www.wikidata.uk-ua.nina.az

Керування доступом на основі ролей англ Role Based Access Control RBAC розвиток політики вибіркового керування доступом

Керування доступом на основі ролей

Керування доступом на основі ролей (англ. Role Based Access Control, RBAC) — розвиток політики вибіркового керування доступом, при якому права доступу суб'єктів системи на об'єкти групуються з урахуванням специфіки їх застосування, утворюючи ролі.

Формування ролей покликане визначити чіткі і зрозумілі для користувачів комп'ютерної системи правила розмежування доступу. Рольове розмежування доступу дозволяє реалізувати гнучкі та динамічно змінні в процесі функціонування комп'ютерної системи правила розмежування доступу.

Таке розмежування доступу є складовою багатьох сучасних комп'ютерних систем. Як правило, даний підхід застосовується в системах захисту СУБД, а окремі елементи реалізуються в мережевих операційних системах. Рольовий підхід часто використовується в системах, для користувачів яких чітко визначено коло їх посадових повноважень і обов'язків.

Незважаючи на те, що Роль є сукупністю прав доступу на об'єкти комп'ютерної системи, рольове керування доступом аж ніяк не є окремим випадком вибіркового управління доступом, так як його правила визначають порядок надання доступу суб'єктам комп'ютерної системи в залежності від наявних (або відсутніх) у нього ролей в кожен момент часу, що є характерним для систем мандатного керування доступом. З іншого боку, правила рольового розмежування доступу є більш гнучкими, ніж при мандатному підході до розмежування.

Так як привілеї не призначаються користувачам безпосередньо і отримуються ними тільки через свою роль (або ролі), управління індивідуальними правами користувача по суті зводиться до призначення йому ролей. Це спрощує такі операції, як додавання користувача або зміна підрозділу користувачем.

Історія ред.

Елементарні форми моделі RBAC були здійснені в багатьох спеціальних формах на багатьох системах, починаючи з 1970-х років. Контроль доступу на основі ролей, який використовується в даний час, відбувається з моделі, запропонованої Феррайоло (англ. Ferraiolo) і Куном (англ. Kuhn) (1992) і як зразкова модель пізніше вдосконалена Санді (англ. Sandhu), Койн, Фейнштейн і Йомала (1996).

  • 1992 рік — стаття Феррайоло і Куна, яка визначає RBAC за допомогою доступу тільки через ролі, ієрархії і обмеження. формальна модель;
  • 1994 рік — DTOS розташовував дослідний зразок RBAC, на прототипі моделі, запропонованої Феррайоло, Кун, Гаврилья (англ. Gavrila)
  • 1994 рік — стаття Nyanchama і Osborn визначає модель;
  • 1994 рік — IBM подає (в Європі) першу заявку на патент в області RBAC, цитує Феррайоло і Куна;
  • 1995 рік — Феррайоло, Кугіні (англ. Cugini), Кун розширили формальну модель, ввівши визначення форм поділу обов'язків;
  • 1996 рік — метод Санді для того, щоб здійснити МАС на основі RBAC;
  • 1997-1998 роки — Sybase, Безпечне Обчислення, Siemens оголошує про продукти RBAC, які базуються безпосередньо на моделі
  • 1997 рік — безпечне обчислення включає модель Феррайоло-Куна RBAC в американську Глобальну Команду DoD і Систему управління; виходить стаття Куна на тему поділу обов'язків, необхідних і достатніх умов для безпеки поділу;
  • 1997 рік — стаття Осборна заснована на відносинах між RBAC і багаторівневою безпекою мандатної моделі політики безпеки; анотація ролі, що зв'язує RBAC і багаторівневу безпеку
  • 1998 рік — RBAC — метод Куна для того, щоб здійснити RBAC на системі МАС;
  • 1999 рік — Барклей (англ. Barkley), Феррайоло, Кун відкривають вихідний дослідний зразок RBAC для розвинених вебсерверів;
  • 2000 рік — Санді, Феррайоло, Кун публікують статтю, що визначає об'єднані моделі RBAC, і пропонують стандарт RBAC;
  • 2004 рік — Американський національний інститут стандартів і Міжнародний комітет по стандартам інформаційних технологій (ANSI / INCITS) приймають запропоновану Санді, Феррайоло і Куном модель RBAC як єдиний стандарт.

Базова модель RBAC ред.

Для визначення моделі RBAC визначаються наступні умови:

  • S = Суб'єкт = Людина або автоматизований агент (множина користувачів);
  • R = Роль = Робоча функція або назва, яка визначається на рівні авторизації (множина ролей);
  • P = Дозволи = Затвердження режиму доступу до ресурсу (множина прав доступу на об'єкти системи);
  • SE = Сесія = Відповідність між S, R та / або P
  • SA = Призначення суб'єкта
  • PA: R → 2p — функція, що визначає для кожної ролі множину прав доступу; при цьому для кожного p ∈ P існує r ∈ R така, що p ∈ PA (r);
  • RH = Частково впорядкована ієрархія ролей. RH може бути ще записана так:
    • Один суб'єкт може мати кілька ролей.
    • Одну роль можуть мати декілька суб'єктів.
    • Одна роль може мати кілька дозволів.
    • Один дозвіл може належати кільком ролям.

Ролі призначаються суб'єктам, внаслідок чого суб'єкти отримують ті чи інші дозволи через ролі. RBAC вимагає саме такого призначення, а не прямого призначення дозволів суб'єктам, інакше це призводить до складно контрольованих відносин між суб'єктами і дозволами.

На можливість успадкування дозволів від протилежних ролей накладається обмежувальна норма, яка дозволяє досягти належного поділу режимів. Наприклад, одній і тій же особі може бути не дозволено створити обліковий запис для когось, а потім авторизуватися під цим обліковим записом.

Використовуючи нотацію теорії множин:

  • , при цьому дозволи призначаються зв'язкам ролей у відношені «багато до багатьох».
  • , при цьому суб'єкти призначаються зв'язкам ролей і суб'єктів у відношені «багато до багатьох».

Позначення: x ≥ y означає, що x успадковує дозволи y.

Суб'єкт може мати множину одночасних сесій з різними дозволами.

Можливості та застосування ред.

Технологія керування доступом на основі ролей досить гнучка і сильна, щоб змоделювати як вибіркове керування доступом (DAC), так і мандатне керування доступом (MAC).

До розробки RBAC, єдиними відомими моделями управління доступом були MAC і DAC: якщо модель була MAC, то вона була DAC, і навпаки. Дослідження в 90-х показали, що RBAC не потрапляє ні в ту, ні в іншу категорію.

Ролі створюються всередині організації для різних робочих функцій. Певним ролям присвоюються повноваження (permissions) для виконання тих чи інших операцій. Штатним співробітникам (або іншим користувачам системи) призначаються фіксовані ролі, через які вони отримують відповідні привілеї для виконання фіксованих системних функцій. На відміну від управління доступом на основі контексту (англ. Context-based access control, CBAC), реалізація RBAC в чистому вигляді не враховує поточну ситуацію (таку як, наприклад, звідки було встановлено з'єднання).

RBAC відрізняється від списків контролю доступу (англ. Access control lists, ACL), які використовуються в традиційних вибіркових системах управління доступом, тим, що може давати привілеї на складні операції зі складовими даними, а не тільки на атомарні операції з низькорівневими об'єктами даних. Наприклад, список контролю доступу може надати або позбавити права запису у якомусь системному файлу, але він не може обмежити те, яким чином цей файл може бути змінений. Система, заснована на RBAC, дозволяє створити таку операцію як відкриття «кредиту» у фінансовому додатку або заповнення запису «тест на рівень цукру в крові» в медичному додатку.

Концепції ієрархії ролей і обмежень дозволяють створити або змоделювати контроль доступу на основі решітки (англ. Lattice-based access control, LBAC) засобами RBAC. Таким чином, RBAC може бути основою і розширенням LBAC.

В організаціях з різнорідною IT-інфраструктурою, що містять десятки і сотні систем і додатків, допомагає використання ієрархії ролей і успадкування привілеїв. Без цього використання RBAC стає вкрай заплутаним. У статті «Додаткові ролі: практичний підхід до обслуговування користувачів підприємства» обговорюються стратегії, альтернативні великим масштабом присвоєння привілеїв користувачам.

Сучасні системи розширюють стару модель NIST обмеженнями RBAC для розгортання на великих підприємствах.

Для великих систем з сотнями ролей, тисячами користувачів і мільйонами дозволів, управління ролями, користувачами, дозволами і їх взаємозв'язками є складним завданням, яке неможливо здійснити малою групою адміністраторів безпеки. Привабливою можливістю є використання самої RBAC для сприяння децентралізованому управлінню RBAC.

RBAC широко використовується для управління призначеними для користувача привілеями в межах єдиної системи або єдиного додатку. Список таких систем включає в себе Microsoft Active Directory, SELinux, FreeBSD, Solaris, СУБД Oracle, PostgreSQL 8.1, SAP R / 3, Lotus Notes і безліч інших.

Примітки ред.

  1. Ferraiolo D. F., Kuhn D. R. (October 1992). "Role Based Access Control [ 18 Жовтня 2011 у Wayback Machine.]". 15th National Computer Security Conference: 554—563.
  2. Sandhu R., Coyne E. J., Feinstein H. L., Youman C. E. (August 1996). «Role-Based Access Control Models [ 5 Червня 2011 у Wayback Machine.]». IEEE Computer (IEEE Press) 29 (2): 38–47.
  3. Editor, CSRC Content. . csrc.nist.gov (EN-US). Архів оригіналу за 8 Квітня 2018. Процитовано 7 квітня 2018. 
  4. Ravi Sandhu, Qamar Munawer (October 1998). "How to do discretionary access control using roles". 3rd ACM Workshop on Role-Based Access Control: 47—54.
  5. Sylvia Osborn, Ravi Sandhu, Qamar Munawer(2000). "Configuring role-based access control to enforce mandatory and discretionary access control policies". ACM Transactions on Information and System Security (TISSEC): 85—106.
  6. Systems, Hitachi ID. . hitachi-id.com (англ.). Архів оригіналу за 8 Квітня 2018. Процитовано 7 квітня 2018. 
  7. Sandhu R., Ferraiolo D.F. and Kuhn D.R. (July 2000). "The NIST Model for Role Based Access Control: Toward a Unified Standard". 5th ACM Workshop Role-Based Access Control: 47—63.

Література ред.

  • David., Ferraiolo,; Richard., Kuhn, D. (2007). Role-based access control (вид. 2nd ed). Boston: Artech House. ISBN 9781596931138. OCLC 427509709.

Посилання ред.

Вікіпедія, Українська, Україна, книга, книги, бібліотека, стаття, читати, завантажити, безкоштовно, безкоштовно завантажити, mp3, відео, mp4, 3gp, jpg, jpeg, gif, png, малюнок, музика, пісня, фільм, книга, гра, ігри
Дата публікації:
Keruvannya dostupom na osnovi rolej angl Role Based Access Control RBAC rozvitok politiki vibirkovogo keruvannya dostupom pri yakomu prava dostupu sub yektiv sistemi na ob yekti grupuyutsya z urahuvannyam specifiki yih zastosuvannya utvoryuyuchi roli 1 2 Formuvannya rolej poklikane viznachiti chitki i zrozumili dlya koristuvachiv komp yuternoyi sistemi pravila rozmezhuvannya dostupu Rolove rozmezhuvannya dostupu dozvolyaye realizuvati gnuchki ta dinamichno zminni v procesi funkcionuvannya komp yuternoyi sistemi pravila rozmezhuvannya dostupu Take rozmezhuvannya dostupu ye skladovoyu bagatoh suchasnih komp yuternih sistem Yak pravilo danij pidhid zastosovuyetsya v sistemah zahistu SUBD a okremi elementi realizuyutsya v merezhevih operacijnih sistemah Rolovij pidhid chasto vikoristovuyetsya v sistemah dlya koristuvachiv yakih chitko viznacheno kolo yih posadovih povnovazhen i obov yazkiv Nezvazhayuchi na te sho Rol ye sukupnistyu prav dostupu na ob yekti komp yuternoyi sistemi rolove keruvannya dostupom azh niyak ne ye okremim vipadkom vibirkovogo upravlinnya dostupom tak yak jogo pravila viznachayut poryadok nadannya dostupu sub yektam komp yuternoyi sistemi v zalezhnosti vid nayavnih abo vidsutnih u nogo rolej v kozhen moment chasu sho ye harakternim dlya sistem mandatnogo keruvannya dostupom Z inshogo boku pravila rolovogo rozmezhuvannya dostupu ye bilsh gnuchkimi nizh pri mandatnomu pidhodi do rozmezhuvannya Tak yak privileyi ne priznachayutsya koristuvacham bezposeredno i otrimuyutsya nimi tilki cherez svoyu rol abo roli upravlinnya individualnimi pravami koristuvacha po suti zvoditsya do priznachennya jomu rolej Ce sproshuye taki operaciyi yak dodavannya koristuvacha abo zmina pidrozdilu koristuvachem Zmist 1 Istoriya 2 Bazova model RBAC 3 Mozhlivosti ta zastosuvannya 4 Primitki 5 Literatura 6 PosilannyaIstoriya red Elementarni formi modeli RBAC buli zdijsneni v bagatoh specialnih formah na bagatoh sistemah pochinayuchi z 1970 h rokiv Kontrol dostupu na osnovi rolej yakij vikoristovuyetsya v danij chas vidbuvayetsya z modeli zaproponovanoyi Ferrajolo angl Ferraiolo i Kunom angl Kuhn 1992 i yak zrazkova model piznishe vdoskonalena Sandi angl Sandhu Kojn Fejnshtejn i Jomala 1996 1992 rik stattya Ferrajolo i Kuna yaka viznachaye RBAC za dopomogoyu dostupu tilki cherez roli iyerarhiyi i obmezhennya formalna model 1994 rik DTOS roztashovuvav doslidnij zrazok RBAC na prototipi modeli zaproponovanoyi Ferrajolo Kun Gavrilya angl Gavrila 1994 rik stattya Nyanchama i Osborn viznachaye model 1994 rik IBM podaye v Yevropi pershu zayavku na patent v oblasti RBAC cituye Ferrajolo i Kuna 1995 rik Ferrajolo Kugini angl Cugini Kun rozshirili formalnu model vvivshi viznachennya form podilu obov yazkiv 1996 rik metod Sandi dlya togo shob zdijsniti MAS na osnovi RBAC 1997 1998 roki Sybase Bezpechne Obchislennya Siemens ogoloshuye pro produkti RBAC yaki bazuyutsya bezposeredno na modeli 1997 rik bezpechne obchislennya vklyuchaye model Ferrajolo Kuna RBAC v amerikansku Globalnu Komandu DoD i Sistemu upravlinnya vihodit stattya Kuna na temu podilu obov yazkiv neobhidnih i dostatnih umov dlya bezpeki podilu 1997 rik stattya Osborna zasnovana na vidnosinah mizh RBAC i bagatorivnevoyu bezpekoyu mandatnoyi modeli politiki bezpeki anotaciya roli sho zv yazuye RBAC i bagatorivnevu bezpeku 1998 rik RBAC metod Kuna dlya togo shob zdijsniti RBAC na sistemi MAS 1999 rik Barklej angl Barkley Ferrajolo Kun vidkrivayut vihidnij doslidnij zrazok RBAC dlya rozvinenih vebserveriv 2000 rik Sandi Ferrajolo Kun publikuyut stattyu sho viznachaye ob yednani modeli RBAC i proponuyut standart RBAC 2004 rik Amerikanskij nacionalnij institut standartiv i Mizhnarodnij komitet po standartam informacijnih tehnologij ANSI INCITS prijmayut zaproponovanu Sandi Ferrajolo i Kunom model RBAC yak yedinij standart Bazova model RBAC red Dlya viznachennya modeli RBAC viznachayutsya nastupni umovi S Sub yekt Lyudina abo avtomatizovanij agent mnozhina koristuvachiv R Rol Robocha funkciya abo nazva yaka viznachayetsya na rivni avtorizaciyi mnozhina rolej P Dozvoli Zatverdzhennya rezhimu dostupu do resursu mnozhina prav dostupu na ob yekti sistemi SE Sesiya Vidpovidnist mizh S R ta abo P SA Priznachennya sub yekta PA R 2p funkciya sho viznachaye dlya kozhnoyi roli mnozhinu prav dostupu pri comu dlya kozhnogo p P isnuye r R taka sho p PA r RH Chastkovo vporyadkovana iyerarhiya rolej RH mozhe buti she zapisana tak Odin sub yekt mozhe mati kilka rolej Odnu rol mozhut mati dekilka sub yektiv Odna rol mozhe mati kilka dozvoliv Odin dozvil mozhe nalezhati kilkom rolyam Roli priznachayutsya sub yektam vnaslidok chogo sub yekti otrimuyut ti chi inshi dozvoli cherez roli RBAC vimagaye same takogo priznachennya a ne pryamogo priznachennya dozvoliv sub yektam inakshe ce prizvodit do skladno kontrolovanih vidnosin mizh sub yektami i dozvolami 3 Na mozhlivist uspadkuvannya dozvoliv vid protilezhnih rolej nakladayetsya obmezhuvalna norma yaka dozvolyaye dosyagti nalezhnogo podilu rezhimiv Napriklad odnij i tij zhe osobi mozhe buti ne dozvoleno stvoriti oblikovij zapis dlya kogos a potim avtorizuvatisya pid cim oblikovim zapisom Vikoristovuyuchi notaciyu teoriyi mnozhin P A P R displaystyle PA subseteq P times R nbsp pri comu dozvoli priznachayutsya zv yazkam rolej u vidnosheni bagato do bagatoh S A S R displaystyle SA subseteq S times R nbsp pri comu sub yekti priznachayutsya zv yazkam rolej i sub yektiv u vidnosheni bagato do bagatoh R H R R displaystyle RH subseteq R times R nbsp Poznachennya x y oznachaye sho x uspadkovuye dozvoli y Sub yekt mozhe mati mnozhinu odnochasnih sesij z riznimi dozvolami Mozhlivosti ta zastosuvannya red Tehnologiya keruvannya dostupom na osnovi rolej dosit gnuchka i silna shob zmodelyuvati yak vibirkove keruvannya dostupom DAC 4 tak i mandatne keruvannya dostupom MAC 5 Do rozrobki RBAC yedinimi vidomimi modelyami upravlinnya dostupom buli MAC i DAC yaksho model bula MAC to vona bula DAC i navpaki Doslidzhennya v 90 h pokazali sho RBAC ne potraplyaye ni v tu ni v inshu kategoriyu Roli stvoryuyutsya vseredini organizaciyi dlya riznih robochih funkcij Pevnim rolyam prisvoyuyutsya povnovazhennya permissions dlya vikonannya tih chi inshih operacij Shtatnim spivrobitnikam abo inshim koristuvacham sistemi priznachayutsya fiksovani roli cherez yaki voni otrimuyut vidpovidni privileyi dlya vikonannya fiksovanih sistemnih funkcij Na vidminu vid upravlinnya dostupom na osnovi kontekstu angl Context based access control CBAC realizaciya RBAC v chistomu viglyadi ne vrahovuye potochnu situaciyu taku yak napriklad zvidki bulo vstanovleno z yednannya RBAC vidriznyayetsya vid spiskiv kontrolyu dostupu angl Access control lists ACL yaki vikoristovuyutsya v tradicijnih vibirkovih sistemah upravlinnya dostupom tim sho mozhe davati privileyi na skladni operaciyi zi skladovimi danimi a ne tilki na atomarni operaciyi z nizkorivnevimi ob yektami danih Napriklad spisok kontrolyu dostupu mozhe nadati abo pozbaviti prava zapisu u yakomus sistemnomu fajlu ale vin ne mozhe obmezhiti te yakim chinom cej fajl mozhe buti zminenij Sistema zasnovana na RBAC dozvolyaye stvoriti taku operaciyu yak vidkrittya kreditu u finansovomu dodatku abo zapovnennya zapisu test na riven cukru v krovi v medichnomu dodatku Koncepciyi iyerarhiyi rolej i obmezhen dozvolyayut stvoriti abo zmodelyuvati kontrol dostupu na osnovi reshitki angl Lattice based access control LBAC zasobami RBAC Takim chinom RBAC mozhe buti osnovoyu i rozshirennyam LBAC V organizaciyah z riznoridnoyu IT infrastrukturoyu sho mistyat desyatki i sotni sistem i dodatkiv dopomagaye vikoristannya iyerarhiyi rolej i uspadkuvannya privileyiv Bez cogo vikoristannya RBAC staye vkraj zaplutanim U statti Dodatkovi roli praktichnij pidhid do obslugovuvannya koristuvachiv pidpriyemstva obgovoryuyutsya strategiyi alternativni velikim masshtabom prisvoyennya privileyiv koristuvacham 6 Suchasni sistemi rozshiryuyut staru model NIST 7 obmezhennyami RBAC dlya rozgortannya na velikih pidpriyemstvah Dlya velikih sistem z sotnyami rolej tisyachami koristuvachiv i miljonami dozvoliv upravlinnya rolyami koristuvachami dozvolami i yih vzayemozv yazkami ye skladnim zavdannyam yake nemozhlivo zdijsniti maloyu grupoyu administratoriv bezpeki Privablivoyu mozhlivistyu ye vikoristannya samoyi RBAC dlya spriyannya decentralizovanomu upravlinnyu RBAC RBAC shiroko vikoristovuyetsya dlya upravlinnya priznachenimi dlya koristuvacha privileyami v mezhah yedinoyi sistemi abo yedinogo dodatku Spisok takih sistem vklyuchaye v sebe Microsoft Active Directory SELinux FreeBSD Solaris SUBD Oracle PostgreSQL 8 1 SAP R 3 Lotus Notes i bezlich inshih Primitki red Ferraiolo D F Kuhn D R October 1992 Role Based Access Control Arhivovano 18 Zhovtnya 2011 u Wayback Machine 15th National Computer Security Conference 554 563 Sandhu R Coyne E J Feinstein H L Youman C E August 1996 Role Based Access Control Models Arhivovano 5 Chervnya 2011 u Wayback Machine IEEE Computer IEEE Press 29 2 38 47 Editor CSRC Content Role Based Access Control FAQs csrc nist gov EN US Arhiv originalu za 8 Kvitnya 2018 Procitovano 7 kvitnya 2018 Ravi Sandhu Qamar Munawer October 1998 How to do discretionary access control using roles 3rd ACM Workshop on Role Based Access Control 47 54 Sylvia Osborn Ravi Sandhu Qamar Munawer 2000 Configuring role based access control to enforce mandatory and discretionary access control policies ACM Transactions on Information and System Security TISSEC 85 106 Systems Hitachi ID Beyond Roles A Practical Approach to Enterprise IAM hitachi id com angl Arhiv originalu za 8 Kvitnya 2018 Procitovano 7 kvitnya 2018 Sandhu R Ferraiolo D F and Kuhn D R July 2000 The NIST Model for Role Based Access Control Toward a Unified Standard 5th ACM Workshop Role Based Access Control 47 63 Literatura red David Ferraiolo Richard Kuhn D 2007 Role based access control vid 2nd ed Boston Artech House ISBN 9781596931138 OCLC 427509709 Posilannya red FAQ on RBAC models and standards Arhivovano 6 Lipnya 2011 u Wayback Machine Role Based Access Controls at NIST Arhivovano 21 Zhovtnya 2008 u Wayback Machine XACML core and hierarchical role based access control profile Arhivovano 24 Bereznya 2018 u Wayback Machine OASIS XACML standart Podhody k kontrolyu dostupa RBAC vs ABAC Arhivovano 7 Serpnya 2016 u Wayback Machine Otrimano z https uk wikipedia org w index php title Keruvannya dostupom na osnovi rolej amp oldid 35025402