О построении иерархического ролевого управления...
TRANSCRIPT
![Page 1: О построении иерархического ролевого управления доступом (SibeCrypt 2012)](https://reader034.vdocuments.site/reader034/viewer/2022050818/55a05f8b1a28ab4b2e8b46d0/html5/thumbnails/1.jpg)
О ПОСТРОЕНИИ
ИЕРАРХИЧЕСКОГО
РОЛЕВОГО УПРАВЛЕНИЯ
ДОСТУПОМ
Колегов Денис Николаевич
Доцент кафедры защиты информации и криптографии
Томский государственный университет
SEBECRYPT 2012
11 Всероссийская конференция «Сибирская научная школа-семинар с международным
участием «Компьютерная безопасность и криптография». Иркутск, 3-7 сентября 2012 г.
![Page 2: О построении иерархического ролевого управления доступом (SibeCrypt 2012)](https://reader034.vdocuments.site/reader034/viewer/2022050818/55a05f8b1a28ab4b2e8b46d0/html5/thumbnails/2.jpg)
Введение
• В настоящее время широкое развитие и распространение получил
механизм ролевого управления доступом
– SAP R/3
– ЭПС Microsoft Exchange Server 2010
– Cisco Secure ACS, NAC, ISE
• Предложено огромное количество расширений и модификаций модели
RBAC для учета особенностей и условий функционирования КС
– RBAC-A
– TRBAC
– GRBAC
– C-RBAC
1 О построении иерархического ролевого управления доступом
![Page 3: О построении иерархического ролевого управления доступом (SibeCrypt 2012)](https://reader034.vdocuments.site/reader034/viewer/2022050818/55a05f8b1a28ab4b2e8b46d0/html5/thumbnails/3.jpg)
Особенности управления доступом в КС
• Иерархичность и распределенность компонент КС
• Наличие идентичных составов и структур компонент КС
• Существование большого числа ролей и пользователей
• Возможность использования уровней иерархии КС при задании
разрешенных прав доступа субъектов к сущностям и правил их
проверки
• Возможность существования нескольких иерархий в КС одновременно
• Необходимость гибкого и масштабируемого задания разрешенных
прав доступа при администрировании механизма управления доступом
2 О построении иерархического ролевого управления доступом
![Page 4: О построении иерархического ролевого управления доступом (SibeCrypt 2012)](https://reader034.vdocuments.site/reader034/viewer/2022050818/55a05f8b1a28ab4b2e8b46d0/html5/thumbnails/4.jpg)
Пример
10 Сибирская научная школа-семинар с международным участием
"Компьютерная безопасность и криптография"
О построении иерархического ролевого управления доступом 3
![Page 5: О построении иерархического ролевого управления доступом (SibeCrypt 2012)](https://reader034.vdocuments.site/reader034/viewer/2022050818/55a05f8b1a28ab4b2e8b46d0/html5/thumbnails/5.jpg)
Пример
10 Сибирская научная школа-семинар с международным участием
"Компьютерная безопасность и криптография"
О построении иерархического ролевого управления доступом 4
![Page 6: О построении иерархического ролевого управления доступом (SibeCrypt 2012)](https://reader034.vdocuments.site/reader034/viewer/2022050818/55a05f8b1a28ab4b2e8b46d0/html5/thumbnails/6.jpg)
Пример
5 О построении иерархического ролевого управления доступом
![Page 7: О построении иерархического ролевого управления доступом (SibeCrypt 2012)](https://reader034.vdocuments.site/reader034/viewer/2022050818/55a05f8b1a28ab4b2e8b46d0/html5/thumbnails/7.jpg)
Требования управления доступом
• Все сущности должны быть идентифицированы
• Задана верхняя полурешетка уровней иерархии КС и каждой сущности
присвоен уровень иерархии
• Определено множество типов сущностей и для каждой сущности указан ее тип
• Задано множество ролей, каждая из которых представляет собой некоторое
множество прав доступа к сущностям определенного типа
• Каждый субъект обладает некоторым множеством разрешенных для данного
субъекта ролей
• Субъект обладает правом доступа к сущности в том и только том случае, если
субъект обладает ролью, в множестве прав доступа которой имеется
данное право доступа к сущности данного типа и уровень иерархии
субъекта не меньше уровня иерархии сущности
6 О построении иерархического ролевого управления доступом
![Page 8: О построении иерархического ролевого управления доступом (SibeCrypt 2012)](https://reader034.vdocuments.site/reader034/viewer/2022050818/55a05f8b1a28ab4b2e8b46d0/html5/thumbnails/8.jpg)
Элементы модели RBAC-H
E = O C – множество сущностей, O – множество объектов, C – множество
контейнеров и O C = ;
U – множество пользователей и U E = ;
R – множество ролей;
Rr – множество видов прав доступа;
S E – множество субъект сессий-пользователей;
T – множество типов сущностей;
L – множество уровней иерархии сущностей;
X – разбиение множества E в соответствии с заданной иерархией сущностей, при
этом |X| = |L|;
(L, ≤), (X, ≤) – верхние полурешетки;
P (Rr T) (Rr E) – множество прав доступа к сущностям одного типа и к
сущностям;
7 О построении иерархического ролевого управления доступом
![Page 9: О построении иерархического ролевого управления доступом (SibeCrypt 2012)](https://reader034.vdocuments.site/reader034/viewer/2022050818/55a05f8b1a28ab4b2e8b46d0/html5/thumbnails/9.jpg)
Элементы модели RBAC-H
type: E → T – функция типов сущностей;
fe: E → L – функция, задающая уровень иерархии каждой сущности;
PA: R → 2P – функция прав доступа ролей;
UA: U → 2R – функция авторизованных ролей пользователей;
user: S → U – функция принадлежности субъект-сессии пользователю;
roles: S → 2R – функция текущих ролей субъект-сессий, при этом для любой
субъект-сессии sS выполняется включение roles(s)UA(user(s))
can_access(s, e, p) – предикат, истинный тогда и только тогда, когда выполнено
- fe(e) ≤ fe(s)
- (p, type(e)) PA(roles(s))
8 О построении иерархического ролевого управления доступом
![Page 10: О построении иерархического ролевого управления доступом (SibeCrypt 2012)](https://reader034.vdocuments.site/reader034/viewer/2022050818/55a05f8b1a28ab4b2e8b46d0/html5/thumbnails/10.jpg)
Определение
• В КС реализовано иерархическое ролевое управление доступом RBAC-H, если
любая субъект-сессия sS пользователя user(s)U может обладать правом
доступа pRr к сущности eE тогда и только тогда когда истинен
предикат can_access(s, e, p)
9 О построении иерархического ролевого управления доступом
![Page 11: О построении иерархического ролевого управления доступом (SibeCrypt 2012)](https://reader034.vdocuments.site/reader034/viewer/2022050818/55a05f8b1a28ab4b2e8b46d0/html5/thumbnails/11.jpg)
Структура элементов модели
10 О построении иерархического ролевого управления доступом
![Page 12: О построении иерархического ролевого управления доступом (SibeCrypt 2012)](https://reader034.vdocuments.site/reader034/viewer/2022050818/55a05f8b1a28ab4b2e8b46d0/html5/thumbnails/12.jpg)
Выводы
• Предложено описание базовых элементов иерархической ролевой модели
RBAC-H, ориентированной на КС с иерархией сущностей, отражающие
установленные организационно-управленческие отношения
• Добавление атрибутов иерархии и типов сущностей к элементам модели RBAC
позволяет адаптировать ее к условиям функционирования реальных КС, а
также упростить реализацию и администрирование системы ролевого
управления доступом
11 О построении иерархического ролевого управления доступом
![Page 13: О построении иерархического ролевого управления доступом (SibeCrypt 2012)](https://reader034.vdocuments.site/reader034/viewer/2022050818/55a05f8b1a28ab4b2e8b46d0/html5/thumbnails/13.jpg)
Благодарю за внимание!
Колегов Денис Николаевич
Доцент кафедры защиты информации и криптографии
Томский государственный университет
E-mail: [email protected]
О построении иерархического ролевого управления доступом