Presentation is loading. Please wait.

Presentation is loading. Please wait.

مدل كنترل دسترسي نقش-مبنا (RBAC)

Published byΡεία Παππάς Modified over 6 years ago

Similar presentations

Presentation on theme: "مدل كنترل دسترسي نقش-مبنا (RBAC)"— Presentation transcript:

1 مدل كنترل دسترسي نقش-مبنا (RBAC)
رسول جلیلی

2 مدل RBAC نماي كلي مدل SSD (RH) Role Hierarchy (UA) (PA) USERS ROLES
User Assign- ment (PA) Permission Assignment USERS ROLES OPS OBS session_roles PRMS user_sessions SESSIONS DSD

3 مدل RBAC - اهداف سازگاري با ساختار سازماني سادگي مديريت كنترل دسترسي
قدرت بيان: امكان بيان خط‌مشي‌هاي اختياري (DAC) و اجباري (MAC) اصل حداقل مجوزها (least privilege) تفكيك وظايف (SoD)

4 مدل RBAC - كنترل دسترسي اعطاي مجوزها به نقش‌ها و نقش‌ها به كاربران (به جاي اختصاص مستقيم مجوزها به كاربران) تعيين نقش‌ها بر اساس اصل حداقل مجوزها اعطاي مجموعه مجوزهاي موردنياز براي اجراي وظايف مربوطه به هر نقش به آن امكان توصيف تفكيك وظايف (Separation of Duties) مرتضی امینی- درس امنيت پايگاه داده ها- نيمسال دوم تحصيلي 86-87

5 مدل RBAC عامــل‌ها نقــش‌ها منـــابع Role 1 Role 2 Role 3 Server 1
كاربران دائماً تغيير مي‌كنند اما نقش‌ها خير مرتضی امینی- درس امنيت پايگاه داده ها- نيمسال دوم تحصيلي 86-87

6 مدل RBAC - چارچوب مدل مدل نقش-مبناي پايه (RBAC0)
مولفه‌هاي مدل پايه مدل نقش-مبناي سلسله مراتبي (RBAC1) سلسله مراتب عمومي سلسله مراتب محدودشده مدل نقش-مبنا با محدوديت (RBAC2) تفكيك وظايف ايستا (SSoD) تفكيك وظايف پويا (DSoD) مرتضی امینی- درس امنيت پايگاه داده ها- نيمسال دوم تحصيلي 86-87

7 مدل RBAC – انواع  - Models Hierarchies Constraints RBAC0 RBAC1 RBAC2
مرتضی امینی- درس امنيت پايگاه داده ها- نيمسال دوم تحصيلي 86-87

8 مدل نقش مبناي پايه RBAC0 مرتضی امینی- درس امنيت پايگاه داده ها- نيمسال دوم تحصيلي 86-87

9 مدل نقش مبناي پايه RBAC0 مولفه‌هاي مدل پايه RBAC0 :
عامل‌ها يا كاربران(USERS) نقش‌ها (ROLES) مجوزها (PRMS) اعمال (OPS) اشياء (OBS) رابطه اختصاص نقش به كاربر (UA) رابطه اختصاص مجوز به نقش (PA) نشست‌ها (SESSIONS) مرتضی امینی- درس امنيت پايگاه داده ها- نيمسال دوم تحصيلي 86-87

10 مدل RBAC0 -2 نماي كلي مدل RBAC0
user_sessions session_roles (UA) User Assign- ment (PA) Permission Assignment USERS OBS OPS SESSIONS ROLES PRMS مرتضی امینی- درس امنيت پايگاه داده ها- نيمسال دوم تحصيلي 86-87

11 مدل RBAC0 -3 كاربران (USERS) Process Person Intelligent Agent
مرتضی امینی- درس امنيت پايگاه داده ها- نيمسال دوم تحصيلي 86-87

12 مدل RBAC0 -4 نقش‌ها (ROLES): هر نقش شامل تعدادي وظيفه‌مندي مدير كل
مدير مالي برنامه‌نويس اپراتور راهنما مرتضی امینی- درس امنيت پايگاه داده ها- نيمسال دوم تحصيلي 86-87

13 مدل RBAC0 -5 اعمال (OPS): اجراي عملی خاص (تابعی از یک برنامه) بر روي يك شيئ يا منبع Database – Update Insert Append Delete Locks – Open Close Reports – Create View Print Applications - Read Write Execute SQL مرتضی امینی- درس امنيت پايگاه داده ها- نيمسال دوم تحصيلي 86-87

14 مدل RBAC0 -6 اشياء يا منابع (OBS): حاوي داده‌ها
OS Files or Directories DB Columns, Rows, Tables, or Views Printer Disk Space Lock Mechanisms مرتضی امینی- درس امنيت پايگاه داده ها- نيمسال دوم تحصيلي 86-87

15 مدل RBAC0 -7 مجوزها (PRMS): مجموعه‌ای از مجوزها که هریک اجرای یک عمل را بر روي يك شيئ يا منبع حفاظت شده ممکن می‌سازد. User.DB1 View Update Append User.F1 Read Write Execute permissions object permissions object مرتضی امینی- درس امنيت پايگاه داده ها- نيمسال دوم تحصيلي 86-87

16 مدل RBAC0 -8 رابطه اختصاص نقش به كاربر (UA) كاربــران نقــش‌ها
اختصاص يك كاربر به يك يا چند نقش برنامه‌نويس اختصاص يك نقش به يك يا چند كاربر اپراتور راهنما مرتضی امینی- درس امنيت پايگاه داده ها- نيمسال دوم تحصيلي 86-87

17 مدل RBAC0 -9 رابطه اختصاص مجوز به نقش (PA) نقــش‌ها مجـــوزها DB1
Create Delete Drop اختصاص يك مجوز به يك يا چند نقش Admin.DB1 DB1 View Update Append اختصاص يك نقش به يك يا چند مجوز User.DB1 مرتضی امینی- درس امنيت پايگاه داده ها- نيمسال دوم تحصيلي 86-87

18 مدل RBAC0 -10 رابطه اختصاص مجوز به نقش (PA) نقش‌ها مجوزها User.F1
Admin.DB1 Read Write Execute View Update Append Create Drop SQL مرتضی امینی- درس امنيت پايگاه داده ها- نيمسال دوم تحصيلي 86-87

19 مدل RBAC0 -11 نشست‌ها: هر كاربر مي‌تواند چند نشست داشته باشد. نشست
نقش مهمان FIN1.report1 SQL نقش مدير و بازرس DB1.table1 نقش اپراتور APP1.desktop مرتضی امینی- درس امنيت پايگاه داده ها- نيمسال دوم تحصيلي 86-87

20 مدل RBAC0 -12 نقش‌های فعال در يك نشست = مجموعه نقش‌های فعال شده توسط کاربر نشست (از مجموعه نقش‌های اختصاص یافته با UA). نقش نشست SQL DB1.table1.session Admin User Guest مرتضی امینی- درس امنيت پايگاه داده ها- نيمسال دوم تحصيلي 86-87

21 مدل RBAC0 -12 مجوزهاي يك نشست = مجموعه مجوزهاي نقش‌هاي فعال شده در نشست نقش مجوزها نشست SQL DB1.table1.session DB1.ADMIN View Update Append Create Drop مرتضی امینی- درس امنيت پايگاه داده ها- نيمسال دوم تحصيلي 86-87

22 مدل نقش-مبناي سلسله‌مراتبي RBAC1
مرتضی امینی- درس امنيت پايگاه داده ها- نيمسال دوم تحصيلي 86-87

23 مدل نقش-مبناي سلسله‌مراتبي RBAC1
(RH) Role Hierarchy (UA) User Assign- ment (PA) Permission Assignment USERS ROLES OPS OBS PRMS user_sessions session_roles SESSIONS مرتضی امینی- درس امنيت پايگاه داده ها- نيمسال دوم تحصيلي 86-87

24 مدل RBAC1 -2 انواع سلسله مراتب نقش‌ها ساختار درخت ارث‌بري
Production Engineer 1 Quality Engineering Dept Engineer 2 ساختار درخت ارث‌بري Production Engineer 1 Project Lead 1 Quality Director Engineer 2 Project Lead 2 ساختار درخت معكوس مرتضی امینی- درس امنيت پايگاه داده ها- نيمسال دوم تحصيلي 86-87

25 مدل RBAC1 -3 انواع سلسله مراتب نقش‌ها ساختار شبكه (Lattice)
Production Engineer 1 Quality Engineering Dept Engineer 2 Project Lead 1 Director Project Lead 2 مرتضی امینی- درس امنيت پايگاه داده ها- نيمسال دوم تحصيلي 86-87

26 مدل RBAC1 -4 رابطه نقش و زيرنقش (RH)
ساختار سلسله مراتبي نقش‌ها مي‌تواندبرگرفته از ساختار سازماني باشد. دو نوع سلسله‌مراتب: سلسله مراتب عمومي: پشتيباني از ارث‌بري چندگانه سلسله مراتب محدودشده: عدم ارث‌بري چندگانه در صورتيكه نقش r1 فرزند نقش r2 در سلسله مراتب باشد، همه مجوزهاي آن را به ارث مي‌برد. r1 به ارث مي‌برد از r2 مرتضی امینی- درس امنيت پايگاه داده ها- نيمسال دوم تحصيلي 86-87

27 مدل RBAC1 -5 کاربران یک نقش در سلسله مراتب نقش ها
مجموعه مجوزهای یک نقش در سلسله مراتب نقش ها r r' Admin.DB1 User.DB1 مرتضی امینی- درس امنيت پايگاه داده ها- نيمسال دوم تحصيلي 86-87

28 مدل RBAC1 -6 رابطه كاربران و مجوزها در ارث‌بري نقش‌ها زيرمجموعه
DB1.User DB1.Admin prmsAdmin prmsUser usersUser usersAdmin ارث‌بري زيرمجموعه مرتضی امینی- درس امنيت پايگاه داده ها- نيمسال دوم تحصيلي 86-87

29 سلسله مراتب عمومی: پشتیبانی از ارث بری چندگانه
مدل RBAC1 -7 سلسله مراتب عمومی: پشتیبانی از ارث بری چندگانه r r' r" مرتضی امینی- درس امنيت پايگاه داده ها- نيمسال دوم تحصيلي 86-87 29

30 مدل RBAC1 -8 سلسله مراتب محدود: فقط ارث بری یگانه
هر نقش تنها یک پدر بی واسطه در سلسله مراتب نقش ها دارد. r' r"' r" r مرتضی امینی- درس امنيت پايگاه داده ها- نيمسال دوم تحصيلي 86-87 30

31 مدل RBAC1 -9 مثالی از سلسله مراتب محدود نقش ها Accounting Role
Tom AcctRec AcctRecSpv Accounting Tammy Cashier CashierSpv Fred Sally Auditing Joe Frank Billing BillingSpv Curt Tuan Accounting Role مرتضی امینی- درس امنيت پايگاه داده ها- نيمسال دوم تحصيلي 86-87 31

32 مدل نقش-مبنا با محدويت RBAC2
مرتضی امینی- درس امنيت پايگاه داده ها- نيمسال دوم تحصيلي 86-87

33 مدل نقش-مبنا با محدويت RBAC2
SSD (RH) Role Hierarchy (UA) User Assign- ment (PA) Permission Assignment USERS ROLES OPS OBS session_roles PRMS user_sessions SESSIONS DSD مرتضی امینی- درس امنيت پايگاه داده ها- نيمسال دوم تحصيلي 86-87

34 مدل RBAC2 -3 SSoD: اِعمال محدوديت در اختصاص نقش به كاربر در رابطه UA
از يك مجموعه از نقش‌هاي متداخل، نمي‌توان n نقش و يا بيشتر را به يك كاربر اِعطا كرد. ممكن است يك كاربر امکان داشتن دو نقش در يك زمان را نداشته باشد – دو نقش دو بدو ناسازگار SSoD = {ssod1, …, ssodn} ssodi = (rs, n) rs = يك مجموعه نقش ناسازگار مرتضی امینی- درس امنيت پايگاه داده ها- نيمسال دوم تحصيلي 86-87

35 مدل RBAC2 -4 DSoD: اِعمال محدوديت در فعال‌سازي نقش توسط كاربر در يك نشست از يك مجموعه از نقش‌هاي متداخل، نمي‌توان n نقش و يا بيشتر را در طي يك نشست فعال كرد. اِعمال اين محدوديت نياز به نگهداري سابقه نقش‌هاي فعال شده در طي يك نشست دارد. DSoD = {dsod1, …, dsodn} dsodi = (rs, n) rs = يك مجموعه نقش ناسازگار مرتضی امینی- درس امنيت پايگاه داده ها- نيمسال دوم تحصيلي 86-87

36 مدل RBAC2 -5 مثالي از تفكيك وظايف ايستا فرآيند خريد
سفارش كالا و درج جزئيات سفارش دريافت فاكتور و كنترل آن با سفارش انجام شده دريافت كالا و كنترل آن با فاكتور صدور مجوز پرداخت فاكتور محدوديت تفكيك وظايف ايستا: هيچ فردي نمي‌تواند مسئوليت وظايف (1) و (3) را باهم داشته باشد. ssod1=<{1,3}, 2> حداقل 3 نفر براي انجام 4 مرحله فوق موردنياز است. مرتضی امینی- درس امنيت پايگاه داده ها- نيمسال دوم تحصيلي 86-87

37 مدل RBAC2 -6 مثالي از تفكيك وظايف ايستا و پويا Static SoD (SSoD)
Dynamic SoD (DSoD) Approve/ Disapprove check Prepare check Summarize decisions Issue/avoid check مرتضی امینی- درس امنيت پايگاه داده ها- نيمسال دوم تحصيلي 86-87

38 مدل نقش-مبناي سلسله‌مراتبي با محدوديت RBAC3
مرتضی امینی- درس امنيت پايگاه داده ها- نيمسال دوم تحصيلي 86-87

39 گونه‌هاي توسعه‌يافته RBAC براي محيط‌هاي جديد محاسباتي
مرتضي اميني مرتضی امینی- درس امنيت پايگاه داده ها- نيمسال دوم تحصيلي 86-87

40 توسعه‌هاي RBAC (ادامه)
GRBAC (Generalized RBAC) [Covington et al 2000] يك مدل آگاه از زمينه نقش‌های (گروههای) عاملی: مشابه RBAC شیئی: دسته‌بندی بر اساس خصوصیات مشترک، مثال: Laptop محیطی: تعیین شرایط محیطی، مثال: Lab، Working-Days قواعد دسترسي به‌صورت ترکیبی از نقش‌های محیطی، شیئی و عاملی (Students, Lab, Laptop) مرتضی امینی- درس امنيت پايگاه داده ها- نيمسال دوم تحصيلي 86-87

41 enable nurse-on-day-duty  enable nurse-on-training after 16
توسعه‌هاي RBAC TRBAC (Temporal RBAC) Bertino et al 2001]] يك مدل با قابليت توصيف محدوديت‌هاي زماني تعريف محدوديت‌هاي زماني در فعال سازي نقش‌ها امكان فعال‌سازي نقش در بازه‌هاي زماني مشخص ( [1/1/2007, ], Night-time, enable doctor-on-night-duty ) enable nurse-on-day-duty  enable nurse-on-training after 16 مرتضی امینی- درس امنيت پايگاه داده ها- نيمسال دوم تحصيلي 86-87

42 توسعه‌هاي RBAC Drive RBAC Wilikens et al 2002]]
يك مدل مبتني بر خصوصيت (Attribute Based) و آگاه از زمينه نقش‌های از پیش تعریف‌شده هنگام ثبت کاربر بنا بر اعتبارنامه‌های وی نقش‌های فعال‌شده بر اساس زمینه کاری کاربر انتساب مجوزها به نقش‌ها به صورت پویا بر اساس محدودیت‌های زمینه‌ای هر کاربر مرتضی امینی- درس امنيت پايگاه داده ها- نيمسال دوم تحصيلي 86-87

43 توسعه‌هاي RBAC (ادامه)
DRBAC (Dynamic RBAC) [Zhang and Parashar 2004] مدل پوياي آگاه از زمينه یک ماشین حالتِ نقش برای هر کاربر یک ماشین حالتِ مجوز برای هر نقش تغییرات زمینه و برآورده‌شدن شرایط زمینه‌ای از پیش تعریف‌شده گذار در ماشین‌های حالت تغییر نقش فعال تغییر مجوز یک نقش مرتضی امینی- درس امنيت پايگاه داده ها- نيمسال دوم تحصيلي 86-87

44 مركز امنيت شبكه شريف http://nsc.sharif.edu
با تشكر مركز امنيت شبكه شريف مرتضی امینی- درس امنيت پايگاه داده ها- نيمسال دوم تحصيلي 86-87

Download ppt "مدل كنترل دسترسي نقش-مبنا (RBAC)"

Similar presentations

Role-Based Access Control

Role-Based Access Control
Role Based Access control By Ganesh Godavari. Outline of the talk Motivation Terms and Definitions Current Access Control Mechanism Role Based Access.

Role Based Access control By Ganesh Godavari. Outline of the talk Motivation Terms and Definitions Current Access Control Mechanism Role Based Access.
زبان برنامه نویسی پرولوگ

زبان برنامه نویسی پرولوگ
سازگاري فرايندهاي يادگيري Consistency of Learning Processes ارائه دهنده : الهام باوفای حقیقی استاد درس : آقای دکتر شيري دانشگاه امير كبير دانشكده ‌ مهندسي.

سازگاري فرايندهاي يادگيري Consistency of Learning Processes ارائه دهنده : الهام باوفای حقیقی استاد درس : آقای دکتر شيري دانشگاه امير كبير دانشكده ‌ مهندسي.
انواع اصلی عامل ها.

انواع اصلی عامل ها.
مديريت پروژه‌هاي فناوري اطلاعات

مديريت پروژه‌هاي فناوري اطلاعات
طراحي و ساخت سيستم‌هاي تجارت الکترونيک چارچوب و الگوي سازمان‌هاي تجاري.

طراحي و ساخت سيستم‌هاي تجارت الکترونيک چارچوب و الگوي سازمان‌هاي تجاري.
مديريت پروژه‌هاي فناوري اطلاعات سيستم‌هاي و استانداردهاي مديريت پروژه.

مديريت پروژه‌هاي فناوري اطلاعات سيستم‌هاي و استانداردهاي مديريت پروژه.
آزمايشگاه سيستم‌هاي هوشمند1 برنامه ريزي و نظاره پروژه درس مهندسي نرم‌افزار 2 فصل 24 دكتر احمد عبداله زاده بارفروش تهيه كننده : پويا جافريان.

آزمايشگاه سيستم‌هاي هوشمند1 برنامه ريزي و نظاره پروژه درس مهندسي نرم‌افزار 2 فصل 24 دكتر احمد عبداله زاده بارفروش تهيه كننده : پويا جافريان.
مهندسی نرم افزار مبتنی بر عامل

مهندسی نرم افزار مبتنی بر عامل
برنامه‌ريزي استراتژيک مرحله تعيين برنامه جامع اقدامات سازمان (Master Plan)

برنامه‌ريزي استراتژيک مرحله تعيين برنامه جامع اقدامات سازمان (Master Plan)
ارائه درس روباتيکز Extended Kalman Filter فريد ملازم 84131069 استاد مربوطه دکتر شيري دانشگاه امير کبير – دانشکده کامپيوتر و فناوري اطلاعات.

ارائه درس روباتيکز Extended Kalman Filter فريد ملازم استاد مربوطه دکتر شيري دانشگاه امير کبير – دانشکده کامپيوتر و فناوري اطلاعات.
سيستمهاي اطلاعات مديريت ارائه كننده : محسن كاهاني.

سيستمهاي اطلاعات مديريت ارائه كننده : محسن كاهاني.
مديريت پروژه‌هاي فناوري اطلاعات فرآيند مديريت پروژه-مرحله برنامه‌ريزي.

مديريت پروژه‌هاي فناوري اطلاعات فرآيند مديريت پروژه-مرحله برنامه‌ريزي.
نام و نام خانوادگي : فريد ملازم 1 آزمايشکاه سيستم هاي هوشمند (http://ce.aut.ac.ir/islab) موضوع ارائه Process and Deployment Design.

نام و نام خانوادگي : فريد ملازم 1 آزمايشکاه سيستم هاي هوشمند ( موضوع ارائه Process and Deployment Design.
مديريت پروژه‌هاي فناوري اطلاعات فرآيند مديريت پروژه-مرحله برنامه‌ريزي.

مديريت پروژه‌هاي فناوري اطلاعات فرآيند مديريت پروژه-مرحله برنامه‌ريزي.
مديريت پروژه‌هاي فناوري اطلاعات فرآيند مديريت پروژه-مرحله برنامه‌ريزي.

مديريت پروژه‌هاي فناوري اطلاعات فرآيند مديريت پروژه-مرحله برنامه‌ريزي.
معماري Enterprise معرفي چارچوب زكمن. مقدمه  براي آنكه بتوان به گونه ‌ اي ساماندهي شده به معماري انديشيد به چارچوب نياز داريم.  چارچوب Enterprise ، ساختاری.

معماري Enterprise معرفي چارچوب زكمن. مقدمه  براي آنكه بتوان به گونه ‌ اي ساماندهي شده به معماري انديشيد به چارچوب نياز داريم.  چارچوب Enterprise ، ساختاری.
مديريت پروژه‌هاي فناوري اطلاعات فرآيند مديريت پروژه-مرحله برنامه‌ريزي تخصيص منابع.

مديريت پروژه‌هاي فناوري اطلاعات فرآيند مديريت پروژه-مرحله برنامه‌ريزي تخصيص منابع.
مراحل مختلف اجرای يک برنامه

مراحل مختلف اجرای يک برنامه

Similar presentations

Ads by Google