Embed Size (px)
Citation preview
О ПОСТРОЕНИИ
ИЕРАРХИЧЕСКОГО
РОЛЕВОГО УПРАВЛЕНИЯ
ДОСТУПОМ
Колегов Денис Николаевич
Доцент кафедры защиты информации и криптографии
Томский государственный университет
SEBECRYPT 2012
11 Всероссийская конференция «Сибирская научная школа-семинар с международным
участием «Компьютерная безопасность и криптография». Иркутск, 3-7 сентября 2012 г.
Введение
• В настоящее время широкое развитие и распространение получил
механизм ролевого управления доступом
– SAP R/3
– ЭПС Microsoft Exchange Server 2010
– Cisco Secure ACS, NAC, ISE
• Предложено огромное количество расширений и модификаций модели
RBAC для учета особенностей и условий функционирования КС
– RBAC-A
– TRBAC
– GRBAC
– C-RBAC
1 О построении иерархического ролевого управления доступом
Особенности управления доступом в КС
• Иерархичность и распределенность компонент КС
• Наличие идентичных составов и структур компонент КС
• Существование большого числа ролей и пользователей
• Возможность использования уровней иерархии КС при задании
разрешенных прав доступа субъектов к сущностям и правил их
проверки
• Возможность существования нескольких иерархий в КС одновременно
• Необходимость гибкого и масштабируемого задания разрешенных
прав доступа при администрировании механизма управления доступом
2 О построении иерархического ролевого управления доступом
Пример
10 Сибирская научная школа-семинар с международным участием
"Компьютерная безопасность и криптография"
О построении иерархического ролевого управления доступом 3
Пример
10 Сибирская научная школа-семинар с международным участием
"Компьютерная безопасность и криптография"
О построении иерархического ролевого управления доступом 4
Пример
5 О построении иерархического ролевого управления доступом
Требования управления доступом
• Все сущности должны быть идентифицированы
• Задана верхняя полурешетка уровней иерархии КС и каждой сущности
присвоен уровень иерархии
• Определено множество типов сущностей и для каждой сущности указан ее тип
• Задано множество ролей, каждая из которых представляет собой некоторое
множество прав доступа к сущностям определенного типа
• Каждый субъект обладает некоторым множеством разрешенных для данного
субъекта ролей
• Субъект обладает правом доступа к сущности в том и только том случае, если
субъект обладает ролью, в множестве прав доступа которой имеется
данное право доступа к сущности данного типа и уровень иерархии
субъекта не меньше уровня иерархии сущности
6 О построении иерархического ролевого управления доступом
Элементы модели RBAC-H
E = O C – множество сущностей, O – множество объектов, C – множество
контейнеров и O C = ;
U – множество пользователей и U E = ;
R – множество ролей;
Rr – множество видов прав доступа;
S E – множество субъект сессий-пользователей;
T – множество типов сущностей;
L – множество уровней иерархии сущностей;
X – разбиение множества E в соответствии с заданной иерархией сущностей, при
этом |X| = |L|;
(L, ≤), (X, ≤) – верхние полурешетки;
P (Rr T) (Rr E) – множество прав доступа к сущностям одного типа и к
сущностям;
7 О построении иерархического ролевого управления доступом
Элементы модели RBAC-H
type: E → T – функция типов сущностей;
fe: E → L – функция, задающая уровень иерархии каждой сущности;
PA: R → 2P – функция прав доступа ролей;
UA: U → 2R – функция авторизованных ролей пользователей;
user: S → U – функция принадлежности субъект-сессии пользователю;
roles: S → 2R – функция текущих ролей субъект-сессий, при этом для любой
субъект-сессии sS выполняется включение roles(s)UA(user(s))
can_access(s, e, p) – предикат, истинный тогда и только тогда, когда выполнено
- fe(e) ≤ fe(s)
- (p, type(e)) PA(roles(s))
8 О построении иерархического ролевого управления доступом
Определение
• В КС реализовано иерархическое ролевое управление доступом RBAC-H, если
любая субъект-сессия sS пользователя user(s)U может обладать правом
доступа pRr к сущности eE тогда и только тогда когда истинен
предикат can_access(s, e, p)
9 О построении иерархического ролевого управления доступом
Структура элементов модели
10 О построении иерархического ролевого управления доступом
Выводы
• Предложено описание базовых элементов иерархической ролевой модели
RBAC-H, ориентированной на КС с иерархией сущностей, отражающие
установленные организационно-управленческие отношения
• Добавление атрибутов иерархии и типов сущностей к элементам модели RBAC
позволяет адаптировать ее к условиям функционирования реальных КС, а
также упростить реализацию и администрирование системы ролевого
управления доступом
11 О построении иерархического ролевого управления доступом
Благодарю за внимание!
Колегов Денис Николаевич
Доцент кафедры защиты информации и криптографии
Томский государственный университет
E-mail: [email protected]
О построении иерархического ролевого управления доступом
