- ข้อความ
- ประวัติศาสตร์
3. DR BACA MODELA natural way of mi
3. DR BACA MODEL
A natural way of mitigating over-privileged applications
(or users) is to make use of an access control model which
adheres to the Principle of Least Privilege, as discussed in
[28], [23] and [5]. One very popular model that achieves this
is the Role-Based Access Control (RBAC) model as noted by
the work of [9] and [27]. We propose a Dynamic Role Based
Access Control for Android (DR BACA) model to enhance
Android security, with a particular focus on environments
with a large number of mobile devices.
Figure 1: DR BACA overview
Figure 1 shows the basic elements of the DR BACA model
and how they are associated with each other. DR BACA
enables multiple users to share mobile devices, with users
assigned to a set of roles as in the traditional RBAC model.
These roles are then associated with privileges defined by a
set of rules in DR BACA. All are many-to-many associations.
By associating rules with both applications and Android
permissions, we extend Android’s permission model
with a static RBAC model to provide fine-grained access
control. In addition, dynamic RBAC is provided through
context-aware rules and sharable rules.
Multi-User Enabled: One may argue that current mo-
300
bile devices are mostly designed as single user devices and
there is no need for multi-user capable devices. However,
as the computer power of mobile devices improves and their
business uses widen, we expect that it is only a matter of
time until smartphones are expected to offer user management
comparable to computer desktops. Actually, Android
version 4.2 offers a feature to manage different users on the
same device [11]. We believe that user management on mobile
devices can be particularly useful in a corporate environment.
For example, a hospital may provide smartphones or
tablets to its employees to support their daily interactions.
A single device may be used by different people on duty at
various time periods. In addition, a user may want to be
able to use different devices. Our here proposed DR BACA
model can be used to implement an organization level security
policy in order to provide uniform access control for all
users on any mobile devices.
Static Role Based Access Control: As in a traditional
RBAC system, users are assigned with roles, where role hierarchy
can be applied in DR BACA. Moreover, instead of
associating roles to permissions directly, DR BACA introduces
an additional layer, which we call rules. A rule is
defined as a 6-tuple (ruleLabel, allowed, shareable, P, A, C)
as explained in Table 1:
ruleLabel Unique name of this rule.
allowed A flag to indicate if it is a granting (T) or denying (F) rule
shareable A flag to indicate if the rule is shareable (T or F)
P The Permission set {p1, p2, ..., pn} assigned to this rule
A The Application set {a1, a2, ..., an} assigned to this rule
C Context set {c1, c2, ..., cn} assigned to this rule
Table 1: DR BACA rule syntax
Rules allow DR BACA to define both static and dynamic access
control. By associating rules with both applications and
permissions, DR BACA provides both levels of access control.
An application is simply an object that uniquely identifies
a given Android application. The permissions are objects
that uniquely identify each Android permission, both
documented and undocumented ones. At the application
level, DR BACA can allow or reject the execution of applications.
At the permission level, it can allow or reject
permission requests.
The allowed flag can either be true or false and determines,
if the rule is a granting or a denying rule: a granting
rule permits a execution or permission request while a denying
rule forbids the request. Depending on what applications
and permissions are defined in a rule, the allowed flag can be
automatically applied at either the application or the permission
level. Therefore, only one allowed flag is needed for
both levels of control. To clarify this, Table 2 below shows
all possible combinations of permissions and applications in
a given rule (P = permission set, A = application set). The
shareable flag will be described later as part of dynamic role
based access control.
When combined with the existing Android permission model,
DR BACA can define the currently available permission set
of each application for every user through this static RBAC
as shown in the following equation. Pi defines the permission
set granted during installation time for application ai,
Pdeny
i is the permission set specified in all relevant denying
rules. A relevant rule is any rule that is associated with
the current user (via his/her roles), and applicable to the
∅P ∧ ∅A A rule without permissions or applications does not define anything
and is therefore superfluous
∅P ∧ ∃A The allowed flag is applied at the application level to allow/deny
the execution of application(s) in A
∃P ∧ ∅A The allowed flag is applied at the permission level to allow/deny
permission(s) in P for any applications on the device
∃P ∧ ∃A The allowed flag is applied at the permission level to allow/deny
the permission(s) in P for application(s) in A
Table 2: Permission and application combinations in a rule
application ai. P allow
i is the permission set specified in all
relevant granting rules.
Pcur
i = (Pi ∩ P allow
i ) ∪ (Pi − Pdeny
i ) (1)
Any permission request that is both part of the original permission
set Pi and the related granting rules P allow
i will be
accepted. It is important to note that granting rules supersede
denying rules if two rules are in conflict with each
other. The same concept can be applied at the application
level. If there is any relevant granting rule, or if there is no
relevant denying rule, the application is allowed to execute.
Dynamic Role Based Access Control: One drawback
with a static RBAC system is that in a production environment,
users sometime need to promote or demote their privileges
temporarily depending on certain circumstances (i.e.
emergencies). A static role-based access control system is
not ideal to handle such situations. Leveraging the unique
ability of mobile devices to take environmental conditions
into account, DR BACA provides dynamic role based access
control through context-awareness and shareable rules.
c&&allowed explicitly allow
c&&¬allowed explicitly deny
¬c&&¬allowed implicitly allow
¬c&&allowed implicitly deny
Table 3: Explicit or Implicit Rules
A context itself can consist of different environmental components
such as the current location of the device, the current
day and time or even an event such as an Android
intent. At any given moment, a context can either be ful-
filled or not. For a given context-aware rule, if the context is
currently fulfilled, we call it an explicit rule. If the context
is currently not fulfilled, we call it an implicit rule. Based on
the current context, an application execution or permission
request can be dynamically allowed or denied, either explicitly
or implicitly as shown in Table 3 (c is the context fulfilled
flag). For example, suppose a rule defines that gaming applications
are not allowed during working hours (e.g. 9am to
5pm). If it is currently 10am, then this rule explicitly denies
the execution of gaming application. However, if the current
time is 1am, this rule implicitly allows the execution of gaming
applications. If two rules conflict with each other, the
explicit rule supersedes any implicit rule. The justification
for this approach is as follows: an explicit rule is specifically
created by a creator of a security policy. This creator will
expect that rule to be followed in any circumstance. If an
implicit rule could supersede that explicit rule, the creators
expectations would not be met, causing confusion and possibly
introduce security issues. If two conflicting rules are
both explicit or both implicit, then the granting rule supersedes
the denying rule. This approach allows for situations
where the users are generally restricted from performing a
certain action but a small subset of these users still need to
301
be allowed to perform that same action. We can achieve this
situation by intentionally creating two conflicting rules: the
denying rule will be applied to all roles while the allowing
rule will only be applied to the small subset of these roles.
A rule can also be temporarily shared with other users on
another device. The shareable flag of any given rule defines
if the rule can be shared or not. This can be very useful
for users to temporarily promote or demote their privileges
depending on the current circumstances. For example, a
doctor may temporarily share with his assisting nurse a rule
that allows the execution of an application which is normally
only executable by doctors. Another example would be to
temporarily grant camera execution rights to the check-in
staff in order to register a new patient. Either way, a temporary
role will be created for the receiving user which will
contain this shared rule. DR BACA provides the sharing of
rules through the use of Near Field Communication (NFC),
which will be described in detail in the next section.
Table 4 gives a few examples of how DR BACA rules
can be defined in practice. Note that applications can be
grouped as well. Instead of having to individually add all
applications that fall under a certain rule, one can simply
group these applications and only add the group to the desired
rule. It is also important to note here that while a
rule can grant a certain permission to an application, the
application itself must still request that permission during
installation. Otherwise, Android’s own reference monitor
will reject the permission request before DR BACA is even
involved in the decision process.
(BROWSE NOK, F, F, {INET}, {BROWSER}, {WORKHOUR}):
Reject INTERNET permission for the BROWSER application during working
hours
(INET NOK, F, F, {INET}, {}, {WORKDAYS}):
Reject INTERNET permission for any application during work days (MONFRI)
(INET OK, T, T, {INET}, {COMPANYAP
A natural way of mitigating over-privileged applications
(or users) is to make use of an access control model which
adheres to the Principle of Least Privilege, as discussed in
[28], [23] and [5]. One very popular model that achieves this
is the Role-Based Access Control (RBAC) model as noted by
the work of [9] and [27]. We propose a Dynamic Role Based
Access Control for Android (DR BACA) model to enhance
Android security, with a particular focus on environments
with a large number of mobile devices.
Figure 1: DR BACA overview
Figure 1 shows the basic elements of the DR BACA model
and how they are associated with each other. DR BACA
enables multiple users to share mobile devices, with users
assigned to a set of roles as in the traditional RBAC model.
These roles are then associated with privileges defined by a
set of rules in DR BACA. All are many-to-many associations.
By associating rules with both applications and Android
permissions, we extend Android’s permission model
with a static RBAC model to provide fine-grained access
control. In addition, dynamic RBAC is provided through
context-aware rules and sharable rules.
Multi-User Enabled: One may argue that current mo-
300
bile devices are mostly designed as single user devices and
there is no need for multi-user capable devices. However,
as the computer power of mobile devices improves and their
business uses widen, we expect that it is only a matter of
time until smartphones are expected to offer user management
comparable to computer desktops. Actually, Android
version 4.2 offers a feature to manage different users on the
same device [11]. We believe that user management on mobile
devices can be particularly useful in a corporate environment.
For example, a hospital may provide smartphones or
tablets to its employees to support their daily interactions.
A single device may be used by different people on duty at
various time periods. In addition, a user may want to be
able to use different devices. Our here proposed DR BACA
model can be used to implement an organization level security
policy in order to provide uniform access control for all
users on any mobile devices.
Static Role Based Access Control: As in a traditional
RBAC system, users are assigned with roles, where role hierarchy
can be applied in DR BACA. Moreover, instead of
associating roles to permissions directly, DR BACA introduces
an additional layer, which we call rules. A rule is
defined as a 6-tuple (ruleLabel, allowed, shareable, P, A, C)
as explained in Table 1:
ruleLabel Unique name of this rule.
allowed A flag to indicate if it is a granting (T) or denying (F) rule
shareable A flag to indicate if the rule is shareable (T or F)
P The Permission set {p1, p2, ..., pn} assigned to this rule
A The Application set {a1, a2, ..., an} assigned to this rule
C Context set {c1, c2, ..., cn} assigned to this rule
Table 1: DR BACA rule syntax
Rules allow DR BACA to define both static and dynamic access
control. By associating rules with both applications and
permissions, DR BACA provides both levels of access control.
An application is simply an object that uniquely identifies
a given Android application. The permissions are objects
that uniquely identify each Android permission, both
documented and undocumented ones. At the application
level, DR BACA can allow or reject the execution of applications.
At the permission level, it can allow or reject
permission requests.
The allowed flag can either be true or false and determines,
if the rule is a granting or a denying rule: a granting
rule permits a execution or permission request while a denying
rule forbids the request. Depending on what applications
and permissions are defined in a rule, the allowed flag can be
automatically applied at either the application or the permission
level. Therefore, only one allowed flag is needed for
both levels of control. To clarify this, Table 2 below shows
all possible combinations of permissions and applications in
a given rule (P = permission set, A = application set). The
shareable flag will be described later as part of dynamic role
based access control.
When combined with the existing Android permission model,
DR BACA can define the currently available permission set
of each application for every user through this static RBAC
as shown in the following equation. Pi defines the permission
set granted during installation time for application ai,
Pdeny
i is the permission set specified in all relevant denying
rules. A relevant rule is any rule that is associated with
the current user (via his/her roles), and applicable to the
∅P ∧ ∅A A rule without permissions or applications does not define anything
and is therefore superfluous
∅P ∧ ∃A The allowed flag is applied at the application level to allow/deny
the execution of application(s) in A
∃P ∧ ∅A The allowed flag is applied at the permission level to allow/deny
permission(s) in P for any applications on the device
∃P ∧ ∃A The allowed flag is applied at the permission level to allow/deny
the permission(s) in P for application(s) in A
Table 2: Permission and application combinations in a rule
application ai. P allow
i is the permission set specified in all
relevant granting rules.
Pcur
i = (Pi ∩ P allow
i ) ∪ (Pi − Pdeny
i ) (1)
Any permission request that is both part of the original permission
set Pi and the related granting rules P allow
i will be
accepted. It is important to note that granting rules supersede
denying rules if two rules are in conflict with each
other. The same concept can be applied at the application
level. If there is any relevant granting rule, or if there is no
relevant denying rule, the application is allowed to execute.
Dynamic Role Based Access Control: One drawback
with a static RBAC system is that in a production environment,
users sometime need to promote or demote their privileges
temporarily depending on certain circumstances (i.e.
emergencies). A static role-based access control system is
not ideal to handle such situations. Leveraging the unique
ability of mobile devices to take environmental conditions
into account, DR BACA provides dynamic role based access
control through context-awareness and shareable rules.
c&&allowed explicitly allow
c&&¬allowed explicitly deny
¬c&&¬allowed implicitly allow
¬c&&allowed implicitly deny
Table 3: Explicit or Implicit Rules
A context itself can consist of different environmental components
such as the current location of the device, the current
day and time or even an event such as an Android
intent. At any given moment, a context can either be ful-
filled or not. For a given context-aware rule, if the context is
currently fulfilled, we call it an explicit rule. If the context
is currently not fulfilled, we call it an implicit rule. Based on
the current context, an application execution or permission
request can be dynamically allowed or denied, either explicitly
or implicitly as shown in Table 3 (c is the context fulfilled
flag). For example, suppose a rule defines that gaming applications
are not allowed during working hours (e.g. 9am to
5pm). If it is currently 10am, then this rule explicitly denies
the execution of gaming application. However, if the current
time is 1am, this rule implicitly allows the execution of gaming
applications. If two rules conflict with each other, the
explicit rule supersedes any implicit rule. The justification
for this approach is as follows: an explicit rule is specifically
created by a creator of a security policy. This creator will
expect that rule to be followed in any circumstance. If an
implicit rule could supersede that explicit rule, the creators
expectations would not be met, causing confusion and possibly
introduce security issues. If two conflicting rules are
both explicit or both implicit, then the granting rule supersedes
the denying rule. This approach allows for situations
where the users are generally restricted from performing a
certain action but a small subset of these users still need to
301
be allowed to perform that same action. We can achieve this
situation by intentionally creating two conflicting rules: the
denying rule will be applied to all roles while the allowing
rule will only be applied to the small subset of these roles.
A rule can also be temporarily shared with other users on
another device. The shareable flag of any given rule defines
if the rule can be shared or not. This can be very useful
for users to temporarily promote or demote their privileges
depending on the current circumstances. For example, a
doctor may temporarily share with his assisting nurse a rule
that allows the execution of an application which is normally
only executable by doctors. Another example would be to
temporarily grant camera execution rights to the check-in
staff in order to register a new patient. Either way, a temporary
role will be created for the receiving user which will
contain this shared rule. DR BACA provides the sharing of
rules through the use of Near Field Communication (NFC),
which will be described in detail in the next section.
Table 4 gives a few examples of how DR BACA rules
can be defined in practice. Note that applications can be
grouped as well. Instead of having to individually add all
applications that fall under a certain rule, one can simply
group these applications and only add the group to the desired
rule. It is also important to note here that while a
rule can grant a certain permission to an application, the
application itself must still request that permission during
installation. Otherwise, Android’s own reference monitor
will reject the permission request before DR BACA is even
involved in the decision process.
(BROWSE NOK, F, F, {INET}, {BROWSER}, {WORKHOUR}):
Reject INTERNET permission for the BROWSER application during working
hours
(INET NOK, F, F, {INET}, {}, {WORKDAYS}):
Reject INTERNET permission for any application during work days (MONFRI)
(INET OK, T, T, {INET}, {COMPANYAP
0/5000
3. ดร. BACA รุ่นวิธีธรรมชาติบรรเทางานอภิสิทธิ์มากเกินไป(หรือผู้ใช้) ที่จะทำให้ใช้การควบคุมการเข้าถึงแบบจำลองที่สอดคล้องกับหลักการของสิทธิ ตามที่อธิบายไว้ใน[28], [23] และ [5] นิยมมากรุ่นหนึ่งที่นี้เป็นรูปแบบตามบทบาทควบคุมการเข้าถึง (ม.รัตนบัณฑิต) ตามที่ระบุไว้โดยการทำงานของ [9] และ [27] เรานำเสนอไดนามิกบทบาทตามควบคุมการเข้าถึงสำหรับรูปแบบแอนดรอยด์ (DR BACA) เพื่อเพิ่มประสิทธิภาพรักษาความปลอดภัย android โดยมุ่งเน้นสภาพแวดล้อมเฉพาะมีเป็นจำนวนมากของอุปกรณ์โมบายรูปที่ 1: ภาพรวม DR BACAรูปที่ 1 แสดงองค์ประกอบพื้นฐานของแบบจำลอง DR BACAและวิธีจะเกี่ยวข้องกับแต่ละอื่น ๆ ดร. BACAช่วยให้ผู้ใช้หลายคนใช้โทรศัพท์มือถือ ร่วมกับผู้ใช้กำหนดชุดของบทบาทในรูปแบบดั้งเดิมของม.รัตนบัณฑิตบทบาทเหล่านี้แล้วจะเกี่ยวข้องกับสิทธิ์ที่กำหนดโดยการชุดของกฎใน DR BACA ทั้งหมดมีความสัมพันธ์หนึ่ง-ต่อ-กลุ่มโดยเชื่อมโยงกฎกับโปรแกรมประยุกต์และ Androidสิทธิ เราขยายรูปแบบสิทธิ์ของ Androidมีแบบจำลองม.รัตนบัณฑิตคงให้เข้าถึงทรายแป้งละเอียดควบคุม นอกจากนี้ ม.รัตนบัณฑิตแบบไดนามิกให้ผ่านกฎบริบททราบและกฎที่สามารถใช้ร่วมเปิดใช้งานแบบหลายผู้ใช้: ที่หนึ่งอาจโต้เถียงว่า ปัจจุบันหมอ-300น้ำดีอุปกรณ์ส่วนใหญ่ได้รับการออกแบบอุปกรณ์ของผู้ใช้คนเดียว และอุปกรณ์สามารถแบบหลายผู้ใช้ไม่จำเป็น อย่างไรก็ตามเป็นคอมพิวเตอร์ที่ ใช้พลังงานของอุปกรณ์โมบายปรับปรุง และการขยายธุรกิจใช้ เราคาดหวังว่า มันเป็นเพียงเรื่องของเวลาจนกว่าสมาร์ทโฟนคาดว่าจะมีการจัดการผู้ใช้เทียบเท่ากับคอมพิวเตอร์ตั้งโต๊ะ จริง Androidรุ่น 4.2 มีคุณลักษณะในการจัดการผู้ใช้ในการเดียวกันอุปกรณ์ [11] เราเชื่อว่าการจัดการผู้ใช้บนมือถืออุปกรณ์อาจมีประโยชน์ในสภาพแวดล้อมขององค์กรตัวอย่าง โรงพยาบาลอาจมีสมาร์ทโฟน หรือเม็ดแก่พนักงานเพื่อสนับสนุนการโต้ตอบทุกวันอาจใช้อุปกรณ์เดียวคนอื่นปฏิบัติหน้าที่ที่รอบระยะเวลาต่าง ๆ นอกจากนี้ ผู้ใช้อาจต้องการให้สามารถใช้อุปกรณ์ต่าง ๆ BACA DR นำเสนอของเราที่นี่รุ่นที่สามารถใช้เพื่อดำเนินการรักษาความปลอดภัยระดับองค์กรนโยบายเพื่อให้การควบคุมการเข้าถึงเครื่องแบบทั้งหมดผู้ใช้บนอุปกรณ์มือถือต่าง ๆคงบทบาทตามเข้าควบคุม: ในบรรยากาศม.รัตนบัณฑิตระบบ กำหนดให้ มีบทบาท ผู้ที่บทบาทลำดับชั้นสามารถใช้ใน DR BACA นอกจากนี้ แทนของเชื่อมโยงบทบาทให้สิทธิ์โดยตรง DR BACA แนะนำชั้น ซึ่งเราเรียกกฎ เป็นกฎกำหนดเป็น 6-ทูเพิล (ruleLabel ได้ สามารถใช้ร่วมกัน P, A, C)ตามที่อธิบายไว้ในตารางที่ 1:ruleLabel ชื่อที่ไม่ซ้ำของกฎนี้อนุญาตให้ใช้สถานะเพื่อบ่งชี้ว่า เป็นการให้ (T) หรือการปฏิเสธกฎ (F)shareable A แฟล็กเพื่อบ่งชี้ว่า กฎสามารถใช้ร่วมกัน (T หรือ F)P ชุดสิทธิ์ {p1, p 2,..., pn } กับกฎนี้ชุดโปรแกรมประยุกต์ที่ { a1, a2,..., มี} กับกฎนี้บริบท C ชุด {c1, c2,..., cn } กับกฎนี้ตารางที่ 1: DR BACA กฎไวยากรณ์กฎอนุญาต BACA DR เพื่อกำหนดแบบคง และแบบไดนามิกควบคุม โดยเชื่อมโยงกฎกับทั้งสอง และสิทธิ DR BACA แสดงทั้งระดับของการควบคุมการเข้าถึงประยุกต์เป็นเพียงวัตถุที่ระบุโดยเฉพาะโปรแกรม Android ที่กำหนด สิทธิที่มีวัตถุที่ระบุแต่ละสิทธิ์ Android ทั้งสองไม่เกี่ยวกับเอกสาร และเอกสาร ที่แอพลิเคชันระดับ DR BACA สามารถอนุญาต หรือปฏิเสธการดำเนินการของโปรแกรมประยุกต์ระดับสิทธิ์ มันสามารถอนุญาต หรือปฏิเสธคำขออนุญาตสถานะอนุญาตสามารถเป็นจริง หรือเท็จ และ กำหนดถ้ากฎการ มีสิทธิหรือกฎ denying: การให้กฎอนุญาตคำขออนุญาตหรือการดำเนินการในขณะที่มีการปฏิเสธกฎห้ามปรามการร้องขอ ขึ้นอยู่กับโปรแกรมประยุกต์ใดและสิทธิ์ที่กำหนดไว้ในกฎ ธงอนุญาตสามารถใช้โดยอัตโนมัติที่โปรแกรมประยุกต์หรือสิทธิ์ระดับ ดังนั้น ธงเดียวอนุญาตเป็นสิ่งจำเป็นสำหรับทั้งระดับของการควบคุม ชี้แจง แสดงตารางที่ 2 ด้านล่างชุดทั้งหมดเป็นของสิทธิ์และการประยุกต์ใช้ในกฎกำหนดให้ (P =ชุดสิทธิ์ A =ชุดแอพลิเคชัน) ที่จะอธิบายสถานะที่สามารถใช้ร่วมกันต่อไปเป็นส่วนหนึ่งของบทบาทแบบไดนามิกการควบคุมการเข้าถึงเมื่อรวมกับที่มีอยู่สิทธิ์ Android แบบดร. BACA สามารถตั้งค่าสิทธิ์ที่มีอยู่ในปัจจุบันของแต่ละโปรแกรมประยุกต์สำหรับผู้ใช้ทุกคนผ่านม.รัตนบัณฑิตนี้คงดังแสดงในสมการต่อไปนี้ พี่กำหนดสิทธิ์กำหนดให้ช่วงเวลาการติดตั้งสำหรับโปรแกรมประยุกต์ไอPdenyฉันมีสิทธิ์ตั้งที่ระบุในการปฏิเสธเกี่ยวข้องทั้งหมดกฎการ กฎที่เกี่ยวข้องคือ กฎใด ๆ ที่เกี่ยวข้องกับผู้ใช้ปัจจุบัน (ผ่านเขา/เธอบทบาท), และใช้การ∅P ∧ ∅A A กฎไม่ มีสิทธิ์หรือโปรแกรมประยุกต์ไม่กำหนดอะไรจึงไม่จำเป็น∅P ∧ ∃A ธงอนุญาตใช้ที่ระดับโปรแกรมประยุกต์จะอนุญาต/ปฏิเสธการดำเนินการของโปรแกรมประยุกต์ใน Aใช้ ∃P ∧ ∅A ธงอนุญาตระดับสิทธิ์การอนุญาต/ปฏิเสธpermission(s) ใน P สำหรับโปรแกรมประยุกต์ใด ๆ บนอุปกรณ์ใช้ ∃P ∧ ∃A ธงอนุญาตระดับสิทธิ์การอนุญาต/ปฏิเสธpermission(s) ใน P สำหรับโปรแกรมประยุกต์ใน Aตารางที่ 2: สิทธิ์ และชุดแอพลิเคชันในกฎผสมผสานโปรแกรมประยุกต์ ให้ Pฉันมีสิทธิ์ตั้งที่ระบุในกฎการให้สิทธิที่เกี่ยวข้องPcurผม = (∩ P ให้ Pii) ∪ (ปี่− Pdenyi) (1)คำขออนุญาตใด ๆ ที่เป็นทั้งส่วนหนึ่งของสิทธิ์เดิมอนุญาตให้ตั้งค่า Pi และกฎให้สิทธิที่เกี่ยวข้องกับ Pฉันจะเป็นยอมรับ สิ่งสำคัญคือต้องทราบว่า การให้สิทธิกฎให้รวมถึงการปฏิเสธกฎถ้าสองกฎเช่นแต่ละอื่น ๆ สามารถใช้แนวคิดเดียวกันได้ในโปรแกรมประยุกต์ระดับ ถ้าไม่เกี่ยวข้องใด ๆ สิทธิกฎ หรือถ้ามีไม่มีกฎในการการปฏิเสธเกี่ยวข้อง แอพลิเคชันสามารถดำเนินการไดนามิกบทบาทตามควบคุมการเข้าถึง: คืนหนึ่งกับม.รัตนบัณฑิตคง ระบบคือในระบบการผลิตผู้ใช้บางครั้งจำเป็นต้องส่งเสริม หรือลดระดับการชั่วคราวตามสถานการณ์บางอย่าง (เช่นฉุกเฉิน) ระบบควบคุมการเข้าถึงตามบทบาทคงเป็นไม่เหมาะสำหรับการจัดการกับสถานการณ์ดังกล่าว ใช้เฉพาะความสามารถของโทรศัพท์มือถือจะใช้สภาพแวดล้อมบัญชี DR BACA ให้การเข้าถึงตามบทบาทแบบไดนามิกควบคุม โดยคำนึงถึงบริบทและกฎที่สามารถใช้ร่วมกันc & & อนุญาตอย่างชัดเจนให้c & & ¬allowed ปฏิเสธอย่างชัดเจน¬c และ & ¬allowed นัยให้¬c & & อนุญาตนัยปฏิเสธตาราง 3: กฎชัดเจน หรือนัยบริบทตัวเองสามารถประกอบด้วยส่วนประกอบสิ่งแวดล้อมที่แตกต่างกันเช่นตำแหน่งที่ตั้งปัจจุบันของอุปกรณ์ ปัจจุบันวัน และเวลา หรือแม้แต่เหตุการณ์เช่นการ Androidเจตนา ในขณะกำหนด บริบทสามารถเป็น ful-เติม หรือไม่ การกำหนดบริบทตามกฎ ว่าบริบทดำเนินการในขณะนี้ เราเรียกว่ากฎชัดเจน ถ้าบริบทมีอยู่จริงไม่ เราเรียกว่ากฎการนัย ขึ้นอยู่กับบริบทปัจจุบัน การดำเนินการของโปรแกรมประยุกต์ หรือสิทธิ์คำขอสามารถแบบไดนามิกอนุญาต หรือ ปฏิเสธ อย่างใดอย่างหนึ่งอย่างชัดเจนหรือนัย ดังที่แสดงในตารางที่ 3 (c คือ บริบทจริงธง) ตัวอย่าง สมมติว่า กฎการกำหนดโปรแกรมประยุกต์ที่เล่นเกมไม่ได้รับอนุญาตในระหว่างชั่วโมงทำงาน (เช่น 9 น.น. 5) นั้นถ้ามี 10.00 น. แล้วกฎนี้ปฏิเสธอย่างชัดเจนthe execution of gaming application. However, if the currenttime is 1am, this rule implicitly allows the execution of gamingapplications. If two rules conflict with each other, theexplicit rule supersedes any implicit rule. The justificationfor this approach is as follows: an explicit rule is specificallycreated by a creator of a security policy. This creator willexpect that rule to be followed in any circumstance. If animplicit rule could supersede that explicit rule, the creatorsexpectations would not be met, causing confusion and possiblyintroduce security issues. If two conflicting rules areboth explicit or both implicit, then the granting rule supersedesthe denying rule. This approach allows for situationswhere the users are generally restricted from performing acertain action but a small subset of these users still need to301be allowed to perform that same action. We can achieve thissituation by intentionally creating two conflicting rules: thedenying rule will be applied to all roles while the allowingrule will only be applied to the small subset of these roles.A rule can also be temporarily shared with other users onanother device. The shareable flag of any given rule definesif the rule can be shared or not. This can be very usefulfor users to temporarily promote or demote their privilegesdepending on the current circumstances. For example, adoctor may temporarily share with his assisting nurse a rulethat allows the execution of an application which is normallyonly executable by doctors. Another example would be totemporarily grant camera execution rights to the check-instaff in order to register a new patient. Either way, a temporaryrole will be created for the receiving user which willcontain this shared rule. DR BACA provides the sharing ofrules through the use of Near Field Communication (NFC),which will be described in detail in the next section.Table 4 gives a few examples of how DR BACA rulescan be defined in practice. Note that applications can begrouped as well. Instead of having to individually add allapplications that fall under a certain rule, one can simplygroup these applications and only add the group to the desiredrule. It is also important to note here that while arule can grant a certain permission to an application, theapplication itself must still request that permission duringinstallation. Otherwise, Android’s own reference monitorwill reject the permission request before DR BACA is eveninvolved in the decision process.(BROWSE NOK, F, F, {INET}, {BROWSER}, {WORKHOUR}):Reject INTERNET permission for the BROWSER application during workinghours(INET NOK, F, F, {INET}, {}, {WORKDAYS}):Reject INTERNET permission for any application during work days (MONFRI)(INET OK, T, T, {INET}, {COMPANYAP
การแปล กรุณารอสักครู่..
3. DR BACA
รูปแบบวิธีธรรมชาติของการบรรเทาการใช้งานมากกว่าที่ได้รับการยกเว้น
(หรือผู้ใช้)
คือการใช้ประโยชน์จากรูปแบบการควบคุมการเข้าถึงที่ยึดมั่นในหลักการของสิทธิประโยชน์อย่างน้อยตามที่กล่าวไว้ใน
[28] [23] และ [5] . รุ่นหนึ่งที่นิยมมากที่ประสบความสำเร็จนี้คือการควบคุมการเข้าถึงตามบทบาท (RBAC) รูปแบบเท่าที่สังเกตการทำงานของ[9] และ [27] เราเสนอบทบาทแบบไดนามิกจากการควบคุมการเข้าถึงสำหรับ Android (DR BACA) รูปแบบเพื่อเพิ่มการรักษาความปลอดภัยAndroid ที่มีความสำคัญโดยเฉพาะอย่างยิ่งในสภาพแวดล้อมที่มีจำนวนมากของโทรศัพท์มือถือ. รูปที่ 1: ภาพรวม DR BACA รูปที่ 1 แสดงให้เห็นถึงองค์ประกอบพื้นฐานของ DR BACA รูปแบบและวิธีการที่พวกเขามีความสัมพันธ์กับคนอื่นๆ DR BACA ช่วยให้ผู้ใช้หลายคนใช้อุปกรณ์มือถือที่มีผู้ใช้กำหนดให้กับชุดของบทบาทเป็นในรูปแบบอาร์แบคแบบดั้งเดิม. บทบาทเหล่านี้มีความเกี่ยวข้องแล้วมีสิทธิ์ที่กำหนดโดยชุดของกฎใน DR BACA ทั้งหมดอยู่ในหลายต่อหลายสมาคม. โดยเชื่อมโยงกับกฎการใช้งานทั้ง Android และสิทธิ์ของเราขยายรูปแบบที่ได้รับอนุญาตของAndroid ที่มีรูปแบบอาร์แบคคงที่เพื่อให้เข้าถึงละเอียดการควบคุม นอกจากนี้อาร์แบคแบบไดนามิกที่มีให้ผ่านกฎตามบริบทและกฎระเบียบร่วมกัน. ผู้ใช้หลายคนที่เปิดใช้งาน: หนึ่งอาจโต้แย้งว่า mo- ปัจจุบัน300 อุปกรณ์น้ำดีได้รับการออกแบบส่วนใหญ่เป็นอุปกรณ์ที่ผู้ใช้คนเดียวและมีความจำเป็นสำหรับอุปกรณ์ที่สามารถใช้หลายไม่มี อย่างไรก็ตามในขณะที่พลังงานของคอมพิวเตอร์ของโทรศัพท์มือถือของพวกเขาดีขึ้นและการใช้งานทางธุรกิจขยายเราคาดว่ามันเป็นเพียงเรื่องของเวลาจนกว่ามาร์ทโฟนที่คาดว่าจะมีการจัดการผู้ใช้เปรียบกับคอมพิวเตอร์เดสก์ท็ อันที่จริง, Android รุ่น 4.2 มีคุณสมบัติในการจัดการผู้ใช้งานที่แตกต่างกันในเครื่องเดียวกัน[11] เราเชื่อว่าการจัดการผู้ใช้บนมือถือของอุปกรณ์ที่จะเป็นประโยชน์โดยเฉพาะอย่างยิ่งในสภาพแวดล้อมขององค์กร. ตัวอย่างเช่นโรงพยาบาลอาจจะให้มาร์ทโฟนหรือแท็บเล็ตให้กับพนักงานเพื่อรองรับการสื่อสารในชีวิตประจำวัน. เครื่องเดียวอาจจะถูกใช้โดยคนที่แตกต่างกันในการปฏิบัติหน้าที่ในเวลาต่างๆระยะเวลา นอกจากนี้ผู้ใช้อาจต้องการที่จะสามารถที่จะใช้อุปกรณ์ที่แตกต่าง เรานำเสนอที่นี่ BACA DR รุ่นสามารถนำมาใช้ในการดำเนินการในระดับองค์กรรักษาความปลอดภัยนโยบายเพื่อให้การควบคุมการเข้าถึงเครื่องแบบสำหรับผู้ใช้บนอุปกรณ์มือถือใดๆ . บทบาทคงควบคุมการเข้าถึงตาม: ในขณะที่แบบดั้งเดิมระบบอาร์แบคผู้ที่ได้รับมอบหมายมีบทบาทลำดับชั้นบทบาทที่สามารถนำมาใช้ใน DR BACA นอกจากนี้แทนการเชื่อมโยงบทบาทสิทธิ์โดยตรง DR BACA แนะนำเพิ่มเติมชั้นที่เราเรียกกฎ กฎที่ถูกกำหนดให้เป็น 6 tuple (ruleLabel ได้รับอนุญาต, ร่วมกัน, P, A, C) ตามที่อธิบายไว้ในตารางที่ 1: ruleLabel ชื่อที่ไม่ซ้ำกันของกฎนี้. อนุญาตธงเพื่อแสดงให้เห็นว่ามันเป็นอนุญาตให้ (T) หรือการปฏิเสธ (F) กฎร่วมกันธงที่จะระบุว่ากฎร่วมกัน(T หรือ F) P ชุดอนุญาต {p1, p2, ... , PN} ได้รับมอบหมายให้กฎนี้การประยุกต์ใช้ชุด{a1, a2, ... ที่ได้รับมอบหมายให้} กฎนี้C บริบทตั้ง {c1, c2, ... , CN} ได้รับมอบหมายให้กฎนี้ตารางที่1: DR BACA กฎไวยากรณ์กฎอนุญาตให้DR BACA เพื่อกำหนดทั้งแบบคงที่และแบบไดนามิกการเข้าถึงการควบคุม โดยการเชื่อมโยงกับการใช้กฎระเบียบและสิทธิ์ DR BACA มีทั้งระดับของการควบคุมการเข้าถึง. การประยุกต์ใช้เป็นเพียงวัตถุที่ไม่ซ้ำกันระบุเป็นโปรแกรม Android ที่กำหนด สิทธิ์ที่เป็นวัตถุที่ระบุตัวตนของแต่ละคนได้รับอนุญาต Android ทั้งเอกสารและคนที่ไม่มีเอกสาร ที่แอพลิเคชันระดับ DR BACA สามารถอนุญาตหรือปฏิเสธการดำเนินการของการใช้งาน. ในระดับที่ได้รับอนุญาตก็สามารถอนุญาตหรือปฏิเสธการร้องขอได้รับอนุญาต. ธงได้รับอนุญาตให้สามารถเป็นได้ทั้งจริงหรือเท็จและกำหนด, ถ้ากฎเป็นอนุญาตหรือปฏิเสธ กฎ: อนุญาตให้กฎอนุญาตให้มีการร้องขอการดำเนินการหรือได้รับอนุญาตในขณะที่ปฏิเสธกฎห้ามการร้องขอ ทั้งนี้ขึ้นอยู่กับสิ่งที่ใช้งานและสิทธิ์ที่กำหนดไว้ในกฎธงได้รับอนุญาตให้สามารถนำไปใช้โดยอัตโนมัติในการประยุกต์ใช้อย่างใดอย่างหนึ่งหรือได้รับอนุญาตระดับ ดังนั้นเพียงคนเดียวที่ได้รับอนุญาตธงเป็นสิ่งจำเป็นสำหรับทั้งในระดับของการควบคุม ชี้แจงนี้ตารางที่ 2 แสดงให้เห็นด้านล่างผสมเป็นไปได้ทั้งหมดของการอนุญาตและการประยุกต์ใช้ในการปกครองที่กำหนด(P = การตั้งค่าสิทธิ์, A = ชุดที่ใช้งาน) ธงร่วมกันจะอธิบายต่อมาเป็นส่วนหนึ่งของบทบาทแบบไดนามิกการควบคุมการเข้าถึงตาม. เมื่อรวมกับที่มีอยู่ในรูปแบบที่ได้รับอนุญาต Android, DR BACA สามารถกำหนดตั้งค่าสิทธิ์ที่มีอยู่ในปัจจุบันของแอพลิเคชันสำหรับผู้ใช้ผ่านแบบคงที่นี้อาร์แบคทุกแต่ละดังแสดงในสมการต่อไป. Pi กำหนดสิทธิ์ในการตั้งรับในช่วงเวลาที่ติดตั้งแอพลิเคชันสำหรับไอPdeny ฉันคือการตั้งค่าสิทธิ์ที่ระบุไว้ในการปฏิเสธที่เกี่ยวข้องทุกกฎ กฎที่เกี่ยวข้องกฎใด ๆ ที่มีความเกี่ยวข้องกับผู้ใช้ปัจจุบัน(ผ่าน / บทบาทของเธอของเขา) และใช้กับ∅P∧∅AAกฎโดยไม่มีการอนุญาตหรือการใช้งานไม่ได้กำหนดอะไรและดังนั้นจึงเป็นฟุ่มเฟือย∅P∧∃Aที่ได้รับอนุญาตธงถูกนำไปใช้ในระดับแอพลิเคชันเพื่อให้ / ปฏิเสธการดำเนินการของแอพลิเคชัน(s) ใน บริษัท A ∃P∧∅Aธงที่ได้รับอนุญาตถูกนำไปใช้ในระดับที่ได้รับอนุญาตเพื่อให้ / ปฏิเสธการได้รับอนุญาต(s) ใน P สำหรับการใช้งานใด ๆ บนอุปกรณ์∃P∧∃Aธงที่ได้รับอนุญาตถูกนำไปใช้ในระดับที่ได้รับอนุญาตเพื่อให้ / ปฏิเสธการได้รับอนุญาต(s) ใน P สำหรับการประยุกต์ใช้ (s) ใน บริษัท A ตารางที่ 2: การอนุญาตและการรวมกันในการประยุกต์ใช้กฎการประยุกต์ใช้ไอ P ช่วยให้ฉันเป็นชุดที่ได้รับอนุญาตตามที่ระบุไว้ในกฎการอนุญาตที่เกี่ยวข้อง. Pcur i = (Pi ∩ P อนุญาตให้i) ∪ (Pi - Pdeny i) (1) ขออนุญาตใด ๆ ที่เป็นส่วนหนึ่งของที่ได้รับอนุญาตเดิมทั้งการตั้งค่าPi และที่เกี่ยวข้อง ให้กฎ P อนุญาตให้ฉันจะได้รับการยอมรับ มันเป็นสิ่งสำคัญที่จะต้องทราบว่ากฎการอนุญาตให้ใช้แทนกฎปฏิเสธถ้าสองกฎระเบียบที่มีอยู่ในความขัดแย้งกับแต่ละอื่นๆ แนวคิดเดียวกันสามารถนำไปใช้ในการสมัครระดับ หากมีกฎการอนุญาตใด ๆ ที่เกี่ยวข้องหรือถ้าไม่มีกฎปฏิเสธที่เกี่ยวข้องแอพลิเคชันที่ได้รับอนุญาตในการดำเนินการ. บทบาทแบบไดนามิกควบคุมการเข้าถึงตาม: หนึ่งคืนด้วยระบบอาร์แบคคงที่อยู่ในสภาพแวดล้อมการผลิต, ผู้ใช้บางครั้งต้องส่งเสริมหรือ ลดระดับสิทธิประโยชน์ของพวกเขาเป็นการชั่วคราวทั้งนี้ขึ้นอยู่กับสถานการณ์บางอย่าง(เช่นกรณีฉุกเฉิน) เข้าถึงตามบทบาทของระบบการควบคุมแบบคงที่คือไม่เหมาะที่จะรับมือกับสถานการณ์ดังกล่าว ใช้ประโยชน์จากที่ไม่ซ้ำกันความสามารถของโทรศัพท์มือถือที่จะใช้สภาพแวดล้อมในบัญชีDR BACA มีบทบาทแบบไดนามิกการเข้าถึงตามการควบคุมผ่านการรับรู้บริบทและร่วมกันกฎ. ค && ได้รับอนุญาตอย่างชัดเจนช่วยให้ค&& อย่างชัดเจน¬allowedปฏิเสธ¬c && โดยปริยาย¬allowedอนุญาตให้¬c && ได้รับอนุญาตโดยปริยายปฏิเสธตารางที่3 : ชัดเจนหรือโดยปริยายกฎบริบทตัวเองสามารถประกอบด้วยองค์ประกอบด้านสิ่งแวดล้อมที่แตกต่างกันเช่นที่ตั้งปัจจุบันของอุปกรณ์ในปัจจุบันวันและเวลาหรือแม้กระทั่งเหตุการณ์เช่นAndroid เจตนา ในขณะใดก็ตามบริบทก็จะสามารถ ful- ที่เต็มไปด้วยหรือไม่ สำหรับกฎบริบทที่กำหนดถ้าบริบทที่มีการเติมเต็มในขณะนี้เราเรียกว่ากฎอย่างชัดเจน ถ้าบริบทในขณะนี้ไม่ได้ปฏิบัติตามที่เราเรียกว่าการปกครองโดยปริยาย ขึ้นอยู่กับบริบทในปัจจุบันมีการประยุกต์ใช้การดำเนินการหรือได้รับอนุญาตได้รับอนุญาตคำขอสามารถแบบไดนามิกหรือปฏิเสธอย่างชัดเจนหรือโดยปริยายดังแสดงในตารางที่3 (c คือบริบทปฏิบัติตามธง) ตัวอย่างเช่นสมมติว่ากฎกำหนดว่าการใช้งานการเล่นเกมที่ไม่ได้รับอนุญาตในช่วงเวลาทำงาน (เช่นที่จะ 09:00 5 โมงเย็น) ถ้ามันเป็นอยู่ในปัจจุบัน 10:00 แล้วกฎนี้อย่างชัดเจนปฏิเสธการดำเนินการของการประยุกต์ใช้การเล่นเกม แต่ถ้าในปัจจุบันเวลา 01:00 กฎนี้โดยปริยายช่วยให้การดำเนินของเกมการใช้งาน ถ้าสองกฎความขัดแย้งกับแต่ละอื่น ๆ ในการปกครองอย่างชัดเจนแทนการปกครองใดๆ โดยปริยาย เหตุผลสำหรับวิธีการนี้จะเป็นดังนี้: กฎที่ชัดเจนโดยเฉพาะที่สร้างขึ้นโดยผู้สร้างนโยบายการรักษาความปลอดภัย ผู้สร้างนี้จะคาดหวังว่ากฎที่จะปฏิบัติตามในกรณีใด ๆ หากกฎนัยสามารถใช้แทนว่ากฎที่ชัดเจนที่ผู้สร้างคาดหวังจะไม่ได้พบกันทำให้เกิดความสับสนและอาจแนะนำปัญหาด้านความปลอดภัย ถ้าสองกฎที่ขัดแย้งกันอยู่ทั้งสองอย่างชัดเจนหรือทั้งสองนัยแล้วกฎอนุญาตแทนกฎการปฏิเสธ วิธีการนี้จะช่วยให้สถานการณ์ที่ผู้ใช้จะถูก จำกัด โดยทั่วไปจากการดำเนินการกระทำบางอย่างแต่ส่วนย่อยเล็ก ๆ ของผู้ใช้เหล่านี้ยังคงต้อง301 ได้รับอนุญาตให้ดำเนินการเช่นเดียวกับที่ เราสามารถบรรลุนี้สถานการณ์โดยจงใจสร้างกฎที่สองที่ขัดแย้งกันคือกฎปฏิเสธจะถูกนำไปใช้กับบทบาททั้งหมดในขณะที่ช่วยให้การปกครองจะนำไปใช้กับชุดย่อยเล็กๆ ของบทบาทเหล่านี้. กฎที่สามารถใช้ร่วมกันชั่วคราวกับผู้อื่นบนอุปกรณ์อื่น. ธงร่วมกันของการปกครองใดก็ตามกำหนดถ้ากฎสามารถใช้ร่วมกันได้หรือไม่ นี้จะมีประโยชน์มากสำหรับผู้ใช้ชั่วคราวเพื่อส่งเสริมหรือลดสิทธิประโยชน์ของพวกเขาขึ้นอยู่กับสถานการณ์ปัจจุบัน ตัวอย่างเช่นแพทย์อาจเป็นการชั่วคราวร่วมกับพยาบาลให้ความช่วยเหลือของเขากฎที่ช่วยให้การทำงานของแอพลิเคชันที่เป็นปกติเพียงปฏิบัติการโดยแพทย์ อีกตัวอย่างหนึ่งก็จะไปชั่วคราวให้สิทธิดำเนินการกล้องเช็คอินเจ้าหน้าที่เพื่อลงทะเบียนผู้ป่วยใหม่ ทั้งสองวิธีชั่วคราวบทบาทจะถูกสร้างขึ้นสำหรับผู้ใช้ที่ได้รับซึ่งจะมีกฎที่ใช้ร่วมกันนี้ DR BACA ให้ใช้งานร่วมกันของกฎระเบียบที่ผ่านการใช้Near Field Communication (NFC) ซึ่งจะมีการอธิบายในรายละเอียดในส่วนถัดไป. ตารางที่ 4 ให้เป็นตัวอย่างของวิธีการกฎ DR BACA สามารถกำหนดได้ในทางปฏิบัติ โปรดทราบว่าใช้งานสามารถจัดกลุ่มได้เป็นอย่างดี แทนที่จะต้องเป็นรายบุคคลเพิ่มทั้งหมดการใช้งานที่อยู่ภายใต้กฎบางอย่างหนึ่งก็สามารถกลุ่มเหล่านี้และการใช้งานเพียงแต่เพิ่มกลุ่มที่ต้องการการปกครอง ยังเป็นสิ่งสำคัญที่จะต้องทราบว่าในขณะที่ที่นี่กฎสามารถให้ได้รับอนุญาตบางอย่างที่จะแอพลิเคชันที่แอพลิเคชันของตัวเองยังคงต้องขออนุญาตว่าในระหว่างการติดตั้ง มิฉะนั้นการตรวจสอบการอ้างอิงของตัวเองของ Android จะปฏิเสธคำขออนุญาตก่อน DR BACA แม้จะมีส่วนร่วมในกระบวนการตัดสินใจ. (เรียกดู NOK, F, F, {INET}, {เบราว์เซอร์}, {WORKHOUR}): ปฏิเสธสิทธิ์ของอินเทอร์เน็ตสำหรับการใช้งานเบราว์เซอร์ ในระหว่างการทำงานชั่วโมง(INET NOK, F, F, INET {}, {}, {} วันทำการ): ปฏิเสธสิทธิ์ของอินเทอร์เน็ตสำหรับการใช้งานในระหว่างวันทำงานใด ๆ (MONFRI) (OK INET, T, T, INET {}, {COMPANYAP
รูปแบบวิธีธรรมชาติของการบรรเทาการใช้งานมากกว่าที่ได้รับการยกเว้น
(หรือผู้ใช้)
คือการใช้ประโยชน์จากรูปแบบการควบคุมการเข้าถึงที่ยึดมั่นในหลักการของสิทธิประโยชน์อย่างน้อยตามที่กล่าวไว้ใน
[28] [23] และ [5] . รุ่นหนึ่งที่นิยมมากที่ประสบความสำเร็จนี้คือการควบคุมการเข้าถึงตามบทบาท (RBAC) รูปแบบเท่าที่สังเกตการทำงานของ[9] และ [27] เราเสนอบทบาทแบบไดนามิกจากการควบคุมการเข้าถึงสำหรับ Android (DR BACA) รูปแบบเพื่อเพิ่มการรักษาความปลอดภัยAndroid ที่มีความสำคัญโดยเฉพาะอย่างยิ่งในสภาพแวดล้อมที่มีจำนวนมากของโทรศัพท์มือถือ. รูปที่ 1: ภาพรวม DR BACA รูปที่ 1 แสดงให้เห็นถึงองค์ประกอบพื้นฐานของ DR BACA รูปแบบและวิธีการที่พวกเขามีความสัมพันธ์กับคนอื่นๆ DR BACA ช่วยให้ผู้ใช้หลายคนใช้อุปกรณ์มือถือที่มีผู้ใช้กำหนดให้กับชุดของบทบาทเป็นในรูปแบบอาร์แบคแบบดั้งเดิม. บทบาทเหล่านี้มีความเกี่ยวข้องแล้วมีสิทธิ์ที่กำหนดโดยชุดของกฎใน DR BACA ทั้งหมดอยู่ในหลายต่อหลายสมาคม. โดยเชื่อมโยงกับกฎการใช้งานทั้ง Android และสิทธิ์ของเราขยายรูปแบบที่ได้รับอนุญาตของAndroid ที่มีรูปแบบอาร์แบคคงที่เพื่อให้เข้าถึงละเอียดการควบคุม นอกจากนี้อาร์แบคแบบไดนามิกที่มีให้ผ่านกฎตามบริบทและกฎระเบียบร่วมกัน. ผู้ใช้หลายคนที่เปิดใช้งาน: หนึ่งอาจโต้แย้งว่า mo- ปัจจุบัน300 อุปกรณ์น้ำดีได้รับการออกแบบส่วนใหญ่เป็นอุปกรณ์ที่ผู้ใช้คนเดียวและมีความจำเป็นสำหรับอุปกรณ์ที่สามารถใช้หลายไม่มี อย่างไรก็ตามในขณะที่พลังงานของคอมพิวเตอร์ของโทรศัพท์มือถือของพวกเขาดีขึ้นและการใช้งานทางธุรกิจขยายเราคาดว่ามันเป็นเพียงเรื่องของเวลาจนกว่ามาร์ทโฟนที่คาดว่าจะมีการจัดการผู้ใช้เปรียบกับคอมพิวเตอร์เดสก์ท็ อันที่จริง, Android รุ่น 4.2 มีคุณสมบัติในการจัดการผู้ใช้งานที่แตกต่างกันในเครื่องเดียวกัน[11] เราเชื่อว่าการจัดการผู้ใช้บนมือถือของอุปกรณ์ที่จะเป็นประโยชน์โดยเฉพาะอย่างยิ่งในสภาพแวดล้อมขององค์กร. ตัวอย่างเช่นโรงพยาบาลอาจจะให้มาร์ทโฟนหรือแท็บเล็ตให้กับพนักงานเพื่อรองรับการสื่อสารในชีวิตประจำวัน. เครื่องเดียวอาจจะถูกใช้โดยคนที่แตกต่างกันในการปฏิบัติหน้าที่ในเวลาต่างๆระยะเวลา นอกจากนี้ผู้ใช้อาจต้องการที่จะสามารถที่จะใช้อุปกรณ์ที่แตกต่าง เรานำเสนอที่นี่ BACA DR รุ่นสามารถนำมาใช้ในการดำเนินการในระดับองค์กรรักษาความปลอดภัยนโยบายเพื่อให้การควบคุมการเข้าถึงเครื่องแบบสำหรับผู้ใช้บนอุปกรณ์มือถือใดๆ . บทบาทคงควบคุมการเข้าถึงตาม: ในขณะที่แบบดั้งเดิมระบบอาร์แบคผู้ที่ได้รับมอบหมายมีบทบาทลำดับชั้นบทบาทที่สามารถนำมาใช้ใน DR BACA นอกจากนี้แทนการเชื่อมโยงบทบาทสิทธิ์โดยตรง DR BACA แนะนำเพิ่มเติมชั้นที่เราเรียกกฎ กฎที่ถูกกำหนดให้เป็น 6 tuple (ruleLabel ได้รับอนุญาต, ร่วมกัน, P, A, C) ตามที่อธิบายไว้ในตารางที่ 1: ruleLabel ชื่อที่ไม่ซ้ำกันของกฎนี้. อนุญาตธงเพื่อแสดงให้เห็นว่ามันเป็นอนุญาตให้ (T) หรือการปฏิเสธ (F) กฎร่วมกันธงที่จะระบุว่ากฎร่วมกัน(T หรือ F) P ชุดอนุญาต {p1, p2, ... , PN} ได้รับมอบหมายให้กฎนี้การประยุกต์ใช้ชุด{a1, a2, ... ที่ได้รับมอบหมายให้} กฎนี้C บริบทตั้ง {c1, c2, ... , CN} ได้รับมอบหมายให้กฎนี้ตารางที่1: DR BACA กฎไวยากรณ์กฎอนุญาตให้DR BACA เพื่อกำหนดทั้งแบบคงที่และแบบไดนามิกการเข้าถึงการควบคุม โดยการเชื่อมโยงกับการใช้กฎระเบียบและสิทธิ์ DR BACA มีทั้งระดับของการควบคุมการเข้าถึง. การประยุกต์ใช้เป็นเพียงวัตถุที่ไม่ซ้ำกันระบุเป็นโปรแกรม Android ที่กำหนด สิทธิ์ที่เป็นวัตถุที่ระบุตัวตนของแต่ละคนได้รับอนุญาต Android ทั้งเอกสารและคนที่ไม่มีเอกสาร ที่แอพลิเคชันระดับ DR BACA สามารถอนุญาตหรือปฏิเสธการดำเนินการของการใช้งาน. ในระดับที่ได้รับอนุญาตก็สามารถอนุญาตหรือปฏิเสธการร้องขอได้รับอนุญาต. ธงได้รับอนุญาตให้สามารถเป็นได้ทั้งจริงหรือเท็จและกำหนด, ถ้ากฎเป็นอนุญาตหรือปฏิเสธ กฎ: อนุญาตให้กฎอนุญาตให้มีการร้องขอการดำเนินการหรือได้รับอนุญาตในขณะที่ปฏิเสธกฎห้ามการร้องขอ ทั้งนี้ขึ้นอยู่กับสิ่งที่ใช้งานและสิทธิ์ที่กำหนดไว้ในกฎธงได้รับอนุญาตให้สามารถนำไปใช้โดยอัตโนมัติในการประยุกต์ใช้อย่างใดอย่างหนึ่งหรือได้รับอนุญาตระดับ ดังนั้นเพียงคนเดียวที่ได้รับอนุญาตธงเป็นสิ่งจำเป็นสำหรับทั้งในระดับของการควบคุม ชี้แจงนี้ตารางที่ 2 แสดงให้เห็นด้านล่างผสมเป็นไปได้ทั้งหมดของการอนุญาตและการประยุกต์ใช้ในการปกครองที่กำหนด(P = การตั้งค่าสิทธิ์, A = ชุดที่ใช้งาน) ธงร่วมกันจะอธิบายต่อมาเป็นส่วนหนึ่งของบทบาทแบบไดนามิกการควบคุมการเข้าถึงตาม. เมื่อรวมกับที่มีอยู่ในรูปแบบที่ได้รับอนุญาต Android, DR BACA สามารถกำหนดตั้งค่าสิทธิ์ที่มีอยู่ในปัจจุบันของแอพลิเคชันสำหรับผู้ใช้ผ่านแบบคงที่นี้อาร์แบคทุกแต่ละดังแสดงในสมการต่อไป. Pi กำหนดสิทธิ์ในการตั้งรับในช่วงเวลาที่ติดตั้งแอพลิเคชันสำหรับไอPdeny ฉันคือการตั้งค่าสิทธิ์ที่ระบุไว้ในการปฏิเสธที่เกี่ยวข้องทุกกฎ กฎที่เกี่ยวข้องกฎใด ๆ ที่มีความเกี่ยวข้องกับผู้ใช้ปัจจุบัน(ผ่าน / บทบาทของเธอของเขา) และใช้กับ∅P∧∅AAกฎโดยไม่มีการอนุญาตหรือการใช้งานไม่ได้กำหนดอะไรและดังนั้นจึงเป็นฟุ่มเฟือย∅P∧∃Aที่ได้รับอนุญาตธงถูกนำไปใช้ในระดับแอพลิเคชันเพื่อให้ / ปฏิเสธการดำเนินการของแอพลิเคชัน(s) ใน บริษัท A ∃P∧∅Aธงที่ได้รับอนุญาตถูกนำไปใช้ในระดับที่ได้รับอนุญาตเพื่อให้ / ปฏิเสธการได้รับอนุญาต(s) ใน P สำหรับการใช้งานใด ๆ บนอุปกรณ์∃P∧∃Aธงที่ได้รับอนุญาตถูกนำไปใช้ในระดับที่ได้รับอนุญาตเพื่อให้ / ปฏิเสธการได้รับอนุญาต(s) ใน P สำหรับการประยุกต์ใช้ (s) ใน บริษัท A ตารางที่ 2: การอนุญาตและการรวมกันในการประยุกต์ใช้กฎการประยุกต์ใช้ไอ P ช่วยให้ฉันเป็นชุดที่ได้รับอนุญาตตามที่ระบุไว้ในกฎการอนุญาตที่เกี่ยวข้อง. Pcur i = (Pi ∩ P อนุญาตให้i) ∪ (Pi - Pdeny i) (1) ขออนุญาตใด ๆ ที่เป็นส่วนหนึ่งของที่ได้รับอนุญาตเดิมทั้งการตั้งค่าPi และที่เกี่ยวข้อง ให้กฎ P อนุญาตให้ฉันจะได้รับการยอมรับ มันเป็นสิ่งสำคัญที่จะต้องทราบว่ากฎการอนุญาตให้ใช้แทนกฎปฏิเสธถ้าสองกฎระเบียบที่มีอยู่ในความขัดแย้งกับแต่ละอื่นๆ แนวคิดเดียวกันสามารถนำไปใช้ในการสมัครระดับ หากมีกฎการอนุญาตใด ๆ ที่เกี่ยวข้องหรือถ้าไม่มีกฎปฏิเสธที่เกี่ยวข้องแอพลิเคชันที่ได้รับอนุญาตในการดำเนินการ. บทบาทแบบไดนามิกควบคุมการเข้าถึงตาม: หนึ่งคืนด้วยระบบอาร์แบคคงที่อยู่ในสภาพแวดล้อมการผลิต, ผู้ใช้บางครั้งต้องส่งเสริมหรือ ลดระดับสิทธิประโยชน์ของพวกเขาเป็นการชั่วคราวทั้งนี้ขึ้นอยู่กับสถานการณ์บางอย่าง(เช่นกรณีฉุกเฉิน) เข้าถึงตามบทบาทของระบบการควบคุมแบบคงที่คือไม่เหมาะที่จะรับมือกับสถานการณ์ดังกล่าว ใช้ประโยชน์จากที่ไม่ซ้ำกันความสามารถของโทรศัพท์มือถือที่จะใช้สภาพแวดล้อมในบัญชีDR BACA มีบทบาทแบบไดนามิกการเข้าถึงตามการควบคุมผ่านการรับรู้บริบทและร่วมกันกฎ. ค && ได้รับอนุญาตอย่างชัดเจนช่วยให้ค&& อย่างชัดเจน¬allowedปฏิเสธ¬c && โดยปริยาย¬allowedอนุญาตให้¬c && ได้รับอนุญาตโดยปริยายปฏิเสธตารางที่3 : ชัดเจนหรือโดยปริยายกฎบริบทตัวเองสามารถประกอบด้วยองค์ประกอบด้านสิ่งแวดล้อมที่แตกต่างกันเช่นที่ตั้งปัจจุบันของอุปกรณ์ในปัจจุบันวันและเวลาหรือแม้กระทั่งเหตุการณ์เช่นAndroid เจตนา ในขณะใดก็ตามบริบทก็จะสามารถ ful- ที่เต็มไปด้วยหรือไม่ สำหรับกฎบริบทที่กำหนดถ้าบริบทที่มีการเติมเต็มในขณะนี้เราเรียกว่ากฎอย่างชัดเจน ถ้าบริบทในขณะนี้ไม่ได้ปฏิบัติตามที่เราเรียกว่าการปกครองโดยปริยาย ขึ้นอยู่กับบริบทในปัจจุบันมีการประยุกต์ใช้การดำเนินการหรือได้รับอนุญาตได้รับอนุญาตคำขอสามารถแบบไดนามิกหรือปฏิเสธอย่างชัดเจนหรือโดยปริยายดังแสดงในตารางที่3 (c คือบริบทปฏิบัติตามธง) ตัวอย่างเช่นสมมติว่ากฎกำหนดว่าการใช้งานการเล่นเกมที่ไม่ได้รับอนุญาตในช่วงเวลาทำงาน (เช่นที่จะ 09:00 5 โมงเย็น) ถ้ามันเป็นอยู่ในปัจจุบัน 10:00 แล้วกฎนี้อย่างชัดเจนปฏิเสธการดำเนินการของการประยุกต์ใช้การเล่นเกม แต่ถ้าในปัจจุบันเวลา 01:00 กฎนี้โดยปริยายช่วยให้การดำเนินของเกมการใช้งาน ถ้าสองกฎความขัดแย้งกับแต่ละอื่น ๆ ในการปกครองอย่างชัดเจนแทนการปกครองใดๆ โดยปริยาย เหตุผลสำหรับวิธีการนี้จะเป็นดังนี้: กฎที่ชัดเจนโดยเฉพาะที่สร้างขึ้นโดยผู้สร้างนโยบายการรักษาความปลอดภัย ผู้สร้างนี้จะคาดหวังว่ากฎที่จะปฏิบัติตามในกรณีใด ๆ หากกฎนัยสามารถใช้แทนว่ากฎที่ชัดเจนที่ผู้สร้างคาดหวังจะไม่ได้พบกันทำให้เกิดความสับสนและอาจแนะนำปัญหาด้านความปลอดภัย ถ้าสองกฎที่ขัดแย้งกันอยู่ทั้งสองอย่างชัดเจนหรือทั้งสองนัยแล้วกฎอนุญาตแทนกฎการปฏิเสธ วิธีการนี้จะช่วยให้สถานการณ์ที่ผู้ใช้จะถูก จำกัด โดยทั่วไปจากการดำเนินการกระทำบางอย่างแต่ส่วนย่อยเล็ก ๆ ของผู้ใช้เหล่านี้ยังคงต้อง301 ได้รับอนุญาตให้ดำเนินการเช่นเดียวกับที่ เราสามารถบรรลุนี้สถานการณ์โดยจงใจสร้างกฎที่สองที่ขัดแย้งกันคือกฎปฏิเสธจะถูกนำไปใช้กับบทบาททั้งหมดในขณะที่ช่วยให้การปกครองจะนำไปใช้กับชุดย่อยเล็กๆ ของบทบาทเหล่านี้. กฎที่สามารถใช้ร่วมกันชั่วคราวกับผู้อื่นบนอุปกรณ์อื่น. ธงร่วมกันของการปกครองใดก็ตามกำหนดถ้ากฎสามารถใช้ร่วมกันได้หรือไม่ นี้จะมีประโยชน์มากสำหรับผู้ใช้ชั่วคราวเพื่อส่งเสริมหรือลดสิทธิประโยชน์ของพวกเขาขึ้นอยู่กับสถานการณ์ปัจจุบัน ตัวอย่างเช่นแพทย์อาจเป็นการชั่วคราวร่วมกับพยาบาลให้ความช่วยเหลือของเขากฎที่ช่วยให้การทำงานของแอพลิเคชันที่เป็นปกติเพียงปฏิบัติการโดยแพทย์ อีกตัวอย่างหนึ่งก็จะไปชั่วคราวให้สิทธิดำเนินการกล้องเช็คอินเจ้าหน้าที่เพื่อลงทะเบียนผู้ป่วยใหม่ ทั้งสองวิธีชั่วคราวบทบาทจะถูกสร้างขึ้นสำหรับผู้ใช้ที่ได้รับซึ่งจะมีกฎที่ใช้ร่วมกันนี้ DR BACA ให้ใช้งานร่วมกันของกฎระเบียบที่ผ่านการใช้Near Field Communication (NFC) ซึ่งจะมีการอธิบายในรายละเอียดในส่วนถัดไป. ตารางที่ 4 ให้เป็นตัวอย่างของวิธีการกฎ DR BACA สามารถกำหนดได้ในทางปฏิบัติ โปรดทราบว่าใช้งานสามารถจัดกลุ่มได้เป็นอย่างดี แทนที่จะต้องเป็นรายบุคคลเพิ่มทั้งหมดการใช้งานที่อยู่ภายใต้กฎบางอย่างหนึ่งก็สามารถกลุ่มเหล่านี้และการใช้งานเพียงแต่เพิ่มกลุ่มที่ต้องการการปกครอง ยังเป็นสิ่งสำคัญที่จะต้องทราบว่าในขณะที่ที่นี่กฎสามารถให้ได้รับอนุญาตบางอย่างที่จะแอพลิเคชันที่แอพลิเคชันของตัวเองยังคงต้องขออนุญาตว่าในระหว่างการติดตั้ง มิฉะนั้นการตรวจสอบการอ้างอิงของตัวเองของ Android จะปฏิเสธคำขออนุญาตก่อน DR BACA แม้จะมีส่วนร่วมในกระบวนการตัดสินใจ. (เรียกดู NOK, F, F, {INET}, {เบราว์เซอร์}, {WORKHOUR}): ปฏิเสธสิทธิ์ของอินเทอร์เน็ตสำหรับการใช้งานเบราว์เซอร์ ในระหว่างการทำงานชั่วโมง(INET NOK, F, F, INET {}, {}, {} วันทำการ): ปฏิเสธสิทธิ์ของอินเทอร์เน็ตสำหรับการใช้งานในระหว่างวันทำงานใด ๆ (MONFRI) (OK INET, T, T, INET {}, {COMPANYAP
การแปล กรุณารอสักครู่..
3 . ดร บาคาโมเดล
เป็นวิธีธรรมชาติมากกว่าการลดสิทธิพิเศษ
( หรือผู้ใช้ ) คือการใช้ประโยชน์ของการควบคุมการเข้าถึงแบบ
ยึดหลักสิทธิอย่างน้อย ตามที่กล่าวไว้ใน
[ 28 ] , [ 23 ] และ [ 5 ] หนึ่งเป็นที่นิยมมาก แบบที่ใช้นี้
คือบทบาทการควบคุมการเข้าถึงตาม ( มหาวิทยาลัยรัตนบัณฑิต ) รูปแบบตามที่ระบุไว้โดย
งาน [ 9 ] และ [ 27 ] เรานำเสนอบทบาทตาม
แบบไดนามิกควบคุมการเข้าถึงสำหรับ Android ( ดร. บาคา ) รูปแบบเพื่อเสริมสร้าง
รักษาความปลอดภัย Android โดยมุ่งเน้นเฉพาะในสภาพแวดล้อม
ด้วยตัวเลขขนาดใหญ่ของโทรศัพท์มือถือ .
1 รูป : ดรบาคาภาพรวม
รูปที่ 1 แสดงองค์ประกอบพื้นฐานของ ดร. บาคาโมเดล
และวิธีที่พวกเขาเกี่ยวข้องกับแต่ละอื่น ๆ ดร บาคา
ช่วยให้ผู้ใช้หลายคนใช้โทรศัพท์มือถือที่มีผู้ใช้
มอบหมายให้ชุดของบทบาทในรูปแบบมหาวิทยาลัยรัตนบัณฑิตดั้งเดิม .
บทบาทเหล่านี้แล้วเกี่ยวข้องกับสิทธิพิเศษที่กำหนดโดยชุดของกฎในดร
บาคา . ทั้งหมดมีหลายสมาคมมากมาย โดยมีทั้งการประยุกต์ใช้กฎ
เราขยายสิทธิ์และ Android , Android อนุญาตแบบ
กับรูปแบบคงที่เพื่อให้มีการควบคุมการเข้ารับใช้ชาติอย่างละเอียด
นอกจากนี้แบบไดนามิกรับใช้ชาติให้ผ่าน
บริบททราบกฎและกติการ่วมกัน
ผู้ใช้หลายเปิด : หนึ่งอาจโต้แย้งว่าปัจจุบันโม -
ดี 300 อุปกรณ์ส่วนใหญ่จะออกแบบมาเป็นผู้ใช้คนเดียวและอุปกรณ์
ไม่ต้องมีความสามารถหลายผู้ใช้อุปกรณ์ อย่างไรก็ตาม
เป็นพลังของอุปกรณ์มือถือและคอมพิวเตอร์ช่วยของพวกเขา
ธุรกิจใช้เบิก เราคาดหวังว่ามันเป็นเพียงเรื่องของ
จนกระทั่งเวลาสมาร์ทโฟนที่คาดว่าจะให้ผู้ใช้การจัดการ
เปรียบได้กับเดสก์ท็อปคอมพิวเตอร์ จริงๆแล้ว , Android
รุ่น 4.2 มีคุณลักษณะการจัดการผู้ใช้ที่แตกต่างกันบนอุปกรณ์เดียวกัน
[ 11 ] เราเชื่อว่าการจัดการผู้ใช้บนโทรศัพท์มือถือ
สามารถประโยชน์อย่างยิ่งในสภาพแวดล้อมขององค์กร
ตัวอย่างเช่น โรงพยาบาลอาจให้มาร์ทโฟนหรือ
เม็ดให้แก่พนักงานเพื่อสนับสนุนปฏิสัมพันธ์ของพวกเขาทุกวัน .
อุปกรณ์เดียวที่อาจจะถูกใช้โดยคนที่แตกต่างกันในหน้าที่ที่
ช่วงเวลาต่าง ๆ นอกจากนี้ผู้ใช้อาจต้องการ
สามารถใช้อุปกรณ์ต่าง ๆ ของเรามาเสนอ ดร. บาคา
รูปแบบสามารถใช้ที่จะใช้ระดับองค์กรรักษาความปลอดภัย
นโยบายเพื่อให้การควบคุมการเข้าถึงสำหรับผู้ใช้ในเครื่องแบบ
มือถือ .บทบาทการควบคุมการเข้าถึงตามแบบคงที่ : ในระบบมหาวิทยาลัยรัตนบัณฑิตดั้งเดิม
, ผู้ใช้จะได้รับมอบหมายกับบทบาทที่บทบาทลำดับชั้น
สามารถใช้ในดร บาคา . นอกจากนี้ แทนที่จะ
เชื่อมโยงบทบาทสิทธิ์โดยตรง ดร. บาคาแนะนำ
เพิ่มเติมชั้น ซึ่งเราเรียกกฎ กฎคือ
กำหนดเป็น 6-tuple ( rulelabel อนุญาต , ร่วมกัน , P , A , C )
ตามที่อธิบายไว้ในตารางที่ 1 :rulelabel เฉพาะชื่อของกฎนี้
อนุญาตธงเพื่อแสดงว่าเป็นอนุญาต ( T ) หรือปฏิเสธ ( F ) กฎ
ร่วมกันธงเพื่อแสดงว่ากฎร่วมกัน ( T หรือ F )
p ขออนุญาตตั้ง { P1 , P2 , . . . , PN } กำหนดกฎนี้
เป็นโปรแกรมตั้งค่า { A1 , A2 , . . . , } กำหนดกฎนี้
c บริบทตั้งค่า { C1 , C2 , . . . , CN } กำหนดกฎนี้
กฎไวยากรณ์ตารางที่ 1 : ดรบาคา
เป็นวิธีธรรมชาติมากกว่าการลดสิทธิพิเศษ
( หรือผู้ใช้ ) คือการใช้ประโยชน์ของการควบคุมการเข้าถึงแบบ
ยึดหลักสิทธิอย่างน้อย ตามที่กล่าวไว้ใน
[ 28 ] , [ 23 ] และ [ 5 ] หนึ่งเป็นที่นิยมมาก แบบที่ใช้นี้
คือบทบาทการควบคุมการเข้าถึงตาม ( มหาวิทยาลัยรัตนบัณฑิต ) รูปแบบตามที่ระบุไว้โดย
งาน [ 9 ] และ [ 27 ] เรานำเสนอบทบาทตาม
แบบไดนามิกควบคุมการเข้าถึงสำหรับ Android ( ดร. บาคา ) รูปแบบเพื่อเสริมสร้าง
รักษาความปลอดภัย Android โดยมุ่งเน้นเฉพาะในสภาพแวดล้อม
ด้วยตัวเลขขนาดใหญ่ของโทรศัพท์มือถือ .
1 รูป : ดรบาคาภาพรวม
รูปที่ 1 แสดงองค์ประกอบพื้นฐานของ ดร. บาคาโมเดล
และวิธีที่พวกเขาเกี่ยวข้องกับแต่ละอื่น ๆ ดร บาคา
ช่วยให้ผู้ใช้หลายคนใช้โทรศัพท์มือถือที่มีผู้ใช้
มอบหมายให้ชุดของบทบาทในรูปแบบมหาวิทยาลัยรัตนบัณฑิตดั้งเดิม .
บทบาทเหล่านี้แล้วเกี่ยวข้องกับสิทธิพิเศษที่กำหนดโดยชุดของกฎในดร
บาคา . ทั้งหมดมีหลายสมาคมมากมาย โดยมีทั้งการประยุกต์ใช้กฎ
เราขยายสิทธิ์และ Android , Android อนุญาตแบบ
กับรูปแบบคงที่เพื่อให้มีการควบคุมการเข้ารับใช้ชาติอย่างละเอียด
นอกจากนี้แบบไดนามิกรับใช้ชาติให้ผ่าน
บริบททราบกฎและกติการ่วมกัน
ผู้ใช้หลายเปิด : หนึ่งอาจโต้แย้งว่าปัจจุบันโม -
ดี 300 อุปกรณ์ส่วนใหญ่จะออกแบบมาเป็นผู้ใช้คนเดียวและอุปกรณ์
ไม่ต้องมีความสามารถหลายผู้ใช้อุปกรณ์ อย่างไรก็ตาม
เป็นพลังของอุปกรณ์มือถือและคอมพิวเตอร์ช่วยของพวกเขา
ธุรกิจใช้เบิก เราคาดหวังว่ามันเป็นเพียงเรื่องของ
จนกระทั่งเวลาสมาร์ทโฟนที่คาดว่าจะให้ผู้ใช้การจัดการ
เปรียบได้กับเดสก์ท็อปคอมพิวเตอร์ จริงๆแล้ว , Android
รุ่น 4.2 มีคุณลักษณะการจัดการผู้ใช้ที่แตกต่างกันบนอุปกรณ์เดียวกัน
[ 11 ] เราเชื่อว่าการจัดการผู้ใช้บนโทรศัพท์มือถือ
สามารถประโยชน์อย่างยิ่งในสภาพแวดล้อมขององค์กร
ตัวอย่างเช่น โรงพยาบาลอาจให้มาร์ทโฟนหรือ
เม็ดให้แก่พนักงานเพื่อสนับสนุนปฏิสัมพันธ์ของพวกเขาทุกวัน .
อุปกรณ์เดียวที่อาจจะถูกใช้โดยคนที่แตกต่างกันในหน้าที่ที่
ช่วงเวลาต่าง ๆ นอกจากนี้ผู้ใช้อาจต้องการ
สามารถใช้อุปกรณ์ต่าง ๆ ของเรามาเสนอ ดร. บาคา
รูปแบบสามารถใช้ที่จะใช้ระดับองค์กรรักษาความปลอดภัย
นโยบายเพื่อให้การควบคุมการเข้าถึงสำหรับผู้ใช้ในเครื่องแบบ
มือถือ .บทบาทการควบคุมการเข้าถึงตามแบบคงที่ : ในระบบมหาวิทยาลัยรัตนบัณฑิตดั้งเดิม
, ผู้ใช้จะได้รับมอบหมายกับบทบาทที่บทบาทลำดับชั้น
สามารถใช้ในดร บาคา . นอกจากนี้ แทนที่จะ
เชื่อมโยงบทบาทสิทธิ์โดยตรง ดร. บาคาแนะนำ
เพิ่มเติมชั้น ซึ่งเราเรียกกฎ กฎคือ
กำหนดเป็น 6-tuple ( rulelabel อนุญาต , ร่วมกัน , P , A , C )
ตามที่อธิบายไว้ในตารางที่ 1 :rulelabel เฉพาะชื่อของกฎนี้
อนุญาตธงเพื่อแสดงว่าเป็นอนุญาต ( T ) หรือปฏิเสธ ( F ) กฎ
ร่วมกันธงเพื่อแสดงว่ากฎร่วมกัน ( T หรือ F )
p ขออนุญาตตั้ง { P1 , P2 , . . . , PN } กำหนดกฎนี้
เป็นโปรแกรมตั้งค่า { A1 , A2 , . . . , } กำหนดกฎนี้
c บริบทตั้งค่า { C1 , C2 , . . . , CN } กำหนดกฎนี้
กฎไวยากรณ์ตารางที่ 1 : ดรบาคา
การแปล กรุณารอสักครู่..
ภาษาอื่น ๆ
การสนับสนุนเครื่องมือแปลภาษา: กรีก, กันนาดา, กาลิเชียน, คลิงออน, คอร์สิกา, คาซัค, คาตาลัน, คินยารวันดา, คีร์กิซ, คุชราต, จอร์เจีย, จีน, จีนดั้งเดิม, ชวา, ชิเชวา, ซามัว, ซีบัวโน, ซุนดา, ซูลู, ญี่ปุ่น, ดัตช์, ตรวจหาภาษา, ตุรกี, ทมิฬ, ทาจิก, ทาทาร์, นอร์เวย์, บอสเนีย, บัลแกเรีย, บาสก์, ปัญจาป, ฝรั่งเศส, พาชตู, ฟริเชียน, ฟินแลนด์, ฟิลิปปินส์, ภาษาอินโดนีเซี, มองโกเลีย, มัลทีส, มาซีโดเนีย, มาราฐี, มาลากาซี, มาลายาลัม, มาเลย์, ม้ง, ยิดดิช, ยูเครน, รัสเซีย, ละติน, ลักเซมเบิร์ก, ลัตเวีย, ลาว, ลิทัวเนีย, สวาฮิลี, สวีเดน, สิงหล, สินธี, สเปน, สโลวัก, สโลวีเนีย, อังกฤษ, อัมฮาริก, อาร์เซอร์ไบจัน, อาร์เมเนีย, อาหรับ, อิกโบ, อิตาลี, อุยกูร์, อุสเบกิสถาน, อูรดู, ฮังการี, ฮัวซา, ฮาวาย, ฮินดี, ฮีบรู, เกลิกสกอต, เกาหลี, เขมร, เคิร์ด, เช็ก, เซอร์เบียน, เซโซโท, เดนมาร์ก, เตลูกู, เติร์กเมน, เนปาล, เบงกอล, เบลารุส, เปอร์เซีย, เมารี, เมียนมา (พม่า), เยอรมัน, เวลส์, เวียดนาม, เอสเปอแรนโต, เอสโทเนีย, เฮติครีโอล, แอฟริกา, แอลเบเนีย, โคซา, โครเอเชีย, โชนา, โซมาลี, โปรตุเกส, โปแลนด์, โยรูบา, โรมาเนีย, โอเดีย (โอริยา), ไทย, ไอซ์แลนด์, ไอร์แลนด์, การแปลภาษา.
- presented to
- Are you studying there
- เช่นกัน you too
- Here it is
- พ่อของคุณ เขาสามารถช่วยคุณได้นะ
- ห้องนี้ทำหน้าที่ออกเกรดเฉลี่ย
- honesty
- U,viJiThe set of relative throughputs, r
- มาหาฉัน
- But that's not what gets me
- Temple Akekgw
- มันไม่ทำงาน
- haha it was just mediocre. Have you had
- พูดคุยไม่ต่อเนื่อง ไม่ปะติดปะต่อ ไม่ได้ส
- INTRODUCTION
- Cam school
- do well at school
- It needs both unrivalled economic and mi
- ผมมีเรื่องให้ช่วยครับ
- I want to live a lifetime
- characterized
- วันถัดไป พวกเรไปถึงบริษัท พนักงานบอกว่า
- ออกไปช่วยประชาสัมพันธ์
- important
