Моделі керування доступом в комп

*119443*

Современные информационные технологии/ 1.Компьютерная инженерия

Лавриненко Т.Н.

Відкритий міжнародний університет розвитку людини «Україна», м. Київ

Моделі керування доступом в комп'ютерних мережах

корпоративних інформаційних систем

У сучасному світі більш упевнено працюють ті компанії й фірми, які навчилися краще розпоряджатися своїми ресурсами. Сьогодні одним із ключових ресурсів є інформація, яка використовується під час проектування, експлуатації, виробництва, продажу, розподілу продуктів і послуг. Локальні мережі вже посіли належне їм місце в інформаційній структурі організацій та підприємств. Однак на сьогоднішній день все більшого значення набуває взаємодія підрозділів компаній, розташованих на великій відстані один від одного. Тому необхідність їх об’єднання в єдиному інформаційному просторі пояснює популярність комп’ютерних мереж КІС. Гіпотетично до територіально розподілених корпоративних організацій можуть належати міністерства й державні комітети; банки з філіями, торговельні фірми з розгалуженою інфраструктурою постачання, складів і магазинів. До них також можна віднести і страхові компанії, туристичні фірми, інформаційні агентства й редакції газет; виробничі підприємства разом із об’єктами допоміжного виробництва, суміжниками й системою збуту й обслуговування продукції, а також багато інших. Для організації обміну інформацією між підрозділами корпорації необхідна наявність сполученої ланки певного типу. Сполучну ланку корпоративної інформаційної системи можна побудувати шляхом прокладання власних ліній, але це дуже дорогий проект. Тому більшість із корпоративних підрозділів послуговується інфраструктурою вже існуючих глобальних мереж загального користування.

На сьогоднішній день Internet – найбільш розгалужена та найбільш перспективна мережа. Глобальна мережа загального користування може надавати підрозділам корпорації виділені канали (монопольне володіння всім телекомунікаційним ресурсом) або ті, що комутуються (спільне володіння телекомунікаційним ресурсом), які вони будуть використовувати в якості транзитних коридорів під час обміну даними. Здебільшого в корпоративній практиці інформація, яка виникла в одному джерелі, направляється не одному, а декільком адресатам. На жаль, на сьогоднішній день відсутні чітко встановлені правила, або, інакше кажучи, стандартна технологія корпоративного обміну інформацією. Відомо тільки те, що зазвичай використовуються з’єднання «точка–точка». При цьому для передачі інформації від вузла-джерела доводиться організовувати стільки сеансів зв’язку, скільки є вузлів-адресатів. Для невеликої групи адресатів це не створює особливої проблеми. Однак, якщо сполучна ланка корпоративної інформаційної системи нараховує достатню кількість вузлів, кожен з яких потребує передачі оперативної інформації до всіх інших, то, зрозуміло, корпоративний обмін інформацією стає неефективним. Важливо також відмітити, що високий ступінь розгалуженості глобальної мережі загального користування Internet не сприяє організації в рамках її складної структури єдиної лінії зв’язку, яка відповідає магістральній і шинній топологіям та могла би з’єднувати всі вузли корпорації в одному поділюваному середовищі. Це і є однією з причин неможливості застосування в сполучній ланці корпоративної інформаційної системи технології випадкового доступу, навіть такої найбільш швидкісної, як Gigabit Еthernet (дана технологія може застосовуватися тільки на окремих ділянках певного комутованого каналу). Для повної радіально-зіркоподібної структури з’єднань «точка–точка» характерна велика кількість каналів, які комутуються. На рис. 1.1.а відповідні комутовані канали позначені штрихованими лініями. До того ж, якщо кожний вузол сполученої ланки корпоративної інформаційної системи буде діяти в довільному порядку, то не виключається можливість виникнення ситуації, яка нагадує конфлікти в технологіях випадкового доступу. Але в цьому випадку йдеться не про зіткнення даних, а про неможливість передачі оперативної інформації в межах необхідного часу, через що виникає ризик втрати її актуальності з відповідними негативними наслідками.

1.1.TIF

Тому з урахуванням особливостей завдання впорядкування та синхронізації автономного керування сеансами зв’язку «кожний до всіх», а також забезпечення гарантії надання кожному вузлу права на передачу потрібне застосування технології, подібної до детермінованого доступу. Хоча вище і згадувалося про неможливість побудови фізичного магістрального широкомовного моноканалу в якості сполученої ланки корпоративної інформаційної системи, проте з усієї сукупності комутованих каналів між усіма парами вузлів сполученої ланки корпоративної інформаційної системи від деяких можна відмовитися та організувати таке з’єднання, яке утворює певне віртуальне кільце (рис. 1.1.б). При цьому, як видно, суттєво скорочується кількість ліній зв’язку в порівнянні з повнозв’язною (радіально-зіркоподібної) структурою. На рис. 1.2 показано, що при підключенні до сполученої ланки корпоративної інформаційної системи N вузлів для кільцевої структури потрібно К=N комутованих каналів, а для повнозв’язної структури – К=N((N-1)/2. У випадку віртуального кільця за один сеанс зв’язку інформація від вузла-джерела шляхом ретрансляції відправляється до всіх інших вузлів сполученої ланки корпоративної інформаційної системи, а реагують на цю інформацію тільки ті, які входять у групу вузлів-адресатів.

Рис. 1.2. Залежність кількості K каналів, що комутуються, від кількості

N вузлів при: Full – повнозв’язній і Ring – кільцевій структурах

Кожний вузол сполученої ланки корпоративної інформаційної системи являє собою локальну мережу підрозділу корпорації. Корпоративні локальні мережі можуть використовувати різні мережеві технології, наприклад, мережа 100VG-Еthernet, схематично зображена на рис. 1.3. Як видно на рис. 1.3.а, локальна мережа складається з декількох груп робочих станцій, які розділяють ресурси одного або кількох серверів. Це свідчить про те, що до сполученої ланки корпоративної інформаційної системи безпосередній доступ мають не окремі робочі станції, а головні сервери (домени типу «Main»), розміщені у відповідних підрозділах корпорації. Тому надалі замість терміна «корпоративний вузол» будемо застосовувати термін «сервер».

Взаємодія протоколів корпоративної мережі із глобальною мережею загального користування Internet зображена на рис.1.3.б на прикладі використання в якості корпоративного програмного забезпечення електронної таблиці Excel та репрезентована у вигляді 7-рівневої моделі OSI. Локальна мережа корпоративного підрозділу організовується за принципом «клієнт–сервер» через адміністративну службу Active Directory. Кожний домен характеризується іменем (наприклад, km.v) і користувачами, які входять до нього (адміністратор, звичайні користувачі тощо). На сервері встановлюється операційна система, наприклад – Windows 2003 server, яка сумісна із клієнтським програмним забезпеченням, наприклад – Windows XP. Домен зв’язується із комп’ютерами користувачів за допомогою спеціальної служби DHCP (Dynamics Host Configuration Protocol), яка призначена для виділення вказаним комп’ютерам динамічних IP-адрес у певному пулі (Address Pool), наприклад, 10.2.100.1 – 10.2.100.254.

Рис. 1.3.jpg

Передбачено, що кожному корпоративному вузлу (серверу підрозділу організації) достатньо знати постійну IP-адресу чи адресу тільки наступного вузла у випадку напівдуплексного (односпрямованого) віртуального кільця КІС або обох сусідніх вузлів у випадку повнодуплексного віртуального кільця (із сегментними зворотними зв’язками). В обох випадках інформацію, що виникла в одному з корпоративних вузлів, необхідно перетворити на блок даних. Таким чином, міжвузловий сегмент віртуального кільця являє собою комутований канал, тобто тимчасово встановлену лінію IP-з’єднання, через яку блок даних передається за допомогою технології віртуальної комутованої приватної мережі (Virtual Dial-up Private Network — VDPN), заснованої на протоколі PPTP (Point to Point Tunneling Protocol). Одержавши блок даних, кожний сервер корпорації копіює його до себе, вносить за потреби адресні зміни та ретранслює сусідньому серверу віртуальним кільцем. Для передачі власного блока даних корпоративному серверу потрібно чекати дозволу у вигляді службового блока даних, який передається між пристроями по кільцю, й надалі буде називатися «команда, що активізує».

Для ініціювання сеансу зв’язку, кожний корпоративний сервер поставлений на облік певним постачальником послуг Internet, якому він вказує IP-адресу сусіднього сервера за допомогою віртуального кільця і бажану якість послуг. Отже, для встановлення тимчасового з’єднання та забезпечення транспортування інформації провайдер використовує певний протокольний стек, який відповідає замовленій якості обслуговування (QoS) та являє собою комбінацію безлічі протоколів еталонної моделі OSI/ISO. Наприклад, прикладні протоколи Telnet, HTTP, FTP і SNPP; транспортні протоколи TCP і UDP; мережевий протокол IP; мережеві технології канального рівня керування доступом Token Ring, Ethernet, Fast Ethernet, 100VG-AnyLAN, FDDI, Frame Relay, Gigabit Ethernet і ATM, а також протоколи канального рівня управління лінією передачі даних IEEE 802.2, ARQ і DPP. У цілому протокольні стеки відрізняються такими параметрами, як надійність з’єднання, швидкість, режим (асинхронний або синхронний) і вірогідність передачі даних, а також гарантія безпеки та своєчасності доставки. Для досліджуваного сполученої ланки корпоративної інформаційної системи згадані параметри визначають рівень якості транспортно-транзитних послуг, що надаються, а отже – їхню відповідну вартість. Це дає підстави припускати можливість створення сполученої ланки корпоративної інформаційної системи на базі інфраструктури глобальної мережі загального користування високої або невисокої якості. У першому випадку комутовані мережі можуть бути організовані на таких каналах зв’язку, як оптоволоконні й бездротові, а в другому випадку – коаксіальні кабелі й виті пари проводів.

Internet є мережею комутації пакетів, у яких традиційно здійснюють перевірку цілісності пакетів, підтвердження про одержання або запит на повторну передачу на кожному вузлі, де проходить блок даних. Але сучасні спеціальні апаратно-програмні комплекси, так звані брандмауери, а також основні компоненти системи Firewall здатні усунути це й забезпечити автономну роботу, під час якої внутрішньокорпоративні блоки даних будуть підлягати розпізнаванню тільки у вузлах організації, причому винятково всередині вузла-джерела у випадку сполученої ланки корпоративної інформаційної системи на базі низькоякісної інфраструктури глобальної мережі загального користування Internet і на кожному з них у випадку сполученої ланки корпоративної інформаційної системи на базі високоякісної інфраструктури глобальної мережі загального користування Internet. Відзначимо, що підтвердження або запит про повторну передачу в першому випадку не має сенсу, а в другому – для цього потрібна наявність зворотного зв’язку. Ефект повторності викликає додаткові затримки, тривалість яких непередбачувана, тому й вносить істотні зміни в закони розподілу ймовірносно-тимчасових характеристик. Особливість цих змін пов’язана з тим, коли і яким чином можна здійснити повторну передачу спотвореної інформації. Відповідь на це запитання залежить від режимів розподілу часу і різних механізмів керування повторністю, які належать, відповідно, до методів керування детермінованим доступом до фізичного середовища та до методів управління лінією передачі даних на канальному рівні (OSI/ISO).