ВУЗ:
Составители:
UA: U → 2
R
– функция, определяющая для каждого пользователя множество ролей,
на которые он может быть авторизован;
user: S → U – функция, определяющая для каждой сессии пользователя, от имени
которого она активизирована;
roles: S → 2
R
– функция, определяющая для пользователя множество ролей, на кото-
рые он авторизован в данной сессии; при этом в каждый момент времени для каждого s ∈
S выполняется условие roles(s) ⊆ UA(user(s)). Принципиально могут существовать роли,
на которые не авторизован ни один пользователь.
В базовой модели РРД предполагается, что множества U, R, Р и функции PA, UA не
изменяются с течением времени. Множество ролей, на которые авторизуется пользова-
тель в течение одной сессии, модифицируется самим пользователем. В базовой модели
РРД отсутствуют механизмы, позволяющие одной сессии активизировать другую сес-
сию. Все сессии активизируются пользователем.
Для обеспечения соответствия реальным системам, каждый пользователь которых
занимает определенное положение в служебной иерархии, на множестве ролей реализу-
ется иерархическая структура.
Иерархией ролей в базовой модели РРД называется заданное на множестве ролей R
отношение частичного порядка «≤» (отношение «≤» обладает свойствами рефлексивно-
сти, антисимметричности и транзитивности). При этом выполняется условие для
и ∈ U, если r, r' ∈ R, r ∈ UA(u) и r' ≤ r, то r' ∈ UA(u).
Таким образом, наряду с данной ролью пользователь должен быть авторизован на
все роли, в ее низших уровнях иерархии.
Другим важным механизмом базовой модели РРД являются ограничения, наклады-
ваемые на множества ролей, на которые может быть авторизован пользователь или на
которые он авторизуется в течение одной сессии.
В базовой модели РРД заданы ограничения статического взаимного исключения ро-
лей или прав доступа, если выполняются условия:
R = R
1
∪ … ∪ R
n
, где R
i
∩ R
j
= ∅ для 1 ≤ i < j ≤ n;
UA(u)
∩
R
1
≤ 1 для u ∈ U, i ∈ 1, 2, …, n;
P = P
1
∪ … ∪ R
m
, где P
i
∩ P
j
= ∅ для 1 ≤ i < j ≤ m;
PA(r) ∩ P
1
≤ 1 для p ∈ U, i ∈ 1, 2, …, m.
Множество ролей и множество прав доступа разделяются на непересекающиеся
подмножества. При этом каждый пользователь может обладать не более, чем одной ро-
лью из каждого подмножества ролей, а каждая роль – не более, чем одним правом досту-
па из каждого подмножества прав доступа.
В базовой модели РРД задано ограничение динамического взаимного исключения
ролей, если выполняются условия:
R = R
1
∪ … ∪ R
n
, где R
i
∩ R
j
= ∅ для 1 ≤ i < j ≤ n;
roles(s)
∩
R
i
≤ 1 для s ∈ S, i ∈ 1, 2, …, n.
Множество ролей разделяется на непересекающиеся подмножества. При этом в ка-
ждой сессии пользователь может обладать не более, чем одной ролью из каждого под-
множества ролей.
В базовой модели РРД заданы статические количественные ограничения на облада-
ние ролью или правом доступа, если определены две функции:
α : R → N
0
; β : P → N
0
,
где N
0
– множество натуральных чисел с нулем, и выполняются условия:
UA
–1
(r) ≤ α (r) для r ∈ R;
РА
–1
(р) ≤ β (р) для р ∈ Р.
Для каждой роли устанавливается максимальное число пользователей, которые мо-
гут быть на нее авторизованы, а для каждого права доступа устанавливается максималь-
ное число ролей, которые могут им обладать.
В базовой модели РРД задано динамическое количественное ограничение на обла-
дание ролью, если определена функция
γ : R → N
0
и выполняется условие
Страницы
- « первая
- ‹ предыдущая
- …
- 50
- 51
- 52
- 53
- 54
- …
- следующая ›
- последняя »
