в сетевых устройствах и ЭВМ;
- проверке атрибутов установления подлинности.
- дополнительных сведениях, известных полномочному пользователю (пароль, код и т.д.);
- средствах, действующих аналогично физическому ключу, открывающему доступ к системе, например карточке с полоской магнитного материала, на которой записаны необходимые данные;
- индивидуальных характеристиках данного лица (голос, почерк, отпечатки пальцев и т.п.).
- персональный код пользователя;
- секретный параметр доступа;
- возможные режимы работы в сети;
- категории контроля доступа к данным ресурсам сети.