‫يك معماري بهبوديافته براي كنترل دسترسي به‬
‫اطالعات در محيطهاي محاسبات فراگير به‬
‫كمك تكنولوژيهاي وب معنايي‬
‫ستاره مميز‬
‫مدلهای کنترل دسترسی‬
‫مدل كنترل دسترسي اختياري‬
‫)‪(DAC‬‬
‫•‬
‫•‬
‫•‬
‫•‬
‫عاملها‪ ،‬درخواست کنندگان منابع و اشيا منابع را نشان ميدهند‪.‬‬
‫قواعد مجازشناسي براي تعيين دسترسي هر عامل به اشياء در‬
‫سيستم مشخص شده است‪.‬‬
‫اگر يك عامل صاحب يك شيئ باشد‪ ،‬ميتواند حقوق دسترسي را‬
‫روي شيئ مورد نظر با توجه به خطمشيهاي مورد نظر خود به‬
‫عاملهاي ديگر اعطا يا رد كند‪.‬‬
‫تضميني را براي فراهمآوردن امنيت باال در سيستم ايجاد نميکنند‪.‬‬
‫مدل كنترل دسترسي اجباري‬
‫)‪(MAC‬‬
‫• در مدل كنترل دسترسي اجباري همه عاملها و اشياء‬
‫براساس سطوح حساس از پيش تعريف شده كه در پردازه‬
‫تصميم دسترسي استفاده ميشوند‪ ،‬دسته بندي ميگردند‪.‬‬
‫• از جريان اطالعات از سطح حساسيت باالتر به سطح پايين‬
‫تر جلوگيري مینمايند‪.‬‬
‫• انعطافپذيري خوبي ندارند‪.‬‬
‫مدلهاي نقش‪-‬مبنا‬
‫)‪(RBAC‬‬
‫•‬
‫•‬
‫•‬
‫•‬
‫خط مشيها امنيتي را در حوزه يك سازمان به خوبي‬
‫مشخص مي كند‪.‬‬
‫نسبت به خط مشی خنثی می باشند‪.‬‬
‫مديريت سيستم امنيتي نقش‪-‬مبنا نيز به مراتب سادهتر از‬
‫سيستمهاي مبتني بر مدلهای قبلی است‪.‬‬
‫قابل تعريف در محيطهاي باز و ناهمگني چون محيطهاي‬
‫توزيع شده نيستند‪.‬‬
‫نقش روابط معنايي در كنترل دسترسي‬
‫• نسل اول‬
‫– مدلهاي قبل از دهه ‪90‬‬
‫– معنا را تا حدودي در قالب مفهوم سلسله مراتب مدل کردند‪.‬‬
‫• نسل دوم‬
‫– با ظهور ديدگاههاي سازماني و مدل کنترل دسترسي ‪،RBAC‬‬
‫معرفي شد‪.‬‬
‫– براي مدل کردن موجوديتها به نقشهاي مختلف سازماني و به‬
‫دنبال آن تصميم گيري براي اعطاي مجوزها با توجه به نقش‬
‫منتسب شده‪ ،‬نياز به آگاهي از معنا را روشن ميسازد‪.‬‬
‫نقش روابط معنايي در كنترل دسترسي (ادامه)‬
‫• نسل سوم‬
‫– با ظهور ديدگاه شيئگرا‬
‫– روابط معنايي به طور صريح با رابطه زيركالس‪ /‬سوپركالس‬
‫در تمامي دامنههاي تصميمگيري‪ ،‬حتي در دامنهي اعمال در‬
‫نظرگرفته شدند‬
‫• نسل چهارم‬
‫– با ظهور وب معنايي و مفهوم "هست شناسي"‬
‫– مدل کردن موجوديتها بدون هيچ محدوديتي امکان پذير شد‪.‬‬
‫مروري بر مدلهاي كنترل دسترسي‬
‫معنايي‬
‫مدل كنترل دسترسي شيگرا‬
‫• مكانيزمهاي کنترل دسترسي از اجزاي اساسيسيستمهاي مديريت‬
‫پايگاه دادهها‪.‬‬
‫• يك مدل مجازشناسي مناسب براي ‪ OODBMS‬ها بايد جنبههاي‬
‫مختلف مدل داده شيئگرا را مانند سلسله مراتب وراثت‪ ،‬نسخ و‬
‫اشياي مركب را پشتيباني نمايد‪.‬‬
‫• يك واحد مجازشناسي به طور کلي براي تصميمگيري دامنههاي‬
‫زير را در نظر ميگيرد‪:‬‬
‫– مجموعهي اشياء )‪(O‬‬
‫– مجموعهي عاملها )‪(S‬‬
‫– مجموعهي گونههاي مجازشناسي )‪(A‬‬
‫مدل اريون‬
‫•‬
‫•‬
‫•‬
‫•‬
‫هر قاعده مجازشناسي ميتواند به صورت يك سه تايي‬
‫يك تابع تصميم كه هدف آن اعمال تصميم روي يك قاعده‬
‫مجازشناسي و برگرداندن جواب مثبت يا منفي است‬
‫اشياء در يك سلسلهمراتب سازماندهي ميشوند‬
‫زماني يك قاعده مجازشناسي به صورت قوي تعريف مي‪-‬‬
‫شود كه تعريف كننده اين قاعده اطمينان دارد هيچ استثناءاي‬
‫در حقوق مجازشناسي كه از اين قاعده منتج ميشوند‪،‬‬
‫صورت نخواهد گرفت‪.‬‬
‫مدل كنترل دسترسي سطح مفهوم‬
‫)‪(CLAC‬‬
‫• با دستهبندي روابط معنايي در سطح مفهوم‪ ،‬نحوهي‬
‫تأثيرگذاري روابط معنايي بر روي انتشار خطمشي را در‬
‫دامنهي اشياء بيان مينمايد‪.‬‬
‫• قواعد كنترل دسترسي به صورت يك ‪ 4‬تايي بيان ميشود‬
‫= ‪{obj, a ,s ,sub}AP‬‬
‫كنترل دسترسي معنايي‬
‫)‪(SAC‬‬
‫• كنترل دسترسي به منابع صرفنظر از محل و وابسته به‬
‫مجموعهاي از صفات مشتري است كه براي گرفتن حق‬
‫دسترسي بايد آنها را ارائه كند‪.‬‬
‫• صفات مربوط به مشتري بايد به صورت ديجيتالي امضا‬
‫شده باشند‪.‬‬
‫تحقيقات مشابه‬
‫• در اين پروژهها فرض بر اين بوده است که صاحب‬
‫اطالعات خط مشي دسترسي به اين اطالعات را مديريت‬
‫مي کند‪.‬‬
‫• همچنين اين پروژه ها گواهيهاي توزيع شده را پشتيباني‬
‫نميکنند‪.‬‬
‫‪COBRA‬‬
‫)‪(COntext BRoker Architecture‬‬
‫• يک معماري براي پشتيباني از سيستم هاي آگاه از زمينه در‬
‫فضاهاي هوشمند است‪.‬‬
‫• در مرکز اين معماري يک برکر زمينه وجود دارد‬
‫– يک عامل هوشمند‬
‫– مسئول جمعآوري و نگهداري دانش زمينه‪ ،‬جمعآوري اطالعات‬
‫زمينهاي‪ ،‬اسنتتاج درباره آنها‪ ،‬کشف و از بين بردن دانش‬
‫ناسازگار و حفاظت از امنيت کاربران با وادار کردن اجراي‬
‫خطوط مشي است‪.‬‬
‫• بر پايه هست شناسی ‪COBRA-ONT‬‬
‫راهكارهاي كنترل دسترسي روي سلسله‬
‫مراتب‬
‫• مديريت اطالعات ميان تعدادي از کاربران است که‪ ،‬اين کاربران‬
‫در کالسهاي امنيتي متفاوتي بسته به ميزان مناسب بودن دسترسي‬
‫آنها به اطالعات تقسيم شدهاند‪.‬‬
‫• از اين حقيقت سرچشمه مي گيرد که برخي از عاملها ميبايست از‬
‫برخي ديگر حقوق دسترسي بيشتري داشته و يا قيود دسترسي‬
‫کمتري داشته باشند‪.‬‬
‫• در کنترل دسترسي مرکزي‬
‫• يک موجوديت مرکزي که از تمامي سرويسهايي که در محيطش ارائه مي شود‬
‫مطلع است و مشتريان درخواستهاي خود را به اين موجوديت ارسال ميکنند‪.‬‬
‫• کنترل دسترسي براي هر خدمتگزار توسط موجوديت مرکزي انجام ميشود و‬
‫• انتقال اطالعات از خدمتگزار به مشتري نيز توسط همين موجوديت انجام خواهد‬
‫شد‪.‬‬
‫فازهای انجام پروژه‬
‫كنترل دسترسي فئودال‬
‫• سلسله مراتب در کنترل دسترسي فئودال براي توسعه محيط‬
‫از مرکزي به توزيع شده ميباشد‪.‬‬
‫• با ساختن يک سلسله مراتب از خدمتگزاران‪ ،‬بر پايه هست‬
‫شناسي فضايي ‪ SOUPA‬ميتوان به برخي از موجوديت‪-‬‬
‫ها امتيازات بيشتري داد و ناسازگاريها را با دادن اعتبار‬
‫به موجوديتهاي باالتر براي لغو کردن تصميمات فرزندان‬
‫خود حل کنيم‪.‬‬
‫• در هر ناحيه از محيط‪ ،‬يک بروکر براي ارائه سرويسها و‬
‫اطالعات آن ناحيه خاص قرار دادهايم‪.‬‬
‫شمايي از محيط‬
‫كنترل دسترسي فئودال (ادامه)‬
‫• در هر ناحيه سرويسها و يا اطالعاتي وجود دارد که يک‬
‫صاحب مشخص دارند‪ .‬اين صاحب‪ ،‬ميتواند خود بروکر‪،‬‬
‫يا کاربراني در آن ناحيه و يا گرهاي باالتر از آن خدمت‪-‬‬
‫گذار خاص باشد‪.‬‬
‫• در هر ناحيه از محيط‪ ،‬يک بروکر براي ارائه سرويسها و‬
‫اطالعات آن ناحيه خاص قرار دادهايم‪.‬‬
‫• صاحبان اطالعات ميتوانند از آنها به دو روش محافظه‪-‬‬
‫کارانهو يا نظربلندانه‪ ،‬محافظت کنند‪.‬‬
‫كنترل دسترسي فئودال (ادامه)‬
‫• هر کاربر با فرستادن درخواست‪ ،‬گواهي هاي خود را نيز‬
‫که توسط يک موجوديت خارج از ناحيه صادر شده است‪،‬‬
‫به بروکر مربوطه ارائه ميدهد‪ .‬بروکر مسئول است که‬
‫قيود و محدوديتها را با گواهيها تطبيق دهد و در ادامه‬
‫درخواست را رد يا قبول ميکند‪.‬‬
‫• از هست شناسيهاي موجود‪ ،‬براي مدل کردن سيستم‪،‬‬
‫‪ SOUPA‬به نظر بهترين انتخاب ميرسد‪.‬‬
‫شبكه معنا مدل‬
‫الگوريتمهاي كنترل دسترسي فئودال‬
‫• الگوريتم به راه اندازی‬
‫• الگوريتم صدور مجوز‬
‫چارچوب كنترل دسترسي فئودال‬
‫كارهاي آينده‬
‫• در ادامه تالش بر اين است كه طی دو ماه آينده اين‬
‫چارچوب را هر چه بيشتر با تكنولوژيهاي وب معنايي‬
‫غني كنيم و يك چارچوب قدرتمند براي محيط محاسبات‬
‫فراگير ارائه دهيم‪ .‬سپس با معرفی معيارهايی‪ ،‬چارچوب‬
‫ارائه شده را ارزيابی کارايی کرده و بهبود نتايج را نشان‬
‫دهيم‪.‬‬
‫مراجع‬
1.
2.
3.
4.
5.
6.
A. Seleznyov, S. Hails, "An access control model based on distributed knowledge
management," 18th International Conference on Advanced Information Networking
and Applications (AINA 04), 2004.
S. G. Akl and P. D. Taylor, "Cryptographic solution to a problem of access control
in a hierarchy,” ACM Transactions on Computer Systems, 1(3):239–247, March
1983.
Harry Chen, Tim Finin, and Anupam Joshi, "A pervasive computing ontology for
user privacy protection in the context broker architecture,” July 2004.
Harry Chen, Tim Finin, and Anupam Joshi, "An ontology for context-aware
pervasive computing environments,” Special Issue on Ontologies for Distributed
Systems, Knowledge Engineering Review, 18(3):197–207, 2004.
Harry Chen, Filip Perich, Dipanjan Chakraborty, Tim Finin, and Anupam Joshi,
"Intelligent agents meet semantic web in a smart meeting room,” In Proceedings of
the Thrid International Joint Conference on Autonomous Agents & Multi-Agent
Systems, July 2004.
Harry Chen, Filip Perich, Tim Finin, and Anupam Joshi, "SOUPA: Standard
ontology for ubiquitous and pervasive applications,” In Proceedings of the First
International Conference on Mobile and Ubiquitous Systems:Networking and
Services, 2004
7.
8.
9.
10.
11.
12.
13.
14.
15.
H. Chen, T. Finin, and A. Joshi, "Semantic web in in the context broker
architecture,” In Proceedings of PerCom 2004, March 2004.
Jean-Camille Birget, Xukai Zou, Guevara Noubir and Byrav Ramamurthy,
"Hierarchy-based access control in distributed environments," 2001
J. Wang, Y. Yang, and W. Yurcik, "Secure Smart Environments: Security
Requirements, Challenges and Experiences in Pervasive Computing,” NSF
Infrastructure Experience 2005, NSF/CISE/CNS Pervasive Computing
Infrastructure Experience Workshop , Siebel Center for Computing Science
University of Illinois at Urbana-Champaign, July 27, 2005.
Lalana Kagal. Rei Ontology Specifications, Ver 2.0
Victoria Bellotti and Abigail Sellen, "Design for privacy in ubiquitous computing
environments,” In Proceedings of the Third European Conference on Computer
Supported Cooperative Work (ECSCW’93), pages 77–92. Kluwer, 1993.
R.K. Thomas, and R. Sandhu, “Models, protocols, and architecture for secure
pervasive computing: challenges and research directions,” Proceedings of the
Second IEEE Annual Conference on Pervasive Computing and Communications
Workshops, Percom 2004.
Roy Campbell, Jalal Al-Muhtadi, Prasad Naldurg, Geetanjali Sampemane1, and M.
Dennis Mickunas, "Towards security and privacy for pervasive computing,” In
Proceedings of International Symposium on Software Security, Tokyo, Japan,
2002.
M. A. Harrison, W. L. Ruzzo and J. D. Ullman. “Protection in Operating Systems”,
Communications of ACM, vol. 19, no. 8, 1976.R.S. Sandhu and P. Samarati.
“Access control: principles and practice”, IEEE Communications, vol. 32, no. 9, pp.
40-48, 1994.
R.S. Sandhu and P. Samarati. “Access control: principles and practice”, IEEE
Communications, vol. 32, no. 9, pp. 40-48, 1994.
16.
17.
18.
19.
20.
21.
22.
23.
24.
25.
26.
R. Sandhu, “Lattice based access control models”, IEEE Computer, vol. 26, no. 11, 1993
S. Bechhofer, F. van Harmelen, J. Hendler, I. Horrocks, D. L.McGuinness, P. F. PatelSchneider, and L. A. Stein, "OWL Web Ontology Language Reference,” w3c recommendation
10 February 2004 edition, February 2004.
Proceedings of The Fifth Acm Workshop on role-based Access Control. Berlin, Germany, 2000.
U. Hengartner, P. Steenkiste, “Exploiting information relationships for access control,” In
proceeding of third IEEE International Conference on Pervasive Computing and
Communications, Percom 2005, Kauai, Island HI, March 2005, pp 296-278.
M.I. Yague, A. Mana, J. Lopez, “Applying the Semantic Web Layers to Access Control”, In
proceeding of 14th IEEE International Workshop on Database and Expert Systems
Applications, pp. 622-626, 2003E. Bertino, E. Ferrari, and V. Atluri. “The Specification and
Enforcement of Authorization Constraints in Workflow Management Systems”, ACM
Transactions on Information and System Security (TISSEC), vol. 2, no. 1, 1999.R. K. Thomas
and R. Sandhu, "Task-based Authorization Controls (TBAC): A Family of Models for Active and
Enterprise-Oriented Authorization Management", IFIP Workshop on Database Security, pp.
166-181, 1997.
E. Bertino, E. Ferrari, and V. Atluri. “The Specification and Enforcement of Authorization
Constraints in Workflow Management Systems”, ACM Transactions on Information and
System Security (TISSEC), vol. 2, no. 1, 1999.
R. K. Thomas and R. Sandhu, "Task-based Authorization Controls (TBAC): A Family of Models
for Active and Enterprise-Oriented Authorization Management", IFIP Workshop on Database
Security, pp. 166-181, 1997.
Harry Chen, Tim Finin, and Anupam Joshi, "The SOUPA ontology for pervasive computing,”,
2004.
U. Hengartner, "Access control in pervasice computing environment," submitted in partial
fulfillment of the requirements for the degree of doctor of philosophy,2005
Yuliang zheng,Thomas Hardjono,Jennifer Sebery, "New solution to the problem of access
control in a hierarchy,”1992
F. Rabitti, E. Bertino, W. Kim, and D. Woelk. “A model of authorization for next-generation
database systems”, ACM TODS, vol. 16, no. 1, 1991.
‫پايان‬