Download - Constraints For Role Based Access Control
An toàn thông tin 1
Constraints for Role-Based Access Control
(Các ràng buộc cho việc điều khiển truy cập dựa vào vai trò)
Sinh viên: Nguyễn Tư Hoàn
Ngô Tuấn Phong
An toàn thông tin 2
Constraints for Role-Based Access Control1. Giới thiệu chung2. Kiến trúc RBAC3. Mô tả các ràng buộc trong RBAC 4. Cơ sở logic5. Kết luận
An toàn thông tin 3
1. Giới thiệu chung Thống nhất kiến trúc nền tảng: quyền
role, role user (session) Tìm cách mô tả ràng buộc:
Hiệu quả với hệ thống thực Xử lý ràng buộc dùng chung…
Đưa ra ngôn ngữ mô tả ràng buộc: đơn giản, trực quan, chính xác
Bài báo: ràng buộc <--> preconditions & system-widen invariants, chuyển đổi
An toàn thông tin 4
2. Kiến trúc RBAC Mục đích: các ràng buộc Kiến trúc minh họa cách mô tả các ràng
buộc (kiến trúc chung, có thể biến đổi) Vai trò, quyền, người dùng và các phiên
làm việc
An toàn thông tin 5
2. Kiến trúc RBAC
RoleID_role
Pemission Set
Parent role set
Child role set
User setAdd/Remove/Edit node cha (con)
Add/remove role đối với user
Permission
ID_permission
Role set
List mục tiêu (cho toán tử)
Toán tử - hành động
Add/remove quyền đối với role
An toàn thông tin 6
2. Kiến trúc RBAC
User
ID_user
Role set
Session set
Session
ID_session
User
Role set
Add/remove role đối với session
An toàn thông tin 7
2. Kiến trúc RBAC
Trạng thái hệ RBAC quyết định bởi: RS, US, SS, PS, PRS và CRS
User
PermissionRole
Session
An toàn thông tin 8
3. Mô tả các ràng buộc trong RBAC
3.1 Các hàm toàn cục3.2 Ngôn ngữ dùng cho mô tả các ràng buộc3.3 Các ví dụ 3.4 Thảo luận
An toàn thông tin 9
3.1 Các hàm toàn cục permission role-set permission-set role set, user role set user-set role-set, session role-set session-set role-set, role role-set (PRS) role-set role-set, …
ermission permission set
role set (permission)p ᅫ
U
user set(user)U roleset
session session set( ession)U roleset s
ᅫ
role role set( )U parent role set role
ᅫ
An toàn thông tin 10
3.2 Ngôn ngữ dùng cho mô tả các ràng buộc
Lý thuyết tập: RS,US,PS hợp ( ), giao ( ), khác (-) quan hệ : logic: and ( ), or ( ), not ( ), suy ra () Hàm: lực lượng tập(||), hàm toàn cục, hàm hệ
thống, hàm định nghĩa an ninh cho nhân viên, các hàm không định mục tiêu trước
Oneelement: set element Allother: set set oneelement(S) U allother (S)= S
, , , , , ,ᄍ ᅩ ᅪ ᅧ ᅫ ᅬᅦ
ᅳ
An toàn thông tin 11
3.3 Các ví dụ Mâu thuẫn giữa các vai trò của người
dùng R = { r1,r2, …, rn }. U = { u1,u2,…,un }. {oneelement(R) role-set(oneelement(U) }
{Allother(R) role-set(oneelement(U ))} =
<--> r R, u U (r role set(u) (R – {r}) role set(u) = )
ᅫ
ᅫ
ᅦQ" ᅫ "
ᅦᅫ
Q
An toàn thông tin 12
3.3 Các ví dụ Các vai trò làm điều kiện cho một số vai
trò khác R1 = { r11, r12, …, r1p} (vai trò điều kiện) R2 = { r21, r22, …, r2q} U = { u1,u2,…,um }. oneelement(R2) role-set(oneelement(U))
{R1 role-set(oneelement(U))} (I) (R1 đóng vai trò là tập vai trò điều kiện) VD: làm “tester” khi là “member” của nhóm:
“tester” “member”
ᅫᅪ
An toàn thông tin 13
3.4 Thảo luận Quan hệ RB bất biến và RB điều kiện là
một-nhiều oneelement(R2) role-set(oneelement(U))
R1 role-set(oneelement(U)): bất biến (I) r2 role-set(u1) r1 role-set(u1): điều
kiện với u1 Thỏa ĐK bất biến, thỏa mãn nhiều điều kiện
đầu khác nhau (xét (I)) thêm r21 cho u1, R1 role-set(u1) xóa r11 từ u1, R2 role set(u1) =
ᅫᅪᅫ ᅪ
ᅪᅦ Q
An toàn thông tin 14
3.4 Thảo luận Thay đổi cơ bản trong RBAC:
Thêm một thuộc tính Xóa một thuộc tính
Hai thay đổi trạng thái trên có thể cùng xảy ra. Từ người dùng thành người quản lý: xóa-thêm,
hoặc thêm-xóa
Mở rộng thêm mô hình, có trạng thái trung gian
An toàn thông tin 15
4. Cơ sở logic Dễ dịch sang ngôn ngữ logic vị từ đầu:
Nếu hàm oneelement hoặc allother xuất hiện trong Ct, chuyển Ct về dạng s S (Ct)
Thay oneelement bởi s Thay allother(S) bởi S-{s}
1 RB logic vị từ đầu không luôn nhận vai trò ĐK đầu trong toán tử của RBAC
"
An toàn thông tin 16
4. Cơ sở logic Các RB đều có thể viết bằng ngôn ngữ đề
xuất? Ràng buộc có nhiều thành phần: có hoặc
không liên quan đến trạng thái RBAC Với RBAC + nền tảng (các hàm toàn cục),
các RB có liên quan đến trạng thái RBAC có thể viết bằng ngôn ngữ này ?
Xây dựng mô hình mở, thêm vào các hàm toàn cục nếu cần
An toàn thông tin 17
5. Kết luận Định nghĩa cấu trúc RBAC Cung cấp tập hàm toàn cục Đưa ra một ngôn ngữ mới (có hàm không
định trước) Cơ sở nền tảng logic nằm bên dưới ngôn
ngữ Phát triển của ngôn ngữ cần có nhiều
nghiên cứu trong tương lai
An toàn thông tin 18
Hết bài trình bày Cảm ơn thầy giáo và các bạn !!!