Các cấu trúc ngôn ngữ của mô hình này cho phép người ta đặc tá các ràng buộc thời gian trên các vai, trong việc gán người dùng cho vai và gán giấy phép cho vai.. Chúng tôi sử dụng khung
Trang 1SỰ PHÂN LY TRÁCH NHIỆM TRONG MÔ HÌNH KIỀM SOÁT
TRUY NHẬP DỰA TRÊN VAI VỚI RÀNG BUỘC THỜI GIAN
LÊ THANH!, NGUYÊN VĂN NGỌC?, NGUYEN THUC HAI?
1 Trường Đại học Sư phạm Thể dục Thể thao Hà Tâu
2Cuc B12, Téng cuc 5, Bộ Công ơn
3 Khoa Công nghệ thông tin, Trường Đại học Bách khoa Hà Nội
Abstract The role-based access control models are interested by many researchers analysing and modeling theoretically as well as designing the security infrastructure for an organization’ s resource management system Generalized Temporal Role Based Access Control model (GTRBAC) that cap- tures an comprehensive set of temporal constraints need for access control has recently been proposed Its language structures allow one to specify various temporal constraints on role, user-role assignments and permission-role assignments Here, we present the separation of duty constraints (SoD) of the temporal constraint role-based access control model Associating the control flow dependency con- straints with such ones allows specification of dynamically changing access control requirements that are typical in today’s large systems In addition to allowing specification of time, the constraints in- troduced here also allow expressing access control policies at a finer granularity We also present the relationships beetwen these separation of duty constraints and demonstrate its correctness ‘Thereby
it allows to construct a minimum set of constraints in practical implementation
Tóm tắt Các mô hình kiếm soát truy nhập dựa trên vai dang là mối quan tâm của nhiều nhà nghiên cứu trong việc phân tích và lập mô hình về mặt lý thuyết cũng như trong việc thiết kế cơ
sở hạ tầng an ninh, an toàn cho hệ thống quản lý tài nguyên của một tổ chức Mô hình kiểm soát
truy nhập dựa trên vai theo thời gian tổng quát (GTR.BAC) với một tập toàn diện các ràng buộc thời gian cần cho kiểm soát truy nhập đã được đề xuất mới đây Các cấu trúc ngôn ngữ của mô hình này cho phép người ta đặc tá các ràng buộc thời gian trên các vai, trong việc gán người dùng cho vai và gán giấy phép cho vai Ở đây chúng tôi trình bày các ràng buộc phân ly trách nhiệm của
mô hình kiểm soát truy nhập dựa trên vai với ràng buộc thời gian Các ràng buộc loại này cùng với các ràng buộc phụ thuộc kiểm soát luồng cho phép đặc tả các yêu cầu kiểm soát truy nhập thay đổi động thường thấy trong các hệ thống lớn ngày nay Ngoài việc cho phép đặc tả thời gian, các ràng buộc được đưa ra ở đây cũng cho phép biểu diễn các chính sách kiểm soát truy nhập ở mức mịn hơn Chúng tôi cũng trình bày các mối quan hệ tương đương giữa các ràng buộc phân ly trách nhiệm này và chứng minh tính đúng din của chúng Điều này cho phép xây dựng một tập tối thiểu các ràng buộc trong cài đặt thực tế
1 MỞ ĐẦU Kiểm soát truy nhập dựa trên vai (Role-based access control - RBAC) đã nổi lên như một lựa chọn đầy hứa hẹn thay thế các mô hình kiểm soát truy nhập tùy ý và kiểm soát truy nhập
Trang 2bắt buộc truyền thống |6,7], nhưng chúng có một số hạn chế về đặc tính kế thừa Một số
đặc tính có lợi như chính sách trung tính, trợ giúp đặc quyền ít nhất, quản lý kiểm soát truy nhập hiệu quả được kết hợp với các mô hình RBAC [7| Một trong những mặt quan trọng của kiểm soát truy nhập đó là ràng buộc thời gian các kiểm soát truy nhập để hạn chế việc
sử dụng tài nguyên Đề cập về các yêu cầu kiểm soát truy nhập dựa trên thời gian, Bertino
và cộng sự [2| đề xuất một mô hình RBAC theo thời gian (Temporal RBAC - TRBAC), mà
mới đây đã được Joshi và cộng sự [3| tổng quát hoá Các ràng buộc số lượng và các ràng buộc phân ly trách nhiệm (separation of duty - SoD) đóng vai trò quyết định trong việc đảm bảo an toàn cho một số ứng dụng trong môi trường thương mại Một số nhà nghiên cứu
đã làm nổi bật tầm quan trọng và việc sử dụng các ràng buộc số lượng, các ràng buộc SoD trong các mô hình RBAC Tuy nhiên có rất ít người, trong đó đặc biệt có Joshi và cộng sự đề cập đến các ràng buộc số lượng và các ràng buộc SoD dựa trên thời gian Việc sử dụng một ràng buộc cụ thể cho một chu kỳ thời gian hoặc một độ dài thời gian là quan trọng đối với các ứng dụng thịnh hành hiện nay vì là các yêu cầu truy nhập thường xuyên thay đổi theo thời gian Trong bài báo này, chúng tôi tập trung vào các ràng buộc SobD trong khung làm của mô hình GŒTRBAC [3| Chúng tôi sử dụng khung làm việc tổng quát do Joshi va cong
sự đưa vào trong [5| cho phép biểu diễn một miền rộng lớn các ràng buộc số lượng dựa trên thời gian với sự trợ giúp của các vị từ trạng thái GTRBAC, một hàm liệt kê miền trị các vị
từ này và một toán tử chiếu dùng để trừu xuất một tập hợp các phần tử từ miền trị được
liệt kê Chúng tôi đưa ra một tập các ràng buộc SoD có thể có khi sử dụng các vị từ trạng thai GTRBAC Cac SoD nay dem lai khả năng mô hình hoá mịn hơn nhiều Bài báo được
tổ chức như sau Mục 2 néu van tắt các ràng buộc của ŒRBAC, các vị từ trạng thái đối với một hệ thống GTRBAC và các ràng buộc số lượng Mục 3 trình bày các ràng buộc SoD
hạn chế thời gian, các mối quan hệ tương đương giữa một số ràng buộc SoD này và chứng minh tính đúng đắn của chúng Mục 4 trình bày một số kết luận
2 KIỂM SOÁT TRUY NHẬP DỰA TRÊN VAI VỚI RÀNG BUỘC
THỜI GIAN 2.1 Mô hình GTHRBAC
Mô hình GTRBAC cung cấp một khung làm việc thời gian để đặc tả một tập hợp mở rộng các ràng buộc thời gian [3] Mo hình này là một sự mở rộng của mô hình TR.BAC [2]
và sử dụng một khung làm việc dựa trên ngôn ngữ GTRBAC cho phép nhiều loại ràng buộc thời gian khác nhau như là các ràng buộc thời gian trong việc tạo khả năng cho vai / làm mất khả năng của vai, các ràng buộc thời gian trong việc gán người dùng cho vai và trong việc gán giấy phép cho vai, các ràng buộc thời gian kích hoạt vai, v.v Các sự kiện run-time quan tri của GPTRBAC cho phép nhà quản trị khởi tạo động các sự kiện Một tập các sự kiện run-time khác cho phép người dùng tạo ra các yêu cầu kích hoạt tới hệ thống Hơn nữa, các biểu thức tạo khả năng cho ràng buộc bao gồm các sự kiện mà tạo khả năng hoặc làm mất khả năng các ràng buộc độ dài thời gian và các ràng buộc kích hoạt vai Cac trigger GTRBAC cho phép biểu diễn sự phụ thuộc giữa những sự kiện của ŒTRBAC và có được các sự kiện quá khứ ŒTRBAC có thể có được các nhu cầu kiểm soát truy nhập thay đổi
động của một hệ thống [3,4] Cac biểu thức chu kỳ được viết là (T, P), trong đó 7 là một
Trang 3khoảng thời gian và P là một tập vô hạn các khoảng con của J (T, P) biểu diễn tập tất cả céc khoang P duoc chita trong J Chang han (J, P) = ([1/1/2005, 12/31/2005], Mondays)
xét tất cả các ngày Thứ Hai cha năm 2005 Các ràng buộc thời gian được biểu diễn theo
dạng tổng quát (1, P, #) với (T, P) là biểu thức chu kỳ hoặc theo dạng một ràng buộc độ dài thời gian e = ([T, P|D], 2„, E), trong đó 2D; đặc tả độ dài thời gian mà sự kiện # là đúng và tùy chọn j hoặc (T, P) đặc tả độ dài/khoảng thời gian mà ràng buộc độ dài thời gian e là
đúng Các biểu thức chu ky (J, P) dùng trong biểu thức ràng buộc dựa trên các biểu thức
chu kỳ ở [2,3| Xét các thời điểm bắt đầu và kết thúc được biểu thị tương ứng bằng begin
và end Tập các khoảng thời gian được biểu thị bằng ([begin, end], P) được xác định thông
qua việc sử dụng hàm Sol() được định nghĩa một cách hình thức qua hàm II(?) và việc biểu diễn hình thức của P được đề cập chỉ tiết trong [3]
Định nghĩa 2.1 Cho ứ là một thời điểm, P là một biểu thức chu kỳ, begin và end là hai
biểu thức ngày tháng Xác định ¿ € Soi(|begin, end], P) nếu và chỉ nếu tồn tại r € II(P) sao
cho t €7,ty <t < te, trong dé ty va te 1 cdc thoi diém duoc biểu thị tương ứng bằng begin
va end
2.2 Các vị từ trạng thái
Trong [4|, Joshi và cộng sự đã đưa ra một số vị từ trạng thái mà chúng tôi đã xét đến trong [8] va cé bo sung mot so vị từ trạng thái mới, được sử dụng trong Mục 3 để phân loại các ràng buộc SoD Ta có U, R, P, S tương ứng biểu diễn tập hợp người dùng, tập hợp các vai, tập hợp các giấy phép và tập hợp các phiên, T là tập các thời điểm
(0,00); we U,r ER, pe P,s€S,teT
enabled(r,t) : r cé kha nang tai thoi diém ¢
disabled(r,t) : r khong cé kha năng tại thời điểm t
u_assigned(u,r,t) : u duoc gan vao r tai thoi diém ¢
p_assigned(p,r,t) : p duoc gan vào r tại thời điểm ¢
acliue(u,r,Ê) : r ở trạng thái kích hoạt trong phiên (các phiên) của u tại thời điểm ¢
s-acliue(u,r, s,É) : r ở trạng thái kích hoạt trong phiên s của u tại thời điểm ¢
can_activate(u, r,t) : có khả năng kích hoạt r tại thời điểm ¢
s_can_activate(u, 7, s,t) : u có khả năng kích hoạt r trong phiên s tại thời điểm ¢
can_acquire(u,p,Ê) : u có khả năng có được p tại thời điểm £
r_can_acquire(u, p,r,t) : có khả năng có được p thông qua z tại thời điểm ¢
can _be_acquired(p, r, f) : p có thể có được thông qua z tại thời điểm ¢
acquires(u, p,t) : u có được p tại thời điểm £
r_acquires(u, p,r,t) : có được p thông qua z tại thời điểm £
s_acquäres(u,p, s,Ê) : u có được p trong phiên s tại thời điểm ¢
?s_acquires(u, p,r, s, Ê) : u có được p thông qua z trong phiên s tại thời điểm £
Hệ tiên đề sau nêu các quan hệ chủ yếu giữa các vị từ trên, làm cơ sở để nhận biết chính
xác sự có được giấy phép và sự kích hoạt vai có khả năng hoặc đang xảy ra trong một hệ
thống RBAC
Hệ tiên đề Với Vz € R,Vu € U,Vp€ P,Vs € S oà Ví € TT, các phép kéo theo sau là đúng:
1 p_assigned(p, r, t) > can_be_acquired(p, r,t)
Trang 42 u_assigned(u, r,t) > can_activate(u, r,t)
3 can_activate(u, r,t) \ can_be_acquired(p, r,t) > can_acquire(u, p, t)
4 s_active(u, r,s, t) A can_be_acquired(p, r,t) > s_acquires(u, p, s, t)
Sau đây chúng ta định nghĩa một hàm liệt kê miền trị vị từ “st trên các vị từ trạng thái
và một toán tử chiếu II, ka, k„ trên miền trị được liệt kê của một vị từ như sau
Định nghĩa 2.2 Cho s(øfus(a, , a„) là một vị từ trạng thái trong đó (øi, , œ„) là một danh sách đối số tương ứng có miền trị D,, , Dp, (Wk € {1, ,n}, De € {U,R,P,S, T})
Néu DOM là miền trị của vị từ trạng thái sfatus(ai, , ø„) thì chúng ta định nghĩa hàm liệt
kê miền trị /s và toán tử chiếu HH¿, „;, ,„„ như sau:
7n
- list(status(ay, .,@n)) = {(01, ,x)|((#1, ,ø„) € DOM) A staEus(41, , #n) }
~ i ee list (status(a1, ,an)) —
{ki ; Phos vey Uh) | (#1, 82, ., đa) € list (status(ay, .,An)), tk, € {1, 02, ; 8n},
Vi € {1, 2, , 7m}; Vai, 2, , 8ø), (UI; 2; - , a) € l¿st(stafus(@1, , a,)) thÀ #j — 9,
v7 € {1,2, ,n}\{En, kạ, , E„}}
Ham liệt kê miền trị vị từ list tra vé tap con của miền trị tương ứng với vị từ mà nó đánh giá Chang han, list (enabled(r, t)) la tap con cia mién (R x T) Todn ttt chiéu Ik, 45 hm cho phép chúng ta chiếu hàm liệt kê miền trị của một vị từ trên một đối số cụ thể được chi mục bởi ¿ Chang hạn LH list (enabled(r, t)) tra vé tap hop tất cả các vai mà có khả năng tại thời điểm ý Tương tu, IIglist (enabled(r, t)) trả về tập hợp tất cả các thời điểm mà tại đó vai
z có khả năng Ta ký hiệu tập tất cả các hàm chiếu trên các vị từ được xác định ở trên là II Chú ý rằng, cũng có thể có hàm phủ định của các vị từ này, chẳng han I, list (disabled(r, t)) hay II #sứ (¬enabled(z,£)) Ta ký hiệu II”† là tập tất cả các toán tử chiếu trên các vị từ phủ
định Dựa trên các toán tử chiếu này và tập hợp các phần tử tập hợp {U,R,P,S, T}, Joshi
và cộng sự [5] đã xây dựng một khung làm việc để biểu diễn một tập toàn diện các ràng buộc
số lượng Cho OP € {U,fñ, \} là một phép toán tập hợp, chúng ta có một hàm tập hợp tổng
quát ƒ như sau:
1 /€(HTUIT-})
2 f =(fOPX), trong đó X Cøe{U,R,P.S,T}
3 ƒ= (OP /2), trong đó ƒị và fo la cdc hàm tập hợp tổng quát
Chúng ta có thể biểu diễn một ràng buộc số lượng như là (|ƒ|copn), trong đó |ƒ| là
so phan tit trong tap hop f, cop € {=,4,<, >, >, <} la một toán tử so sánh va n là một
số nguyên dương Các ràng buộc chu kỳ và độ dài thời gian trên một ràng buộc số lượng
Ở = (|ƒ| cop n) có thể được xác định một cách đơn giản khi dùng khung làm việc thời gian của GTRBAC nhw 1a (J, P, C) chi ra rang rang buộc số lượng là đúng đối với mỗi thời điểm trong các khoảng thời gian được xác định bởi (T, Ð) và nhu la ([J, P,|D], Dz, C) v6i Dz chi
độ dài thời gian trong đó ràng buộc số lượng là đúng Chúng ta chú ý rằng một số ràng buộc
số lượng có dạng Œ = (|HHz, w„ k„„ l6sÉ (sfatus(a1, , a„)|cop) có thể không có ứng dụng truc tiép trong khung lam viéc GRBAC Vi du II, list (s_active(u, r,s, ¢)) (tap các người
dùng đã kich hoat vai r trong phién s ở thời điểm t két hop nhiéu người dùng với cùng một
phiên Các trường hợp như thế có thể hữu ích nếu ta xét một hệ thống cộng tác trong đó
một phiên được tạo ra cho nhiều người dùng kích hoạt
Trang 53 PHAN LOAI CAC RANG BUOC PHAN LY TRACH NHIEM
Các chính sách phân ly trách nhiệm (SoD) đã được nhận thấy là rất quan trọng để đảm bảo an toàn cho các ứng dụng thương mại Các hệ thống dựa trên vai đặc biệt rất hữu dụng trong việc biểu diễn và thực thi các chính sách như vậy Các SoD khác nhau đã được nói đến trong nhiều tài liệu Tuy nhiên tất cả các nghiên cứu trước đây tập trung vào các SolD
trong một môi trường phi thời gian Joshi và cộng sự đề cập nhiều đến các SoD có tính đến
thời gian trong [ð| Trong phần này chúng ta xác định các loại ràng buộc SoD thời gian đối với các vị từ trạng thái GURBAO đã được đưa vào trong Mục 2.2 Irong mục này, chúng ta
sử dụng ký hiệu ::= để định nghĩa một biểu thức ràng buộc Không làm mất tính tổng quát,
chting ta xét: Vu € U, Vr € R, Vp € P, Vs € S, Vi € Sol(T, P)
3.1 Các ràng buộc SoD thời gian trong việc tạo khả năng /làm mất khả năng của vai
1) Không có hai vai nào của R có thể đồng thời có khả năng trong khoảng thời gian
(T,P) Biểu thức: EN-SoD = (T,P,BN,R) Trong đó EN ::—= |LH list (enabled(r, t))| < 1
2) Không có hai vai nào của R, có thể mất khả năng đồng thời trong khoảng thời gian
(T,P) Biểu thức: DIS-SoD = (7, P,DIS,R) Trong dé DIS ::= |Iy list (disabled(r, t))| < 1
3.2 Các ràng buộc SoD thời gian trong các phép gán/thôi gán người dùng cho vai
1) Không có hai vai nào của R có thể đồng thời được gán cho một người dùng của U
trong khoảng thời gian (I, P) Biểu thức: UAS¡-SoD = (7, P,UAS¡,U, R), trong đó:
UAS, ::= |IIglist (u_assigned(u, r,t))| <1
2) Không có hai người dùng nào thuộc có thể đồng thời được gán vào một vai của R,
trong khoảng thời gian (7, P) Biểu thitc: UAS2SoD = (J, P, UAS2, U, R), trong dé:
UAS: ::= |II list (u_assigned(u, r,t))| < 1
3) Những người dùng khác nhau của U khong thể đồng thời duoc gan vào các vai khác
nhau của R trong khoảng thời gian (T, P) Biểu thức: UASa-SoD = (J, P, UASs, U, R), trong
đó:
UASs ::=((|T lst (u_assigned(u,r,t))| > 1) A (|Ilglist (u_assigned(u, r, t))| = 1))
V ((|Ilglist (u_assigned(u,r,t)) > 1) A (|Ilist (u_assigned(u, r,t))| = 1))
4) Các vai của R chi cé thé đồng thời được gắn vào một người dùng của trong khoảng
thời gian (7, P) Biểu thức: UAS4-SoD = (7, P,UAS¿,U,R), trong đó:
UAS, ::= (|Ilglist (u_assigned(u, r, Ê))| > 1) A (TH sứ (u_assigned(u, m, t))| = 1)
5) Các người dùng của U chỉ có thể đồng thời được gán vào một vai của R trong khoảng
thời gian (7, P) Biểu thitc: UASs-SoD = (J, P, UASs, U, R), trong dé:
UASs ::= (|IH st (u_assigned(u, r, t))| > 1) A ([Ielist (u_assigned(u, r, t))| = 1) 6) Một vai của R chỉ có thể được gán vào một người dùng của U (va ngược lại) tại một thời điểm trong khoảng thời gian (7, P) Biểu thức: UASa-SoD = (7, P,UASs, U,R), trong
Trang 6đó:
UASg ::= (|Ilglist (u_assigned(u, r, Ê))| Š 1) A (TH sứ (u_assigned(u, n, t))| <1)
Ví dụ Trong một tổ chức, ràng buộc (7, P,UASa, Ú,R) không cho phép hai người dùng có
quan hệ họ hàng (cha-con, vợ-chồng, anh-em ) được gán vào hai vai khác nhau có khả năng tạo ra gian lận làm phương hại đến tổ chức, như : vai kế toán trưởng và vai thủ quỹ, vai thủ trưởng ký mua hàng và vai nhân viên đi mua hàng
Dinh lý 3.2 Các rờng buộc Sol) thời gian gán người dùng cho ai sứu là tương đương: 1) UASa-SoD = UAS2SoD A UAS3-SoD
2) UASs-SoD <= UAS)-SoD A UAS3-SoD
3) UASs-SoD @ UAS¡-SoD A UASz-SoD
Chitng minh:
1) Truéc hét ta ching minh rang: UAS, @ UAS2 A UAS3
That vay ta cé: UAS2 A UAS3
© (LH sứ (u_ass¿gned(u,?, ))| < 1)A
((([IH sứ (u_ass¿gned(u,r, £))| 3 1) A (Hs (u_ass¿gned(u,r, É))| = 1))V
((|Ilgltst (u_assigned(u, r, £))| > 1) A ([Ikst (u_assigned(u,r,t))| = 1)))
= ((\Ihlist (u_assigned(u, r,t))| < 1)A
(|IH2s£ (u_ass¿gned(u, r, t))| > 1) A (|Ielist (u_assigned(u, r, t))| = 1))V
(([IH| sứ (u_ass¿gned(u, r, t))| < 1)A
(|IIglést(u_assigned(u, 7, t))| > 1) A (|Ilist(u_assigned(u, r,t))| = 1))
= ((|Hyglist(u_assigned(u, r,t))| = 1) A (|Ilist(u_assigned(u, r, t))| = 1))V
((|IIglist(u_assigned(u,r,t))| > 1) A ([ltst(u_assigned(u, r,t))| = 1))
& (|Iglist(u_assigned(u, r, t))| > 1) A (Uhlést(u_assigned(u, r, t))| = 1)) @ UAS4
Suy ra:
(I, P, UASy, U, R) & (I, P, UAS:AUASs, U, R) & (I, P, UAS», U, R)A(L, P, UAS3, U, R)
Vay ta duoc: UAS4-SoD & UAS2-SoD A UAS3-SoD
2) Tương tự 1), để chứng minh: UASz-SoD < UAS,-SoD A UASs-SoD, ta chỉ cần chứng tỏ
rằng: UASs © UAS¡ A UASa
Ta có: UAS¡1 A UASa
> (|glist(u_assigned(u,r,t))| < T)A
((([Illist(u_assigned(u,r,t))| > 1) A (|Helést(u_assigned(u, r,t))| = 1))V
((|Ilglist(u_assigned(u,r,t))| > 1) A (\Ihlist(u_assigned(u, r,t))| = 1)))
> ((|Helist(u_assigned(u, r,t))| < 1)A
(II, lést(u_assigned(u, r, t))| > 1) A (|Helist(u_assigned(u, r,t))| = 1))V
((|Ilglist(u_assigned(u,r,t))| < 1)A
(|IIglést(u_assigned(u, 7, t))| > 1) A (|Ilist(u_assigned(u, r,t))| = 1))
& ((|IH2sf(u_ass¿gned(u, r,t))| r > 1) A (|Lelist(u_assigned(u, r,t))| = 1))V
((\Ihlist(u_assigned(u, r,t))| = 1) A (|Helist(u_assigned(u, r,t))| = 1))
& (|list(u_assigned(u, r, t))| > 1) A ([Helést(u_assigned(u,r,t))| = 1)) 6 UASs
Vay ta duoc: UASs & UAS, A UASa
Trang 73) Tương tự 1), để chứng minh: UASa-SoD < UAS)-SoD A UAS»-SoD, ta chỉ cần chứng tỏ
rằng: UASs © UAS¡A UASs Nhưng điều này là hiển nhiên vì:
UAS, A UAS2 © ([HH2l2sf(u_ass¿gned(u,#, É))| S 1) A (H1sf(u_assigned(u,?,Ê))| < 1)
3.3 Các ràng buộc SoD thời gian trong các phép gán / thôi gán giấy phép cho vai 1) Không có hai vai nào của R có thể đồng thời được gán một giấy phép thuộc P trong
khoảng thời gian (7, P) Biểu thức: PAS1-SoD = (I, P,PAS¡,P,R), trong đó:
PAS:I ::= (|H2l2sf(p-ass¿gned(p,r,))| Š 1
2) Không có hai giấy phép nào thuộc P có thể đồng thời duoc gan cho một vai của R,
trong khoảng thời gian (7, P) Biểu thức: PASa-SoD = (T, P,PASs,P,R), trong đó:
PAS: ::= (|Ihlést(p_assigned(p, r,t))| < 1
3) Các giấy phép khác nhau thuộc P khong thể đồng thời được gán cho các vai khác nhau
của # trong khoảng thời gian (7, P) Biểu thức: PASa-SoD = (T, P,PASs,P,R), trong đó: PAS3 ::=((|Ihlést(p_assigned(p, r,t))| > 1) A (|Ielist(p_assigned(p, r, t))| = 1))
V ((|Ilglist(p_assigned(p, r, t))| > 1A (|Ihlist(p_assigned(p, r, t))| = 1))
4) Các vai của R chỉ có thể đồng thời được gán một giấy phép thuộc P trong khoang
thời gian (T, P) Biểu thức: PAS¿-SoD = (7, P,PAS¿,P,R), trong đó:
PAS¿ ::= ([IH2l2sf(p-ass¿gned(p,r,£))| >3 1) A ([IH12st(p-assigned(p,r,))| = 1) 5) Các giấy phép thuộc P chỉ có thể đồng thời được gán vào một vai của R trong khoảng thời gian (T, P) Biểu thức: PASs-SoD = (7, P,PAS;,P,R), trong đó:
PASs ::= (|Ihlést(p_assigned(p, r, t))| > 1) A (|Ielist(p_assigned(p, r,t))| = 1) 6) Một giấy phép thuộc P chỉ có thể được gán vào một vai của # (và ngược lại) tại một thời điểm trong khoảng thời gian (7, P) Biểu thức: PASas-SoD = (J, P, PASg, P, R), trong
đó:
PASg ::= (|Lelést(p_assigned(p, r, t))| < 1) A (\Uhlist(p_assigned(p, r,t))| < 1)
Định lý 3.3 Các rang buộc SoD thời gian gắn giấu phép cho vai sau la tuong duong: 1) PASy-SoD <= PAS2-SoD A PAS3-SoD
2) PASs-SoD <= PAS )-SoD A PAS3-SoD
3) PASs-SoD <= PAS)-SoD A PAS2-SoD
Chúng ta có nhận xét là giữa việc gán người dùng cho vai và việc gán giấy phép cho vai
có sư đối ngẫu, nên việc chứng minh Định lý 3.3 thì tương tự như chứng minh Định lý 3.2
3.4 Các ràng buộc SolD thời gian kích hoạt vai
1) Không có hai vai nào của R có thể đồng thời ở trạng thái kích hoạt trong một phiên (các
phiên) của một người dùng thuộc Ủ trong khoảng thời gian (7, P) Biểu thức: ACT:-SoD =
Trang 8(1, P, ACT), U, R), trong dờ:
ACT, ::= (|IIglist(active(u,r,t))| < 1
2) Khừng cụ hai người dỳng nỏo thuộc cụ thể đồng thời cụ một vai của R 6 trạng thõi
kợch hoạt trong khoảng thời gian (7, P) Biểu thtrc: ACT2-SoD = (J, P, ACTÍ, U, R), trong
đụ:
ACT? ::= (|Illist(active(u,r,t))| < 1
3) Khừng cụ hai người dỳng nao thudc U đờ thể đồng thời cụ hai vai khõc nhau cia R
ở trạng thai kich hoat trong khoang thoi gian (J, P) ACT3-SoD = (I, P, ACT3, U, R), trong
do:
ACT3 ::=(|Ihlờst(active(u, r, ê))| > 1) A (|Helist(active(u, r, t))| = 1))
V (|IIglist(active(u, r,t))| > 1) A ([Tlist(active(u,r,t))| = 1))
4) Cõc vai khõc nhau của R cụ thể đồng thời ở trạng thõi kợch hoạt trong một phiởn (cõc
phiởn) chỉ của một người dỳng thuộc trong khoảng thời gian (7, P) Biểu thức: ACT-SoD
= (I, P, ACTy, U, R), trong đụ:
ACT, ::= (|IIglist(active(u,r,t))| > 1) A (Mlist(active(u, r,t))| = 1)
5) Cõc người dỳng thuộc chỉ cụ thể đồng thời cụ một vai của R ở trạng thõi kợch hoạt trong trong khoảng thời gian (7, P) Biểu thức: ACTs-SoD = (7, P, ACTzs, U,R), trong dờ:
ACTs ::= (|Illờst(active(u,r,t))| > 1) A ([Hal2st(aeue(u,#,ấ))| = 1)
6) Một vai của R chỉ cụ thể ở trạng thõi kợch hoạt trong một phiởn (cõc phiởn) của một
người dỳng thuộc 7 vỏ ngược lại một người dỳng thuộc chỉ cụ thể cụ một vai cha R & trạng thõi kợch hoạt trong một phiởn (cõc phiởn) của mớnh tại một thời điểm trong khoảng
thời gian (T, P) Biểu thức: ACTa-SoD = (I,P, ACTs, U,R), trong đụ:
AOTư ::= ([Hal2sf(aeue(u,z,ẫ))| Š 1) A (Mlist(active(u, r,t))| < 1)
7) Một người dỳng thuộc Ủ cụ thể cụ một vai của R ở trạng thõi kợch hoạt chỉ trong một phiởn đơn của mớnh tại một thời điểm trong khoảng thời gian (7, P) Biểu thức: ACT;-SoD
= (I,P,ACTr,U,R,S), trong đụ:
ACTz(|Hal2sf(s_acfzÍe(u, r, ê))| < 1
8) Hai vai cla R khong thể đồng thời ở trạng thõi kợch hoạt trong một phiởn đơn
của một người dỳng thuộc U trong khoảng thời gian (I,P) Biểu thức: ACTs-SoD = (T,P, ACTs,U,R,S), trong đụ:
ACT ::= (|Ilglờst(s_active(u, r,s, t))| <1
9) Khừng cụ hai phiởn nỏo của một người dỳng thudc U cụ thể cụ hai vai cla R
đồng thời ở trạng thõi kợch hoạt trong khoảng thời gian (7, P) Biểu thức: ACTa-SoD = (1, P, ACT, U, R, S), trong dờ:
Trang 9ACTo5 ::=((|[glist(s_active(u, r,t))| > 1) A (|Lslist(s_active(u, r, t))| = 1))
V (({Lslist(s_active(u, r,t))| > 1) A (|Helist(s_active(u, r, t))|=1))
10) Một người dùng thuộc Ú chỉ có thể có một vai của R ở trạng thái kích hoạt trong các
phiên đơn của mình tại một thời điểm trong khoảng thời gian (7, P) Biểu thức: ACTo-SoD
= (I,P,ACTio,U,R,S), trong đó:
ACT io ::= (|IIslést(s_active(u,r,t))| > 1) A (|Ielist(s_active(u, r,t))| = 1)
11) Các vai của R chi có thể đồng thời ở trạng thái kích hoạt trong một phiên đơn
của một người dùng thuộc Ủ trong khoảng thời gian (7, PP) Biểu thức: ACTii-SoD =
(7, P, ACT), U,R,S), trong đó:
ACT 1 ::= (|Iplist(s_active(u,r,t))| > 1) A (|IIglist(s_active(u, r, t))| = 1)
12) Các vai của R có thể đồng thời ở trạng thái kích hoạt trong một phiên đơn chi
của một người dùng thuộc trong khoảng thời gian (7, P) Biểu thức: ACTia-SoD =
(T,P,ACT1;,U,R,S), trong đó:
ACT1¿ ::= (|Hal2sf(s-acfoe(u,#, É))| 3 1) A (\Thlist(s_active(u, r, £))| = 1)
Định lý 3.4 Các ràng buộc Sol) thời gian trong viéc kich hoat vai sau là tương đương:
1) ACT4-SoD @ ACT;-SoD AACTa-SoD
2) ACTs-SoD = ACT )-SoD AACT3-SoD
3) ACTs-SoD < ACT )-SoD AACT2-SoD
4) ACTio-SoD => ACTg-SoD AACTs-Sob
5) ACT:¡-SoD <& ACT;-SoD AACTs-SoD
Ching minh:
1) Truéc hét ta ching minh rang: ACT, @ ACT2 A ACTS That vay ta cé: ACT2 A ACTS
> (|Ihlist(active(u, r,t))| < 1)A
(((|Ilist(active(u,r,t))| > 1) A (|Ielést(active(u, r, #))| = 1))V
((|IIglést(active(u, r, t))| > 1) A ((Thlst(active(u, r, t))| = 1)))
& ((\Ihlist(active(u,r,t))| < 1)A
(|II,lést(active(u, r,t))| > 1) A (|Heltst(active(u, r, t))| = 1))V
((|Illist(active(u,r,t))| < 1)A
(|IIgléist(active(u, r, t))| > 1) A (\Uhlst(active(u, r, t))| = 1))
& ((\[elist(active(u, r,t))| = 1) A (thlst(active(u, r, t))| = 1))V
((|IIglést(active(u, r, t))| > 1) A (\Ihlst(active(u, r, t))| = 1))
& (|Iglist(active(u,r,t))| > 1) A (\Ihlist(active(u, r,t))| = 1)) @ ACT
Suy ra: (I, P, ACT;, U,R) © (I, P, ACT2AACT3, U,R) © (1, P, ACTs,U, R)A(, P, ACTs,U, R)
Vay ta duoc: ACT,4-SoD ©® ACT2-S0D AACT3-SoD
2) Theo phan 1), để chứng minh: ACTsSoD LRaACT,S0oD wedgeACTs-SoD, ta chi can
chứng tỏ rằng:
ACTS => ACT, A ACTs3 Ta, cé: ACT, A ACT3 =>
Trang 10& (|[glist(active(u,r,t))| << 1)A
(((|Ilist(active(u,r,t))| > 1) A (|Ielést(active(u, r, #))| = 1))V
((|IIglést(active(u, r, t))| > 1) A ((Thlst(active(u, r, t))| = 1)))
& ((|[elist(active(u,r,t))| << 1)A
(|II,lést(active(u, r,t))| > 1) A (|Heltst(active(u, r, t))| = 1))V
((|Ilglést(active(u,r,t))| < 1)A
(|IIgléist(active(u, r, t))| > 1) A (\Uhlst(active(u, r, t))| = 1))
= (([Iqlist(active(u, r, y 1) A ([Hglést(active(u, r,t
| =
= 1))v
((I,list(active(u, r, t) 1) A (|Hglést(active(u, r,t))| = 1)
© (|Ihlist(active(u, r,t))| > 1) A ([elist(active(u, r,t))| = 1)) + ACTs
Vậy ta được: AC Es © AC A ACTa
3) Theo phần 1), để chứng minh: ACTa-SoD <> ACT¡-SoD AACTa-SoD, ta chỉ cần chứng
tỏ rằng: ACTs ©@ ACTi A ACTs Nhưng điều này là hiển nhiên vì:
ACT, A ACT2 © ([Hai2s(aclzoe(u, r, £))| —= 1) A ([Thlést(active(u, r, t))| <1) ©$ ACTTs 4) Theo phan 1), dé chứng minh: ACTo-SoD © ACTg-SoD AACTs-SoD, ta chỉ cần chứng
tỏ rằng: ACTio => ACT: A ACTo»
Ta cé: ACTs A ACT) ©
> (|[glist(s_active(u,r,s,t))| < 1)A
(((|Ilglést(s_active(u,r, s,t))| > 1) A (|IIglist(s_active(u, r, s,t))| = 1))V
((|IIsltst(s_active(u, r, s,t))| > 1) A (|Iglist(s_active(u, r,s, t))| = 1)))
> ((|Hglist(s_active(u,r,s,t))| < 1)A
(|IIgléist(s_active(u,r,s,t))| > 1) A (|IIglist(s_active(u, r,s, t))| = 1))V
((|Ilglést(s_active(u,r, s,t))| << 1)A
(|IIslést(s_active(u, r, s,t))| > 1) A (|IIglist(s_active(u, r,s, t))| = 1))
© ((\IIglist(s_active(u, r,s, t))| = 1) A (|Ilglist(s_active(u, r,s, t))| = 1))V
((|IIslist(s_active(u, 7, s,t))| > 1) A ([glist(s_active(u, r, s,t))| = 1))
& (|IIglist(s_active(u,r, s,t))| > 1) A (|Iglist(s_active(u, r, s,t))|=1)) @ ACTio Vay ta duoc: ACTy9 & ACT: A ACTo9
5) Theo phan 1), dé chitng minh: ACT,;-SoD ©@ ACT;-SoD AACTs-SoD, ta chỉ cần chứng
tỏ rằng: ACT, ©€ AC A AC Tp Ta có: ACFrA ACFgs ©
& (|IIglist(s_active(u, r,s, t))| < 1)A
(((|Ilglést(s_active(u,r, s,t))| > 1) A (|IIglist(s_active(u, r, s,t))| = 1))V
((|IIsltst(s_active(u, r, s,t))| > 1) A (|Iglist(s_active(u, r,s, t))| = 1)))
& ((\IIglist(s_active(u,r,s,t))| < 1A
(|IIgléist(s_active(u,r,s,t))| > 1) A (|IIglist(s_active(u, r,s, t))| = 1))V
((|IIslist(s_active(u,r, s,t))| << 1)A
(|IIzlist(s_active(u, r,s,t))| > 1) A (|Iglist(s_active(u, r,s, t))| 1 = 1))
© ((|Ielist(s_active(u,r,s,t))| > 1) A (|IIglist(s_active(u, r,s, t))| = 1))V
((|Ilglést(s_active(u, 7, s,t))| = 1) A (\IIglist(s_active(u, r, s,t))| = 1))
& (|Iglist(s_active(u,r,s,t))| > 1) A ([Islist(s_active(u, r, s,f))| —= 1)) ® ACTTn Vay ta duoc: ACT], & ACT? A ACT».