Модель аннулирования URA99

Модель аннулирования URA99

Моделирование систем защиты инфы

Лабораторная работа №3

Тема: Администрирование ролевой модели доступа

Цель работы: исследование принципов администрирования ролевой модели безопасности при помощи ролей

Теоретическая часть

Контроль доступа, основанный на ролях (RBAC) – эластичная и нейтральная разработка контроля доступа. Для огромных систем – с сотками ролей, тыщами юзеров и миллионами разрешений – управление ролями, юзерами, разрешениями и их отношениями – томная Модель аннулирования URA99 задачка, которая не может быть сконцентрирована в малеханькой команде сетевых админов. Существует симпатичная возможность использовать RBAC для облегчения децентрализации администрирования RBAC. Модель ARBAC99 создана для этой цели. ARBAC99 имеет 3 подмодели: URA99 (для ролевого администрирования ролей юзеров), PRA99 (для ролевого администрирования разрешений), RRA99 (для ролевого администрирования ролей).

Главные понятия

Ролевой контроль Модель аннулирования URA99 доступа – перспективная разработка контроля доступа для современной компьютерной среды. В RBAC разрешения ассоциированы с ролями, и юзеры соотносятся с надлежащими ролями, таким макаром, получая разрешения ролей. Это очень упрощает управление. Роли создаются для разных должностей в организации, и юзеры соотносятся к ролям, основанным на ответственности и профессионализме. Юзеры Модель аннулирования URA99 могут быть с легкостью переназначены на другую роль. Роли могут наделяться новыми разрешениями по мере подключения новых приложений и разрешения могут отбираться у ролей, когда это нужно. Дела роль-роль могут быть установлены для выработки широкого диапазона задач.

Очень нередко можно услышать вопрос: «В чем различие меж ролями и Модель аннулирования URA99 группами?». Группы юзеров как единица контроля доступа обычно предусмотрены в большинстве систем контроля доступа. Основное отличие меж большинством разработок групп и концепцией ролей будет то, что группы обычно рассматриваются как совокупа юзеров с одной стороны и совокупа разрешений с другой. Роль служит как посредник меж этими совокупностями.

Администрирование RBAC обхватывает Модель аннулирования URA99 препядствия предназначения ролей юзерам, прав – ролям, и предназначения ролей ролям для установления ролевой иерархии. Все эти деяния требуются, чтоб связать юзеров с их правами. Но, в почти всех случаях, это лучше осуществляется разными админами (административными ролями). Предназначение прав ролям, естественно, сфера деятельности админов приложений. Таким макаром, банковская прикладная программка Модель аннулирования URA99 может быть реализована так: операции кредитования и дебетования назначены на роль кассира, принимая во внимание, что одобрение ссуды назначено на роль управляющего. Предназначение реальных личностей на роли кассира и управляющего – функция управления персоналом. Предназначение ролей ролям имеет нюансы предназначения ролей юзерам и предназначения прав ролям. Дела Роль Модель аннулирования URA99-Роль устанавливают широкую политику. Управление этими отношениями обычно централизуется в руках нескольких админов защиты.

Подмодель URA 97

Разглядим модель URA97, применяемую для управления предназначением пользовательской роли. Мы определяем URA97 в 2-ух качествах, связанных с предоставлением юзеру членства в роли и отменой членства юзера. Модель URA97 специально разработана с очень ограниченными Модель аннулирования URA99 способностями. К примеру, создание юзеров и ролей – вне её компетенции. Невзирая на простоту, URA97 достаточно мощная модель, и существенно превосходит имеющиеся административные модели для предназначения пользовательской роли. Эта модель также применима вне RBAC для предназначения групп юзеров.

В простом случае предназначение пользовательской роли может быть стопроцентно централизовано в роли начальника службы Модель аннулирования URA99 безопасности. Это просто осуществляется в имеющихся системах. Но этот обычный способ не подходит для огромных систем. Потому лучше в некой степени децентрализовать предназначение пользовательской роли.

В неких системах можно определять роль, скажем – младший офицер безопасности (JSO), – члены которой имеют административный контроль над неким количеством неизменных ролей, например, A, B и Модель аннулирования URA99 C. Таким макаром, ограниченные административные возможности предоставлены роли JSO. К огорчению, эти системы обычно предоставляют роли JSO полный контроль над ролями A, B и C. Член JSO может не только лишь добавлять юзеров к A, B и C, да и удалять юзеров из этих ролей, также добавлять и Модель аннулирования URA99 удалять права. Не считая того, нет никакого контроля, под которым юзеры могут быть добавлены к ролям A, B и C членами JSO. В конце концов, членам JSO разрешено назначать A, B и C младшими членами хоть какой роли в имеющейся иерархии (пока это не приведёт к циклу). Все Модель аннулирования URA99 это совмещается с традиционными представлениями о контроле, по этому JSO отлично обозначаются как "обладатели" ролей A, B и C, и потому могут делать с этими ролями всё, что захочут.

В URA97 наша цель заключается в том, чтоб наложить ограничения, кем и кому может быть добавлена роль, также обеспечить невозможность прибавления Модель аннулирования URA99 и удаления юзеров при помощи других операций в роли. Понятие условия нужной предпосылки – главная часть URA97.

Определение 1. Условие нужной предпосылки – булевское выражение, использующее операторы Ù и Ú над переменными вида x и`x, где x – неизменная роль другими словами, x Î R). Условие нужной предпосылки оценивается для юзера u, полагая x настоящим, если ($ x¢ ³ x) (u,x¢) Î UA Модель аннулирования URA99, и – настоящим, если (" x¢ ³ x) (u, x¢) Ï UA. Для данного набора ролей R обозначим как CR все вероятные условия нужной предпосылки, которые могут быть сформированы, используя роли из R.

В очевидном случае условие нужной предпосылки может быть тавтологией. Простой нетривиальный случай условия нужной предпосылки, тест для членства в отдельной роли Модель аннулирования URA99, в каком эта отдельная роль именуется ролью нужной предпосылки.

Предназначение пользовательской роли разрешается в URA97 последующим отношением.

Определение 2. Модель URA97 держит под контролем предназначение пользовательской роли средством дела can-assign ÍARxCRx2R.

Значение can-assign (x, y, {a, b, c}) в том, что член административной роли x (либо член административной роли, которая Модель аннулирования URA99 является старшей для x), может назначать юзера, текущее членство (либо отсутствие членства) которого в неизменных ролях удовлетворяет условию нужной предпосылки y, членом неизменных ролей a, b либо c[1].

Чтоб оценить мотивацию дела can-assign разглядим иерархию роли на рис. 1 и иерархию административной роли на рис. 2. Рис. 1 указывает неизменные роли, которые есть в техническом отделе Модель аннулирования URA99. Е – самая младшая роль, которая назначается всем служащим в организации. В границах технического отдела есть самая младшая роль ED и самая старшая роль DIR. Меж ними есть роли для 2-ух проектов в границах отдела, проект 1 – слева и проект 2 – справа. Каждый проект имеет старшую роль – роль управляющего проекта (PL1 и PL2) и младшую Модель аннулирования URA99 роль – роль инженера (E1 и E2). Меж этими ролями каждый проект имеет две несравненных роли: промышленный инженер (PE1 и PE2) и инженер по качеству (QE1 и QE2).

Рис. 1 Пример ролевой иерархии

Рис. 2 Пример иерархии административных ролей

Рис. 1 удовлетворяет нашей цели, но эта структура, конечно, может быть расширена до 10-ов и Модель аннулирования URA99 даже сотен проектов в границах технического отдела. Не считая того, каждый проект мог иметь различную структуру для собственных ролей. Пример может также быть расширен на огромное количество отделов с различной структурой и политикой.

Рис. 2 указывает иерархию административных ролей, которая сосуществует с показанной на рис. 1. Самая основная роль – старшее должностное лицо Модель аннулирования URA99, отвечающее за безопасность (SSO). Главный энтузиазм для нас представляют административные роли, младшие по отношению к SSO. Они состоят из 2-ух ролей начальников охраны проектов (PSO1 и PSO2) и роли начальника безопасности отдела (DSO) со связями, показанными на рисунке.

Для иллюстрации определим отношение can-assign, показанное в Табл. 1 в Модель аннулирования URA99 столбце Role Set набора роли. В этом примере находится простейшее условие нужной предпосылки тесты членства в отдельной роли, известной как роль нужной предпосылки.

Роль PSO1 несет частичную ответственность за роли проекта 1. Пусть Алиса будет членом роли PSO1 и Боб – членом роли ED. Алиса может назначать Боба на Модель аннулирования URA99 всякую из ролей E1, PE1 и QE1, но не на роль PL1. К тому же, если Чарли не член роли ED, то Алиса не может назначать его на какую-либо из ролей проекта 1. Как следует, Алиса имеет возможности, для предназначения юзеров на роли E1, PE1 и QE1, что обеспечивает Модель аннулирования URA99 этим юзерам членство в роли ED. Направьте внимание на то, что если Алиса назначает Боба на PE1, он не нуждается в очевидном предназначении на E1, потому что права E1 будут унаследованы через иерархию роли. Роль PSO2 подобна PSO1, но по отношению к проекту 2. Роль DSO наследует возможности ролей PSO1 и Модель аннулирования URA99 PSO2, но может дальше добавлять юзеров, являющихся членами ED к ролям PL1 и PL2. Роль SSO может добавлять юзеров, находящихся в E роли к роли ED, также как добавлять юзеров, находящихся в роли ED к роли DIR. Это гарантирует, что даже SSO должен будет зарегистрировать юзера в роли ED до Модель аннулирования URA99 этого, чем этот юзер будет зарегистрирован в роли старшей по отношению к ED. Это – разумная спецификация для can-assign. Есть, естественно, масса других идиентично разумных спецификаций в этом плане. Это – вопрос решения политики, и наша модель обеспечивает нужную упругость.

Вообщем, можно было бы ждать, что назначаемая роль является старшей по Модель аннулирования URA99 отношению к роли, вначале требовавшейся юзеру. Другими словами если мы имеем, can-assign (a, b, C) тогда bмладший, по отношению ко всем ролям c Î C. Мы полагаем, что это обычно будет иметь место, но мы не требуем этого в модели. Это позволяет URA97 быть применимой к ситуациям, где нет никакой иерархии роли Модель аннулирования URA99 либо где такое ограничение не может быть подходящим.

Таким макаром, для DSO мы обусловили набор ролей как {PL1, PL2} и других значений наследуемых от PSO1 и PSO2.

Can-assign с Ролями Нужной предпосылки (prereq. role)Таблица 1

Admin. Role Prereq. Role Role Set Role Range
PSO1 PSO2 DSO SSO Модель аннулирования URA99 SSO ED ED ED E ED {E1, PE1, QE1} {E2, PE2, QE2} {PL1, PL2} {ED} {DIR} [E1, PL1) [E2, PL2) (ED, DIR) [ED, ED] (ED, DIR]

Аналогично для SSO. Но очевидное перечисление набора ролей было бы массивным, в особенности если б мы работали с десятками либо сотками проектов Модель аннулирования URA99 в отделе. Не считая того, очевидное перечисление не эластично относительно конфигураций в иерархии роли. Представим, что 3-ий проект представлен в отделе ролями E3, PE3, QE3, PL3 и PSO3 аналогично подходящим ролям для проектов 1 и 2. Мы можем добавить последующую строчку к Таблице 1.

Admin. Role Prereq. Role Role Set
PSO3 ED {E3, PE Модель аннулирования URA993, QE3}

Эти конфигурации нужны, когда новый проект и его роли вводятся в иерархию неизменных и административных ролей. Но мы также должны поменять строчку для DSO в таблице 1, чтоб включить PL3.

Разглядите заместо этого значение спектра, показанное в Таблице 1 в столбце Role Range спектра ролей. Столбцы Role Set и Role Модель аннулирования URA99 Range Таблицы 1 демонстрируют однообразные наборы ролей. Спектр ролей определяет этот набор, опознавая спектр в границах иерархии роли на рисунке 1 (a) средством известного закрытого и открытого значения интервала.

Определение 3. Наборы ролей определены в модели URA97 последующими выражениями:

[x,y] = x ³ r Ù r ³ y

[x, y) = x ³ r Ù r > y

(x, y] = x > r Ù r ³ y

(x, y) = r Î R

Эти выражения эластичны в Модель аннулирования URA99 отношении модификаций в иерархии роли, таких как дополнение третьего проекта, который просит дополнения последующей строчки к Таблице 1.

Admin. Role Prereq. Role Role Range
PSO3 ED [E3, PL3)

Никаких других конфигураций не требуется. Начиная с [ED, DIR), спектр, обозначенный для DSO автоматом приобретет PL3.

Значения спектра не эластичны ко всем изменениям Модель аннулирования URA99 в иерархии роли. Удаление 1-го из конечных пт спектра может бросить повисшую ссылку и неправильный спектр. Стандартные способы для обеспечения ссылочной целостности должны могли быть примениться при изменении иерархии спектра. Конфигурации отношений роль-роль, могут также привести к тому, что спектр будет очень отличаться от его реального Модель аннулирования URA99 значения. Но notation спектра еще удобнее, чем его очевидное перечисление. Нет также никакой утраты общности в принятии notation спектра, потому что каждый набор ролей может быть представлен как объединение непересекающихся диапазонов.

Строго говоря, набор ролей и спектр ролей – спецификации таблицы 1. Набором ролей, DSO очевидно разрешено зарегистрировать юзеров в PL Модель аннулирования URA991 и PL2, и наследуется от PSO1 и PSO2 возможность регистрации юзеров в других ролях проектов 1 и 2. С другой стороны, спектром ролей, DSO очевидно разрешено зарегистрировать юзеров во всех ролях проектов 1 и 2. Итог будет тот же самый. Но если изменена иерархия роли либо права PSO1 либо PSO2, итог может отличаться. Роль DSO Модель аннулирования URA99, устанавливающая права, может быть заменена последующей строчкой, чтоб сделать это практически схожим обозначенному спектру роли.

Admin. Role Prereq. Role Role Set
DSO ED {E1, PE1, QE1, PL1, E2, PE2, QE2, PL2}

Сейчас, даже если роли PSO1 и PSO2 Таблицы 1 изменены соответственно в наборы ролей {E1} и {E Модель аннулирования URA992}, DSO роль будет все еще сохранять административные возможности над всеми ролями проекта 1 и проекта 2. Естественно, очевидные и неявные спецификации никогда не будут вести себя точно тождественно при всех обстоятельствах. К примеру, введение нового проекта 3 покажет различия как описано выше. Напротив, спектр ролей DSO в Таблице 1 может быть заменен последующими строчками Модель аннулирования URA99, чтоб сделать это практически схожим обозначенному набору ролей.

Admin. Role Prereq. Role Role Range
DSO DSO ED ED [PL1, PL1] [PL2, PL2]

Подобна ситуация с ролью SSO в Таблице 1. Ясно, что мы должны учесть воздействие будущих конфигураций, при определении дела can-assign.

Пример can-assign, который употребляет быстрее условия нужной предпосылки Модель аннулирования URA99, чем роли нужной предпосылки, показывается в Таблице 2. Права для PSO1 и PSO2 были изменены по сопоставлению с Таблицей 1.

Позвольте нам разглядеть кортежи PSO1 (анализ для PSO2 аналогичен). 1-ый кортеж разрешает PSO1 назначать юзеров с ролью нужной предпосылки ED в E1.

Can-assign с Критериями Нужной предпосылки Таблица 2

Admin. Role Модель аннулирования URA99 Prereq. Condition Role Range
PSO1 ED [E1, E1]
PSO1 [PE1, PE1]
PSO1 [QE1, QE1]
PSO1 PE1ÙQE1 [PL1, PL1]
PSO2 ED [E2, E2]
PSO2 [PE2, PE2]
PSO2 [QE2, QE2]
PSO2 PE2ÙQE2 [PL2, PL2]
DSO ED (ED, DIR)
SSO E [ED, ED]
SSO ED (ED, DIR]

2-ой разрешает PSO Модель аннулирования URA991 назначать юзеров роли PE1 с условием нужной предпосылки EDÙ . Точно так же 3-ий кортеж разрешает PSO1 назначать юзеров роли QE1 с условием нужной предпосылки EDÙ . Взятые вкупе 2-ой и 3-ий кортежи разрешают PSO1 назначить юзеру, являющемуся членом ED, роль PE1 либо QE1, но не обе. Это указывает, как в Модель аннулирования URA99 URA97 могут быть предписаны взаимно исключающие роли. PE1 и QE1 взаимно исключают друг дружку по отношению к власти PSO1. Но для DSO и SSO они не являются взаимно исключающими. Как следует, понятие обоюдного исключения в URA97 – относительное. 4-ый кортеж разрешает PSO1 назначить юзеру, являющемуся членом ролей PE1 и Модель аннулирования URA99 QE1, роль PL1. Естественно, юзер мог стать членом и PE1, и QE1 только средством более массивного админа, чем PSO1.

Сейчас обратимся к рассмотрению отмены моделей в URA97. Цель заключается в том, чтоб найти модель отмены, которая является совместимой с философией RBAC. Это принуждает нас отступить от традиционных подходов к отмене Модель аннулирования URA99.

В обычном подходе к отмене (аннулированию) есть, по последней мере, две препядствия, которые представляют сложность. Представим, что Алиса предоставляет Бобу некие права P. Это изготовлено по усмотрению Алисы, так как Алиса является либо обладателем объекта, которому принадлежит P либо наделена административными возможностями на P фактическим обладателем. Алиса может позднее Модель аннулирования URA99 отменить P для Боба. Сейчас представите, что Боб получил разрешение на P от Алисы и от Чарли. Если Алиса отменяет P для Боба, он все еще сохраняет права P благодаря Чарли. Связанная передача позволяет каскад отмен. Представим, что разрешение Чарли было в свою очередь предоставлено Алисой, тогда может Модель аннулирования URA99 быть разрешение Боба должно окончиться с отменяющими действиями Алисы. А может быть и нет, так как Алиса отменила только прямое предоставление прав Бобу, но не косвенное через Чарли, которое в реальности вышло по усмотрению Чарли. В массе литературы изучены возникающие тонкости, в особенности когда осуществлены иерархические группы Модель аннулирования URA99 и отрицательные разрешения либо отрицания.

Подход RBAC к разрешениям достаточно очень отличается от обычного. В RBAC юзеры изготовлены членами ролей с учетом их рабочих функций либо назначенных задач в интересах организации. Предоставление членства в роли не делается по прихоти лица предоставляющего членство. Представим, что Алиса делает Боба членом роли X. В Модель аннулирования URA99 URA97 это может произойти, так как Алисе предоставлены нужные административные возможности над X некой административной ролью Y, и Боб имеет право на членство в X благодаря имеющимся ролям Боба (и отсутствию членства в ролях) удовлетворяющим условию нужной предпосылки. Не считая того, есть некие организационные происшествия, заставляющие Алису предоставлять Бобу это Модель аннулирования URA99 членство. Это не делается просто из-за прихоти Алисы. Сейчас, если позднее Алиса будет удалена из административной роли Y, непременно, нет никакой предпосылки также удалить Боба из X. Изменение рабочих функций Алисы не непременно должно отменять ее прошлые деяния. Может быть какой-нибудь другой админ, скажем Дороти, воспримет Модель аннулирования URA99 ответственность Алисы. Аналогично, представим, что и Алиса, и Чарли оба предоставили Бобу членство в роли X. Позднее Боб переназначен к другому проекту и больше не должен быть членом роли X. Не значительно Алиса либо Чарли, либо они оба, либо Дороти отменяют членство Боба. Членство Боба в X Модель аннулирования URA99 отменяется из-за конфигурации организационных событий.

Сейчас мы представим наше примечание для обеспечения аннулирования.

Определение 4. Модель URA97 держит под контролем аннулирование пользовательской роли средством дела can-revoke ÍARx2R.

Значение can-revoke (x, Y) заключается в том, что член административной роли x (либо член административной роли, которая является старшей оп Модель аннулирования URA99 отношению к x) может отменять членство юзера в хоть какой неизменной роли y Î Y. Y определяется средством выражений в определении 3. Будем гласить, что Y определяет спектр аннулирования.

Считается что операция аннулирования в URA97 слабенькая, так как она применяется только к ролям, которые отменяются конкретно. Представим, что Боб - член PE1 и E1. Если Модель аннулирования URA99 Алиса отменяет членство Боба в E1, он продолжает быть членом старшей роли PE1 и потому может воспользоваться правами роли E1. Чтоб найти понятие слабенького аннулирования введем последующую терминологию. UA – отношение предназначения юзера.

Определение 5. Будем гласить, что юзер U - очевидный член роли x, если (U, x) Î UA, и что U Модель аннулирования URA99 является неявным членом роли x если для некого x ¢ > x (U, x ¢) Î UA.Слабенькое аннулирование оказывает влияние лишь на очевидное членство. Ниже обозначено его понятное установленное значение.

[Слабое Аннулирование] Пусть Алиса имеет сеанс с административными ролями А={ }, и пусть она попробует произвести слабенькое аннулирование Боба от роли x.

Пример Модель аннулирования URA99 дела can-revoke Таблица 3

Admin. Role Role Range
PSO1 PSO2 DSO SSO [E1, PL1) [E2, PL2) (ED, DIR) [ED, DIR]

Пример Сильного аннулирования Таблица 4

User E1 PE1 QE1 PL1 DIR Alice revokes user from E1
Bob Cathy Dave Eve Yes Yes Yes Yes Yes Yes Yes Yes No Yes Yes Yes Модель аннулирования URA99 No No Yes Yes No No No Yes Removed from E1, PE1 Removed from E1, PE1, QE1 No effect No effect

Если Боб – не очевидный член x, эта операция не произведет никакого эффекта, в неприятном случае, если существует кортеж can-revoke (b, Y) таковой, что aiÎA, ai&sup Модель аннулирования URA993;b и x Î Y, отменяется очевидное членство Боба в x.

Сильное аннулирование членства U в x просит, чтоб для U было отменено не только лишь очевидное членство в x, но также и очевидное (либо неявное) членство во всех ролях, старших по отношению к x. Но сильное аннулирование в URA97 вступает в силу исключительно в том случае, если Модель аннулирования URA99 все неявные аннулирования расположенные выше в иерархии роли находятся в границах спектра аннулирования административных ролей, участвующих в сеансе. Сильное аннулирование на теоретическом уровне эквивалентно последовательности слабеньких аннулирований, но это – комфортная и нужная для админов операция.

Разглядим пример can-revoke показанный в Таблице 3 и интерпретируем его в контексте иерархий Модель аннулирования URA99 на рисунках 1 и 2. Пусть Алиса будет членом PSO1, и пусть это будет единственной административной ролью, которую она имеет. Алиса уполномочена создавать сильное аннулирование членства юзеров в ролях E1, PE1 и QE1. Таблица 4 иллюстрирует итог сильного аннулирования Алисой членства юзера в роли E1. Алиса не может выполнить сильное аннулирование членства Модель аннулирования URA99 Дейва и Эви в E1, так как они – члены старших ролей, находящихся вне возможностей Алисы на аннулирование. Если б Алиса была назначена на роль DSO, она могла бы выполнить сильное аннулирование членства Дейва в E1, но все еще не могла бы произвести эту операцию по отношению к Эви. Чтоб выполнить сильное аннулирование Модель аннулирования URA99 членства Эви в E1, Алиса должна быть членом роли SSO.

Метод сильного аннулирования в определениях слабенького аннулирования смотрится последующим образом.

[Сильное Аннулирование] Пусть Алиса имеет сеанс с административными ролями А={ }, и пусть она попробует произвести сильное аннулирование Боба от роли x. Найдем все роли y ³ x, такие что Модель аннулирования URA99 Боб – член y. Осуществим слабенькое аннулирование членства Боба во всех таких y, как сделала бы это Алиса. Если какое-либо из слабеньких аннулирований не сработает, то сильное аннулирование не будет иметь никакого эффекта, в неприятном случае все слабенькие аннулирования будут успешными.

Другой подход был должен бы производить только те слабенькие аннулирования Модель аннулирования URA99, которые удаются, и игнорировать другие. URA97 допускает это как выбор поведения, определенного выше. В общем, мы можем давать гибкое значение сильному аннулированию, пока это может быть выражено в определениях слабенького аннулирования.

Итак, мы разглядели каскадирование аннулирования ввысь в иерархии роли. Не считая этого есть также и нисходящий эффект каскадирования. Разглядим Боба Модель аннулирования URA99 в нашем примере, являющегося членом E1 и PE1. Представим дальше, что Боб – очевидный член PE1 и таким макаром неявный член E1. Что произойдет, если Алиса исключит Боба из PE1? Если мы удалим (Боб, PE1) из дела UA, неявное членство Боба в E1 будет также удалено. С другой стороны Модель аннулирования URA99, если Боб - очевидный член PE1 и также очевидный член E1, тогда аннулирование Алисой Боба в PE1 не удаляет его из E1. Операции аннулирования, которые мы обусловили в URA97, приводят к последующему эффекту.

Свойство 1. Неявное членство в роли a находится в зависимости от очевидного членства в некой старшей роли b Модель аннулирования URA99 >a. Потому, когда очевидное членство юзера в роли b отменяется, то неявное членство в младшей роли a также автоматом отменяется, если только не существует некой другой старшей роли c > a, в который юзер продолжает быть очевидным членом.

Направьте внимание, что наши примеры can-assign в Таблице 1 и can-revoke в таблице 3, комплементарны в Модель аннулирования URA99 том что, любая административная роль имеет один и тот же спектр для прибавления юзеров и удаления юзеров от ролей. Хотя это было бы общим случаем, мы не навязываем это как требование к нашей модели.

Итак, URA97 держит под контролем предназначение пользовательской роли средством дела can-assign ÍARxCRx2R. Наборы ролей Модель аннулирования URA99 определяются при помощи выражений приведенных в определении 3. Предназначение имеет обычный нрав, по этому can-assign (a, b, C) разрешает сеанс с административной ролью a¢ ³ a для предназначения хоть какому юзеру, удовлетворяющему условию нужной предпосылки b, хоть какой роли c Î C. Условие нужной предпосылки – булевское выражение, использующее обычно операторы Ù и Ú над переменными вида Модель аннулирования URA99 x и`x, обозначающими соответственно членство и не-членство в неизменной роли x. Аннулирование управляется в URA97 отношением, can-revoke ÍARxCRx2R. Слабенькое аннулирование применяется только для очевидного членства в отдельной роли. Сильное аннулирование распространяется каскадом ввысь в иерархии роли. В обоих случаях аннулирования распространяются каскадом вниз как отмечено в свойстве Модель аннулирования URA99 1.

Модель URA99

Модель URA99 основывается на модели URA97. Членство юзера в роли может быть мобильным либо стационарным. Мобильное членство юзера u в роли x значит, что u может использовать разрешения роли x, и члены административных ролей могут использовать это членство для того, чтоб присвоить юзера u другим ролям. Стационарное членство юзера Модель аннулирования URA99 u в роли x значит, что u может использовать разрешения роли x, но члены административных ролей не могут использовать это членство для того, чтоб присвоить юзера u другим ролям.

Для формализации этого различия мы полагаем, что любая роль x содержит две подроли Mx и IMx. Членство в Mx является мобильным Модель аннулирования URA99, а членство в IMx является стационарным. Для сопоставимости с URA97 мы определим набор ролей R для содержания мобильных и стационарных ролей.

Определение 6. Для данного набора ролей R1 мы определим роли для URA99: R= x Î R1.

С помощью этого определения отношение присвоения юзера в URA97, UAÍUxR по существу остается Модель аннулирования URA99 постоянным в URA99. Присваивание юзера к Mx значит что юзер – мобильный член x. Аналогично, присваивание юзера к IMx значит, что юзер является стационарным членом x.

Сочитая мобильное и стационарное членство с понятием очевидного и неявного членства, дает нам четыре отдельных типа ролевого членства в URA99.

Определение 7. Для хоть Модель аннулирования URA99 какой роли x есть 4 типа членства пользователь-роль.

1. Очевидный мобильный член EMx: uÎEMxº(u,Mx)ÎUA

2. Очевидный стационарный член EIMx: uÎEIMxº(u,IMx)ÎU0041

3. Неявный мобильный член ImMx: uÎImMxº($x’>x)(u,Mx’)ÎUA

4. Неявный стационарный член ImIMx: uÎImIMxº($x’>x)(u Модель аннулирования URA99,IMx’)ÎUA

Может быть, что юзер обладает всеми 4-мя типами членства сразу. Но, мы определим семантику URA99 так, что существует серьезное приемущество посреди этих типов членства:

EMx>EIMx>ImMx>ImIMx

Таким макаром, хотя юзер имеет огромное количество типов членства в роли, в хоть какое время действует только какой-то из них.

Рис Модель аннулирования URA99. 3. Наследование мобильности и стационарности.

Для разъяснения наследования мобильного и стационарного членства в роли, мы сперва разглядим иерархию 2-ух ролей показанных на рис. 3(а) где роль x1 является старшей по отношению к роли x2. Юзер Алиса, являющаяся очевидным мобильным членом роли x1 (Алиса Î EMx1) является неявным мобильным членом Модель аннулирования URA99 x2 (Алиса Î ImMx2). Аналогично наследование применяется для стационарных юзеров. Как следует, если Боб является очевидным стационарным членом роли x1 (Боб Î EIMx1) он также является неявным стационарным членом роли x2 (Боб Î ImIMx2).

Дальше разглядим иерархию ролей на рис. 3(b). Пусть Боб будет очевидным мобильным членом роли x1 и очевидным стационарным членом роли Модель аннулирования URA99 x2. Сейчас Боб является неявным мобильным членом роли x3 (т.к. он очевидный мобильный член в x1) и является неявным стационарным членом роли x3 (т.к. он очевидный стационарный член в x2). Следуя правилу приемущества мобильное членство посильнее, чем стационарное. Это значит, что Боб будет иметь неявное Модель аннулирования URA99 мобильное членство в роли x3.

В конце концов, разглядим иерархию ролей на рис. 3(с). Пусть Боб – очевидный мобильный член роли x3. Таким макаром, Боб – неявный мобильный член ролей x1 и x2 в иерархии. Пусть Боб – очевидный стационарный член x2. Тогда по правилу приемущества Боб будет стационарным в x2, невзирая Модель аннулирования URA99 на то, что он мобильный в x1. Очевидное стационарное членство Боба перекрывает неявное мобильное членство.

Значение подготовительного условия в URA97 довольно-таки открыто, потому что определение членства роли – обычное. В URA99 нам необходимо интерпретировать предварительное условие в определениях мобильного/стационарного и очевидного/неявного членства. В URA99 подготовительные условия определены Модель аннулирования URA99 в определениях x и (не x) как и в URA97 (лучше, чем в определениях Mx, IMx, не Mx и не IMx). Членство и отсутствие членства в роли интерпретируем ниже.

Определение 8. В модели предоставления URA99 предварительное условие оценивается для юзера u, интерпретируя значение x как правду, если: uÎEMxÈ(uÎImMxÇu Модель аннулирования URA99ÏEIMx), и значение (не x) как правду, если: uÏEMxÇuÏEIMxÇuÏImMxÇuÏImIMx

Другими словами x обозначает мобильное членство (очевидное либо неявное), а (не x) обозначает отсутствие какого-нибудь членства. Заметим невозможность истинности сразу x и (не x). Но они могут быть ложью сразу (когда uÎEIMx и u Модель аннулирования URA99ÏEMx).

Отношение can-assign URA97 заменяется 2-мя последующими отношениями.

Определение 9. Присвоение юзера роли как мобильного члена авторизуется отношением can-assign-MÍARxCRx2R, как немобильного члена отношением can-assign-IMÍARxCRx2R.

Значение can-assign-M(x,y,Z) заключается в том, что член административной роли x (либо член административной роли Модель аннулирования URA99 старшей, чем x) может присваивать юзера, чье текущее членство, либо отсутствие членства в обыденных ролях удовлетворяет предпосылке y, обыкновенной роли zÎZ как мобильного члена. Значение can-assign-IM(x,y,Z) в том, что член административной роли x (либо член административной роли старшей, чем x) может Модель аннулирования URA99 присваивать юзера, чье текущее членство (либо его отсутствие) в обыденных ролях удовлетворяет предпосылке y, обыкновенной роли zÎZ как стационарного юзера.

Примеры can-assign-M и can-assign-IM показаны в Таблицах 3 и 4.

Администраторская роль Предварительное условие Спектр ролей
PSO1 ED [E1,PL1)
PSO2 ED [E2,PL2)
DSO EDÇnot (PL2) [PL1,PL Модель аннулирования URA991]
DSO EDÇnot (PL1) [PL2,PL2]
SSO ED (ED,DIR]
SSO E [ED,ED]

Администраторская роль Предварительное условие Спектр ролей
PSO1 ED [E1,PL1)
PSO2 ED [E2,PL2)
DSO EDÇnot (PL2) [PL1,PL1]
DSO EDÇnot (PL1) [PL2,PL2]
SSO ED (ED,DIR]
SSO E [ED,ED]
DSO E Модель аннулирования URA99 [ED,ED]

Таблица 3 схожа Таблице 1. Естественно, предварительное условие сейчас интерпретируется по-другому. Верхние 6 строк Таблицы 4 повторяют Таблицу 3. Это значит, что мобильное либо стационарное членство предоставляется по усмотрению отдельных админов. URA99 просит, чтоб авторизация на предоставление мобильного либо стационарного членства была очевидно определена в этой манере. Последняя строчка Таблицы Модель аннулирования URA99 4 авторизует DSO записывать хоть какого работника как стационарного члена ED. DSO не имеет возможностей на запись работников в качестве мобильных членов ED. Эта возможность принадлежит SSO. В этом примере DSO может записывать работника как стационарного члена ED, а позднее SSO может продвинуть его членство до мобильного.

Модель аннулирования URA99

Модель аннулирования URA Модель аннулирования URA9999 фиксирует недочет симметрии меж моделями предоставления и аннулирования в URA97 которая довольно-таки независима от мобильности. Она также имеет дело с аннулированием мобильного и стационарного членства.

В URA97 отношение can-assign включает подготовительные условия, но can-revoke – нет. Чтоб узреть полезность подготовительных критерий в этом контексте Модель аннулирования URA99 разглядим случай, когда PSO1 держит под контролем присвоение юзера роли в проекте 1. Если Боб член E1 тогда PSO1 может присвоить Боба к хоть какой роли в проекте 1, другими словами E1, PE1 и QE1. Эти присвоения управляются отношением can-assign. Представим, что PSO1 не желает, чтоб Боб был членом хоть Модель аннулирования URA99 какой роли вне проекта 1, т.к. его членство в других ролях понизят эффективность его работы. Если Боб присвоен роли, которая попадает за проект 1, то PSO1 обязан иметь право чтоб аннулировать членство. URA97 не предоставляет такое право аннулирования роли. Подготовительные условия в can-revoke – единственное, что может предоставить эту возможность.

Следуя подходу Модель аннулирования URA99 модели предоставления в URA99, мы представляем последующие 2 дела для авторизации аннулирования мобильного и стационарного членства.

Определение 10. Модель URA99 авторизует аннулирование мобильного членства средством дела can-revoke-MÍARxCRx2R и аннулирование стационарного членства средством дела can-revoke-IMÍARxCRx2R.

Значение can-revoke-M(x,y,{a,b,c}) заключается Модель аннулирования URA99 в том, что член административной роли x (либо член административной роли старшей, чем x) может аннулировать мобильное членство юзера в ролях a,b,c зависимо от подготовительного условия y. Аналогично для can-revoke-IM.

Пример данных отношений приведен в Таблицах 5 и 6.

Администраторская роль Предварительное условие Спектр ролей
PSO1 E Модель аннулирования URA99 [E1,PL1)
PSO2 E [E2,PL2)
DSO E (ED,DIR)
SSO E (ED,DIR]
PSO1 E1 [E2,PL2)
PSO2 E2 [E1,PL1)


mobilnie-telefoni-inogda-nazivaemie-sotovimi-bistro-stanovyatsya-neotemlemoj-chastyu-sovremennih-sredstv-elektrosvyazi-vnekotorih-rajonah-mira-oni-yavlyayutsya-nai.html
mobilnij-kompleks-informacionno-bibliotechnogo-obsluzhivaniya-naseleniya-razrabotka-i-primenenie.html
mobilnimi-telefonami-i-smartfonami-8-glava.html