مدل كنترل دسترسی نقش - مبنا (RBAC)

صفحه 1:
مدل کنترل دسترسی نقش -مبنا (۳۸80) رسول جلیلی + ۱ 

صفحه 2:
() جح ‎Role Hierarchy‏ (UA) ‘ment ‎as‏ با ‎( USERS ROLES },A4ssignment ‎_fsession_roles ‎ ‎ESSIONS' ‎a on ‎user_sessio. ‎ 

صفحه 3:
مدل 11۳/6 - اهداف * سازگاری با ساختار سازمانی * سادگی مدیربت کنترل دسترسی * قدرت بیان: امکان بیان خطمشی‌های اختیاری (۸0) و ‎(MAC) gst‏ deast privilege) 520 Jals> Jol * * تفکیک وظایف (501) ۱5 aw ۳ 6 

صفحه 4:
مدل 14۳/6 - کنترل دسترسی * اعطای مجوزها به نقش‌ها و نقش‌ها به کاربران (به جای اختصاص مستقیم مجوزها به کاربران) تعیین نقش‌ها بر اساس اصل حداقل مجوزها اعطای مجموعه مجوزهای موردنیاز برای اجرای وظایف مربوطه به هر نقش به آن * امکان توصیف تفکیک وظايف (01© 561221211012 ‎(Duties‏ me ۶ 

صفحه 5:
‎ele‏ نقشها عاس ل‌ها ‎Server 1‏ ۳ م۲061 سر ‎Role 2 Fj Server 2‏ 1 ‎ ‎ ‎ ‎ ‎ ‎ ‎a!‏ کاربران دائماً تغییر می‌کنند اما نقش‌ها خیر ‏لاا ه ‎ ‎ ‎ ‎ 

صفحه 6:
‎Jas‏ 18138/860 - چارچوب مدل ‎ ‏* مدل نقش-مبنای پایه (,1359۸) - مولفه‌های مدل پایه * مدل نقش-مبنای سلسله مراتبی ( ,013۳8۸ - سلسله مراتب عمومی = سلسله مراتب محدودشده * مدل نقشمبنا با محدودیت (,۳3۸6) - تفکیک وظایف ایستا ‎(SSOD)‏ ‎)0501( ‏تفکیک وظایف پویا‎ - Li ‎ 

صفحه 7:
‎Joo‏ 5۳۸ - انواع ‎ ‎ ‎ ‎ ‎ ‎ ‎ ‎ 

صفحه 8:
مدل نقش مبنای پایه 1813۸6 + 

صفحه 9:
مدل نقش مبنای پایه 18196 * مولفه‌های مدل پایه ,1۳۸: - عامل‌ها یا کاربران(791:15]) نقش‌ها ‎(ROLES)‏ مجوزها (۳۳5) * اعمال (0۳5) * اشیاء (0185) - رابطه اختصاص نقش به کاربر (78]) - رابطه اختصاص مجوز به نقش (۳۸) 5 - نشست‌ها ‎(SESSIONS)‏ me ‏؟‎ Ei” 

صفحه 10:
RBAG, -2 ‏مدل‎ * نمای کلی مدل ,1318۸6 5-2 sessions | 

صفحه 11:
مدل 3- ,1318۸0 * کاربران (۲79۳15]) 26 @ Person Intelligent Agent ) Ell 

صفحه 12:
مدل 4- ,1318۸0 ‎fold tai 2 (ROLES) & 2s °‏ تعدادی وظیفه‌مندی ‎4 ‏مدير كل مدير مالى ‎2 ‎۳ ‎ ‏لان اپراتور راهنما 5 برا نور را ۲ ‎۲ 

صفحه 13:
RBAC, -5 Jac * اعمال (0۳5)): اجرای عملی خاص (تابعی از یک برنامه) بر روی یک شیی يا منبع ‎*Database - Update Insert‏ ‎Append Delete‏ *Locks - Open Close *Reports - Create View Print *Applications - Read Write Execute 9 ) لاا 1# ۱۳ 

صفحه 14:
RBAC, -6 Jac * اشياء يا منابع (0185)): حاوى داددها *OS Files or Directories *DB Columns, Rows, Tables, or Views *Printer *Disk Space *Lock Mechanisms me ۱۳ cia 

صفحه 15:
RBAC, -7 Jac * مجوزها ‎glace gore (PRMS)‏ از مجوزها که هریک اجرای یک عمل را بر روی یک شیی یا منبع حفاظت شده ممکن می‌سازد. ‎User.DB1 User.F1‏ ‎“View *Read‏ ‎-Update “Write‏ ‎*Append +Execute‏ ‎permissions object permissionabject‏ ‎PRMS = 2'079089)‏ لاا 11 ور 

صفحه 16:
RBAC, -8 ‏مدل‎ * رابطه اختصاص نقش به کاربر (17۸1) نقشها اختصاص يك نقش به يك یا چند کاربر ک ۳0۲« لگنا ع هلا ‎assigneduser(r: ROLE$~ 2°°"‏ assignedusetr) ={ue USERftu,n)< UA 

صفحه 17:
مدل 9- ,1318۸0 * رابطه اختصاص مجوز به نقش (9/۸) نقشها ‎x‏ زها ‎DB1‏ ‎Create‏ Delete Drop Admin.DB1 اختصاص یک مجوز به یک یا چند نقش DB1 View Update Append اختصاص یک نقش به یک يا چند مجوز PAS PRMS XROLES User.DB1 

صفحه 18:
مدل 10- ,1318۸0 * رابطه اختصاص مجوز به نقش (۳۸) مجوزها ‎*Read‏ Write at ge “View ef SQL “Update + «Append *Create *Drop assigned permissier: ROLE$> 2°°™* assigned permissioa) ={pe PRM§( pr) PA} 

صفحه 19:
مدل 11- ,1318۸0 نشست‌ها: هر کاربر می‌تواند چند نشست داشته باشد. 3 FINL-report1 DB1.table1 APP1.desktop user sessiowa: ‏ج5510 252 ریز‎ 

صفحه 20:
مدل 12- ,1318۸0 * نقش‌های فعال در یک نشست < مجموعه نقش‌های فعال شده توسط کاربر نشست (از مجموعه نقش‌های اختصاص يافته با 4[]). sol = ‏سل(‎ ‎DB1.table1.session “Over *Duevt sessionrolegs: SESSIONS. 2°" session_ roles(s,) > {ré ROLES |( session _ user(s, ), r) € UA} 

صفحه 21:
مدل 12- ,1318۸0 * مجوزهای یک نشست - مجموعه مجوزهای نقش‌های فعال شده در aunts ‏زها‎ 58 ۱ ‏ی‎ ‎“View ‎*Updat ‎> 32 ‏جو‎ ‎*Appen ‎DB1.ADMIN ‏مت‎ DB1.table1.session *Drop avail _ session pemms(s: SESSIONS) > 25 = ‏لا‎ assigned _ permissions(r) resents) 

صفحه 22:
مدل نقش-مبنای سلسله‌مراتبی 1۳۱۸/۱ 

صفحه 23:
مدل نقش-مبنای سلسله‌مراتبی ,1۳۸ * نمای کلی مدل ,1318۸0 (RH) Role Hierarchy user_session: fossion. roles ;ESSIONS 

صفحه 24:
RBAC, -2 ‏مدل‎ * انواع سلسله مراتب نقش‌ها Production Quality Production Quality Engineer 1 Engineer 1 Engineer 2 Engineer 2 ‏سبل .ص‎ Se Engineer 1 Engineer 2 3 OS ge =a Engineering Dept Director Project Lead 1 Project Lead 2 Production Quali Proavcion هس‎ 6 Engineer 1 Engineer 1 Engineer 2 Engineer Joy) 

صفحه 25:
RBAC, -3 ‏مدل‎ * انواع سلسله مراتب نقش‌ها (Lattice) asus bss Director — Project Lead 1 Project Lead 2 Production Quality Production Quality Engineer 1 Engineer 1 Engineer 2 Engineer 2 Engineer 1 Engineer 2 a ete Engineering Dept 

صفحه 26:
RBAC, -4 ‏مدل‎ * رابطه نقش و زيرنقش (811) * ساختار سلسله مراتبى نقشها مى تواندب ركرفته از ساختار سازمانى باشد. ۴ دو نوع سلسله‌مراتب: - سلسله مراتب عمومی: پشتیبانی از ارث‌بری چندگانه - سلسله مراتب محدودشده: عدم ارث‌بری چندگانه * در صورتیکه نقش ,۲ فرزند نقش ,۲ در سلسله مراتب باشد. همه مجوزهای آن را به ارث می‌برد. ‎Ty‏ به ارث می‌برد از و۲ ‎RH © ROLES X ROLES 5 ‎۲۶ Ela ‎ 

صفحه 27:
RBAC, -5 Jo * کاربران یک نقش در سلسله مراتب نقش ها ۳ بو رو ‎authorizediser@:‏ ‏زا رن ‎authorized _users(r) ={u€ USERS |r'>r*‏ * مجموعه مجوزهای یک نقش در سلسله مراتب نقش ها ‎authorizedpermissism: ROLE$~ 2°"‏ ‎authorized _ permissions(r) ={pe PRMS|r>r',(p,r')€ PA‏ 0 0 ۲ 1 0 52 

صفحه 28:
RBAC, -6 Joo * رابطه کاربران و مجوزها در ارث‌بری نقش‌ها 1۳ DB1. ‘Admin ارث‌بری © 6 DB1.Us@ 12>r1= authorizedpermissioy,) < authorizedpermissiotr,) * authorizediser@;) < authorizediser@;) 42::user 1: Admin 

صفحه 29:


صفحه 30:
RBAC, -8 ‏مدل‎ سلسله مراتب محدود: فقط ارث بری یگانه هر نقش تنها یک پدر بی واسطه در سلسله مراتب نقش ها دارد. Vor,0€ ROLES r>,r* r> > r=r 60 

صفحه 31:


صفحه 32:
مدل نقش-مبنا با محدویت ‎RBAC,‏ 

صفحه 33:
مدل نقش-مبنا با محدویت ,1118۸6 * نمای کلی مدل ,1318۸6 7 (RH) Role Hierarchy 0 wa \ rr USERS pas ll oo aay BSD ‏د‎ .۱ ۱ لذب 

صفحه 34:
RBAC, -3 Jac 10 عملم حدوهينهر اختصاص:ن قشبه كايبر در ريلبطه 1/4 * از یک مجموعه از نقش‌های متداخل, نمی‌توان «نقش و با بیشتر را به یک کاربر اعطا کرد. * ممکن است یک کاربر امکان داشتن دو نقش در یک زمان را نداشته باشد - دو نقش دو بدو ناسازگار ‎SSoD = {ssod,, ..., ssod,}‏ ssod, = (rs, n) ‏تون اق بدووو‎ 5 ‏ع و‎ 000060 ssod=( ‏(ظر .روط رن‎ V(rs ne SSODVEE rs |t|zn= Massigneduserg) =o ret 

صفحه 35:
RBAC, -4 Jac (501 :عم |محنومینر فعل لب ازین قش‌تسوسط کاربر در یکنسشست * از یک مجموعه از نقی‌های متداخل, نمی‌توان « نقش و یا بیشتر را در طی یک نشست فعال کرد. * اعمال این محدودیت نیاز به نگهداری سابقه نقش‌های فعال شده در طی یک نشست دارد. ‎DSoD = {dsod,, ..., dsod,,}‏ ‎dsod, = (rs, n)‏ يكمجموعه نسقش‌ناسایگار < 75 ‎DSoDz=(2"°*N)‏ ‎k>2‏ رار ‎dsod=( x,‏ ‎V(rs ne DSoDVs< SESSIONS1, t< rgt¢ session rolegs)= | tk n‏ 

صفحه 36:
RBAC, -5 Joo مثالی از تفکیک وظایف ایستا فرآیند خرید _ سفارش کالاو درج جزئیات سفارش ۲ _ دریافت فاکتور و کنترل آن با سفارش انجام شده ۳ _ دریافت کالاو کنترل آن با فاکتور ۴ _ صدور مجوز پرداخت فاکتور محدودیت تفکیک وظایف ایستا: - هیچ فردی نمی‌تواند مسئولیت وظایف (۱) و (۳) را باهم داشته باشد. ‎<ssod1=<{1,3}, 2‏ ‎ -‏ حداقل ۳ نفر برای انجام ۴ مرحله فوق موردنیاز است. ‎ ‎ 

صفحه 37:
RBAC, -6 Jac * مثالی از تفکیک وظایف ایستا و پویا Static SoD (SSoD) Dynamic SoD (DSoD) Approve/ 2 PB ‏ی‎ ——Summari check \decisions| sue/avoi check 

صفحه 38:
مدل نقش -مبنای سلسله‌مراتبی با محدودیت 1۳/۸/۱ os 

صفحه 39:
گونه‌های توسعه بافته ‎RBAC‏ برای محیط‌های جدید محاسباتی مرتضی امینی ‎m_amini@ce.sharif.edu‏ an 

صفحه 40:
توسعدهاى 115/4600 (دامه) GRBAC (Generalized RBAC) [Covington °* et al 2000] - یک مدل آگاه از زمینه - نقش‌های (گروههای) * عاملی: مشابه 1۳8۸ * شیئی: دسته‌بندی بر اساس خصوصیات مشترک. مثال: 1۵010۳ * محیطی: تعیین شرایط محیطی. مثال: 60-1(315 12۳۰۷۷0۳10 - قواعد دسترسی به‌صورت ترکیبی از نقش‌های محیطی. شیثی و عاملی ‎(Students, Lab, Laptop) nt‏ me cil 

صفحه 41:
توسعه‌های 1318۸6 ‎TRBAC (Temporal RBAC) Bertino et al *‏ ۱۱۳2001 - یک مدل با قابلیت توصیف محدودبت‌های زمانی - تعریف محدودیت‌های زمانی در فعال سازی نقش‌ها * امکان فعال‌سازی نقش در بازه‌های زمانی مشخص ‎Night-time, enable doctor-on-night- [ 1 ,\/\/v--vl) (duty ‎enable nurse-on-day-duty — enable nurse-on- training after 16 | a ‎ 

صفحه 42:
توسعه‌های 1318۸6 ‎{{Drive RBAC Wilikens et al 2002 °‏ - يك مدل مبتنى » ‎jlolSi g (Attribute Based) cxoges‏ زمینه - نقش‌های از پیش تعریف‌شده * هنگام ثبت کاربر بنا بر اعتبارنامه‌های وی - نقش‌های فعال‌شده * بر اساس زمینه کاری کاربر 7 انتساب مجوزها به نقش‌ها ‏* به صورت بويا بر اساس محدودیت‌های زمینه‌ای هر کاربر ‎ ‏لاا 18 مم 

صفحه 43: