Download - مدل مديريتي كنترل دسترسي نقش مبنا
مدل مديريتي كنترل دسترسي نقش مبنا
رسول جلیلی[email protected]
رسول جليلي- درس امنيت پايگاه داده ها- نيمسال دوم 187-86تحصيلي
PAانتساب مجوز به
نقش
مدل کنترل دسترسی اجزاء نقش مبنا
RBAC المان هاي مدل•
Uکاربران •Rنقش ها •Pمجوزها •Sجلسه ها •Cمحدوديت ها •RHSسلسله مراتب نقش ها •
جلسات
Pمجوزها
Rنقشها
محدوديتها
UAانتساب کاربر به
نقش
RHسلسله مراتب
نقشها
RolesUser
RBAC2
RBAC3
RBAC1
Uکاربران
رسول جليلي- درس امنيت پايگاه داده ها- نيمسال دوم 1387-86تحصيلي
مديريت در كنترل دسترسي نقش- مبنا
در سيستم بزرگ که تعداد نقش ها به صدها و هزاران •افزايش مي يابد، مديريت اين نقش ها و روابط ميان آنها يک
کار سخت که به صورت مرکزي انجام مي شود و به گروه .کوچکي از مديران امنيتي محول مي گردد
اين است که مديريت را ساده RBAC از آنجا که نکته اصلي•.مي کند، مي توان از خود آن در مديريت خودش استفاده نمود
را از نقش هاي AP و اختيارات مدير يا AR نقش هاي مدير يا• . جدا مي كنيم P و اختيارات معمولي يا R معمولي يا
اختيارات تنها به نقش ها نسبت داده مي شوند و اختيارات •. مديريتي تنها به نقش هاي مديريتي نسبت داده مي شوند
رسول جليلي- درس امنيت پايگاه داده ها- نيمسال دوم 1487-86تحصيلي
مديريت در سيستم هاي نقش- مبنا :European Unionپروژه تحقيقاتي •
مربوطهWeb-Based و سيستم Webocracyپروژه –اهداف : –
فراهم آوردن سرويس هاي دولتي••Quality Of Service•…
CSAPماجول –– Communication, Security, Authentication, Privacy
به عنوان ابزار مديريت ماجول فوقCACماجول –– CSAP Administration Console
رسول جليلي- درس امنيت پايگاه داده ها- نيمسال دوم 1587-86تحصيلي
RBAC مدل مديريتي
انOواع مOدل هOاي بحث شOده، بOراي مOدير نOيز مطOرح اسOت. •اسOت. RBAC البتOه معمOوال مOدل مOدير سOاده تOر از خOود مOدل
.استفاده نمود RBAC3 به جاي RBAC0 بنابراين مي توان ازچگونه مدل سلسله مراتبي مدل مدير مديريت مي شود؟•
بOه طOور تئوريOک، سOطح دوم از سلسOله مOراتب مي توانOد بOراي –مOOديريت سOOطح اول مOOورد اسOOتفاده قOOرار گOOيرد. ولي بOOراي مOOدل
.ضروري نمي باشدمديريت سلسOOله مOOراتب مOOدير مي توانOOد توسOOط يOOک نفOOر رئيس –
توانOايي RBAC سيسOتم مOديريت انجOام شOود. مجوزهOاي مOدير درتغيOير نسOبت دادن نقش بOه کOاربران و نOيز تغيOير دادن نسOبت دادن اختيOارات بOه نقش هOا و روابOط موجOود در سلسOله مOراتب نقش هOا
.را به وجود آورد
رسول جليلي- درس امنيت پايگاه داده ها- نيمسال دوم 1687-86تحصيلي
RBAC اجزاء مدل مديريتي
Sجلسات
APAانتساب
مجوزهاي مديريتي به
نقش
Uکاربران
ARنقشها
يمديريت
ي
APمجوزه
ايمديريتي
Pمجوزها
Rنقشها
محدوديتها
AUAانتساب کاربر به
نقش
UAانتساب کاربر به
نقش
ARHسلسله مراتب
نقشهاي مديريتي
RHسلسله مراتب
نقشها
PAانتساب مجوز به
نقش
Roles
User
رسول جليلي- درس امنيت پايگاه داده ها- نيمسال دوم 1787-86تحصيلي
RBAC اجزاء مدل مديريتي
ارائه Sandhu توسط1997اين مدل در سال • گرديد. ايده اصلي آن استفاده از خود مدل
RBAC براي مديريت آن بود. اين مدل شاملشد : سه مدل اصلي به شرح زير مي با
يا مدل انتساب كاربران به نقش URA مدل–يا مدل انتساب مجوزها به نقش PRA مدل–يا مدل انتساب نقش به نقش RRA مدل–
رسول جليلي- درس امنيت پايگاه داده ها- نيمسال دوم 1887-86تحصيلي
يا مدل انتساب URA مدل كاربران به نقش
: مؤلفه اصلي است2اين مدل داراي • Grant Can-assign انتساب كاربران به نقش ها يا مدل– Revoke Can-revoke باز پس گيري عضويت آنها در نقش ها يا–
بيOOOان مي كنOOOد كOOOه چOOOه افOOOرادي بOOOا چOOOه Can-assign رابطOOOه•پيش شOرط Oهايي مOي تOواننOد درO چOه حOوOزه اي كOارO اعطOاءO را اOنجOام دهنOد.O افOرOاد را بOاO نقش هOاي OمOديريتي كOه دارOا هسOتOند معيOن مي كنOد. يعOنOي OنقشOي OراO بيOانO Oمي OكنOدO OكOه افOرOاد بOراOي اعمOالO كOارهOاي
.مديريتي در يك حوزه خاص بايد دارا باشند
بيOان مي كنOد كOه چOه افOرادي در چOه حوزه هOايي Can-revoke رابطOه•مي تواOننOد عمOل بOازپOس گيOري Oرا انجOام دهنOد. اOين تواOبOع بOراي عمOل انتسOOاب Oو بOOازپOس گيريO نقش هOOا بOOه كOOاربران بOOهO كOOاOر مOي رود و
.بOايسOتي در هر عمل، امOكان انجOام آOنرا توOسط آنهOا چك Oكرد
رسول جليلي- درس امنيت پايگاه داده ها- نيمسال دوم 1987-86تحصيلي
URA97 مدل
داراي سOOOOOه Can_assign تابع•كOه نقش X پOارامتر ورودي اسOت
مOOديريOتي فOOردي OكOOه ميO خواهOOد عمOOل OانتسOOاب را OانجOOام دهOOدO را
نقOش پيش YمشOOخص مي كOنOOد. شOOOرط فOOOردي OاسOOOت OكOOOه مي خOOوOاهيOم بOOه اOو نقش رOا انتسOOاب
كOOهO دامنOOه نقش هOOاOي Z دهيم وقابOOلO انتسOOابO را معOين مي كنOOد.
X يعOنيO فOرد داراي نقش مOديريتي بOهO يOك OكOاربر كOه فعال داراي نقش
Y درO يOنقش OرOه OدOانOت مي توOاس.عطا كند Z دامنه
رسول جليلي- درس امنيت پايگاه داده ها- نيمسال دوم 2087-86تحصيلي
Can_Assignرابطه - URA97مدل
اولين سطر اين جدول بيان مي کند که •کاربري با نقش "کارشناس امنيتي
و در (BCS)سيستم صورتحساب گيري" نتيجه "کارشناس امنيتي امور رايانه"
(CS) "و "مديرکل امنيتي (SSO) مي تواند به کاربري که هم اکنون داراي نقش
است, نقش (CD)عادي "واحد رايانه" "کارشناس سيستم صورتحساب گيري"
(BC)را عطا کند .
کارشناس (RO )امورمتقاضيان
کارشناس صورتحسابها (BO)
رئيس سيستم صورتحساب گيري (BCM)
(E)کارمند
واحد رايانه(CD)
متقاضيان - کارشناس سيستم(CC )مشترکين
کارشناس سيستم صورتحساب (BC)گيري
رئيس سيستم متقاضيان –(CCM )مشترکين
مدير عامل اداره رايانه (CDM)
کارشناس (PO)وصوليها
کارشناس امور مشترکين (CO) کارشناس امنيتي
(CS)امور رايانه
کارشناس امنيتي سيستم متقاضيان - مشترکين
(CCS)
کارشناس امنيتي سيستم صورتحساب گيري
(BCS)
مدير کل امنيتي (SSO)
نقش مديريتي
پيش شرط دامنه نقش ها
BCS CD [BC,BC]BCS BC ^ ¬BO [PO,]BCS BC ^ ¬PO [BO,BO]CCS CD [CC,CC]CCS CC ^ ¬CO [RO,RO]CCS CC ^ ¬RO [CO,CO]CS CD ^ ¬CCM [BCM,BCM]CS CD ^ ¬BCM [CCM,CCM]CS CD (CD,CDM)
SSO E [CD,CD]SSO CD (CD,CDM]
رسول جليلي- درس امنيت پايگاه داده ها- نيمسال دوم 2187-86تحصيلي
URA97 مدل
كOه نقش X. داراي دو پOارامتر ورودي اسOت Can_Revoke تابع•مOOديريتي فOOردي كOOه مي خواهOOد عمOOل بOOازپس گOOيري نقش را
دامنOه نقش هOايي را كOه مي Z. انجOام دهOد را مشOخص مي كنOدتوانOد بOازپس گOيرد تعOيين مي كنOد . هيچ پيش شOرطي بOراي اين
.تابع تعريف نمي گردد
رسول جليلي- درس امنيت پايگاه داده ها- نيمسال دوم 2287-86تحصيلي
Can_Revokeرابطه - URA97مدل
سطر دوم اين جدول بيان مي کند که •"کارشناس امنيتي بخش متقاضيان و مشترکين" مي تواند از تمام کاربران
سيستم, نقش "کارشناس سيستم , "کارشناس (CC)متقاضيان و مشترکين"
و "کارشناس امور ( RO )امور متقاضيان" را بازپس گيرد.(CO)مشترکين"
کارشناس (RO )امورمتقاضيان
کارشناس صورتحسابها (BO)
رئيس سيستم صورتحساب گيري (BCM)
(E)کارمند
واحد رايانه(CD)
متقاضيان - کارشناس سيستم(CC )مشترکين
کارشناس سيستم صورتحساب (BC)گيري
رئيس سيستم متقاضيان –(CCM )مشترکين
مدير عامل اداره رايانه (CDM)
کارشناس (PO)وصوليها
کارشناس امور مشترکين (CO) کارشناس امنيتي
(CS)امور رايانه
کارشناس امنيتي سيستم متقاضيان - مشترکين
(CCS)
کارشناس امنيتي سيستم صورتحساب گيري
(BCS)
مدير کل امنيتي (SSO)
نقش مديريتي دامنه نقش ها
BCS [BC,BCM)CCS [CC,CCM)CS (CD,CDM)
SSO [CD,CDM]
رسول جليلي- درس امنيت پايگاه داده ها- نيمسال دوم 2387-86تحصيلي
يا مدل انتساب PRA97 مدل مجوزها به نقش
مؤلفه اصلي 2اين مدل نيز مشابه مدل قبلي داراي • :است
Can-assignp براي اعطاء مجوزها به نقش ها Grant مدل–
Can-revokep براي بازپس گيري مجوز از نقش ها Revoke مدل–
رابطOه اول وظيفOه تعOيين افOراد و شOرط هOا بOراي انجOام •عOمOل انتسOاب درO يOك حOوOزه خOاص Oو رOابطOه Oدوم وظيفOه تعOيين OافOراد بOرايO انجOام عمOلO بOازپOس گOيري Oدر يOك حOوزه
Oهده داردOا بر عOص رOخا.
رسول جليلي- درس امنيت پايگاه داده ها- نيمسال دوم 2487-86تحصيلي
PRA97 مدل . داراي سOه پOارامتر ورودي اسOت Can_Assignp تابع• X ه نقشOك
نقش اي Y. مOديريتي مجOري عمOل انتسOاب را مشOخص مي كنOداسOت كOه مي تOوان مجوزهOاي آن را بOراي عمOل انتسOاب انتخOاب
حOوزه نقش هOايي اسOت كOه مي تOوان مجOوز انتخOاب شOده ، Z. كOرد.را به آن نسبت داد
رسول جليلي- درس امنيت پايگاه داده ها- نيمسال دوم 2587-86تحصيلي
Can_AssignPرابطه - PRA97مدل
سطر اول اين جOدول بيOان مي دارد کOه کOاربري • (CS)بOا نOقش "کOارOشOناس اOمنيOتيO امOور راOيانOه"
"OتيOOمنيOل اOديرکOOمO" OاOOي(SSO) امOOتم OدOOوانOي تOم مجOوز هOاي صOرOيح و ضOمني نقش "مOديOرعامل
"OهOOاره رايانOاد(CDM) امOOع تمOOي در واقOنOOيع مجوزهOOOاOي موجOOOود در سيسOOOتم راO بOOOه نقش
(BCM)"رياسOت سOيسOتم صورتOحسOابO گيري" عطا کOند.
نقش مديريتي
پيش شرط دامنه نقش ها
CS CDM [BCM,BCM]CS CDM [CCM,CCM]
BCS BCM ^ ¬BO [PO,]BCS BCM ^ ¬PO [BO,BO]CCS CCM ^ ¬CO [RO,RO]CCS CCM ^ ¬RO [CO,CO]
کارشناس (RO )امورمتقاضيان
کارشناس صورتحسابها (BO)
رئيس سيستم صورتحساب گيري (BCM)
(E)کارمند
واحد رايانه(CD)
متقاضيان - کارشناس سيستم(CC )مشترکين
کارشناس سيستم صورتحساب (BC)گيري
رئيس سيستم متقاضيان –(CCM )مشترکين
مدير عامل اداره رايانه (CDM)
کارشناس (PO)وصوليها
کارشناس امور مشترکين (CO)
کارشناس امنيتي (CS)امور رايانه
کارشناس امنيتي سيستم متقاضيان - مشترکين
(CCS)
کارشناس امنيتي سيستم صورتحساب گيري
(BCS)
مدير کل امنيتي (SSO)
رسول جليلي- درس امنيت پايگاه داده ها- نيمسال دوم 2687-86تحصيلي
PRA97 مدل
نقش x داراي دو پOOOارامتر ورودي اسOOOت كOOOه Can_Revokep تابع•حOوزه نقش هOايي اسOت كOه z مOديريتي مجOري عمOل بOازپس گOيري و
.مي توان در آن حوزه عمل بازپس گيري مجوز ها را انجام داد•y در PRA ابعOا را در تOاب مجوزهOوزه انتخOح Can_Assignp خصOمش
پيش شOOرط بOOراي اخOOذ نقش بOOود. URA مي كنOOد. در حOOالي كOOه دريOا حOوزه اي Permission pool را بOه عنOوان y مي تOوان PRA بنOابراين در
.براي انتخاب مجوز ها جهت انتساب دانست
رسول جليلي- درس امنيت پايگاه داده ها- نيمسال دوم 2787-86تحصيلي
Can_RevokePرابطه - PRA97مدل
سطر اول اين جدول بيان مي کند که •"کارشناس امنيتي سيستم
و طبيعتا (BCS)صورتحساب گيري" و (CS)"کارشناس امنيتي امور رايانه"
مي توانند هر (SSO)"مديرکل امنيتي" مجوزي را از "کارشناس صورتحساب ها"
(BO) "و "کارشناس وصولي ها (PO) .بازپس گيرند
کارشناس (RO )امورمتقاضيان
کارشناس صورتحسابها (BO)
رئيس سيستم صورتحساب گيري (BCM)
(E)کارمند
واحد رايانه(CD)
متقاضيان - کارشناس سيستم(CC )مشترکين
کارشناس سيستم صورتحساب (BC)گيري
رئيس سيستم متقاضيان –(CCM )مشترکين
مدير عامل اداره رايانه (CDM)
کارشناس (PO)وصوليها
کارشناس امور مشترکين (CO)
کارشناس امنيتي (CS)امور رايانه
کارشناس امنيتي سيستم متقاضيان - مشترکين
(CCS)
کارشناس امنيتي سيستم صورتحساب گيري
(BCS)
مدير کل امنيتي (SSO)
نقش مديريتي دامنه نقش ها
BCS (BC,BCM)CCS (CC,CCM)CS (CD,CDM)
SSO [CD,CDM]
رسول جليلي- درس امنيت پايگاه داده ها- نيمسال دوم 2887-86تحصيلي
يا مدل انتساب نقش RRA مدل به نقش
ايجاد يك سلسله مراتب از نقش ها• RBAC1 فراهم آوردن بستري براي ساخت مدل•
وقOتي نقشOي، بOاالتر از يOك نقش ديگOر قOرار مي گOيرد، تمOام •مجوزهOOاي نقش قبلي را بOOه ارث مي بOOرد. يعOOني نقش بOOاالتر وه بOرO آنO يOك Oت عالOداراسO ر راOيين تOاOنقش پO ايOمجوزهO امOتمO لهOسلس OدلOين مOيز دارد. اOرا نO ودOاص خOاي خOوز هOي مجOرOسمراOتOبيO بOاO توجOه بOه OسOاختار OسلسOله مرOاتOبيO نقش هOاي سOازماOني مOي تواOنOد شOكل OبگOيOردO Oو بOهO هOر OچOه OبOهOتOر مOدل كOردن Oنقش OهOا و
.نOقش هOاي مدOيريتOي موOجOود سOازمانO در OسOيستمO كمك كنOد
رسول جليلي- درس امنيت پايگاه داده ها- نيمسال دوم 2987-86تحصيلي
مشکالت موجود در مدل مديريتي ARBAC97
URA 97ضعف هاي مدل •انتساب چندمرحله اي نقش به کاربر–اطالعات انتسابات نقش به کاربر تکراري–User Poolمحدوديت در مفهوم –
PRA97ضعف هاي مدل •انتساب چندمرحله اي مجوز به نقش–اطالعات انتسابات مجوز به نقش تکراري –Permission Poolمحدوديت در مفهوم –Permission Poolعدم امکان تعريف محدوديت در مفهوم –اثر جانبی ناخواسته )انتساب به خارج از حوزه مديريتي(–
رسول جليلي- درس امنيت پايگاه داده ها- نيمسال دوم 3087-86تحصيلي
Role Graph مدل
از ديد ديگر مدل كنترل دسترسي نقش مبنا را مبتني • : بر سه گراف در سه حوزه مختلف بررسي مي كنند
: گراف اختيارات يا مجوز ها–اين گراف بيانگر سلسله مراتب حاكم برانواع مجوزهاي مختلف •
است. ممكن است داشتن يك مجوز ، داشتن يك مجوز ديگر را . ايجاب كند
: گراف گروه ها يا كاربران–در اين گراف كاربران يا گروهاي كاربري و سلسله مراتب آنها •
.نمايش داده مي شود : Role Graphگراف نقش ها يا–
در اين گراف نقش هاي موجود سيستم ، گره هاي گراف را •تشكيل مي دهند و خط بين آنها ارتباط شامل شدن را معين مي
.كند
رسول جليلي- درس امنيت پايگاه داده ها- نيمسال دوم 3187-86تحصيلي
Role Graph اجزاء مدل
رسول جليلي- درس امنيت پايگاه داده ها- نيمسال دوم 3287-86تحصيلي
مديريت غيرمتمركز در مدلRole Graph
مطOابق همين ديOد بOه مOدل كنOترل دسترسOي ، گOراف نقش هOاي •مOديريOتي نOيز قOابOل ترOسOيم اOسOت. اOين گOراف OشOامل Oنقش هOاي عOادي Oو نقش هOاي مOديريOتي اسOت و Oدو رابطOه درO آن تعريOف
:مي گرددرابطOه اي بين نقش هOاي عOادي و يOا بين نقش هOاي Is-Junior رابطOه–
مOديريتي اسOت. اين رابطOه نشOان دهنOده شOامل بOودن يOك نقش بOر نقش .ديگر است
اسOت كOه بOا خOط هOاي خOط چين در Administrates رابطOه دوم، رابطOه–.شكل نشان داده شده است
و MaxRole و MinRole اين گOراف داراي دو گOره بOه نامهOاي•SSO رOدارد ، در نظ OدهOعهO رOرا ب OتمOسيسO لOريت كOديOمO هOوظيفO هOك
.گرفته مي شود
رسول جليلي- درس امنيت پايگاه داده ها- نيمسال دوم 3387-86تحصيلي
Role حوزه هاي مديريتي درGraph
رسول جليلي- درس امنيت پايگاه داده ها- نيمسال دوم 3487-86تحصيلي
ساخت گراف نقشهاي مديريتي
SSO در ابتOدا سOه نقش و يOك حOوزه مOديريتي كلي بOا مOديريت a مطOابق شOكل•.وجود دارد
.بخشOها بOه تOدريج اضOافه مي شOوند و گOراف بزرگOتر مي شود b مطOابق شOكل•
رسول جليلي- درس امنيت پايگاه داده ها- نيمسال دوم 3587-86تحصيلي
توسعه يافته RBAC مدل مديريتي
سعي شOده اسOت مشOكالت مطOرح شOده، در مOدل توسOعه يافتOه يعOني•ARBAC02 اهيمOاين مدل مف Oند. درOحل گردO User Pool و Permission
Pool يرالزمOغ OايOهO خلOداOل تOا حOا بOتO رددOگ Oعي ميOس Oود وOرح مي شOمطOشود Oگذاشته Oده كنارOالت مطرح شOمشك O، وجودOم.
براي غلبOه بOر مشOكالت مطOرح شOده در مOدل قبOل، دو اسOتراتژي در •:اين مدل اتخاذ شده است
اسOتفاده مي Permission pool و User pool اول، از سOاختار سOازماني بOه عنOوان–شOوOد OبOه جOاي OاOينكOهO اOزO پيش شOرOط OهOاييO در OسلسOلOه OمOراتOب نقOش هOاO اOسOتفاده
. كرددوم، توسOط اين سOاختار سOازماني يOك رونOد پOائين بOه بOاال بOراي انتسOاب مجOوز هOا –
.به نقش ها مطرح ميشود
رسول جليلي- درس امنيت پايگاه داده ها- نيمسال دوم 3687-86تحصيلي
ساختار سازماني
يOك مفهOوم "س3ازمان"براي توسOعه سيسOتم هOاي اطالعOاتي،•.خوب براي تحليل فعاليت هاي موجود در هر دامنه است
ساختار سOازماني يOك سOاختار درخOتي بOا ويOژگي سلسOله مراتOبي •اسOت. اين سOاختار از المOان هOاي سOازماني تشOكيل مي شOود كOه افOراد متعلOق بOه هOر يOك داراي يOك هOدف مشOترك در سOازمان هسOتند و يOك سOري فعاليتهOاي خOاص بOراي رسOيدن بOه آنهOا انجOام
.مي دهندكارهOاي انجOام يافتOه بOا داده هOاي مOورد دسترسOي ارتبOاط مسOتقيم •
داOرد. پس فعOOاليت هOOاO و كارOهOOاي يOOك بOخش بOOا مجOOوز OهOOاي Oآن ارتبOOاط O دارد. Oپس مي تOOوانO واحOOد سOOازمOاOني رOا بOOه OعOنOOوOانO يOOك
بOراي رسOيدن بOه هOدف خOاص مج3وز ه3ا و گ3روه از ك3اربران. تعريف كرد
رسول جليلي- درس امنيت پايگاه داده ها- نيمسال دوم 3787-86تحصيلي
User & Permission Pool ساخت
حال مدير هاي امنيتي، كاربران و مجوزهاي موجود در هر واحد •.سازماني را به نقش ها نسبت مي دهند
ساختار سازمان
ي
Permission pool
User pool
By Human Resource Group
By IT Management Group
رسول جليلي- درس امنيت پايگاه داده ها- نيمسال دوم 3887-86تحصيلي
RBAC ساختار مدل مديريتيتوسعه يافته
رسول جليلي- درس امنيت پايگاه داده ها- نيمسال دوم 3987-86تحصيلي
اصالح مدل با اعمال مفهوم ساختار سازماني
همOOان توصOOيف Can_Assignp و Can_Assign توابOOع•را دارا هسOOتند و فقOOط پيش ARBAC97 موجOOود در
:شرط ها در آن مجددا تعريف شده است يOك عبOارت بOا تOركيب عملگرهOاي URA پيش شOرط هOا در–
And و Or ازمانيOاي سOد هOحOوا OاOو ي OاديOاي عOقش هOروي ن يعOني HR در سOاختار سOازماني تهيOه شOده توسOط گOروه
User Pool است. يOك عبOارت منطقي از عملگOر هOاي PRA پيش شOرط هOا در–
And و Or اراتOروي عب x و ~x هOت كOاس x ك نقشOيعOاديO يOا يOك دOاحOد سOازمانيO ذر سOاخOتار سOازمانOي تOهيOه شOدOه
. است Permission Pool يا IT توسط گروه
رسول جليلي- درس امنيت پايگاه داده ها- نيمسال دوم 4087-86تحصيلي
ARBAC02اجزاء مدل
OS-P يک ساختار سازماني به نام باPermission Poolساخت •OS-U يک ساختار سازماني به نام باUser Poolساخت •
Sجلسات
APAانتساب
مجوزهاي مديريتي به
نقش
Uکاربرا
ن
ARنقشها
يمديريت
ي
Rنقشها
محدوديتها
AUAانتساب کاربر به
نقش
UAانتساب کاربر به
نقش
ARHسلسله مراتب
نقشهاي مديريتي
RHسلسله مراتبنقشها
PAانتساب مجوز به
نقش
Roles
User
User Pool
OS-U
Permission Pool
OS-P
APمجوزه
ايمديريت
ي
Pمجوز
ها
رسول جليلي- درس امنيت پايگاه داده ها- نيمسال دوم 4187-86تحصيلي
MACكنترل دسترسي نقش- مبنا و •Role Graph Model
Is Juniorيال در گراف نقش و رابطه –الگوريتم ساخت گراف–خصوصيات گراف نقش–
تعريف يك سري شرايط محدوديت ها در مدل گراف نقش •MACبراي ارضاء
براي هر نمونه از كنترل دسترسي Role Graphارائه يك سري •Latticeهاي مبتني بر
رسول جليلي- درس امنيت پايگاه داده ها- نيمسال دوم 4287-86تحصيلي
DAC براي اعمال RBACاستفاده از MACو
DAC و MAC به اندازه اي كلي است كه بتواند RBACمكانيزم •را شبيه سازي كند.
مي Life Cycleيك خصوصيت مهم اينكه خط مشي در طول •تواند تغيير كند.
–MACجريان يك طرفه اطالعات : –DAC : Owner Based Administration
MACتعريف يك سري قوانين و محدوديت ها براي شبيه سازي •تعريف يك سري عمليات به ازاي هر رخداد براي شبيه سازي •
DAC
رسول جليلي- درس امنيت پايگاه داده ها- نيمسال دوم 4387-86تحصيلي
مراجع
[1] S. Oh and R. Sandhu, “A model for role administration using organization structure”, ACM SACMAT, 155-162, 2002.[2] S. Osborn, “Information flow analysis of an RBAC system”, ACM SACMAT, 163-168, 2002.[3] Chandramouli Ramaswamy and Ravi Sandhu “Role-Based Access Control Features in Commercial Database
Management Systems” , 21st National Information Systems Security , Jun 2005[4] Bertino, E.; Sandhu, R. “Database security - concepts, approaches, and challenges” , Dependable and Secure Computing,
IEEE Transactions, March 2005[5] Ravi Sandhu and Venkata Bhamidipati “An Oracle Implementation of the PRA97 Model for Permission-Role Assignment”
, ACM Workshop on Role-Based Access FairFax VA , 1998[6] He Wang and Sylvia L. Osborn "An Administrative Model for Role Graph Model" , Natural Sciences and Engineering
Research Council of Canada.[7] Ravi s.Sandhu, Edward J.Coyne and Charles E.Youman, “ Role-Based Access Cotrol Models” , IEEE, 38-47, February 1996 [8] Ravi Sandhu, Venkata Bhamidipati, Edward Coyne, Sirinivas Ganta, and Charles Youman, "The ARBAC97 model for role-
based administration of roles: Preliminary description and outline", In Preceeding of 2nd ACM Workshop on Role-Based Access Control, Fairfax, VA, November 6-7 1997. ACM.
[9] He Wang and Sylvia L. Osborn "An Administrative Model for Role Graphs", In Data and Applications Security XVII, pages 39–44, Kluwer, 2003.
رسول جليلي- درس امنيت پايگاه داده ها- نيمسال دوم 4487-86تحصيلي