Mô hình RBAC đợc Ravi Sandhu và cộng sự đề xuất năm 1996, cũng đợc gọi là RBAC96 [33].
Hình 1.7 – Mô hình kiểm soát truy nhập dựa trên vai RBAC96
Trong mô hình RBAC96, một ngời dùng là một con ngời hoặc một tác tử tự trị (autonomous agent), một vai là một chức năng công việc hoặc một tiêu đề công việc bên trong một tổ chức với một số ngữ nghĩa đợc kết hợp đối với việc cấp quyền và trách nhiệm đợc gán cho một thành viên của vai. Một giấy phép là sự phê chuẩn một hình thức truy nhập cụ thể tới một hoặc nhiều đối tợng trong hệ thống hoặc một số đặc quyền để thực hiện các hoạt động đặc biệt. Các vai đợc tổ chức theo thứ tự bộ phận ≥sao cho nếucó quan hệ x ≥ y giữa hai vai x, ythì vai xkế thừa các giấy phép của vai . Ty rong các trờng hợp nh thế, đợc gọi là cấp trên đối x
với y. Mỗi phiên liên hệ một ngời dùng với một số vai có thể. Một ngời dùng thiết lập một phiên và kích hoạt một số vai mà ngời dùng này đợc gán trực tiếp hay gián tiếp vào các vai này thông qua phân cấp vai. Sự ràng buộc có thể đợc áp
đặt lên các thành phần của mô hình RBAC, cụ thể là tác động lên quan hệ gán : tơng ứng một – nhiều : tơng ứng nhiều – nhiều
roles S RH phân phân phân phân phân cấ cấ cấ cấ cấp vaip vaip vaip vaip vai
gán g gán g gán g gán g
gán giấyiấyiấyiấyiấy ph ph ph ph phépépépépép gán
gán gán gán
gán ng ời ng ời ng ời ng ời ng ời dùngdùngdùngdùngdùng
Si . . . UA R tậptập tập tập tập các các các các các vai vai vai vai vai
user PA tậptập tập tập tập ng ời ng ời ng ời ng ời ng ời dùngdùngdùngdùngdùng tập c tập c tập c tập c tập cácácácácác giấy giấy giấy giấy giấy ph ph ph ph phépépépépép P các các các các
các phi phi phi phiên phiênênênên các ràcác ràng buộccác ràcác ràcác ràng buộcng buộcng buộcng buộc
ngời dùng vào vai UA (User-role Assignment), quan hệ gán giấy phép cho vai PA (Permission-role Assignment), quan hệ phân cấp vai RH (Role Hierarchy), các hàm
user, hàm roles và tập phiên (Session .S )
Định nghĩa 1.1 Mô hình RBAC gồm các thành phần sau đây [33], [35]:
• Các tập U, R, P, S t ơng ứng biểu diễn tập ng ời dùng, tập các vai, tập các giấy phép và tập các phiên.
• UA ⊆ Uì , R quan hệ gán ng ời dùng vào vai
• PA ⊆ Pì , R quan hệ gán giấy phép cho vai
• RH , ⊆R ì R quan hệ phân cấp vai thứ tự bộ phận (vai x là cấp trên của vai y thì đ ợc viết là x ≥ y)
• Hàm user: , S → U ánh xạ mỗi một phiên s i tới một ng ời dùng ui
(không thay đổi trong phiê ) un : i = user s( i)
• Hàm roles: S 2→ R
, ánh xạ mỗi phiên s i tới một tập con các vai
roles s( i) ⊆ ∈{r R | (∃ ∈r' R :r'≥r user s) ( (i), r')∈ UA}(thay đổi theo thời gian)
• Phiên s i có tập giấy phépU ( ){ |( " : " ) ([ , ") ]} i
s roles
r∈ p ∈P ∃r ∈R r ≤r p r ∈PA
• Có một tập các ràng buộc tác động vào giá trị của các thành phần, quan hệ
đ ợc nêu trên (cụ thể là các quan hệ UA, PA, RH và các hàm user, hàm roles cũng nh tập các phiên ) và cho kết quả là đ ợc phép hay bị cấm.S Đây là một mặt quan trọng của RBAC96.