Development and Implementation of Mandatory Access Control Policy for RDBMS M...
О построении иерархического ролевого управления доступом (SibeCrypt 2012)
1. SEBECRYPT 2012
О ПОСТРОЕНИИ
ИЕРАРХИЧЕСКОГО
РОЛЕВОГО УПРАВЛЕНИЯ
ДОСТУПОМ
Колегов Денис Николаевич
Доцент кафедры защиты информации и криптографии
Томский государственный университет
11 Всероссийская конференция «Сибирская научная школа-семинар с международным
участием «Компьютерная безопасность и криптография». Иркутск, 3-7 сентября 2012 г.
2. Введение
•
•
1
В настоящее время широкое развитие и распространение получил
механизм ролевого управления доступом
– SAP R/3
– ЭПС Microsoft Exchange Server 2010
– Cisco Secure ACS, NAC, ISE
Предложено огромное количество расширений и модификаций модели
RBAC для учета особенностей и условий функционирования КС
– RBAC-A
– TRBAC
– GRBAC
– C-RBAC
О построении иерархического ролевого управления доступом
3. Особенности управления доступом в КС
•
•
Наличие идентичных составов и структур компонент КС
•
Существование большого числа ролей и пользователей
•
Возможность использования уровней иерархии КС при задании
разрешенных прав доступа субъектов к сущностям и правил их
проверки
•
Возможность существования нескольких иерархий в КС одновременно
•
2
Иерархичность и распределенность компонент КС
Необходимость гибкого и масштабируемого задания разрешенных
прав доступа при администрировании механизма управления доступом
О построении иерархического ролевого управления доступом
4. Пример
3
О Сибирская научная школа-семинар с международным участиемдоступом
построении иерархического ролевого управления
10
"Компьютерная безопасность и криптография"
5. Пример
4
О Сибирская научная школа-семинар с международным участиемдоступом
построении иерархического ролевого управления
10
"Компьютерная безопасность и криптография"
7. Требования управления доступом
•
•
Задана верхняя полурешетка уровней иерархии КС и каждой сущности
присвоен уровень иерархии
•
Определено множество типов сущностей и для каждой сущности указан ее тип
•
Задано множество ролей, каждая из которых представляет собой некоторое
множество прав доступа к сущностям определенного типа
•
Каждый субъект обладает некоторым множеством разрешенных для данного
субъекта ролей
•
6
Все сущности должны быть идентифицированы
Субъект обладает правом доступа к сущности в том и только том случае, если
субъект обладает ролью, в множестве прав доступа которой имеется
данное право доступа к сущности данного типа и уровень иерархии
субъекта не меньше уровня иерархии сущности
О построении иерархического ролевого управления доступом
8. Элементы модели RBAC-H
E = O C – множество сущностей, O – множество объектов, C – множество
контейнеров и O C = ;
U – множество пользователей и U E = ;
R – множество ролей;
Rr – множество видов прав доступа;
S E – множество субъект сессий-пользователей;
T – множество типов сущностей;
L – множество уровней иерархии сущностей;
X – разбиение множества E в соответствии с заданной иерархией сущностей, при
этом |X| = |L|;
(L, ≤), (X, ≤) – верхние полурешетки;
P (Rr T) (Rr E) – множество прав доступа к сущностям одного типа и к
сущностям;
7
О построении иерархического ролевого управления доступом
9. Элементы модели RBAC-H
type: E → T – функция типов сущностей;
fe: E → L – функция, задающая уровень иерархии каждой сущности;
PA: R → 2P – функция прав доступа ролей;
UA: U → 2R – функция авторизованных ролей пользователей;
user: S → U – функция принадлежности субъект-сессии пользователю;
roles: S → 2R – функция текущих ролей субъект-сессий, при этом для любой
субъект-сессии sS выполняется включение roles(s)UA(user(s))
can_access(s, e, p) – предикат, истинный тогда и только тогда, когда выполнено
- fe(e) ≤ fe(s)
- (p, type(e)) PA(roles(s))
8
О построении иерархического ролевого управления доступом
10. Определение
•
В КС реализовано иерархическое ролевое управление доступом RBAC-H, если
любая субъект-сессия sS пользователя user(s)U может обладать правом
доступа pRr к сущности eE тогда и только тогда когда истинен
предикат can_access(s, e, p)
9
О построении иерархического ролевого управления доступом
12. Выводы
•
•
11
Предложено описание базовых элементов иерархической ролевой модели
RBAC-H, ориентированной на КС с иерархией сущностей, отражающие
установленные организационно-управленческие отношения
Добавление атрибутов иерархии и типов сущностей к элементам модели RBAC
позволяет адаптировать ее к условиям функционирования реальных КС, а
также упростить реализацию и администрирование системы ролевого
управления доступом
О построении иерархического ролевого управления доступом
13. Благодарю за внимание!
Колегов Денис Николаевич
Доцент кафедры защиты информации и криптографии
Томский государственный университет
E-mail: d.n.kolegov@gmail.com
О построении иерархического ролевого управления доступом