SlideShare a Scribd company logo

О построении иерархического ролевого управления доступом (SibeCrypt 2012)

Denis Kolegov
Denis Kolegov
Technology
1 of 13
Download to read offline
SEBECRYPT 2012 О ПОСТРОЕНИИ ИЕРАРХИЧЕСКОГО РОЛЕВОГО УПРАВЛЕНИЯ ДОСТУПОМ Колегов Денис Николаевич Доцент кафедры защиты информации и криптографии Томский государственный университет 11 Всероссийская конференция «Сибирская научная школа-семинар с международным участием «Компьютерная безопасность и криптография». Иркутск, 3-7 сентября 2012 г.
Введение • • 1 В настоящее время широкое развитие и распространение получил механизм ролевого управления доступом – SAP R/3 – ЭПС Microsoft Exchange Server 2010 – Cisco Secure ACS, NAC, ISE Предложено огромное количество расширений и модификаций модели RBAC для учета особенностей и условий функционирования КС – RBAC-A – TRBAC – GRBAC – C-RBAC О построении иерархического ролевого управления доступом
Особенности управления доступом в КС • • Наличие идентичных составов и структур компонент КС • Существование большого числа ролей и пользователей • Возможность использования уровней иерархии КС при задании разрешенных прав доступа субъектов к сущностям и правил их проверки • Возможность существования нескольких иерархий в КС одновременно • 2 Иерархичность и распределенность компонент КС Необходимость гибкого и масштабируемого задания разрешенных прав доступа при администрировании механизма управления доступом О построении иерархического ролевого управления доступом
Пример 3 О Сибирская научная школа-семинар с международным участиемдоступом построении иерархического ролевого управления 10 "Компьютерная безопасность и криптография"
Пример 4 О Сибирская научная школа-семинар с международным участиемдоступом построении иерархического ролевого управления 10 "Компьютерная безопасность и криптография"
Пример 5 О построении иерархического ролевого управления доступом
Требования управления доступом • • Задана верхняя полурешетка уровней иерархии КС и каждой сущности присвоен уровень иерархии • Определено множество типов сущностей и для каждой сущности указан ее тип • Задано множество ролей, каждая из которых представляет собой некоторое множество прав доступа к сущностям определенного типа • Каждый субъект обладает некоторым множеством разрешенных для данного субъекта ролей • 6 Все сущности должны быть идентифицированы Субъект обладает правом доступа к сущности в том и только том случае, если субъект обладает ролью, в множестве прав доступа которой имеется данное право доступа к сущности данного типа и уровень иерархии субъекта не меньше уровня иерархии сущности О построении иерархического ролевого управления доступом
Элементы модели RBAC-H E = O  C – множество сущностей, O – множество объектов, C – множество контейнеров и O  C = ; U – множество пользователей и U  E = ; R – множество ролей; Rr – множество видов прав доступа; S  E – множество субъект сессий-пользователей; T – множество типов сущностей; L – множество уровней иерархии сущностей; X – разбиение множества E в соответствии с заданной иерархией сущностей, при этом |X| = |L|; (L, ≤), (X, ≤) – верхние полурешетки; P  (Rr  T)  (Rr  E) – множество прав доступа к сущностям одного типа и к сущностям; 7 О построении иерархического ролевого управления доступом
Элементы модели RBAC-H type: E → T – функция типов сущностей; fe: E → L – функция, задающая уровень иерархии каждой сущности; PA: R → 2P – функция прав доступа ролей; UA: U → 2R – функция авторизованных ролей пользователей; user: S → U – функция принадлежности субъект-сессии пользователю; roles: S → 2R – функция текущих ролей субъект-сессий, при этом для любой субъект-сессии sS выполняется включение roles(s)UA(user(s)) can_access(s, e, p) – предикат, истинный тогда и только тогда, когда выполнено - fe(e) ≤ fe(s) - (p, type(e)) PA(roles(s)) 8 О построении иерархического ролевого управления доступом
Определение • В КС реализовано иерархическое ролевое управление доступом RBAC-H, если любая субъект-сессия sS пользователя user(s)U может обладать правом доступа pRr к сущности eE тогда и только тогда когда истинен предикат can_access(s, e, p) 9 О построении иерархического ролевого управления доступом
Структура элементов модели 10 О построении иерархического ролевого управления доступом
Выводы • • 11 Предложено описание базовых элементов иерархической ролевой модели RBAC-H, ориентированной на КС с иерархией сущностей, отражающие установленные организационно-управленческие отношения Добавление атрибутов иерархии и типов сущностей к элементам модели RBAC позволяет адаптировать ее к условиям функционирования реальных КС, а также упростить реализацию и администрирование системы ролевого управления доступом О построении иерархического ролевого управления доступом
Благодарю за внимание! Колегов Денис Николаевич Доцент кафедры защиты информации и криптографии Томский государственный университет E-mail: d.n.kolegov@gmail.com О построении иерархического ролевого управления доступом

Recommended

23may 1845 valday young school tkachenko 'development and implementation of t...
23may 1845 valday young school tkachenko 'development and implementation of t...23may 1845 valday young school tkachenko 'development and implementation of t...
23may 1845 valday young school tkachenko 'development and implementation of t...Positive Hack Days
 
Разработка и реализация механизма мандатного управления доступом в СУБД MySQL...
Разработка и реализация механизма мандатного управления доступом в СУБД MySQL...Разработка и реализация механизма мандатного управления доступом в СУБД MySQL...
Разработка и реализация механизма мандатного управления доступом в СУБД MySQL...Denis Kolegov
 
Моделирование безопасности управления доступом и информационными потоками на ...
Моделирование безопасности управления доступом и информационными потоками на ...Моделирование безопасности управления доступом и информационными потоками на ...
Моделирование безопасности управления доступом и информационными потоками на ...Denis Kolegov
 
Моделирование безопасности управления доступом и информационными потоками на ...
Моделирование безопасности управления доступом и информационными потоками на ...Моделирование безопасности управления доступом и информационными потоками на ...
Моделирование безопасности управления доступом и информационными потоками на ...Positive Hack Days
 
ASP.NET Web API
ASP.NET Web APIASP.NET Web API
ASP.NET Web APIGetDev.NET
 
работа с базами данных с использованием субд My sql
работа с базами данных с использованием субд My sqlработа с базами данных с использованием субд My sql
работа с базами данных с использованием субд My sqlSai_17
 
Алексей Андросов "Яндекс.Почта: архитектура фронтенда как она есть"
Алексей Андросов "Яндекс.Почта: архитектура фронтенда как она есть"Алексей Андросов "Яндекс.Почта: архитектура фронтенда как она есть"
Алексей Андросов "Яндекс.Почта: архитектура фронтенда как она есть"Yandex
 
Ldap And Infrastructure
Ldap And InfrastructureLdap And Infrastructure
Ldap And InfrastructureLiudmila Li
 

Recommended

23may 1845 valday young school tkachenko 'development and implementation of t...
23may 1845 valday young school tkachenko 'development and implementation of t...23may 1845 valday young school tkachenko 'development and implementation of t...
23may 1845 valday young school tkachenko 'development and implementation of t...Positive Hack Days
 
Разработка и реализация механизма мандатного управления доступом в СУБД MySQL...
Разработка и реализация механизма мандатного управления доступом в СУБД MySQL...Разработка и реализация механизма мандатного управления доступом в СУБД MySQL...
Разработка и реализация механизма мандатного управления доступом в СУБД MySQL...Denis Kolegov
 
Моделирование безопасности управления доступом и информационными потоками на ...
Моделирование безопасности управления доступом и информационными потоками на ...Моделирование безопасности управления доступом и информационными потоками на ...
Моделирование безопасности управления доступом и информационными потоками на ...Denis Kolegov
 
Моделирование безопасности управления доступом и информационными потоками на ...
Моделирование безопасности управления доступом и информационными потоками на ...Моделирование безопасности управления доступом и информационными потоками на ...
Моделирование безопасности управления доступом и информационными потоками на ...Positive Hack Days
 
ASP.NET Web API
ASP.NET Web APIASP.NET Web API
ASP.NET Web APIGetDev.NET
 
работа с базами данных с использованием субд My sql
работа с базами данных с использованием субд My sqlработа с базами данных с использованием субд My sql
работа с базами данных с использованием субд My sqlSai_17
 
Алексей Андросов "Яндекс.Почта: архитектура фронтенда как она есть"
Алексей Андросов "Яндекс.Почта: архитектура фронтенда как она есть"Алексей Андросов "Яндекс.Почта: архитектура фронтенда как она есть"
Алексей Андросов "Яндекс.Почта: архитектура фронтенда как она есть"Yandex
 
Ldap And Infrastructure
Ldap And InfrastructureLdap And Infrastructure
Ldap And InfrastructureLiudmila Li
 
Общая модель аутентификации HTTP-сообщений на основе хэш-функций в веб-прилож...
Общая модель аутентификации HTTP-сообщений на основе хэш-функций в веб-прилож...Общая модель аутентификации HTTP-сообщений на основе хэш-функций в веб-прилож...
Общая модель аутентификации HTTP-сообщений на основе хэш-функций в веб-прилож...Denis Kolegov
 
Общая модель аутентификации HTTP-сообщений на основе хэш- функций в веб-прил...
Общая модель аутентификации HTTP-сообщений на основе хэш- функций в веб-прил...Общая модель аутентификации HTTP-сообщений на основе хэш- функций в веб-прил...
Общая модель аутентификации HTTP-сообщений на основе хэш- функций в веб-прил...Positive Hack Days
 
Александр Белоцерковский
Александр БелоцерковскийАлександр Белоцерковский
Александр БелоцерковскийCodeFest
 
Контент ориентированное программирование
Контент ориентированное программированиеКонтент ориентированное программирование
Контент ориентированное программированиеksmster
 
Разработка и реализация мандатного механизма управления доступом в СУБД MySQL...
Разработка и реализация мандатного механизма управления доступом в СУБД MySQL...Разработка и реализация мандатного механизма управления доступом в СУБД MySQL...
Разработка и реализация мандатного механизма управления доступом в СУБД MySQL...Denis Kolegov
 
Все самые важные команды SQL за 60 минут
Все самые важные команды SQL за 60 минутВсе самые важные команды SQL за 60 минут
Все самые важные команды SQL за 60 минутSkillFactory
 
Kozhemyakin dcm2011 1
Kozhemyakin dcm2011 1Kozhemyakin dcm2011 1
Kozhemyakin dcm2011 1drupalconf
 
разработка бизнес приложений (6)
разработка бизнес приложений (6)разработка бизнес приложений (6)
разработка бизнес приложений (6)Alexander Gornik
 
Database Firewall from Scratch
Database Firewall from ScratchDatabase Firewall from Scratch
Database Firewall from ScratchDenis Kolegov
 
F5 BIG-IP Misconfigurations
F5 BIG-IP MisconfigurationsF5 BIG-IP Misconfigurations
F5 BIG-IP MisconfigurationsDenis Kolegov
 
SibirCTF 2016. Практические методы защиты веб-приложений
SibirCTF 2016. Практические методы защиты веб-приложенийSibirCTF 2016. Практические методы защиты веб-приложений
SibirCTF 2016. Практические методы защиты веб-приложенийDenis Kolegov
 
SibeCrypt 2016. Практические методы защиты веб-приложений
SibeCrypt 2016. Практические методы защиты веб-приложенийSibeCrypt 2016. Практические методы защиты веб-приложений
SibeCrypt 2016. Практические методы защиты веб-приложенийDenis Kolegov
 
ZN27112015
ZN27112015ZN27112015
ZN27112015Denis Kolegov
 
Non-Invasive Elimination of Logical Access Control Vulnerabilities in Web A...
Non-Invasive Elimination of Logical Access Control Vulnerabilities in Web A...Non-Invasive Elimination of Logical Access Control Vulnerabilities in Web A...
Non-Invasive Elimination of Logical Access Control Vulnerabilities in Web A...Denis Kolegov
 
Codefest2015
Codefest2015Codefest2015
Codefest2015Denis Kolegov
 
Covert Timing Channels based on HTTP Cache Headers (Special Edition for Top 1...
Covert Timing Channels based on HTTP Cache Headers (Special Edition for Top 1...Covert Timing Channels based on HTTP Cache Headers (Special Edition for Top 1...
Covert Timing Channels based on HTTP Cache Headers (Special Edition for Top 1...Denis Kolegov
 
Covert Timing Channels using HTTP Cache Headers
Covert Timing Channels using HTTP Cache HeadersCovert Timing Channels using HTTP Cache Headers
Covert Timing Channels using HTTP Cache HeadersDenis Kolegov
 
General Method of HTTP Messages Authentication Based on Hash Functions in Web...
General Method of HTTP Messages Authentication Based on Hash Functions in Web...General Method of HTTP Messages Authentication Based on Hash Functions in Web...
General Method of HTTP Messages Authentication Based on Hash Functions in Web...Denis Kolegov
 
Covert Timing Channels using HTTP Cache Headers
Covert Timing Channels using HTTP Cache HeadersCovert Timing Channels using HTTP Cache Headers
Covert Timing Channels using HTTP Cache HeadersDenis Kolegov
 
Development and Implementation of Mandatory Access Control Policy for RDBMS M...
Development and Implementation of Mandatory Access Control Policy for RDBMS M...Development and Implementation of Mandatory Access Control Policy for RDBMS M...
Development and Implementation of Mandatory Access Control Policy for RDBMS M...Denis Kolegov
 

More Related Content

Similar to О построении иерархического ролевого управления доступом (SibeCrypt 2012)

Общая модель аутентификации HTTP-сообщений на основе хэш-функций в веб-прилож...
Общая модель аутентификации HTTP-сообщений на основе хэш-функций в веб-прилож...Общая модель аутентификации HTTP-сообщений на основе хэш-функций в веб-прилож...
Общая модель аутентификации HTTP-сообщений на основе хэш-функций в веб-прилож...Denis Kolegov
 
Общая модель аутентификации HTTP-сообщений на основе хэш- функций в веб-прил...
Общая модель аутентификации HTTP-сообщений на основе хэш- функций в веб-прил...Общая модель аутентификации HTTP-сообщений на основе хэш- функций в веб-прил...
Общая модель аутентификации HTTP-сообщений на основе хэш- функций в веб-прил...Positive Hack Days
 
Александр Белоцерковский
Александр БелоцерковскийАлександр Белоцерковский
Александр БелоцерковскийCodeFest
 
Контент ориентированное программирование
Контент ориентированное программированиеКонтент ориентированное программирование
Контент ориентированное программированиеksmster
 
Разработка и реализация мандатного механизма управления доступом в СУБД MySQL...
Разработка и реализация мандатного механизма управления доступом в СУБД MySQL...Разработка и реализация мандатного механизма управления доступом в СУБД MySQL...
Разработка и реализация мандатного механизма управления доступом в СУБД MySQL...Denis Kolegov
 
Все самые важные команды SQL за 60 минут
Все самые важные команды SQL за 60 минутВсе самые важные команды SQL за 60 минут
Все самые важные команды SQL за 60 минутSkillFactory
 
Kozhemyakin dcm2011 1
Kozhemyakin dcm2011 1Kozhemyakin dcm2011 1
Kozhemyakin dcm2011 1drupalconf
 
разработка бизнес приложений (6)
разработка бизнес приложений (6)разработка бизнес приложений (6)
разработка бизнес приложений (6)Alexander Gornik
 

Similar to О построении иерархического ролевого управления доступом (SibeCrypt 2012) (8)

Общая модель аутентификации HTTP-сообщений на основе хэш-функций в веб-прилож...
Общая модель аутентификации HTTP-сообщений на основе хэш-функций в веб-прилож...Общая модель аутентификации HTTP-сообщений на основе хэш-функций в веб-прилож...
Общая модель аутентификации HTTP-сообщений на основе хэш-функций в веб-прилож...
 
Общая модель аутентификации HTTP-сообщений на основе хэш- функций в веб-прил...
Общая модель аутентификации HTTP-сообщений на основе хэш- функций в веб-прил...Общая модель аутентификации HTTP-сообщений на основе хэш- функций в веб-прил...
Общая модель аутентификации HTTP-сообщений на основе хэш- функций в веб-прил...
 
Александр Белоцерковский
Александр БелоцерковскийАлександр Белоцерковский
Александр Белоцерковский
 
Контент ориентированное программирование
Контент ориентированное программированиеКонтент ориентированное программирование
Контент ориентированное программирование
 
Разработка и реализация мандатного механизма управления доступом в СУБД MySQL...
Разработка и реализация мандатного механизма управления доступом в СУБД MySQL...Разработка и реализация мандатного механизма управления доступом в СУБД MySQL...
Разработка и реализация мандатного механизма управления доступом в СУБД MySQL...
 
Все самые важные команды SQL за 60 минут
Все самые важные команды SQL за 60 минутВсе самые важные команды SQL за 60 минут
Все самые важные команды SQL за 60 минут
 
Kozhemyakin dcm2011 1
Kozhemyakin dcm2011 1Kozhemyakin dcm2011 1
Kozhemyakin dcm2011 1
 
разработка бизнес приложений (6)
разработка бизнес приложений (6)разработка бизнес приложений (6)
разработка бизнес приложений (6)
 

More from Denis Kolegov

Database Firewall from Scratch
Database Firewall from ScratchDatabase Firewall from Scratch
Database Firewall from ScratchDenis Kolegov
 
F5 BIG-IP Misconfigurations
F5 BIG-IP MisconfigurationsF5 BIG-IP Misconfigurations
F5 BIG-IP MisconfigurationsDenis Kolegov
 
SibirCTF 2016. Практические методы защиты веб-приложений
SibirCTF 2016. Практические методы защиты веб-приложенийSibirCTF 2016. Практические методы защиты веб-приложений
SibirCTF 2016. Практические методы защиты веб-приложенийDenis Kolegov
 
SibeCrypt 2016. Практические методы защиты веб-приложений
SibeCrypt 2016. Практические методы защиты веб-приложенийSibeCrypt 2016. Практические методы защиты веб-приложений
SibeCrypt 2016. Практические методы защиты веб-приложенийDenis Kolegov
 
Non-Invasive Elimination of Logical Access Control Vulnerabilities in Web A...
Non-Invasive Elimination of Logical Access Control Vulnerabilities in Web A...Non-Invasive Elimination of Logical Access Control Vulnerabilities in Web A...
Non-Invasive Elimination of Logical Access Control Vulnerabilities in Web A...Denis Kolegov
 
Covert Timing Channels based on HTTP Cache Headers (Special Edition for Top 1...
Covert Timing Channels based on HTTP Cache Headers (Special Edition for Top 1...Covert Timing Channels based on HTTP Cache Headers (Special Edition for Top 1...
Covert Timing Channels based on HTTP Cache Headers (Special Edition for Top 1...Denis Kolegov
 
Covert Timing Channels using HTTP Cache Headers
Covert Timing Channels using HTTP Cache HeadersCovert Timing Channels using HTTP Cache Headers
Covert Timing Channels using HTTP Cache HeadersDenis Kolegov
 
General Method of HTTP Messages Authentication Based on Hash Functions in Web...
General Method of HTTP Messages Authentication Based on Hash Functions in Web...General Method of HTTP Messages Authentication Based on Hash Functions in Web...
General Method of HTTP Messages Authentication Based on Hash Functions in Web...Denis Kolegov
 
Covert Timing Channels using HTTP Cache Headers
Covert Timing Channels using HTTP Cache HeadersCovert Timing Channels using HTTP Cache Headers
Covert Timing Channels using HTTP Cache HeadersDenis Kolegov
 
Development and Implementation of Mandatory Access Control Policy for RDBMS M...
Development and Implementation of Mandatory Access Control Policy for RDBMS M...Development and Implementation of Mandatory Access Control Policy for RDBMS M...
Development and Implementation of Mandatory Access Control Policy for RDBMS M...Denis Kolegov
 

More from Denis Kolegov (12)

Database Firewall from Scratch
Database Firewall from ScratchDatabase Firewall from Scratch
Database Firewall from Scratch
 
F5 BIG-IP Misconfigurations
F5 BIG-IP MisconfigurationsF5 BIG-IP Misconfigurations
F5 BIG-IP Misconfigurations
 
SibirCTF 2016. Практические методы защиты веб-приложений
SibirCTF 2016. Практические методы защиты веб-приложенийSibirCTF 2016. Практические методы защиты веб-приложений
SibirCTF 2016. Практические методы защиты веб-приложений
 
SibeCrypt 2016. Практические методы защиты веб-приложений
SibeCrypt 2016. Практические методы защиты веб-приложенийSibeCrypt 2016. Практические методы защиты веб-приложений
SibeCrypt 2016. Практические методы защиты веб-приложений
 
ZN27112015
ZN27112015ZN27112015
ZN27112015
 
Non-Invasive Elimination of Logical Access Control Vulnerabilities in Web A...
Non-Invasive Elimination of Logical Access Control Vulnerabilities in Web A...Non-Invasive Elimination of Logical Access Control Vulnerabilities in Web A...
Non-Invasive Elimination of Logical Access Control Vulnerabilities in Web A...
 
Codefest2015
Codefest2015Codefest2015
Codefest2015
 
Covert Timing Channels based on HTTP Cache Headers (Special Edition for Top 1...
Covert Timing Channels based on HTTP Cache Headers (Special Edition for Top 1...Covert Timing Channels based on HTTP Cache Headers (Special Edition for Top 1...
Covert Timing Channels based on HTTP Cache Headers (Special Edition for Top 1...
 
Covert Timing Channels using HTTP Cache Headers
Covert Timing Channels using HTTP Cache HeadersCovert Timing Channels using HTTP Cache Headers
Covert Timing Channels using HTTP Cache Headers
 
General Method of HTTP Messages Authentication Based on Hash Functions in Web...
General Method of HTTP Messages Authentication Based on Hash Functions in Web...General Method of HTTP Messages Authentication Based on Hash Functions in Web...
General Method of HTTP Messages Authentication Based on Hash Functions in Web...
 
Covert Timing Channels using HTTP Cache Headers
Covert Timing Channels using HTTP Cache HeadersCovert Timing Channels using HTTP Cache Headers
Covert Timing Channels using HTTP Cache Headers
 
Development and Implementation of Mandatory Access Control Policy for RDBMS M...
Development and Implementation of Mandatory Access Control Policy for RDBMS M...Development and Implementation of Mandatory Access Control Policy for RDBMS M...
Development and Implementation of Mandatory Access Control Policy for RDBMS M...
 

О построении иерархического ролевого управления доступом (SibeCrypt 2012)

  • 1. SEBECRYPT 2012 О ПОСТРОЕНИИ ИЕРАРХИЧЕСКОГО РОЛЕВОГО УПРАВЛЕНИЯ ДОСТУПОМ Колегов Денис Николаевич Доцент кафедры защиты информации и криптографии Томский государственный университет 11 Всероссийская конференция «Сибирская научная школа-семинар с международным участием «Компьютерная безопасность и криптография». Иркутск, 3-7 сентября 2012 г.
  • 2. Введение • • 1 В настоящее время широкое развитие и распространение получил механизм ролевого управления доступом – SAP R/3 – ЭПС Microsoft Exchange Server 2010 – Cisco Secure ACS, NAC, ISE Предложено огромное количество расширений и модификаций модели RBAC для учета особенностей и условий функционирования КС – RBAC-A – TRBAC – GRBAC – C-RBAC О построении иерархического ролевого управления доступом
  • 3. Особенности управления доступом в КС • • Наличие идентичных составов и структур компонент КС • Существование большого числа ролей и пользователей • Возможность использования уровней иерархии КС при задании разрешенных прав доступа субъектов к сущностям и правил их проверки • Возможность существования нескольких иерархий в КС одновременно • 2 Иерархичность и распределенность компонент КС Необходимость гибкого и масштабируемого задания разрешенных прав доступа при администрировании механизма управления доступом О построении иерархического ролевого управления доступом
  • 4. Пример 3 О Сибирская научная школа-семинар с международным участиемдоступом построении иерархического ролевого управления 10 "Компьютерная безопасность и криптография"
  • 5. Пример 4 О Сибирская научная школа-семинар с международным участиемдоступом построении иерархического ролевого управления 10 "Компьютерная безопасность и криптография"
  • 6. Пример 5 О построении иерархического ролевого управления доступом
  • 7. Требования управления доступом • • Задана верхняя полурешетка уровней иерархии КС и каждой сущности присвоен уровень иерархии • Определено множество типов сущностей и для каждой сущности указан ее тип • Задано множество ролей, каждая из которых представляет собой некоторое множество прав доступа к сущностям определенного типа • Каждый субъект обладает некоторым множеством разрешенных для данного субъекта ролей • 6 Все сущности должны быть идентифицированы Субъект обладает правом доступа к сущности в том и только том случае, если субъект обладает ролью, в множестве прав доступа которой имеется данное право доступа к сущности данного типа и уровень иерархии субъекта не меньше уровня иерархии сущности О построении иерархического ролевого управления доступом
  • 8. Элементы модели RBAC-H E = O  C – множество сущностей, O – множество объектов, C – множество контейнеров и O  C = ; U – множество пользователей и U  E = ; R – множество ролей; Rr – множество видов прав доступа; S  E – множество субъект сессий-пользователей; T – множество типов сущностей; L – множество уровней иерархии сущностей; X – разбиение множества E в соответствии с заданной иерархией сущностей, при этом |X| = |L|; (L, ≤), (X, ≤) – верхние полурешетки; P  (Rr  T)  (Rr  E) – множество прав доступа к сущностям одного типа и к сущностям; 7 О построении иерархического ролевого управления доступом
  • 9. Элементы модели RBAC-H type: E → T – функция типов сущностей; fe: E → L – функция, задающая уровень иерархии каждой сущности; PA: R → 2P – функция прав доступа ролей; UA: U → 2R – функция авторизованных ролей пользователей; user: S → U – функция принадлежности субъект-сессии пользователю; roles: S → 2R – функция текущих ролей субъект-сессий, при этом для любой субъект-сессии sS выполняется включение roles(s)UA(user(s)) can_access(s, e, p) – предикат, истинный тогда и только тогда, когда выполнено - fe(e) ≤ fe(s) - (p, type(e)) PA(roles(s)) 8 О построении иерархического ролевого управления доступом
  • 10. Определение • В КС реализовано иерархическое ролевое управление доступом RBAC-H, если любая субъект-сессия sS пользователя user(s)U может обладать правом доступа pRr к сущности eE тогда и только тогда когда истинен предикат can_access(s, e, p) 9 О построении иерархического ролевого управления доступом
  • 11. Структура элементов модели 10 О построении иерархического ролевого управления доступом
  • 12. Выводы • • 11 Предложено описание базовых элементов иерархической ролевой модели RBAC-H, ориентированной на КС с иерархией сущностей, отражающие установленные организационно-управленческие отношения Добавление атрибутов иерархии и типов сущностей к элементам модели RBAC позволяет адаптировать ее к условиям функционирования реальных КС, а также упростить реализацию и администрирование системы ролевого управления доступом О построении иерархического ролевого управления доступом
  • 13. Благодарю за внимание! Колегов Денис Николаевич Доцент кафедры защиты информации и криптографии Томский государственный университет E-mail: d.n.kolegov@gmail.com О построении иерархического ролевого управления доступом