مدل مديريتي كنترل دسترسي نقش مبنا

مدل مديريتي كنترل دسترسي نقش مبنا

رسول جلیلی[email protected]

رسول جليلي- درس امنيت پايگاه داده ها- نيمسال دوم 187-86تحصيلي

PAانتساب مجوز به

نقش

مدل کنترل دسترسی اجزاء نقش مبنا

RBAC المان هاي مدل•

Uکاربران •Rنقش ها •Pمجوزها •Sجلسه ها •Cمحدوديت ها •RHSسلسله مراتب نقش ها •

جلسات

Pمجوزها

Rنقشها

محدوديتها

UAانتساب کاربر به

نقش

RHسلسله مراتب

نقشها

RolesUser

RBAC2

RBAC3

RBAC1

Uکاربران


مديريت در كنترل دسترسي نقش- مبنا

در سيستم بزرگ که تعداد نقش ها به صدها و هزاران •افزايش مي يابد، مديريت اين نقش ها و روابط ميان آنها يک

کار سخت که به صورت مرکزي انجام مي شود و به گروه .کوچکي از مديران امنيتي محول مي گردد

اين است که مديريت را ساده RBAC از آنجا که نکته اصلي•.مي کند، مي توان از خود آن در مديريت خودش استفاده نمود

را از نقش هاي AP و اختيارات مدير يا AR نقش هاي مدير يا• . جدا مي كنيم P و اختيارات معمولي يا R معمولي يا

اختيارات تنها به نقش ها نسبت داده مي شوند و اختيارات •. مديريتي تنها به نقش هاي مديريتي نسبت داده مي شوند


مديريت در سيستم هاي نقش- مبنا :European Unionپروژه تحقيقاتي •

مربوطهWeb-Based و سيستم Webocracyپروژه –اهداف : –

فراهم آوردن سرويس هاي دولتي••Quality Of Service•…

CSAPماجول –– Communication, Security, Authentication, Privacy

به عنوان ابزار مديريت ماجول فوقCACماجول –– CSAP Administration Console


RBAC مدل مديريتي

انOواع مOدل هOاي بحث شOده، بOراي مOدير نOيز مطOرح اسOت. •اسOت. RBAC البتOه معمOوال مOدل مOدير سOاده تOر از خOود مOدل

.استفاده نمود RBAC3 به جاي RBAC0 بنابراين مي توان ازچگونه مدل سلسله مراتبي مدل مدير مديريت مي شود؟•

بOه طOور تئوريOک، سOطح دوم از سلسOله مOراتب مي توانOد بOراي –مOOديريت سOOطح اول مOOورد اسOOتفاده قOOرار گOOيرد. ولي بOOراي مOOدل

.ضروري نمي باشدمديريت سلسOOله مOOراتب مOOدير مي توانOOد توسOOط يOOک نفOOر رئيس –

توانOايي RBAC سيسOتم مOديريت انجOام شOود. مجوزهOاي مOدير درتغيOير نسOبت دادن نقش بOه کOاربران و نOيز تغيOير دادن نسOبت دادن اختيOارات بOه نقش هOا و روابOط موجOود در سلسOله مOراتب نقش هOا

.را به وجود آورد


RBAC اجزاء مدل مديريتي

Sجلسات

APAانتساب

مجوزهاي مديريتي به

نقش

Uکاربران

ARنقشها

يمديريت

ي

APمجوزه

ايمديريتي

Pمجوزها

Rنقشها

محدوديتها

AUAانتساب کاربر به

نقش


نقش

ARHسلسله مراتب

نقشهاي مديريتي

RHسلسله مراتب

نقشها


نقش

Roles

User


RBAC اجزاء مدل مديريتي

ارائه Sandhu توسط1997اين مدل در سال • گرديد. ايده اصلي آن استفاده از خود مدل

RBAC براي مديريت آن بود. اين مدل شاملشد : سه مدل اصلي به شرح زير مي با

يا مدل انتساب كاربران به نقش URA مدل–يا مدل انتساب مجوزها به نقش PRA مدل–يا مدل انتساب نقش به نقش RRA مدل–


يا مدل انتساب URA مدل كاربران به نقش

: مؤلفه اصلي است2اين مدل داراي • Grant Can-assign انتساب كاربران به نقش ها يا مدل– Revoke Can-revoke باز پس گيري عضويت آنها در نقش ها يا–

بيOOOان مي كنOOOد كOOOه چOOOه افOOOرادي بOOOا چOOOه Can-assign رابطOOOه•پيش شOرط Oهايي مOي تOواننOد درO چOه حOوOزه اي كOارO اعطOاءO را اOنجOام دهنOد.O افOرOاد را بOاO نقش هOاي OمOديريتي كOه دارOا هسOتOند معيOن مي كنOد. يعOنOي OنقشOي OراO بيOانO Oمي OكنOدO OكOه افOرOاد بOراOي اعمOالO كOارهOاي

.مديريتي در يك حوزه خاص بايد دارا باشند

بيOان مي كنOد كOه چOه افOرادي در چOه حوزه هOايي Can-revoke رابطOه•مي تواOننOد عمOل بOازپOس گيOري Oرا انجOام دهنOد. اOين تواOبOع بOراي عمOل انتسOOاب Oو بOOازپOس گيريO نقش هOOا بOOه كOOاربران بOOهO كOOاOر مOي رود و

.بOايسOتي در هر عمل، امOكان انجOام آOنرا توOسط آنهOا چك Oكرد


URA97 مدل

داراي سOOOOOه Can_assign تابع•كOه نقش X پOارامتر ورودي اسOت

مOOديريOتي فOOردي OكOOه ميO خواهOOد عمOOل OانتسOOاب را OانجOOام دهOOدO را

نقOش پيش YمشOOخص مي كOنOOد. شOOOرط فOOOردي OاسOOOت OكOOOه مي خOOوOاهيOم بOOه اOو نقش رOا انتسOOاب

كOOهO دامنOOه نقش هOOاOي Z دهيم وقابOOلO انتسOOابO را معOين مي كنOOد.

X يعOنيO فOرد داراي نقش مOديريتي بOهO يOك OكOاربر كOه فعال داراي نقش

Y درO يOنقش OرOه OدOانOت مي توOاس.عطا كند Z دامنه


Can_Assignرابطه - URA97مدل

اولين سطر اين جدول بيان مي کند که •کاربري با نقش "کارشناس امنيتي

و در (BCS)سيستم صورتحساب گيري" نتيجه "کارشناس امنيتي امور رايانه"

(CS) "و "مديرکل امنيتي (SSO) مي تواند به کاربري که هم اکنون داراي نقش

است, نقش (CD)عادي "واحد رايانه" "کارشناس سيستم صورتحساب گيري"

(BC)را عطا کند .

کارشناس (RO )امورمتقاضيان

کارشناس صورتحسابها (BO)

رئيس سيستم صورتحساب گيري (BCM)

(E)کارمند

واحد رايانه(CD)

متقاضيان - کارشناس سيستم(CC )مشترکين

کارشناس سيستم صورتحساب (BC)گيري

رئيس سيستم متقاضيان –(CCM )مشترکين

مدير عامل اداره رايانه (CDM)

کارشناس (PO)وصوليها

کارشناس امور مشترکين (CO) کارشناس امنيتي

(CS)امور رايانه

کارشناس امنيتي سيستم متقاضيان - مشترکين

(CCS)

کارشناس امنيتي سيستم صورتحساب گيري

(BCS)

مدير کل امنيتي (SSO)

نقش مديريتي

پيش شرط دامنه نقش ها

BCS CD [BC,BC]BCS BC ^ ¬BO [PO,]BCS BC ^ ¬PO [BO,BO]CCS CD [CC,CC]CCS CC ^ ¬CO [RO,RO]CCS CC ^ ¬RO [CO,CO]CS CD ^ ¬CCM [BCM,BCM]CS CD ^ ¬BCM [CCM,CCM]CS CD (CD,CDM)

SSO E [CD,CD]SSO CD (CD,CDM]


URA97 مدل

كOه نقش X. داراي دو پOارامتر ورودي اسOت Can_Revoke تابع•مOOديريتي فOOردي كOOه مي خواهOOد عمOOل بOOازپس گOOيري نقش را

دامنOه نقش هOايي را كOه مي Z. انجOام دهOد را مشOخص مي كنOدتوانOد بOازپس گOيرد تعOيين مي كنOد . هيچ پيش شOرطي بOراي اين

.تابع تعريف نمي گردد


Can_Revokeرابطه - URA97مدل

سطر دوم اين جدول بيان مي کند که •"کارشناس امنيتي بخش متقاضيان و مشترکين" مي تواند از تمام کاربران

سيستم, نقش "کارشناس سيستم , "کارشناس (CC)متقاضيان و مشترکين"

و "کارشناس امور ( RO )امور متقاضيان" را بازپس گيرد.(CO)مشترکين"




(E)کارمند







کارشناس امور مشترکين (CO) کارشناس امنيتي

(CS)امور رايانه


(CCS)


(BCS)


نقش مديريتي دامنه نقش ها

BCS [BC,BCM)CCS [CC,CCM)CS (CD,CDM)

SSO [CD,CDM]


يا مدل انتساب PRA97 مدل مجوزها به نقش

مؤلفه اصلي 2اين مدل نيز مشابه مدل قبلي داراي • :است

Can-assignp براي اعطاء مجوزها به نقش ها Grant مدل–

Can-revokep براي بازپس گيري مجوز از نقش ها Revoke مدل–

رابطOه اول وظيفOه تعOيين افOراد و شOرط هOا بOراي انجOام •عOمOل انتسOاب درO يOك حOوOزه خOاص Oو رOابطOه Oدوم وظيفOه تعOيين OافOراد بOرايO انجOام عمOلO بOازپOس گOيري Oدر يOك حOوزه

Oهده داردOا بر عOص رOخا.


PRA97 مدل . داراي سOه پOارامتر ورودي اسOت Can_Assignp تابع• X ه نقشOك

نقش اي Y. مOديريتي مجOري عمOل انتسOاب را مشOخص مي كنOداسOت كOه مي تOوان مجوزهOاي آن را بOراي عمOل انتسOاب انتخOاب

حOوزه نقش هOايي اسOت كOه مي تOوان مجOوز انتخOاب شOده ، Z. كOرد.را به آن نسبت داد


Can_AssignPرابطه - PRA97مدل

سطر اول اين جOدول بيOان مي دارد کOه کOاربري • (CS)بOا نOقش "کOارOشOناس اOمنيOتيO امOور راOيانOه"

"OتيOOمنيOل اOديرکOOمO" OاOOي(SSO) امOOتم OدOOوانOي تOم مجOوز هOاي صOرOيح و ضOمني نقش "مOديOرعامل

"OهOOاره رايانOاد(CDM) امOOع تمOOي در واقOنOOيع مجوزهOOOاOي موجOOOود در سيسOOOتم راO بOOOه نقش

(BCM)"رياسOت سOيسOتم صورتOحسOابO گيري" عطا کOند.

نقش مديريتي

پيش شرط دامنه نقش ها

CS CDM [BCM,BCM]CS CDM [CCM,CCM]

BCS BCM ^ ¬BO [PO,]BCS BCM ^ ¬PO [BO,BO]CCS CCM ^ ¬CO [RO,RO]CCS CCM ^ ¬RO [CO,CO]




(E)کارمند







کارشناس امور مشترکين (CO)

کارشناس امنيتي (CS)امور رايانه


(CCS)


(BCS)



PRA97 مدل

نقش x داراي دو پOOOارامتر ورودي اسOOOت كOOOه Can_Revokep تابع•حOوزه نقش هOايي اسOت كOه z مOديريتي مجOري عمOل بOازپس گOيري و

.مي توان در آن حوزه عمل بازپس گيري مجوز ها را انجام داد•y در PRA ابعOا را در تOاب مجوزهOوزه انتخOح Can_Assignp خصOمش

پيش شOOرط بOOراي اخOOذ نقش بOOود. URA مي كنOOد. در حOOالي كOOه دريOا حOوزه اي Permission pool را بOه عنOوان y مي تOوان PRA بنOابراين در

.براي انتخاب مجوز ها جهت انتساب دانست


Can_RevokePرابطه - PRA97مدل

سطر اول اين جدول بيان مي کند که •"کارشناس امنيتي سيستم

و طبيعتا (BCS)صورتحساب گيري" و (CS)"کارشناس امنيتي امور رايانه"

مي توانند هر (SSO)"مديرکل امنيتي" مجوزي را از "کارشناس صورتحساب ها"

(BO) "و "کارشناس وصولي ها (PO) .بازپس گيرند




(E)کارمند







کارشناس امور مشترکين (CO)

کارشناس امنيتي (CS)امور رايانه


(CCS)


(BCS)


نقش مديريتي دامنه نقش ها

BCS (BC,BCM)CCS (CC,CCM)CS (CD,CDM)

SSO [CD,CDM]


يا مدل انتساب نقش RRA مدل به نقش

ايجاد يك سلسله مراتب از نقش ها• RBAC1 فراهم آوردن بستري براي ساخت مدل•

وقOتي نقشOي، بOاالتر از يOك نقش ديگOر قOرار مي گOيرد، تمOام •مجوزهOOاي نقش قبلي را بOOه ارث مي بOOرد. يعOOني نقش بOOاالتر وه بOرO آنO يOك Oت عالOداراسO ر راOيين تOاOنقش پO ايOمجوزهO امOتمO لهOسلس OدلOين مOيز دارد. اOرا نO ودOاص خOاي خOوز هOي مجOرOسمراOتOبيO بOاO توجOه بOه OسOاختار OسلسOله مرOاتOبيO نقش هOاي سOازماOني مOي تواOنOد شOكل OبگOيOردO Oو بOهO هOر OچOه OبOهOتOر مOدل كOردن Oنقش OهOا و

.نOقش هOاي مدOيريتOي موOجOود سOازمانO در OسOيستمO كمك كنOد


مشکالت موجود در مدل مديريتي ARBAC97

URA 97ضعف هاي مدل •انتساب چندمرحله اي نقش به کاربر–اطالعات انتسابات نقش به کاربر تکراري–User Poolمحدوديت در مفهوم –

PRA97ضعف هاي مدل •انتساب چندمرحله اي مجوز به نقش–اطالعات انتسابات مجوز به نقش تکراري –Permission Poolمحدوديت در مفهوم –Permission Poolعدم امکان تعريف محدوديت در مفهوم –اثر جانبی ناخواسته )انتساب به خارج از حوزه مديريتي(–


Role Graph مدل

از ديد ديگر مدل كنترل دسترسي نقش مبنا را مبتني • : بر سه گراف در سه حوزه مختلف بررسي مي كنند

: گراف اختيارات يا مجوز ها–اين گراف بيانگر سلسله مراتب حاكم برانواع مجوزهاي مختلف •

است. ممكن است داشتن يك مجوز ، داشتن يك مجوز ديگر را . ايجاب كند

: گراف گروه ها يا كاربران–در اين گراف كاربران يا گروهاي كاربري و سلسله مراتب آنها •

.نمايش داده مي شود : Role Graphگراف نقش ها يا–

در اين گراف نقش هاي موجود سيستم ، گره هاي گراف را •تشكيل مي دهند و خط بين آنها ارتباط شامل شدن را معين مي

.كند


Role Graph اجزاء مدل


مديريت غيرمتمركز در مدلRole Graph

مطOابق همين ديOد بOه مOدل كنOترل دسترسOي ، گOراف نقش هOاي •مOديريOتي نOيز قOابOل ترOسOيم اOسOت. اOين گOراف OشOامل Oنقش هOاي عOادي Oو نقش هOاي مOديريOتي اسOت و Oدو رابطOه درO آن تعريOف

:مي گرددرابطOه اي بين نقش هOاي عOادي و يOا بين نقش هOاي Is-Junior رابطOه–

مOديريتي اسOت. اين رابطOه نشOان دهنOده شOامل بOودن يOك نقش بOر نقش .ديگر است

اسOت كOه بOا خOط هOاي خOط چين در Administrates رابطOه دوم، رابطOه–.شكل نشان داده شده است

و MaxRole و MinRole اين گOراف داراي دو گOره بOه نامهOاي•SSO رOدارد ، در نظ OدهOعهO رOرا ب OتمOسيسO لOريت كOديOمO هOوظيفO هOك

.گرفته مي شود


Role حوزه هاي مديريتي درGraph


ساخت گراف نقشهاي مديريتي

SSO در ابتOدا سOه نقش و يOك حOوزه مOديريتي كلي بOا مOديريت a مطOابق شOكل•.وجود دارد

.بخشOها بOه تOدريج اضOافه مي شOوند و گOراف بزرگOتر مي شود b مطOابق شOكل•


توسعه يافته RBAC مدل مديريتي

سعي شOده اسOت مشOكالت مطOرح شOده، در مOدل توسOعه يافتOه يعOني•ARBAC02 اهيمOاين مدل مف Oند. درOحل گردO User Pool و Permission

Pool يرالزمOغ OايOهO خلOداOل تOا حOا بOتO رددOگ Oعي ميOس Oود وOرح مي شOمطOشود Oگذاشته Oده كنارOالت مطرح شOمشك O، وجودOم.

براي غلبOه بOر مشOكالت مطOرح شOده در مOدل قبOل، دو اسOتراتژي در •:اين مدل اتخاذ شده است

اسOتفاده مي Permission pool و User pool اول، از سOاختار سOازماني بOه عنOوان–شOوOد OبOه جOاي OاOينكOهO اOزO پيش شOرOط OهOاييO در OسلسOلOه OمOراتOب نقOش هOاO اOسOتفاده

. كرددوم، توسOط اين سOاختار سOازماني يOك رونOد پOائين بOه بOاال بOراي انتسOاب مجOوز هOا –

.به نقش ها مطرح ميشود


ساختار سازماني

يOك مفهOوم "س3ازمان"براي توسOعه سيسOتم هOاي اطالعOاتي،•.خوب براي تحليل فعاليت هاي موجود در هر دامنه است

ساختار سOازماني يOك سOاختار درخOتي بOا ويOژگي سلسOله مراتOبي •اسOت. اين سOاختار از المOان هOاي سOازماني تشOكيل مي شOود كOه افOراد متعلOق بOه هOر يOك داراي يOك هOدف مشOترك در سOازمان هسOتند و يOك سOري فعاليتهOاي خOاص بOراي رسOيدن بOه آنهOا انجOام

.مي دهندكارهOاي انجOام يافتOه بOا داده هOاي مOورد دسترسOي ارتبOاط مسOتقيم •

داOرد. پس فعOOاليت هOOاO و كارOهOOاي يOOك بOخش بOOا مجOOوز OهOOاي Oآن ارتبOOاط O دارد. Oپس مي تOOوانO واحOOد سOOازمOاOني رOا بOOه OعOنOOوOانO يOOك

بOراي رسOيدن بOه هOدف خOاص مج3وز ه3ا و گ3روه از ك3اربران. تعريف كرد


User & Permission Pool ساخت

حال مدير هاي امنيتي، كاربران و مجوزهاي موجود در هر واحد •.سازماني را به نقش ها نسبت مي دهند

ساختار سازمان

ي

Permission pool

User pool

By Human Resource Group

By IT Management Group


RBAC ساختار مدل مديريتيتوسعه يافته


اصالح مدل با اعمال مفهوم ساختار سازماني

همOOان توصOOيف Can_Assignp و Can_Assign توابOOع•را دارا هسOOتند و فقOOط پيش ARBAC97 موجOOود در

:شرط ها در آن مجددا تعريف شده است يOك عبOارت بOا تOركيب عملگرهOاي URA پيش شOرط هOا در–

And و Or ازمانيOاي سOد هOحOوا OاOو ي OاديOاي عOقش هOروي ن يعOني HR در سOاختار سOازماني تهيOه شOده توسOط گOروه

User Pool است. يOك عبOارت منطقي از عملگOر هOاي PRA پيش شOرط هOا در–

And و Or اراتOروي عب x و ~x هOت كOاس x ك نقشOيعOاديO يOا يOك دOاحOد سOازمانيO ذر سOاخOتار سOازمانOي تOهيOه شOدOه

. است Permission Pool يا IT توسط گروه


ARBAC02اجزاء مدل

OS-P يک ساختار سازماني به نام باPermission Poolساخت •OS-U يک ساختار سازماني به نام باUser Poolساخت •

Sجلسات

APAانتساب

مجوزهاي مديريتي به

نقش

Uکاربرا

ن

ARنقشها

يمديريت

ي

Rنقشها

محدوديتها

AUAانتساب کاربر به

نقش


نقش

ARHسلسله مراتب

نقشهاي مديريتي

RHسلسله مراتبنقشها


نقش

Roles

User

User Pool

OS-U

Permission Pool

OS-P

APمجوزه

ايمديريت

ي

Pمجوز

ها


MACكنترل دسترسي نقش- مبنا و •Role Graph Model

Is Juniorيال در گراف نقش و رابطه –الگوريتم ساخت گراف–خصوصيات گراف نقش–

تعريف يك سري شرايط محدوديت ها در مدل گراف نقش •MACبراي ارضاء

براي هر نمونه از كنترل دسترسي Role Graphارائه يك سري •Latticeهاي مبتني بر


DAC براي اعمال RBACاستفاده از MACو

DAC و MAC به اندازه اي كلي است كه بتواند RBACمكانيزم •را شبيه سازي كند.

مي Life Cycleيك خصوصيت مهم اينكه خط مشي در طول •تواند تغيير كند.

–MACجريان يك طرفه اطالعات : –DAC : Owner Based Administration

MACتعريف يك سري قوانين و محدوديت ها براي شبيه سازي •تعريف يك سري عمليات به ازاي هر رخداد براي شبيه سازي •

DAC


مراجع

[1] S. Oh and R. Sandhu, “A model for role administration using organization structure”, ACM SACMAT, 155-162, 2002.[2] S. Osborn, “Information flow analysis of an RBAC system”, ACM SACMAT, 163-168, 2002.[3] Chandramouli Ramaswamy and Ravi Sandhu “Role-Based Access Control Features in Commercial Database

Management Systems” , 21st National Information Systems Security , Jun 2005[4] Bertino, E.; Sandhu, R. “Database security - concepts, approaches, and challenges” , Dependable and Secure Computing,

IEEE Transactions, March 2005[5] Ravi Sandhu and Venkata Bhamidipati “An Oracle Implementation of the PRA97 Model for Permission-Role Assignment”

, ACM Workshop on Role-Based Access FairFax VA , 1998[6] He Wang and Sylvia L. Osborn "An Administrative Model for Role Graph Model" , Natural Sciences and Engineering

Research Council of Canada.[7] Ravi s.Sandhu, Edward J.Coyne and Charles E.Youman, “ Role-Based Access Cotrol Models” , IEEE, 38-47, February 1996 [8] Ravi Sandhu, Venkata Bhamidipati, Edward Coyne, Sirinivas Ganta, and Charles Youman, "The ARBAC97 model for role-

based administration of roles: Preliminary description and outline", In Preceeding of 2nd ACM Workshop on Role-Based Access Control, Fairfax, VA, November 6-7 1997. ACM.

[9] He Wang and Sylvia L. Osborn "An Administrative Model for Role Graphs", In Data and Applications Security XVII, pages 39–44, Kluwer, 2003.


مدل مديريتي كنترل دسترسي نقش مبنا

Documents