Rollipõhine pääsukontroll: Difference between revisions
No edit summary |
No edit summary |
||
| Line 20: | Line 20: | ||
<br> | <br> | ||
Farraiolo ja Kuhn uurimistöös on defineeritud tähtsamad reeglid, mis kirjeldavad RBAC mudeli. | Farraiolo ja Kuhn uurimistöös on defineeritud tähtsamad reeglid, mis kirjeldavad RBAC mudeli. | ||
<br> | <br> | ||
# Rolli määramine: Subjekt võib teostada tehingu ainult kui see subjekt valis rolli või kuulub osanikuna sell rolli sisse. Samal ajal autentimise (ID kontroll) protsess ei ole tehing. Kõik teised kasutaja toimingud süsteemis teostatakse läbi tehingute, seega kõikidel aktiivsetel kasutajatel peab olema aktiivne roll. | |||
# Rolli tegevusluba: Subjektil peab olema tegevusluba aktiivse rolli kasutamiseks. | # Rolli tegevusluba: Subjektil peab olema tegevusluba aktiivse rolli kasutamiseks. | ||
# Tehingute tegevusluba: Subjekt võib teostada tehingu ainult kui see tehing on määratud selle subjekti aktiivse rolli jaoks. | # Tehingute tegevusluba: Subjekt võib teostada tehingu ainult kui see tehing on määratud selle subjekti aktiivse rolli jaoks. | ||
Revision as of 00:15, 10 May 2010
Autor: Marina Korovina
Grupp: A22
LÕPETAMATA
Rollipõhine pääsukontroll (Role Based Access Control, RBAC) – on auoriseerimise mudel, mis rakendatakse läbi rolle, mis on omakorda seotud erinevate lubadega. Kasutaja seostakse ühte või rohkem rollidega mille kaudu ta saab ligipääsu vastavale funktsionaalsusele(informatsioonile). Kasutajatel ja erinevatel lubadel ei ole otsekohast seost.
Ajalugu
Organisatsioonides juba 1970 [1]proovisid rakendama rollipõhise pääsukontrolli, kus kasutajate ligipääs informatsioonile ja funktsionaalsusele oli piiratud sõltuvalt tema rollist organisatsioonis. Need varasemad mudid ei olnud analüüsitud ja korraldatud.
Mudel, mida kasutatakse täna tuleneb mudelist, mida Ferraiolo ja Kuhn kirjeldasid oma uurimistöös aastal 1992.[2]
Peaaegu 8 aasta jooksul mudeli laiendatakse ja arendatakse, ning aastal 2000 Sandhu, Ferraiolo ja Kuhn pakkusid RBAC standardi, mis omakorda ANSI/INCIT (American National Stabdards Institute, International Committee for Information Technology Stabdards) võttis vastu aastal 2004.[3]
RBAC baas mudel
Järgmised väided kirjeldavad RBAC mudeli:
- Iga subjekti jaoks, aktiivne roll on see roll mida subjekt kasutab praegu.
- Igal subjektil võib olla tegevusluba ühe või mitu rolli kasutamiseks.
- Igal rollil on olemas üks või mitu tehingut, mida võib teostada.
- Subjektid võivad teostada tehingud läbi rolle.
Farraiolo ja Kuhn uurimistöös on defineeritud tähtsamad reeglid, mis kirjeldavad RBAC mudeli.
- Rolli määramine: Subjekt võib teostada tehingu ainult kui see subjekt valis rolli või kuulub osanikuna sell rolli sisse. Samal ajal autentimise (ID kontroll) protsess ei ole tehing. Kõik teised kasutaja toimingud süsteemis teostatakse läbi tehingute, seega kõikidel aktiivsetel kasutajatel peab olema aktiivne roll.
- Rolli tegevusluba: Subjektil peab olema tegevusluba aktiivse rolli kasutamiseks.
- Tehingute tegevusluba: Subjekt võib teostada tehingu ainult kui see tehing on määratud selle subjekti aktiivse rolli jaoks.
Seosed teiste mudelitega
Kasutamine
Mudeli peamiseks eeliseks on dünaamiline struktuur. On kergem vahetada rollidel load, kui otseselt tegeleda kasutajate gruppidega, sest organisatsiooni see inimese roll võib muutuda. RBAC kiiresti vastab sellele muutusele, kui kasutajat seostatakse erineva rolliga. Kui kindla rolli jaoks tuleb panna piirangud kasutamisele, seda pannake üks kord ja kõik 100 inimest seotud selle rolliga kohe saavad piiratud ligipääsu. RBAC lihtsustab kontrolli kasutaja-luba vahel.
Viidetud allikad
- NIST, Role Based Access Control FAQ, http://csrc.nist.gov/groups/SNS/rbac/faq.html
- D.F.Ferraiolo, D.R.Kuhn, "Role-Based Access Controls", http://csrc.nist.gov/groups/SNS/rbac/documents/ferraiolo-kuhn-92.pdf
- NIST, Role Based Access Control FAQ, http://csrc.nist.gov/groups/SNS/rbac/faq.html
