The security model for cross-platform web services of municipal procurement support.pdf Целью работы является создание на основе RBAC [1] модели безопасности, учиты-вающей специфику веб-приложений. На базе этой модели разработаны программныесредства для решения задач муниципального заказа администрации г. Красноярска,в том числе для проведения открытых электронных аукционов. Юридическая значи-мость действий пользователей обеспечивается использованием электронной цифровойподписи. Работа выполняется в рамках развития Автоматизированной системы про-ведения муниципальных заказов (АСП МЗ). Определяющими документами являютсяфедеральные законы № 1, 94 и 149.В результате анализа предметной области была выбрана модель RBAC. В модельбыли внесены изменения, учитывающие особенности веб-приложений. К существую-щим понятиям «субъект» (subject), «роль» (role), «разрешение» (permission), «сессия»(session) были добавлены «токен» (token) и «запрос» (request).Определение 1. Токен - набор атрибутов субъекта, позволяющих осуществитьего аутентификацию в системе. Токеном является пара (имя, пароль) либо пара (сер-тификат ЭЦП, закрытый ключ ЭЦП).Определение 2. Запрос - набор информации, пересылаемой клиентом серверупо протоколу HTTP. Запрос содержит набор заголовков, уникальный идентификаторресурса, набор параметров имя/значение и тело запроса.Запрос принадлежит сессии, в рамках одной сессии может выполняться несколькозапросов. Понятия «запрос» и «разрешение» связаны отношением «многие-ко-мно-гим». На множестве запросов вводится отношение включения.Определение 3. Запрос A включает запрос B, если путь уникального иденти-фикатора ресурса запроса A содержит путь уникального идентификатора ресурса за-проса B с начальной позиции строки.Например, запрос «/library/book» включает запрос «/library». Полученная модельотражает предметную область и позволяет эффективно разграничивать доступ в веб-системах.В работе D. F. Ferraiolo et al. [2] рассматриваются вопросы применения моделиRBAC для веб-приложений. В первом случае предлагается хранить идентифициру-ющую и служебную информацию (в том числе пароль), подписанную сервером, настороне клиента в виде cookies. Данный метод не учитывает истечения срока дей-ствия и возможности компрометации сертификата сервера. Во втором случае исполь-зуются атрибуты сертификата X.509 для хранения политик безопасности. Описанныйподход имеет следующие недостатки. Во-первых, жестко указаны роли и разрешения,что не позволяет добавлять новые полномочия для субъекта без замены сертификата.Во-вторых, не учитывается ситуация, когда система работает с сертификатами разныхудостоверяющих центров, имеющих собственные политики безопасности.В настоящей работе предлагается комбинированный подход. Предварительнаяаутентификация производится с помощью имени пользователя и пароля, что даетсубъекту доступ на чтение к закрытой части системы. Дальнейшие действия субъектапо добавлению, модификации и удалению информации подтверждаются электроннойцифровой подписью, что обеспечивает юридическую значимость и аутентичность ин-формации. На стороне клиента в cookies хранится только идентификатор сессии,который становится недействительным после ее завершения. Сертификат ЭЦП со-держит только стандартные атрибуты X.509. Информация о политиках безопасностихранится на сервере системы и доступна для редактирования администратором. Дан-ный подход позволяет использовать произвольный удостоверяющий центр для выдачисертификатов пользователям и гибко настраивать права доступа.Особое внимание уделялось возможности кросс-платформенного функционирова-ния системы. В настоящий момент система может функционировать на платформахWindows, Linux, FreeBSD. В работе используется криптопровайдер КриптоПро CSP,который обеспечивает работу стандартов ГОСТ Р 34.10-94, ГОСТ Р 34.11-94, ГОСТР 34.10-2001, ГОСТ 28147-89.Реализованные веб-сервисы обеспечивают защиту публикуемых данных, просто-ту и удобство работыспециалистов муниципального заказа, оперативность размеще-ния информации на сайте, а также защиту от несанкционированного использования.Система успешно эксплуатируется более четырех лет. За период 2009-2010 гг. с ис-пользованием системы было проведено 354 электронных аукциона на общую сумму238 660 934 руб., экономия бюджета составила 42 443 682 руб. Имеются свидетельствао регистрации программного обеспечения [3,4].

Скачать электронную версию публикации