О построении иерархического ролевого управления доступом (SibeCrypt 2012)

607 views
408 views

Published on

Published in: Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
607
On SlideShare
0
From Embeds
0
Number of Embeds
2
Actions
Shares
0
Downloads
10
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

О построении иерархического ролевого управления доступом (SibeCrypt 2012)

  1. 1. SEBECRYPT 2012 О ПОСТРОЕНИИ ИЕРАРХИЧЕСКОГО РОЛЕВОГО УПРАВЛЕНИЯ ДОСТУПОМ Колегов Денис Николаевич Доцент кафедры защиты информации и криптографии Томский государственный университет 11 Всероссийская конференция «Сибирская научная школа-семинар с международным участием «Компьютерная безопасность и криптография». Иркутск, 3-7 сентября 2012 г.
  2. 2. Введение • • 1 В настоящее время широкое развитие и распространение получил механизм ролевого управления доступом – SAP R/3 – ЭПС Microsoft Exchange Server 2010 – Cisco Secure ACS, NAC, ISE Предложено огромное количество расширений и модификаций модели RBAC для учета особенностей и условий функционирования КС – RBAC-A – TRBAC – GRBAC – C-RBAC О построении иерархического ролевого управления доступом
  3. 3. Особенности управления доступом в КС • • Наличие идентичных составов и структур компонент КС • Существование большого числа ролей и пользователей • Возможность использования уровней иерархии КС при задании разрешенных прав доступа субъектов к сущностям и правил их проверки • Возможность существования нескольких иерархий в КС одновременно • 2 Иерархичность и распределенность компонент КС Необходимость гибкого и масштабируемого задания разрешенных прав доступа при администрировании механизма управления доступом О построении иерархического ролевого управления доступом
  4. 4. Пример 3 О Сибирская научная школа-семинар с международным участиемдоступом построении иерархического ролевого управления 10 "Компьютерная безопасность и криптография"
  5. 5. Пример 4 О Сибирская научная школа-семинар с международным участиемдоступом построении иерархического ролевого управления 10 "Компьютерная безопасность и криптография"
  6. 6. Пример 5 О построении иерархического ролевого управления доступом
  7. 7. Требования управления доступом • • Задана верхняя полурешетка уровней иерархии КС и каждой сущности присвоен уровень иерархии • Определено множество типов сущностей и для каждой сущности указан ее тип • Задано множество ролей, каждая из которых представляет собой некоторое множество прав доступа к сущностям определенного типа • Каждый субъект обладает некоторым множеством разрешенных для данного субъекта ролей • 6 Все сущности должны быть идентифицированы Субъект обладает правом доступа к сущности в том и только том случае, если субъект обладает ролью, в множестве прав доступа которой имеется данное право доступа к сущности данного типа и уровень иерархии субъекта не меньше уровня иерархии сущности О построении иерархического ролевого управления доступом
  8. 8. Элементы модели RBAC-H E = O  C – множество сущностей, O – множество объектов, C – множество контейнеров и O  C = ; U – множество пользователей и U  E = ; R – множество ролей; Rr – множество видов прав доступа; S  E – множество субъект сессий-пользователей; T – множество типов сущностей; L – множество уровней иерархии сущностей; X – разбиение множества E в соответствии с заданной иерархией сущностей, при этом |X| = |L|; (L, ≤), (X, ≤) – верхние полурешетки; P  (Rr  T)  (Rr  E) – множество прав доступа к сущностям одного типа и к сущностям; 7 О построении иерархического ролевого управления доступом
  9. 9. Элементы модели RBAC-H type: E → T – функция типов сущностей; fe: E → L – функция, задающая уровень иерархии каждой сущности; PA: R → 2P – функция прав доступа ролей; UA: U → 2R – функция авторизованных ролей пользователей; user: S → U – функция принадлежности субъект-сессии пользователю; roles: S → 2R – функция текущих ролей субъект-сессий, при этом для любой субъект-сессии sS выполняется включение roles(s)UA(user(s)) can_access(s, e, p) – предикат, истинный тогда и только тогда, когда выполнено - fe(e) ≤ fe(s) - (p, type(e)) PA(roles(s)) 8 О построении иерархического ролевого управления доступом
  10. 10. Определение • В КС реализовано иерархическое ролевое управление доступом RBAC-H, если любая субъект-сессия sS пользователя user(s)U может обладать правом доступа pRr к сущности eE тогда и только тогда когда истинен предикат can_access(s, e, p) 9 О построении иерархического ролевого управления доступом
  11. 11. Структура элементов модели 10 О построении иерархического ролевого управления доступом
  12. 12. Выводы • • 11 Предложено описание базовых элементов иерархической ролевой модели RBAC-H, ориентированной на КС с иерархией сущностей, отражающие установленные организационно-управленческие отношения Добавление атрибутов иерархии и типов сущностей к элементам модели RBAC позволяет адаптировать ее к условиям функционирования реальных КС, а также упростить реализацию и администрирование системы ролевого управления доступом О построении иерархического ролевого управления доступом
  13. 13. Благодарю за внимание! Колегов Денис Николаевич Доцент кафедры защиты информации и криптографии Томский государственный университет E-mail: d.n.kolegov@gmail.com О построении иерархического ролевого управления доступом

×