УДК 004.7; 004.722 МОДЕЛЬ СЕАНСОВОГО ДОСТУПА В РАСПРЕДЕЛЕННОЙ СЕТИ

реклама
УДК 004.7; 004.722
И.С. КОНСТАНТИНОВ, С.А. ЛАЗАРЕВ, О.В. МИХАЛЕВ
I.S. KONSTANTINOV, S.A. LAZAREV, O.V. MIKHALEV
МОДЕЛЬ СЕАНСОВОГО ДОСТУПА В РАСПРЕДЕЛЕННОЙ СЕТИ
SINGLE MODEL SESSION ACCESS IN THE DISTRIBUTED NETWORK
В данной статье рассматривается механизм единого сеанса доступа для
определенного пользователя в рамках всей распределенной сети, на примере сети
корпоративных порталов. Реализация данной модели сеансового доступа обеспечивает
однократную аутентификацию пользователя в сети порталов независимо от того, к каким
узлам произошло первое и последующие обращения. Это, соответственно, определяет
только одну произвольную точка входа пользователя в сеть порталов.
Ключевые слова: сеть порталов, модель сеансового доступа, аутентификация
пользователя, единый сеанс доступа, управление доступом, информационные ассоциации.
This article discusses the mechanism of a single session for a particular user access across
a distributed network, on example of corporate portals. The implementation of this model provides
a single session access user authentication in the network portals regardless of which nodes to
happen first and subsequent treatment. It therefore defines only one arbitrary point the user to a
network of portals.
Keywords: portals network, model session access, user authentication, single session
access, access control, information association.
Исследования в области построения информационных ассоциаций в глобальном
информационном пространстве на основе сети корпоративных порталов [1 – 3] определяют
необходимость реализации единой модели сеансового доступа в данной сети. Концепция
построения сети порталов и ее распределенный характер предполагают
наличие
защищенного авторизованного информационного обмена [4] между пользователями,
принадлежащими к разным доменным группам, и различными информационными
порталами, включенными в сеть. Вследствие этого при обращении к ресурсам различных
информационных
узлов
(порталов)
сети
от
подсистемы
управления
доступом
соответствующего узла требуется идентифицировать пользователя для проверки его
полномочий. Информационный узел, следовательно, должен запросить от пользователя
введение его аутентификационных данных, что вполне естественно при первичном
обращении к ресурсам сети, но совершенно неприемлемо с точки зрения удобства работы
для уже авторизованного пользователя, если каждое обращение к другому информационному
узлу сети требует повторной аутентификации. Альтернативным решением является наличие
механизма
подтверждения
действительности
пользовательского
сеанса
от
другого
информационного узла, ранее аутентифицировавшего данного пользователя. Для этого
необходимо поддерживать взаимодействия со всеми остальными узлами сети, реализуя
полносвязную логическую топологию, что требует больших объемов вычислительных и
сетевых ресурсов [5]. Очевидно, что необходимы централизованный механизм реализации
единого пользовательского сеанса в сети порталов и механизм однозначной идентификации
пользователя в каждом ее сегменте. Именно это и обуславливает актуальность данной
проблемы.
Традиционно для управления работой пользователя в многопользовательских
программных системах применяют механизмы сеансового доступа (пользовательской
сессии), в том числе для идентификации пользователя и подтверждения его полномочий в
рамках активного сеанса [6, 7]. Пользовательская сессия представляет собой виртуальное
соединение, строго привязанное к определенному пользователю системы. Каждая сессия
имеет временный идентификатор – имя, применяемое для получения системного
идентификатора пользователя и дополнительной информации о сеансе, и время жизни –
момент времени, в который сессия считается активной и участвует в координации работы
системы.
Для
присвоения
идентификатора
сеанса
необходимо
пройти
процесс
аутентификации.
При проектировании механизмов поддержки сеанса пользователей в рамках сети
корпоративных порталов отмечено, что реализация процедуры принудительной проверки
подлинности пользователя на этапе создания соединения к каждым новым узлом сети
является неэффективным и неудобным решением для конечного пользователя и самого
процесса информационного обмена. В этой связи рассмотрим возможность централизации
процесса аутентификации пользователей с последующей репликацией сеансовых данных.
Для обеспечения надежности и отказоустойчивости сети порталов, а также минимизации
требуемых затрат, наиболее рациональным является гибридное техническое решение,
управляющее распространением сеансовой информации – активная репликация с рядовых
узлов на центральный и пассивная репликация в обратном направлении. При этом
возможность создания сеансов на рядовых узлах сети доступна только в случае отказа
центрального узла, в режиме «горячей» замены источника аутентификации (рис. 1).
Подобная конфигурация предоставляет одновременно гарантию быстрого и эффективного
распространения сессионных данных и высокую доступность системы в целом.
Рисунок 1 – Схема модели источников аутентификации пользователя
Формально сеть порталов можно определить, как
P  A, C, D ,
где
(1)
A  {ai } – множество узлов контроля доступа, i  1, n ;
C  {c j } – множество узлов управления сетью, j  1, m ;
D  {d i } – множество пользовательских доменов сети.
Уникально
именованная
группа
пользователей
характеризуется
доменом,
представленным кортежем
d i  U i , D'i ,
где
(2)
U i – множество пользователей i-го домена, i  1, n ;
D'i – подмножество доменов сети, которым «доверяет» домен d i , D'i  D и d i  D'i .
При этом каждый пользовательский домен соответствует конкретному узлу контроля
доступа сети и наоборот, A  D , и в каждом d i существует подмножество авторизованных в
текущий момент времени t пользователей U 'i  U i .
Узел управления сетью представлен кортежем
c j  S 0 , R0 , D ,
где
S 0 – множество всех активных пользовательских сеансов сети порталов;
(3)
R 0 – множество всех идентифицированных запросов в сети;
равенство c1  c2  ...  cm обеспечивает резервирование и распределение функций
управления сетью между узлами.
Узел контроля доступа определен кортежем
ai  S i Ri D'i ,
где
(4)
S i – множество активных пользовательских сеансов узла контроля доступа;
Ri – множество идентифицированных запросов к узлу контроля доступа.
Реализация механизма
единого пользовательского сеанса в сети порталов
предполагает, что на узле контроля доступа a i существует сеанс sik (k  1, l ) , по которому
идентифицируется
авторизованный
пользователь
u' qz ,
принадлежащий
домену
dq ,
включенному в список «доверенных» доменов данного узла, т.е. модель сеансового доступа
удовлетворяет следующему условию:
ai : sik  S i , u ' qz  U ' q , d q  D'i  T : sik  u ' qz ,
где
(5)
u' qz – z-й авторизованный пользователь q-го домена, z  1, l , q  1, n ;
– функция соответствия пользователя и его сеанса.
Аналогично неавторизованные пользователи q-го домена U ' q также
могут быть
авторизованы только на узле сети a i , который доверяет домену d q  D'i .
Запрос пользователя сети порталов считается идентифицированным, когда возможно
определить его инициатора на основании (5) по активному сеансу:
rikx  Ri : sik  S i  E : rikx  sik ,
где
(6)
rikx – x-й запрос к i-му узлу, содержащий метку k-го пользовательского сеанса;
– функция идентификации пользовательского сеанса по запросу.
В противном случае для неидентифицированных запросов пользователю необходимо
пройти проверку подлинности.
Распределенный характер системы и особенности ее построения предполагают, что
для поддержания сеанса пользователя и однозначной идентификации его запросов
необходимо наличие соответствующих запросу сеансовых данных либо на узле, к которому
произошло обращение, либо на центральном узле системы. Поэтому пользовательский сеанс
на узле доступа s ik может являться репликой пользовательского сеанса узла управления
сетью s 0jk , поскольку
0
S 0   Si , R0   Ri  sik  Si  s0jk  S 0 , rikx  Ri  rjkx
 R0 .
(7)
Таким
образом,
при
недоступности
узлов
управления
сети
порталов,
для
идентификации пользовательского сеанса (6) необходимо и достаточно наличие сеансовых
данных только на узле контроля доступа, обрабатывающем запрос. Схематично механизм
реализации единой модели сеансового доступа в сети корпоративных порталов представлен
на рисунке 2.
Рисунок 2 – Схема механизма реализации модели сеансового доступа в сети
корпоративных порталов
В заключение следует отметить, что в данной статье дано обоснование необходимости
построения единой модели сеансового доступа в распределенной сети порталов.
Рассмотрены различные подходы к управлению сеансовой информацией в распределенных
сетях. Предложен комбинированный подход к управлению пользовательскими сеансами и
приведено формальное описание единой модели сеансового доступа для распределенной
сети порталов. Реализация данной модели обеспечивает однократную аутентификацию
пользователя и одну произвольную точку входа в сеть порталов независимо от того, к каким
узлам произошли первое и последующие обращения, даже при недоступности центрального
узла сети.
Список используемых источников
1. Лазарев С. А., Демидов А. В. Концепция построения системы управления
информационным обменом сети корпоративных порталов // Информационные системы и
технологии. 2010. № 4(60). С. 123 – 129.
2. Константинов И. С., Лазарев С. А. Особенности построения системы управления
информационным обменом сети корпоративных порталов // Информационные системы и
технологии «ИСИТ-2011»: материалы I Междунар. науч.-техн. интернет-конф. (Орел, 1 апр. –
31 мая 2011 г.). Орел, 2011. Т. 1. С. 50 – 54. Уточните время проведения
3. Лазарев С. А. Некоторые аспекты создания информационных ассоциаций в
глобальных сетях на основе построения сети корпоративных порталов // Информационные
системы и технологии. 2012. № 1(69). С. 103 – 106.
4. Лазарев С. А., Демидов А. В. Особенности построения подсистемы управления
доступом системы управления информационным обменом сети корпоративных порталов //
Информационные системы и технологии. 2012. № 4(72). С. 103 – 110.
5. Константинов И. С., Коськин А. В., Фролов А. И. Управление процессами
информационного обмена в распределенной информационной среде в условиях перегрузки //
Изв. Тульского гос. ун-та. Сер. Технологическая системотехника. Вып. 8. Тр. участников V
Междунар. электронной науч.-техн. конф. «Технологическая системотехника – 2006». Тула,
2006. С. 51 – 60.
6. Олифер Н. А., Олифер В. Г. Сетевые операционные системы. СПб.: Питер, 2002
7. Третьяк В. Ф., Исун Ян, Голубничий Д. Ю. Использование технологии
репликации в системе управления базами данных: сб. науч. тр. / Харьковский ун-т
Воздушных Сил им. И. Кожедуба. Харьков, 2010. № 2(24). С. 109 – 114
8. Создание распределенной телекоммуникационной сети учебно-научнопроизводственного комплекса ОрелГТУ / С. И. Афонин и др. // Образовательная среда
сегодня и завтра: материалы II Всерос. науч.-практ. конф. (Москва, 28 сент. – 10 окт. 2005 г.)
М., 2005. С. 293 – 294.
9. Коськин А. В. Технологическая среда для комплексного сопровождения
процессов информатизации организационно-технических систем / под ред. И. С.
Константинова. М.: Машиностроение-1, 2006. 240 с.
10. Еременко В. Т. Математическое моделирование процессов информационного
обмена в распределенных управляющих системах / под общ. ред. И. С. Константинова. М.:
Машиностроение-1, 2004. 224 с.
Скачать