مدل مدیریتی كنترل دسترسی نقش مبنا

صفحه 1:
مدل مديريتي کنترل دسترسي نقش مبنا امنیت پایگاه داده . اردیبهشت 1386 صالح حافظ قرآنی | دانشکده مهندس ی کامپیوتر 

صفحه 2:
* امنیت پایگاه داده * مدل کنترل دسترسي نقش - مبنا ؟ مدیریت در کنترل دسترسي ‎AB‏ مبنا * مدل مدیریت در کنترل دسترسي نقش- مبنا پیاده سازي مدل 0۳۹۵97 براي انتساب مجوز به نقش در ‎Oracle‏ ‏كنترل دسترسي نقش- مبنا و 00090 * استفاده از #00000 براي اعمال ©0009 و 00000 ۰ جمع بندي * مراجع 

صفحه 3:
امنیت پایگاه داده ؟ جنبه هاي مهم در برقراري امنیت - کنترل دسترسی کاربران به داده ها *بايستي مدلي ارائه شود تا تعیین گردد که چه دسترسي‌هايي مجاز و چه دسترسي‌هايي غیر مجاز است. * پايگاههاي داده با توجه به متمركزسازي داده ها در تن بیشتر مورد توجه قرار می‌گیرند. #مدل کنترل دسترسي نقش- مبنا به عنوان يك مدل کنترل دسترسي ب مرسوم و پرکاربرد مطرح است. ۰ 

صفحه 4:
مدل کنترل دسترسي نقش - مبنا - کنترل دسترسي اجباري یا 0690 7 کنترل دسترسي اختياري یا ‎DBO‏ ‏- کنترل دسترسي نقش- مبنا یا ‎ROB‏ ‎apy cle ©‏ زياد اين مدل براي كنترل دسترسي ها ( مزايا ) : - سادگي مدیریت آن . - نكاه واقعي مدل به محيط هاي عملياتي. مجوز دسترسي بر اساس نقش ها در سازمانهاست نه بر اساس مالكيت داده‌ها. <- مدل 36690 به خوبی سیاست امنیتی پیچیده را مدیربت می‌کند. 

صفحه 5:
طرح يك مشکل و ارائه يك راه‌حل * اگر سيستمي با هزاران کاربر و صدها نقش و مجوز در نظر بگيريم. مدیریت نقش‌ها و انتساب کاربران به نقش‌ها و مجوزها به نقش‌ها و همچنین ساخت سلسله مراتب از نقش‌ها بسیار پیچیده و مشکل مي‌گردد و نمي‌توان آنن را توسط يك مدير در سيستم انجام داد. * راشكارة مقمريث تير مقمرکو: در نظر كرفتن نقشهاي مديريتي و حوزههاي مديريتي براي هر نقش - همجنين ايجاد سلسله مراتبي از آنها - واكذلري مديريت به افراد مختلف در حوزههاي كوناكون سيستم هر مدير مسؤوليت مديريت در حوزه خود را بر عهده داشته باشد 

صفحه 6:
خانواده مدل هاي ‎RBAC‏ 00 به عولنمدلبایه در باييروارلي كمتريرنيلمنديهايسيستم 08090000 موباشد. © 8)90900) سلسله مرلتبواز نقشهارا بهآن لمضافه كرده لستببسه طوریکه نقثها ميت ولننداز انقشهاوميكر به ارشببرئد © ©00000) قيودورا تعريفميكندكله محدودیقاییرا بسه تنظیمانق اب( قولراي‌مولفه ها در (169606) لضافه مینماید. ‎Jas ©‏ 0۳۷ . شامل هر دو 690 و 08 وبه صورت ضمني. 3660000 نیز مات ‎‘RACY‏ رعاطع 

صفحه 7:
- کاریران * منظور از كاربرء انسان مي باشد. فردی که با سیستم تعامل دارد. ‎ice 2‏ © نقش, یک کار نامدار درون سازمان است که سازمان مجوز ها و مسئولیت ها را به اعضاي یک نقش مي دهد. ‏- اختیارات یا مجوزها * به كسي كه دارنده اختيار است. قدرت انجام یک عمل در سیستم را مي دهد. ‎ ‎ ‏نشست ها ‏© كاربر با فعال کردن یک مجموعه از نقش ها که به او متعلق است. نشست ها را برقرار ‎ 

صفحه 8:
= ‏ناوات بسه: معتتی اتاو‎ ٩ نقش‌هانست که احتود مجورهناو ...هس ‎Se‏ مس سفوایق‌ها در سحارمان را ید باز مي‌تاباند. روسنس ‎é‏ ۳ ين ساسلهمراتب يك مجموعه 3 ب جزشی است. یک ترتییب . خواص بازتلبي.انتقللي و پاد si fas ak 

صفحه 9:
۴ محدود کردن ورائت - ممکن است بخواهید تعدادي اختیارات محرمانه براي خود داشته باشد و از به ارث رسیدن آنهابه سایر نقش‌ها جلوگيري کنید. * زیر سلسله مراتب خصوصي < فرض کنید که به زیر مجموعه محرمانه‌اي نیاز باشد به طوريكه اختیارات آنها توسط بالايي‌ها به ارث برده نشود. 

صفحه 10:
* قیود جنبه مهمي از (1160696) هستند. یک مثال رايج جدا كردن نقش هاي سازمان است. - نقش هاي انحصار متقابل : * یک کاربر مي تواند به حداکثر یک نقش در مجموعه انحصار متقابل نسبت داده شود. كه اين ود باعث جدا کردن وظایف از یکدیگر مي شود. 6 انحصار متقایل در مورد 6*3 . مشخص مي کند که یک اختیار خاص نتواند به دو نقش ‎Nero)‏ 0 - دانه بندي : © یک قید دیگر روي کاربر است . حداکثر تعداد اعضاي یک نقش می تواند محدود باشد. تنها یک نفر مي تواند رئیس یک سازمان باشد. © تعداد نقش هاي يك کاربر مي تواند به مجموعه خاصي محدود شود و یا به تعداد خاصي محدود گردد. 0 0 9 

صفحه 11:
بامدلقیود د ادلمه ) - ایده آن مبتني بر شايستگي‌ها است.به طوریکه کاربر مي تولند به نقش ‎D‏ ‏نسبت داده شود و اگر تنها اگر کاربر قبلا به نقش ) نسبت داده شده باشد. - براي سازكاريء اختيار 7. مي تولند به یک نقش تنها در صورتیکه نقش در حال حاضر داراي اختیار > است. نسبت داده شود. - در بسياري از سیستم ها اختیار خواندن یک فایل مستلزم داشتن اختیار خواندن از دايركتوري مي باشد. 

صفحه 12:
2+1-3 تلفیق این دوء موارد قابل بحث جديدي را بوجود مي آورد : - قيود روي سلسله مراتبي مز نقشها : * جون قيود و سلسله مراتب هر دو در مدل ديده مي ‎wig‏ قيود را روي سلسله مراتب هم مي توان تعريف كرد. * قيود مي توانند تعداد نقشهاي بالاتر و بايين تر را محدود كند. - تقابلات تقایل ظريفي بین قیود و سلسله مراتب بوجود مي آید. - نقش هاي محرمانه © نقش هاي محرمانه مي توانند بدون هیچ برخورد و تلاقي. انحصار متقابل باشند. 

صفحه 13:
* المان‌هاي مدل ‎ROC‏ 

صفحه 14:
مدیریت در کنترل دسترسي نقش- مبنا * در سیستم بزرگ که تعداد نقش‌ها به صدها و هزاران افزایش مي‌یابده مدیریت این نقش ها و روابط میان آنها یک کار سخت که به صورت مركزي انجام مي‌شود و به گروه كوچکي از مدیران امنيتي محول مي‌گردد. * از آنجا که نکته اصلي ‎RBOC‏ این است که مدیریت را ساده مي‌کند. مي‌توان از خود آن در مدیریت خودش استفاده نمود. * نقش‌هاي مدیر یا 6963 و اختیارات مدیر یا 696۳ را از نقش هاي معمولي یا 8 و اختپارات معمولی ‎alia PG‏ * اختیارات تنها به نقش ها نسبت داده می‌شوند و اختیارات مدیریتی تنها بد نقش‌هاي مدیریتی نسبت داده مي‌شوند. 1 

صفحه 15:
مدیریت در سیستم هاي نقش- مبنا * پروژه تحقیقاتی ۰۳() مس( : - پروژه ‎Debooray‏ و سيستم لج جات (1) مربوطه - اهداف * فراهم آوردن سرويس هاي دولتي ‎Qurctiy OF Genice‏ ۰ - ماجول 060606 ‎Privacy‏ رولب( زرا رمطمموول) - 7 ماجول 2696 به عنوان ابزار مدیریت ماجول فوق ‎COOP Odewristratoa Oouwsvke‏ = 

صفحه 16:
* انواع مدل هاي بحث شده. براي مدیر نیز مطرح است. البته معمولا مدل مدییر ساده تر از خود مدل 360090 است. بنابراین مي توان از 610000 به جاي 10 استفاده نمود. 1 جكونه مدل سلسله مراتبي مدل مدير مديريت مي شود؟ به طور تئوریک: ‎gla‏ دوم از سلسله مراتب مي تواند براي مدیریت سطح اول مورد استفاده قرار گیرد. ولي براي مدل ضروري نمي باشد. - مدیریت سلسله مراتب مدیر مي‌تولند توسط یک نفر رئیس سیستم مدیریت انجام شود. مجوزهاي مدير در 08)8000) توانايي تغییر نسبت دادن نقش به کاربران و نیز تفییر دادن نسبت دادن اختیارات به نقش ها و روابط موجود در سلسله مراتب نقش ها را به وجود آورد. 

صفحه 17:
اجزاء مدل مديريتي 008000 

صفحه 18:
اجزاء مدل مديريتي 0809000 © این مدل در سال 1997 توسط ‎Gorrdku‏ ارائه گردید. ایده اصليی آن استفاده از خود مدل 01800000 براي مديريت آن بود. اين مدل شامل سه مدل اصلي به شرح زير مي باشد : - مدل 066 یا مدل انتساب کاربران به نقش - مدل 00" یا مدل انتساب مجوزها به نقش - مدل 000809 يا مدل انتساب نقش به نقش 

صفحه 19:
مدل 0009 با مدل انتساب کاربران به نقش * اين مدل داراي 2 مؤلفه اصلى است : - انتساب کاربران به نقش ها ‎Comussiga— Bact Jacl‏ 7 باز پس گيري عضویت آنها در نقش ها یا عم ون * رابطه موه کند که چه افرادی با چه طها می‌توانند در چه حوزنا رالاء را الجا دهند. قرا راج تش ‎eo‏ ‏اكه كارا هسكن ودين فى ‎tS‏ د ي نقمی را بیان مي کند که افرادبرای اعمال کارهاي 2 مديريتي در يك حوزه خاص بايد دارا باشند" * رابطه «م/() بیان م يكند كه جه افرادي د زدهابي مي توانند ل برف الام د ن توابع براق عم انتسات وس کی اه اربرآن جه كار مي رود و بايستي در هر عمل» امكان انجام أثرا توس 

صفحه 20:
* تلبع ۵0_۳9() داراي سه پارامتر ورودي است 6 که نقش مديربتي فردي که مي خواهد عمل انتساب را انجام دهد را مشخص می کند. ۷ نقش پیش شرط فردي است که مي خواهيم به او نقش را انتساب دهیم و 7 که دامنه نقش هاي قلبل انتساب را معین مي کند. يعني فرد داراي نقش مديريتي لابه يك کاربر که فعلا داراي نقش ۲ است مي تواند هر نقشي در دامنه ب" عطا کند. عادو یودهم ‎cole range‏ عماوج موم بو 2 

صفحه 21:
مدل 00۲69*2) - رابطه و6 و0 ۳ ی وین ‎Be ee‏ "كارشئاس صورتحساب گيري ‎CG)‏ و در نيجه "كارشناس امنيتى امور رايانه" ‎OOO)" casa JS p32" OB)‏ تواند به كا ی که هنن دا اراي نقش عادي "واحد رایانه* ‎ent CO)‏ نقش “كارشناس سيستم صورتحساب ‎OO) "ys‏ اج را عطا کند. Bile BEE noite ma i a alte 0 aaa, BCS, BC * 0 1۳01 Bes ‏ا‎ ‎Ce | cohen] Moet ‏لا‎ ‎ae | ea a | GY | eth: fee | (ee ce | TS | oth & | 2 |\eov 26 (ee ۳ a * 

صفحه 22:
‎ait ®‏ ام مس( داراي در پارامشر ورودي انست.. 26 کنه نق ثر مديريتي فردي که مي خواهد عمل بازپسس گيري نقش را انجام دهد را مشخص می کند. 7" دامنه نقش هلیی را كه مي تولند بازيس كيرد تعيين مي كند . هيج بيش شرطي براي اين تابع تعريف نمي كردد. ‎ ‎x: adeinistrative role,‏ )| )2 موی ۳ ‎TELA ‎TAD ‎oR) ‏هد هر‎ ‏ام ‏تم ‎so‏ ‏مد ‎ ‎ ‎ ‎ ‎ 

صفحه 23:
Oua_Revoke aby)- DROBO? ‏مدل‎ * سطر دوم این جدول بیان مي‌کند که "کارشناس امنيتي بخش متقاضیان و مشترکین" مي‌تواند از ا تمام کاربران سیستم, نقش "کارشناس سیستم متقاضيان و مشتركين" (2000)) , "كارشناس امور الوه متقاضيان" (00) و "كارشناس امور مشتركين" (00) را بازپس گیرد. رس سم ساب بر رات من ۱ Wi wun ‏هکس‎ ‎aie vette Be CaO Ga ‎a ey‏ رک ‎ ‎ ‎ ‎ ‎ ‎ ‎ ‎ 

صفحه 24:
مدل ۳0۹/99*۶) با مدل انتساب مجوزها به نقش * اين مدل نیز مشابه مدل قبلی داراي 2 مولفه اصلی است : ‎Brot Jae -‏ براي اعطاء مجوزها به نقش ها ی - مدل سعاسمه؟) براي بازبس گيري مجوز از نقش ها اسرجسیی) ؟ رابطه اول وظیفه تعیین افراد و شرط ها براي انجام عمل انتساب در يك حوزه خاص و رابطه دوم وظیفه تعیین افراد براي انجام عمل بازيس گيري در يك حوزه خاص را بر عهده دارد. 

صفحه 25:
تابع روا و6 داراي سه پارامتر ورودي است ‎ .‏ که نقش مديريتي مجري عمل انتساب را می کند. ۲۲ ‎hts‏ ایا كه مي توان مجوزهاي أن را براي عمل انتساب انتخاب کرد. ۲" ۰ حوزه نقش هايي است که مي توان مجوز انتخاب شده را به آن نسبت داد. (vx: adnamistratve role, ‏مسوم هم بر‎ condion, 2 ‏موس ماه‎ ‎Pale Pause‏ | ساس وعم ۳ 2 ‏هم 0 ‎ELIE‏ امه ‎(GEL, OE!‏ ملام هه | عمممم ‎(O62, 062]‏ | بيس جرد ‎ ‎ ‏)2.¥ وروی ‎“iain Bae 250 D0 Pso1 ‏مد‎ ‎F502 ‎P02 ‎ ‎ ‎ ‎ 

صفحه 26:
‎tit 2‏ مرجم مويه تن ‎ ‎ ‏مدل ۳069 - رابطه وه م6 ‏میلست مت ‎ ‎Bes ‎Bes ‎ces ‎ces ‏* سطراول لين جدول يان مي داد كه كادي با نل 0 :1 قش ‎OU A ele‏ اس سح امنيتي" (90900)) مي‌تولند تمام مجوزهاي 130 ‎MT‏ ‎2s‏ نقش "مدیرعامل اداره رایانه" ‎(COD)‏ | دهم يعني در راقع تمام مجوزهاي ا 0 كم | حسم ‎Si A‏ سسيسيتم مسو تعساب گیری] 0 ‎tee @CO)‏ کند. 5 هصق | ‎BCM~‏ ‎ccM ~ [RO,RO]‏ ‎Sto.‏ ‏مر | ‎SRO‏ ‎ ‎ ‎ ‎ 

صفحه 27:
‎gb Con_Revokep at *‏ دو پارامتر ورودي است که نقش مديريتي مجري عم ماه )2 ‎can-revokey,‏ ‏عمل بازیس گيري و 2 حوزه نقش هايي یهد لست که مي توان در آن حوزه عمل بازپس گيري مجوز ها را انجام داد ‎ ‏© مر در 000809 حويه لنتخابمجونها را در —— تابع 99۲۳( ۰۰() مشخصرمی‌کند. 28 | 501 در حالليكه در 000809 بيش شرط بسرلي همع | :مم ‏۳ 230 لخذ نقش‌ود. بستابرلیردر ۳6960 مسي ‎a | een‏ ‎ ‎ ‎ ‏تولن۲۷را ‎“Perwissiva poolslee a‏ یساحونه لو رلونتخابمجوز هماجهست ‎ ‎ 

صفحه 28:
مدل 6۳0۲69 - رابطه )م0 * سطر اول این جدول بیان مي‌کند که "کارشناس امنیتی سیستم صورتحساب گيري " (96(69)) و طبیعتا "کارشناس امنیتی امور رآیانه" (608 و "مدیرکل امنيتی" (660) مي‌توانند هر ‎cs (CD.CDM)‏ مجوزي را از "کآرشناس صورتحاب‌ها" (00) 16060۷ 9 و "کارشناس وصولي‌ها" ((۳6)) بازپس گیرند. SSD wi, Dae کارشاس سم مان ستو عوراب مت قرو 

صفحه 29:
‎RRO Jao‏ يا مدل انتساب نقش به نقش ‏* ایجاد يك سلسله مراتب از * فراهم آوردن بستري براي ساخت مدل ‎ROBO‏ ‎ ‏* وقتي نقشي, بالاتر از يك نقش دیگر قرار مي گیرد. تمام مجوزهاي نقش قبلي را به ارث مي برد. يعني نقش بالاتر تمام مجوزها علاوه بر آسن يك سري مجوز هاي خاص خود را نیز دارد. این مدل سلسله مراتبي با توجه به ساختار سلسله مراتبي نقش هاي سازماني مي تواند شکل بگیرد و به هر چه بهشر مدل کردن نقش ها و نقش هاي مديريتي موجود شازماندراسستم كمك کی ‎Soule lad cul ‏ش‎ ‎ 

صفحه 30:
مشکلات موجود در مدل مديريتي ‎®RBCCOT‏ ‎DRO OP Jas seas &‏ - انتساب چندمرحله‌اي نقش به کاربر ‏- اطلاعات انتسابات نقش به کاربر تكراري - محدودیت در مفهوم ‎ser Pool‏ ‎ ‎ ‏© ضعفهاي مدل ‎PROP‏ ‏- انتساب چندمرحله‌اي مجوز به نقش - اطلاعات اتتسابات مجوز به نقش تكراري - محدودیت در مفهوم ‎Percesion Pool‏ - عدم امکان تعریف محدودیت در مفهوم ۳) عمج - اثر جانبی ناخواسته (نتساب به خارج از حوزه مديريتي) 

صفحه 31:
4 ae 4 orn = ۳ je ‏از دید دیگر مدل کنترل دسترسي نقش مبنا را مبتني بر سه گراف‎ 1 ‏در سه حوزه مختلف بررسي مي کنند‎ : ‏كراف اختيارات يا مجوزها‎ - ‏اين كراف بيائكر سلسله مراتب جاكم برلنواغ مجوزهاي مختلف است. ممکن لست‎ © ‏داشتن يك مجوز . داشتن يك مجوز دیگر را ایجاب كند.‎ ‏گراف گروه ها يا کاربران‎ - ‏در این گراف کاربران یا گروهاي کاربري و سلسله مراتب آنها نمایش داده مي شود.‎ * : Role Grapkl bb ‏گراف نقش‎ - * در این گراف نقش هاي موجود سیستم . گره هاي گراف را تشکیل مي دهند و خط بین آنها ارتباط شامل شدن را معین مي کند. 

صفحه 32:


صفحه 33:
مدیریت غیرمتمر کز در مدل ‎Rote Graph‏ * مطابق همین دید به مدل کنترل دسترسي . گراف نقش هاي مديريتي نیز قليل ترسيم است. لين كراف شامل نقش هاي عادي و نقش هاي مديريتي است و دو رابطه در آن تعریف مي گردد : 5 رابطه “د ل-15 رابطه اي بين نقش هاي عادي ويا بين نقش هاي مديريتي است. لين رابطه نشان دهنده شامل بودن يك نقش بر نقش دیگر است. - رابطه دوم رابطه د ةف:94) است كه با خط هاي خط جين در شكل نشان داده شده است. * لين گراف داراي دو گره به نامهاي :0 و ‎DaxRoke‏ و 05080 که وظیفه مدیریت کل سیستم را بر عهده دارد , در نظر گرفته مي شود. 

صفحه 34:
حوزه هاي مديربتي در ‎Qole Grapk‏ 

صفحه 35:
ساخت گراف نة نقشهاي مديريتي * مطلبق شكل »در ابتدا يريك وجود دارد . * مطلیق شکل بخشها به تدريج اضافه مى شوتدو گراف بزرگتتر 4 Storing Role Graph bs eon Role Graph ‏مي شود.‎ 

صفحه 36:
مدل مديريتي 08000000 توسعه يافته © سعي شده است مثشكلات مطرح شدهء در مدل توسعه يافته يعني 8 حل كردند. در اين مدل مفاهيم ‎Deer Pool‏ 5 ‎(ce Tye Prrevissiza Pov‏ شود و سعي مي گردد تابا حل تداخل هاي غیرلازم موجود . مشکلات مطرح شده کنار گذاشته شود. * براي غلبه بر مشکلات مطرح شده در مدل قبل, دو استرا اتخاذ شده است: - اول. از ساختار سازماني به عنوان ‎pool 9 Deer pool‏ عصا) استفاده مي شود به جاي اينکه از پیش شرط هايي در سلسله مراتب نقش ها استفاده کرد. 5 دوم. توسط این ساختار سازمالي يك روند پائین به بالا براي انتساب مجوز هابه نفش ها مطرح میشود. ۱ اي در این مدل 

صفحه 37:
* براي توسعه سیستم هاي اطلاعاتي؛ سازمان" يك مفهوم خوب براي تحلیل فعالیت هاي موجود در هر دامنه است. * ساختار سازمانی يك ساختار درختی با ویژگی سلسله مرلتبی است. این ساختار از المان هاي سازمانی تشکیل مي شود که فراد متعلق به هر يك داراي یلك هدف مشترك در سازمان هستند و يك سري فعاليتهاي خاص براي رسیدن به آنها انجام مي دهند. * كارهاي انجام یافته با داده هاي مورد دسترسي ارتباط مستقیم دارد. يبس فعالیت ها و كارهاي يك بخش با مجوز هاي تن ارتباط دارد. پس مي توان واحد سازماني را به عنوان يك گروه ا زکاربران و مجوز ها براي )1 به هدف خاص تعریف کرد. 

صفحه 38:
حال مدیر هاي امنيتي. کاربران و مجوزهاي موجود در هر واحد سازماني را به نقش ها نسبت می دهند. 

صفحه 39:
ساختار مدل مديريتي ‎RBBO‏ توسعه یافته 

صفحه 40:
اصلاح مدل با اعمال مفهوم ساختار سازماني © توابع ‎glee Ou _Ossiqny 3 Oun_Ossicn‏ توصیف موجود در 203696006*8) را دارا هستند و فقط پیش شرط ها در تن مجددا تعریف شده است : - پیش شرط ها 59 ‎ole ORD‏ عبارت با ترکیب عملگرهاي 604 و 0 روي نقش هاي عادي و یا واحد هاي سازماني در ساختار سازماني تهیه شده توسط گروه ‎cull Over Poot on 76٩‏ - پیش شرط ها در ۳0۷6 يك عبارت منطقي از عملگر هاي 1( و ‎Or‏ ‏روي عبارات >« و -«است که ديك نقش عادي یا يك داحد سازماني ذر ساختا ار سازماني تهیه شده توسط گروه ‎Perwissiva Pool & IT‏ 

صفحه 41:
# ساخت آ7<) منعواه) با یک ساختار سازمانی به نام 668-6 © ساخت [۳۳) 5۲( با یک ساختار سازمانی ‎OG-O pli a‏ 

صفحه 42:
کنترل دسترسي نقش - مبنا و ‎DBC‏ ‎Rote Graph (7۱ ۶‏ - يال در كراف نقش و رابطه فيل 15“ - الگوریتم ساخت گراف < خصوصیات گراف نقش * تعریف يك سري شرایط محدودیت ها در مدل گراف نقش براي ارضاء ‎DOC‏ ‏* ارائه يك سري ۲ا9۳۳) 0؟) براي هر نمونه از کنترل دسترسي هاي مبتني بر هرا 

صفحه 43:
استفاده از ‎RBC‏ برای اعمال 0096) و ‎MBC‏ ۱ * مکانیزم 4169690 به اندازه اي كلي است که بتواند 0090 و ©0000 را ‎dyed‏ سازتی کفند. ۱ © يك خصوصيت مهم اينكه خط مشى در طول ‎Opt‏ اما می تواند تغییر - 00000: جريانيكطرفه لطلهات ‎Ouxer Based Ockoristrctioa —‏ : 000090 * تعريف يك سري قوانين و محدوديت ها براي شبيه سازي 00000 © تعريف يك سري عمليات به ازاي هر رخداد براي شبيه سازي 00090 

صفحه 44:
[0] ©. Ober). Cards, "D carb Por rok ‏سوه مور يجيت مه رای‎ 000 ۵00 189-408, OD0E. ‏سای امعم 19 سفق[‎ ooo BOO tes’, BOD OBODOP, (39-109, [2] Obanbovend exrennny ex Ras ‏امین ما رولیت‎ Pecaurrs ts Oxxenverend ۳ Cymer”, Xl Dearrnd ‘hd orcs Otis Seer ys shat ODDS [#] Bert, @.; Oahu, (. “Derdvose seme - ‏يوحت‎ eprowhee, onl cheers” , Depend ‎DDD Trxenware, Derck DOO‏ مهو سم ‎[2] Beas Cerny xed Orckeay Dhsxontyra “Do Ora ‘hepewenactra of bee PROP Derk Por ‎PorwacntnrRoke Deotgnrens” , BOD Dorkshuy ot Boke Desaed Doras Pear Pox OD , 0 ‎[0] ee Denny exnd OA. Ostrrss "Das Densorene Denke Por Boke Dra ‏صرف ای را‎ ‎tnd Donpaeertny Research Onna oP Ornnacks ‎FP] Bean. Searches, Berar Ong ‏موی( لت" م0۷ ی لجی‎ Octrd Dende”, SOE, Oxbrasy ‎[0] Bas ‏سلجن عقيو‎ Oko, Deierd Onvae, ‏میگ‎ Dorn, ‏لحت‎ Oherber Yorgray, "Phe ‎ee ‏بر مه وراری اساسا زاین‎ Bride: Prekonaory cesert tin nl indie, hy Prevendny ‎P Grad DOD Dorkwohoy tra Boke Dovred Devan: Orrare, Pen, OD, Datrriber OP WOOP. DOD. ‎[2] We Derry xed dna. Osbere "Dea Dckensene Darel Por Boke Dros", “hy Doss cxad Depa ‎rey XOM, panes OOPE, Chauer, BODO. 

صفحه 45:


صفحه 46:


صفحه 47:
مشخصات ©0800 در 00000008هاي تجاري (0. © و ‎Gerver‏ نومه من و ‎Server Orrsiva ‘P.O‏ ممم) له ن) رل © ‎Opbose Oduptive Garver releuse 00.2‏ © ؟ از ‎ep ee tae te‏ قرار خواهند گرفت : - اعطاي نقش به کاربر تب ارتباطات و قیود در نقش 

صفحه 48:
اوراکل ارتباط چند به چند بین کاربر و نقش را پشتيباني مي کند. در جمله 9030000 000100۹0۵ CEP ROLE اكر نقش داراي رمز عبور باشد. باید رمز عبور را با عبارت 9۳7 ‎ADEOMEIED‏ ‏مشخص و فعال ميشود. در اوراکل مي توان بیش از یک نقش را در 00/03 ‎09080١‏ مشخص كرد. 

صفحه 49:
عاءد 0 و يشتيبديإيتباط و قيود در نقش * ذراوراکل آمکان ن دادن نقش به یک نقش در نتيجه ايجاد ساختار سلسله مراتبی نقش را دارد. گر چه نمي توان قیود اضافي یا ارتباطات را بين نقش ها در #99 !مجك تعريف کرد : - بنابراين اوراكل جداسازي وظايف يا 00500 را يشتيباني نمي كند. # تعیین محدودیت در تعداد یا کاردینالیتی نقش ها براي اعضا ممکن # امکان تعریف قیود فقط تا حدي وجود دارد. 

صفحه 50:
# امتیازات سیستمي حقوقی هستند که با فرمانهایی نظیر 60868697۳۴ 0 و ‎٩۳6969,‏ 60۲6:09۳۵( و غیره اجرا می شوند. © امتيازات شي اي به كاربران اجازه مي دهد که یک عمل خاص را روي یک جدول خاص ‎view‏ يا دنباله اجرا کنند. هر دو شاخه امتیازات مي توانند به نقش ها داده: شوند. امتیازات سیستمی تنها مي توانند توسط 26969 یا یک كاربري که این امتیاز را با 96060000 0 )) دارد منتقل شوند. امتیازات شي اي تنها مي توانند توسط صاحب شي یا كاربري که این امتیاز را با ‎2b BROOT OPMOD‏ منتقل شود. 

صفحه 51:
مقابسه خصيصه ها 50 ‎by DOODG‏ امكان دادن تقش به ديكر كاريران توسط 9500100 ۲ داشتن چند تقش فعل براي یک کاربر در یک تست : 7 ‎r‏ مشخص کردن نقش فعال بطور پیش فرض براي کاربر ۹ ‎v‏ ‏¥ إيجاد ساختار سلسله مراتبي تقش 7 7 جدا کودن استاتیک وظايف و قيود روي نفش ها 5 ‎v‏ ‏۶ جدا کردن دینامیک وظايف و قيود روي نفش ها ‎v‏ ¥ ۷ امشخص كردن حداكثر و حداقل كارديناليتي اعضاي تقش 2 2 ‎x‏ ذادن امتبازسيستمي 105315 به یک 18016 5 7 0 دادن امتبازشياي 988115 به يى ©1801 7 0 Oracle <|<]e]e 

صفحه 52:
تحليل جريان غير مجاز اطلاعات در 669660 * اگر داده ها از لحاظ امنیتی چند سطحي در نظر گرفته شوند. انتساب رول ها و دسترسي ها مي تولند به گونه اي باشد که منجر به نشت اطلاعات در بي سطوح به صورت غیر مجاز گردد. الگوريتمي براي یافتن چنین انتساب هايي ارائه گردیده است تا در يك مدل کنترل دسترسي (1369696) تعیین کند که از چه داده هايي به چه داده هايي. اطلاعات منتقل مي گردد. ؟ الگوریتم ۳۳9۱ .با در نظر گرفتن تمام مجوزهاي تمامي نقش ها . انتشار اطلاعات ممکن. توسط فعال شدن يك نقش را معین مي کند. *؟ الگوریتم 2۵۳ . همزمان فعال شدن چندین نقش يك کاربر را هم در نظر مي گیرد و دور احتمالی را در گراف حذف می کند.