مدل مديريتی كنترل دسترسی نقش مبنا

صفحه 1:
مدل مديريتي کنترل دسترسي نقش مبنا امنیت پایگاه داده . اردیبهشت 1385 صالح حافظ قرآنی | دانشکده مهندس ی کامپیوتر 

صفحه 2:
* امنیت پایگاه داده * مدل کنترل دسترسي نقش - مبنا ؟ مدیریت در کنترل دسترسي ‎AB‏ مبنا * مدل مدیریت در کنترل دسترسي نقش- مبنا پیاده سازي مدل 0۳۹۵97 براي انتساب مجوز به نقش در ‎Oracle‏ ‏كنترل دسترسي نقش- مبنا و 00090 * استفاده از #00000 براي اعمال ©0009 و 00000 ۰ جمع بندي * مراجع 

صفحه 3:
امنیت پایگاه داده © جنبه هاي مهم در برقراري امنیت - کنترل دسترسي کاربران به داده ها *بايستي مدلي ارائه شود تا تعیین گردد که چه دسترسي هايي مجاز و چه دسترسي هايي غیر مجاز است. * پايگاههاي داده با توجه به متمركزسازي داده ها در ن بیشتر مورد توجه قرار می گیرند. #مدل کنترل سترسي نقنش- مبنا به عنوان يك مدل کنترل دسترسي مرسوم و پرکاربرد مطرح است. ۰ 

صفحه 4:
مدل کنترل دسترسي نقش - مبنا - کنترل دسترسي اجباري یا 0690 7 کنترل دسترسي اختياري یا ‎DBO‏ ‏- کنترل دسترسي نقش- مبنا یا ‎ROB‏ ‎apy cle ©‏ زياد اين مدل براي كنترل دسترسي ها ( مزايا ) : - سادگي مدیریت آن . - نكاه واقعي مدل به محيط هاي عملياتي. مجوز دسترسي بر اساس نقش ها در سازمانهاست نه بر اساس مالكيت داده ها. - مدل (860696) به خوبي سیاست امنيتي پیچیده را مدیریت مي کند. 

صفحه 5:
طرح يك مشکل و ارائه يك راه حل * اگر سيستمي با هزاران کاربر و صدها نقش و مجوز در نظر بگيريم. مدیریت نقش ها و انتساب کاربران به نقش ها و مجوز هابه نقش ها و همچنین ساخت سلسله مراتب از بسیار يبجيده و مشكل مي كردد و نمي توان لن را توسط يك مدير در سيستم انجام داد. * راهكار : مديريت غير متمركز. در نظر كرفتن نقش هاي مديريتي و حوزه هاي مديريتي براي هر نقش - همچنین ایجاد سلسله مراتبي از آنها 7 واگنلري مدیریت به افراد مختلف در حوزه هاي گوناگون سیستم هر مدیر مسوولیت مدیریت در حوزه خود را بر عهده داشته باشد 

صفحه 6:
خانواده مدل هاي ‎RBAC‏ 00 به عولنمدلبایه در باييروارلي کسمترین ‎pasha‏ 0809000 موباشد. © 8)90900) سلسله مرلتبواز نقشهارا به آن لضافه کرده لستبه طوریکه ن_قش‌ها ميت ولنند از نقشرهاوميكر به ارتسيرند © ©000000) قيودورا تعريفميكندكه محدومیتهاییر! به تنظيماتقابلقوليرلعمولفه ها در (60606) لضافه مینماید. ‎Jas ©‏ 0۳۷ . شامل هر دو 600 و 160 وبه صورت ضمني, 160096000 نيز مي باشد. 

صفحه 7:
- کاریران * منظور از كاربرء انسان مي باشد. فردی که با سیستم تعامل دارد. ‎ice 2‏ © نقش, یک کار نامدار درون سازمان است که سازمان مجوز ها و مسئولیت ها را به اعضاي یک نقش مي دهد. ‏- اختیارات یا مجوزها * به كسي كه دارنده اختيار است. قدرت انجام یک عمل در سیستم را مي دهد. ‎ ‎ ‏نشست ها ‏© كاربر با فعال كردن يك مجموعه از نقش ها كه به او متعلق است. نشست ها را برقرار مي ‎ae‏ 

صفحه 8:
* سلسله مراتب به معني ساختار نقش هاست که حدود مجوزها و مسئولیت ها در سازمان را باز مي تاباند. * این سلسله مراتب یک مجموعه ب جزشی است. یک ترتییب خواص بازتلبي, انتقللي و پاد 

صفحه 9:
* مخدود. کزدن ورافت <- ممکن است بخواهد تعدادي اختیارات محرمانه براي خود داشته باشد و از به ارث رسیدن آنهابه سایر نقش ها جلوگيري کنید. * زیر سلسله مراتب خصوصي - فرض کنید که به زیر مجموعه محرملنه ای نیاز باشد به طوریکه اختیارات آنها توسط بالایی ها به ارث برده نشود. 

صفحه 10:
* قیود جنبه مهمي از (1160696) هستند. یک مثال رايج جدا كردن نقش هاي سازمان است. - نقش هاي انحصار متقابل : * یک کاربر مي تواند به حداکثر یک نقش در مجموعه انحصار متقابل نسبت داده شود. كه اين ود باعث جدا کردن وظایف از یکدیگر مي شود. 6 انحصار متقایل در مورد 6*3 . مشخص مي کند که یک اختیار خاص نتواند به دو نقش ‎Nero)‏ 0 - دانه بندي : © یک قید دیگر روي کاربر است . حداکثر تعداد اعضاي یک نقش می تواند محدود باشد. تنها یک نفر مي تواند رئیس یک سازمان باشد. © تعداد نقش هاي يك کاربر مي تواند به مجموعه خاصي محدود شود و یا به تعداد خاصي محدود گردد. 0 0 9 

صفحه 11:
بامدلقیود د ادلمه ) بر شایستگی ها است. به طوریکه کاربر مي تولند به نقش شود و اگر تنها اگر کاربر قبلایه نقش 9) نسبت داده شده - براي سازگاري, اختیار . مي تولند به یک نقش تنها در صورتیکه نقش در حال حاضر داراي اختیار > است. نسبت داده شود. = ۲ بسياري از سیستم ها اختیار خواندن یک فایل مستلزم داشتن اختیار خواندن از دايركتوري مي باشد. 

صفحه 12:
2+1-3 تلفیق این دوء موارد قابل بحث جديدي را بوجود مي آورد : - قیود روي سلسله مراتبي از نقشها : * چون دراین مدل قيود و سلسله مراتب هر دو در مدل دهده مي شوند . قيود را روي سلسله مراتب هم مي توان تعریف کرد. * قیود مي توانند تعداد نقش هاي بالاتر و پایین تر را محدود کند. - تقابلات تقایل ظريفي بین قیود و سلسله مراتب بوجود مي آید. - نقش هاي محرمانه © نقش هاي محرمانه مي توانند بدون هیچ برخورد و تلاقي. انحصار متقابل باشند. 

صفحه 13:
اجزاء مدل 6۲600 USER ASSIGNMENT PERMISS. TONS | PERMISSION ‏كما‎ 

صفحه 14:
مدیریت در کنترل دسترسي نقش- مبنا در سیستم بزرگ که تعداد نقش ها به صدها و هزاران افزایش مي یابد. مديريت اين نقش ها و روابط میان آنها یک کار سخت که به صورت مركزي انجام مي شود و به گروه كوچكي از مدیران امنيتي محول مي شود. ؟ از آنجا که نکته اصلي (60696*) این است که مدیریت را ساده مي کند. مي توان از خود آن در مدیریت خودش استفاده نمود. * نقش هاي مدير يا 0008 و اختيارات مدير يا 0005 را از نقش هاي معمولي يا +0 و اختيارات معمولى يا 8) جدا مى كنيم . * اختیارات تنها به نقش ها نسبت داده مي شوند و اختیارات مدیریتی تنها به نقش هاي مديريتي نسبت داده مي شوند. 

صفحه 15:
مدیریت در سیستم هاي نقش- مبنا * پروژه تحقیقاتی ۰۳() مس( : - پروژه ‎Debooray‏ و سيستم لج جات (1) مربوطه - اهداف * فراهم آوردن سرويس هاي دولتي ‎Qurctiy OF Genice‏ ۰ - ماجول 060606 ‎Privacy‏ رولب( زرا رمطمموول) - 7 ماجول 2696 به عنوان ابزار مدیریت ماجول فوق ‎COOP Odewristratoa Oouwsvke‏ = 

صفحه 16:
# همانطور که در شکل, نشان داده شده است که انواع مدل هاي بحث شده . براي مدير نيز مطرح است. البته معمولا مدل مدير ساده تر از خود مدل 0000000 است. بنابراين مى توان از 00080000) به جاي 08080908 استفاده نمود. ۱ * چگونه مدل سلسله مراتبي مدل مدیر مدیریت مي شود؟ - به طور تئوريك. سطح دوم از سلسله مراتب مي تواند براي مدیریت سطح اول مورد استفاده قرار گیرد. ولي براي مدل ضروري نمي باشد. - مدیریت سلسله مراتب مدیر مي تولند توسط یک نفر رئیس سیستم مدیریت انجام شود. مجوزهاي مدیر در 9606062 تواناييي تفییر نسبت دادن نقش به کاربران و نیز تفییر دادن نسبت دادن اختیارات به نقش ها و روابط موجود در سلسله مراتب نقش ها را به وجود آورد. 

صفحه 17:
اجزاء مدل مديريتي 008000 

صفحه 18:
اجزاء مدل مديريتي 0809000 © این مدل در سال 1997 توسط ‎Gorrdku‏ ارائه گردید. ایده اصليی آن استفاده از خود مدل 01800000 براي مديريت آن بود. اين مدل شامل سه مدل اصلي به شرح زير مي باشد : - مدل 066 یا مدل انتساب کاربران به نقش - مدل 00" یا مدل انتساب مجوزها به نقش - مدل 000809 يا مدل انتساب نقش به نقش 

صفحه 19:
مدل 0009 با مدل انتساب کاربران به نقش * اين مدل داراي 2 مؤلفه اصلى است : - انتساب کاربران به نقش ها ياأمدل 0309 -- 0-5 - بازيس كيري عضويت آنها در نقش ‎Ounrrevoht — Revoke lle‏ 9 رابطه 2000-5209 بيان مي كند كه جه افرادي با جه بيش شرط هايبي مي توانند در جه حوزه اي كار اعطاء را انجام دهند. اقراد را با نقش هاي مدیریت که دارا هستند معین مي کند. یعنی نقشي را بیان مي کند که افراد براي اعمال كارهاي مديريتي در يك حوزه خاص بایذ دارا باشند" اه 2 ا سيم هس و ل توانند عمل بازپس گيري را انجام دهند. این تولبع برآي عمل انتساب و بازيس گيري نقش ها به کاربران به کار مي رود و بايستي در هر عمل, امکان انجام آنرا توسط آنفا خلف کزد: 

صفحه 20:
* تلبع ۵0_۳9() داراي سه پارامتر ورودي است. که نقش مديريتي فردي که مي خواهد عمل انتساب را انجام دهد را مشخص مي کند. ۷ نقش پیش شرط فردي است که مي خواهيم به او نقش را انتساب دهیم و 7 که دامنه نقش هاي قلبل انتساب را معین مي کند. يعني فرد داراي نقش مديريتي لابه يك کاربر که فعلا داراي نقش ۲ است مي تواند هر نقشي در دامنه بآ" عطا کند. عادو یودهم ‎cole range‏ عماوج موم بو 2 

صفحه 21:
‎ait ®‏ ام مس( داراي در پارامشر ورودي انست.. 26 کنه نق ثر مديريتي فردي که مي خواهد عمل بازپسس گيري نقش را انجام دهد را مشخص می کند. 7" دامنه نقش هلیی را كه مي تولند بازيس كيرد تعيين مي كند . هيج بيش شرطي براي اين تابع تعريف نمي كردد. ‎ ‎x: adeinistrative role,‏ )| )2 موی ۳ ‎TELA ‎TAD ‎oR) ‏هد هر‎ ‏ام ‏تم ‎so‏ ‏مد ‎ ‎ ‎ ‎ ‎ 

صفحه 22:
مدل 000809 يا مدل انتساب مجوزها به نقش © إين»مقل نيز مشابه مدل قبلي داراي 2 مولفه اصلي است : - مدل 2۳۷ براي اعطاء مجوزها به نقش ها 005-957 7 مدل عم؟1) براي بازپس گيري مجوز از نقش ‎Conmrevoltey le‏ * رابطه اول وظيفه تعيين افراد و شرط ها براي انجام عمل انتساب در يك حوزه خاص و رابطه دوم وظيفه تعيين افراد براي انجام عمل بازيس كيري در يك حوزه خاص را بر عهده دارد. 

صفحه 23:
‎e‏ تابع :0090_0959 داراي سه پارامتر ورودي است ‎ .‏ که نقش مديريتي مجري عمل انتساب را ‏می کند. ۲۲ ‎hts‏ ایا كه مي توان مجوزهاي أن را براي عمل انتساب انتخاب کرد. ۲" ۰ حوزه نقش هايي است که مي توان مجوز انتخاب شده را به آن نسبت داد. ‎(vx: adnamistratve role, ‏مسوم هم بر‎ condion, 2 ‏موس ماه‎ ‎Pale Pause‏ | ساس وعم ۳ 2 ‏هم 0 ‎ELIE‏ امه ‎(GEL, OE!‏ ملام هه | عمممم ‎(O62, 062]‏ | بيس جرد ‎ ‎ ‏)2.¥ وروی ‎“iain Bae 250 D0 Pso1 ‏مد‎ ‎F502 ‎P02 ‎ ‎ ‎ ‎ 

صفحه 24:
‎gle Coa_Revokep at &‏ دو پارامتر ورودي است که « نقش مديريتي مجري عمل بازپس گيري و < حوزه نقش هايي لست که مي توان در آن حوزه عمل بازپس گيري مجوز ها را انجام داد. ‏© مر در 020809 حويد لنتخابمجونها را در تابع ۵۱02۳0۳( مشخص ميك در حاليكه در 000809 بيش شرط برلي لخذ نقشبود. بتبرليزدر 000809 مي ‎ves‏ | به عنلنام۲۳ و۳" ياحونه لييراوإنتخابمجوز هاجهت ‎role range ‎ ‎ela ‎em ‎@.0R) ‎0 ‎ ‎ ‎canrevokep(s.2) ix: administrative role, ‎ ‎ ‎ 

صفحه 25:
‎RRO Jao‏ يا مدل انتساب نقش به نقش ‏* ایجاد يك سلسله مراتب از * فراهم آوردن بستري براي ساخت مدل ‎ROBO‏ ‎ ‏* وقتي نقشي, بالاتر از يك نقش دیگر قرار مي گیرد. تمام مجوزهاي نقش قبلي را به ارث مي برد. يعني نقش بالاتر تمام مجوزها علاوه بر آسن يك سري مجوز هاي خاص خود را نیز دارد. این مدل سلسله مراتبي با توجه به ساختار سلسله مراتبي نقش هاي سازماني مي تواند شکل بگیرد و به هر چه بهشر مدل کردن نقش ها و نقش هاي مديريتي موجود شازماندراسستم كمك کی ‎Soule lad cul ‏ش‎ ‎ 

صفحه 26:
مشکلاتی در مدل هاي 91*۰ ‎ROOT‏ در انتساب نقش ها به کاربران به خاطر ارضاء پیش شرط ها نمي توان نقش بالاتر را بطور مستقیم به کاربر داد : - اين امر باعث ایجاد انتساب هاي چند مرحله اي. - انجام چند کار مختلف احتمالا توسط چند مدیر در حوزه هاي گوناگون. - باعث مشکلات ديگري در مورد نقش هاي موجود يك کاربر. ‎ical Sy‏ ‎ols AB pile alls 25,0 L Oxer pool pseie DROOT Jas jo ©‏ ‎GLE! —‏ یی موودایین جو موضوع تجداگانه:: براي اعمال خط مشي هاي خاص روي آن. سلسله مرا: ها را تغيير مي دهیم. > 0 هیچ راهي براي محدود کردن نوع مجوزهاي قابل اعطا نداریم. © مشكل ديكر اينكه ممکن است انتساب ها منجر به اثرات جانبي غير مطلوب شود و نقش ها ناخواسته از مجوزهاي ديكران ارث برند. - داده هاي زيادي داراي | شده است: 

صفحه 27:
4 ae 4 orn = ۳ je ‏از دید دیگر مدل کنترل دسترسي نقش مبنا را مبتني بر سه گراف‎ 1 ‏در سه حوزه مختلف بررسي مي کنند‎ : ‏كراف اختيارات يا مجوزها‎ - ‏اين كراف بيائكر سلسله مراتب جاكم برلنواغ مجوزهاي مختلف است. ممکن لست‎ © ‏داشتن يك مجوز . داشتن يك مجوز دیگر را ایجاب كند.‎ ‏گراف گروه ها يا کاربران‎ - ‏در این گراف کاربران یا گروهاي کاربري و سلسله مراتب آنها نمایش داده مي شود.‎ * : Role Grapkl bb ‏گراف نقش‎ - * در این گراف نقش هاي موجود سیستم . گره هاي گراف را تشکیل مي دهند و خط بین آنها ارتباط شامل شدن را معین مي کند. 

صفحه 28:


صفحه 29:
مدیریت غیرمتمر کز در مدل ‎Rote Graph‏ * مطابق همین دید به مدل کنترل دسترسي . گراف نقش هاي مديريتي نیز قليل ترسيم است. لين كراف شامل نقش هاي عادي و نقش هاي مديريتي است و دو رابطه در آن تعریف مي گردد : 5 رابطه “د ل-15 رابطه اي بين نقش هاي عادي ويا بين نقش هاي مديريتي است. لين رابطه نشان دهنده شامل بودن يك نقش بر نقش دیگر است. - رابطه دوم رابطه د ةف:94) است كه با خط هاي خط جين در شكل نشان داده شده است. * لين گراف داراي دو گره به نامهاي :0 و ‎DaxRoke‏ و 05080 که وظیفه مدیریت کل سیستم را بر عهده دارد , در نظر گرفته مي شود. 

صفحه 30:
حوزه هاي مديربتي در ‎Qole Grapk‏ 

صفحه 31:
ساخت گراف نة نقشهاي مديريتي * مطلبق شكل »در ابتدا يريك وجود دارد . * مطلیق شکل بخشها به تدريج اضافه مى شوتدو گراف بزرگتتر 4 Storing Role Graph bs eon Role Graph ‏مي شود.‎ 

صفحه 32:
مدل مديريتي 08000000 توسعه يافته © سعي شده است مثشكلات مطرح شدهء در مدل توسعه يافته يعني 8 حل كردند. در اين مدل مفاهيم ‎Deer Pool‏ 5 ‎(ce Tye Prrevissiza Pov‏ شود و سعي مي گردد تابا حل تداخل هاي غیرلازم موجود . مشکلات مطرح شده کنار گذاشته شود. * براي غلبه بر مشکلات مطرح شده در مدل قبل, دو استرا اتخاذ شده است: - اول. از ساختار سازماني به عنوان ‎pool 9 Deer pool‏ عصا) استفاده مي شود به جاي اينکه از پیش شرط هايي در سلسله مراتب نقش ها استفاده کرد. 5 دوم. توسط این ساختار سازمالي يك روند پائین به بالا براي انتساب مجوز هابه نفش ها مطرح میشود. ۱ اي در این مدل 

صفحه 33:
* براي توسعه سیستم هاي اطلاعاتي؛ سازمان" يك مفهوم خوب براي تحلیل فعالیت هاي موجود در هر دامنه است. * ساختار سازمانی يك ساختار درختی با ویژگی سلسله مرلتبی است. این ساختار از المان هاي سازمانی تشکیل مي شود که فراد متعلق به هر يك داراي یلك هدف مشترك در سازمان هستند و يك سري فعاليتهاي خاص براي رسیدن به آنها انجام مي دهند. * كارهاي انجام یافته با داده هاي مورد دسترسي ارتباط مستقیم دارد. يبس فعالیت ها و كارهاي يك بخش با مجوز هاي تن ارتباط دارد. پس مي توان واحد سازماني را به عنوان يك گروه ا زکاربران و مجوز ها براي )1 به هدف خاص تعریف کرد. 

صفحه 34:
حال مدیر هاي امنيتي. کاربران و مجوزهاي موجود در هر واحد سازماني را به نقش ها نسبت می دهند. 

صفحه 35:
ساختار مدل مديريتي ‎RBBO‏ توسعه یافته 

صفحه 36:
اصلاح مدل با اعمال مفهوم ساختار سازماني © توابع ‎glee Ou _Ossiqny 3 Oun_Ossicn‏ توصیف موجود در 203696006*8) را دارا هستند و فقط پیش شرط ها در تن مجددا تعریف شده است : - پیش شرط ها 59 ‎ole ORD‏ عبارت با ترکیب عملگرهاي 604 و 0 روي نقش هاي عادي و یا واحد هاي سازماني در ساختار سازماني تهیه شده توسط گروه ‎cull Over Poot on 76٩‏ - پیش شرط ها در ۳0۷6 يك عبارت منطقي از عملگر هاي 1( و ‎Or‏ ‏روي عبارات >« و -«است که ديك نقش عادي یا يك داحد سازماني ذر ساختا ار سازماني تهیه شده توسط گروه ‎Perwissiva Pool & IT‏ 

صفحه 37:
پیاده سازي مدل ۳0362*۴) در ‎Ora‏ * امکانات مرتبط در ‎Orde‏ 2 7 فردي در سیستم مي تولند مجوزهاي سيستمي را اعطا کند يا بازپس گیرد که داراي مامت ‎Beko‏ بوده ويا ‎Brooi-cay-privieye jy‏ ;| داشته باشد. 7 فردي در سیستم مي تولند مجوزهاي اشیا را اعطا کند یا بازپس گیرد که خود داراي آن مجوز با ماه ۵() بوده و يا مالك آن شی باشد. ‎Proves ~‏ لح این وشته شده در سیستم باس طح دسترسيا-لكآنجرا مي‌گردد نسه بسا سسطح دسترسيکاربريکه آنرا اجرا ميكند: ‏ الممكفسيلواعطللمنيتو خطمشيهايلليم 

صفحه 38:
A ‏تک ان‎ lle aS Role Darcrarcer pli ‏جداول موجود.‎ * داراي بالاترین سطح دسترسي. * این کاربر داراي تعدادي پکیج و پروسسیجر براي اعمال کشنتزسی ها حونط دستورات ‎see! Revoke 5 Brot‏ روش پیاده سازي ‎PROOT‏ CAN_ASSIGN? CAN_ASSIGNP ‘din Rote Pre Condition Min_int Min Role ‘Max Rote ‏سا‎ CAN ASSIGNS [And set name ‘And rok 

صفحه 39:
توابع پیاده سازي شده او مه ان مس ‎Weck _Revoke_OpsPrv‏ Weck _Revoke_ObfPry Otro, Revoke_Ops(Prv Groen, Revoke_Opo(Prv * بازیس. ‎see‏ نقشي به طور صریح داراي مجوزي باشد. عمل ‎Revoke‏ ‏صورت مي گیر = »۳ © یز قوي يعني در صورتي که نقش, مجوز را از تفش هاي پایین تر به ارث برده أستء عمل بازپس گيري براي آنها هم انجام مي گیرد تا جليي که نقش مربوطه نتواند لین ارث بري را بعد از انجام عمل 0۸۲؟3) . مجددا انجام دهد. 

صفحه 40:
کنترل دسترسي نقش - مبنا و ‎DBC‏ ‎Rote Graph (7۱ ۶‏ - يال در كراف نقش و رابطه فيل 15“ - الگوریتم ساخت گراف < خصوصیات گراف نقش * تعریف يك سري شرایط محدودیت ها در مدل گراف نقش براي ارضاء ‎DOC‏ ‏* ارائه يك سري ۲ا9۳۳) 0؟) براي هر نمونه از کنترل دسترسي هاي مبتني بر هرا 

صفحه 41:
استفاده از ‎RBC‏ برای اعمال 0096) و ‎MBC‏ ۱ * مکانیزم 4169690 به اندازه اي كلي است که بتواند 0090 و ©0000 را ‎dyed‏ سازتی کفند. ۱ © يك خصوصيت مهم اينكه خط مشى در طول ‎Opt‏ اما می تواند تغییر - 00000: جريانيكطرفه لطلهات ‎Ouxer Based Ockoristrctioa —‏ : 000090 * تعريف يك سري قوانين و محدوديت ها براي شبيه سازي 00000 © تعريف يك سري عمليات به ازاي هر رخداد براي شبيه سازي 00090 

صفحه 42:
* با توجه به بياده سازي دو جزء از مدل ©000800000©7 يعني 00967۶ ‎PROOT‏ 9 دو كار مجزاء به نظر مي رسد كه جزء سومء يعني 070 را هم بتوان در محیط پایگاه داده پیاده سازي کرد. این اجزاء هم به صورت مستقل و هم به صورت مجتمع با همدیگر در يك پایگاه قلبل پیاده از ‎sp aby ely‏ رأ براي مدیریت مدل کنترل دسترسي در آن ایفا کنند. 00 زان تزا نوی کی باس مطرح در مورد مدیریت و مشکلات موجود, از طرفی و کاربرد وسیع پایگاه داده ها در توسعه؛سیستم:های:اطلاعلتی از طرف دیگرم تیاز بذ اعمال: یک من مديريتي کنترل دسترسی تقش مینا در آن ضروری به نظر می رسد. 

صفحه 43:
[] ©. Ok awd R. Gacdsu, “@ waded Por robe uckotatsiraiva wien orymuizaiza ‏"#ممخصمات‎ ‎)200 ۵00, 056-856 , 0100 [2]. ©. Osborn, “tePorwratiza Puy aeraharty oP ‏,"مد ۱۵۵ من‎ 000 ۵000 165466, ۰ [acne ‏اسم :یس متس بس ك0 فص‎ putes ta Oounvercid Detdxen Darrel Opstews” , Ode ‏صم" افده(‎ Opes Orowty , bea CDOS [S] Orrin, ©; Guadku, R. "Oucbwe senwty + ovaepty, approwhes, ued ‏اجان‎ , Depehtle nnd evree Orverany, IDED Teneranne, Derek ODDS [2] Rar Gurdku und ‏مسا مین‎ “Da Oreck: opium Phe PROS? Qoxkl Por PerweoinrRok Dookgrord” , DOO Dorkohop ‏لها من‎ Oro ۳ 0۵ , 0 ]0[ ‏مین سا‎ eed Orta b. Osbors "Du Oderrstotratve Dork Por Rok: Brak Dude" , wd Oorwrs nal Dexpeerin) Reoravk Orvned of Oud. [9] Rar ».Gaedbu, Bdvord LOne xl Chorky ©. our, “ Rok-Dased Oovesy Ovi Dok” , IBEP, BOPP, ‏رس‎ 0 

صفحه 44:


صفحه 45:


صفحه 46:
مشخصات ©0800 در 00000008هاي تجاري (0. © و ‎Gerver‏ نومه من و ‎Server Orrsiva ‘P.O‏ ممم) له ن) رل © ‎Opbose Oduptive Garver releuse 00.2‏ © ؟ از ‎ep ee tae te‏ قرار خواهند گرفت : - اعطاي نقش به کاربر تب ارتباطات و قیود در نقش 

صفحه 47:
اوراکل ارتباط چند به چند بین کاربر و نقش را پشتيباني مي کند. در جمله 9030000 000100۹0۵ CEP ROLE اكر نقش داراي رمز عبور باشد. باید رمز عبور را با عبارت 9۳7 ‎ADEOMEIED‏ ‏مشخص و فعال ميشود. در اوراکل مي توان بیش از یک نقش را در 00/03 ‎09080١‏ مشخص كرد. 

صفحه 48:
عاءد 0 و يشتيبديإيتباط و قيود در نقش * ذراوراکل آمکان ن دادن نقش به یک نقش در نتيجه ايجاد ساختار سلسله مراتبی نقش را دارد. گر چه نمي توان قیود اضافي یا ارتباطات را بين نقش ها در #99 !مجك تعريف کرد : - بنابراين اوراكل جداسازي وظايف يا 00500 را يشتيباني نمي كند. # تعیین محدودیت در تعداد یا کاردینالیتی نقش ها براي اعضا ممکن # امکان تعریف قیود فقط تا حدي وجود دارد. 

صفحه 49:
# امتیازات سیستمي حقوقی هستند که با فرمانهایی نظیر 60868697۳۴ 0 و ‎٩۳6969,‏ 60۲6:09۳۵( و غیره اجرا می شوند. © امتيازات شي اي به كاربران اجازه مي دهد که یک عمل خاص را روي یک جدول خاص ‎view‏ يا دنباله اجرا کنند. هر دو شاخه امتیازات مي توانند به نقش ها داده: شوند. امتیازات سیستمی تنها مي توانند توسط 26969 یا یک كاربري که این امتیاز را با 96060000 0 )) دارد منتقل شوند. امتیازات شي اي تنها مي توانند توسط صاحب شي یا كاربري که این امتیاز را با ‎2b BROOT OPMOD‏ منتقل شود. 

صفحه 50:
مقابسه خصيصه ها 50 ‎by DOODG‏ امكان دادن تقش به ديكر كاريران توسط 9500100 ۲ داشتن چند تقش فعل براي یک کاربر در یک تست : 7 ‎r‏ مشخص کردن نقش فعال بطور پیش فرض براي کاربر ۹ ‎v‏ ‏¥ إيجاد ساختار سلسله مراتبي تقش 7 7 جدا کودن استاتیک وظايف و قيود روي نفش ها 5 ‎v‏ ‏۶ جدا کردن دینامیک وظايف و قيود روي نفش ها ‎v‏ ¥ ۷ امشخص كردن حداكثر و حداقل كارديناليتي اعضاي تقش 2 2 ‎x‏ ذادن امتبازسيستمي 105315 به یک 18016 5 7 0 دادن امتبازشياي 988115 به يى ©1801 7 0 Oracle <|<]e]e 

صفحه 51:
تحليل جريان غير مجاز اطلاعات در 669660 * اگر داده ها از لحاظ امنیتی چند سطحي در نظر گرفته شوند. انتساب رول ها و دسترسي ها مي تولند به گونه اي باشد که منجر به نشت اطلاعات در بي سطوح به صورت غیر مجاز گردد. الگوريتمي براي یافتن چنین انتساب هايي ارائه گردیده است تا در يك مدل کنترل دسترسي (1369696) تعیین کند که از چه داده هايي به چه داده هايي. اطلاعات منتقل مي گردد. ؟ الگوریتم ۳۳9۱ .با در نظر گرفتن تمام مجوزهاي تمامي نقش ها . انتشار اطلاعات ممکن. توسط فعال شدن يك نقش را معین مي کند. *؟ الگوریتم 2۵۳ . همزمان فعال شدن چندین نقش يك کاربر را هم در نظر مي گیرد و دور احتمالی را در گراف حذف می کند.