Conference PaperPDF Available

ABAC - Ein Referenzmodell für attributbasierte Zugriffskontrolle.

Authors:
Torsten Priebe at Fachhochschule Sankt Pölten
Torsten Priebe
Wolfgang Dobmeier
Wolfgang Dobmeier
Wolfgang Dobmeier
  • This person is not on ResearchGate, or hasn't claimed this research yet.
Björn Muschall
Björn Muschall
Björn Muschall
  • This person is not on ResearchGate, or hasn't claimed this research yet.
Günther Pernul at Universität Regensburg
Günther Pernul
Download full-text PDF
Read full-text
Download citation

Figures

Figures - uploaded by Günther Pernul
Author content
All figure content in this area was uploaded by Günther Pernul
Content may be subject to copyright.
Content uploaded by Günther Pernul
Author content
All content in this area was uploaded by Günther Pernul on Mar 25, 2014
Content may be subject to copyright.
ABAC – Ein Referenzmodell für attributbasierte
Zugriffskontrolle
Torsten Priebe, Wolfgang Dobmeier, Björn Muschall, Günther Pernul
Lehrstuhl für Wirtschaftsinformatik I,
Universität Regensburg, D-93040 Regensburg
{torsten.priebe,wolfgang.dobmeier,bjoern.muschall,guenther.pernul}
@wiwi.uni-regensburg.de
Abstract: Moderne Anwendungen aus dem Bereich des e-Commerce, sowie Enter-
prise- und e-Government-Portale bringen aufgrund der Vielzahl höchst heterogener
Benutzer und der Diversität der Informationsressourcen die Notwendigkeit für exi-
ble Autorisierungs- und Zugriffskontrollverfahren mit sich. Für den Zugriff auf der-
artige Anwendungen ist sicherzustellen, dass Benutzer die notwendigen Berechtigun-
gen besitzen. Die Identität der Benutzer ist dabei von sekundärer Bedeutung. Vor
diesem Hintergrund haben sich einige Zugriffskontrollansätze auf Basis von Benutzer-
attributen (sog. Credentials) und Metadaten entwickelt. Dieser Beitrag stellt – auf
diese vorhandenen Ansätze aufbauend – ein Referenzmodell unter dem Namen ABAC
(„Attribute-Based Access Control“) vor. Weiterhin wird anhand mehrerer Beispiele
gezeigt, dass ABAC als Generalisierung auch traditioneller Zugriffskontrollmodelle
gesehen werden kann und eine Abbildung dieser Modelle auf ABAC möglich ist. Der
Entwurf von ABAC-Sicherheitspolitiken wird diskutiert und die Implementierung im
Rahmen eines Forschungsprototypen präsentiert.
1 Einleitung
Das Internet bringt die Notwendigkeit für exible Autorisierungs- und Zugriffskontrollan-
sätze mit sich. Moderne Anwendungen, beispielsweise aus dem Bereich des e-Commerce,
sowie Enterprise- und e-Government-Portale führen zu einer großen Vielfalt an Benutzern,
die auf unterschiedliche Weise mit den IT-Systemen interagieren. Insbesondere kann nicht
mehr gewährleistet werden, dass sie im Voraus bekannt sind. Als Beispiel dafür kann
bei einem öffentlichen Portal, das zugriffsbeschränkte Ausschreibungen für prospektive
Lieferanten zur Verfügung stellt, nicht jeder Interessent im Voraus benannt werden. Zu-
dem bedeutet das, dass die Menge an Benutzern dynamisch und heterogen ist. Ähnliches
trifft für die verwalteten Informationsressourcen zu; auch ihre Anzahl kann sehr groß sein,
wobei nicht jedem Benutzer alle Dokumente zugänglich sein sollen.
Aus diesen Rahmenbedingungen ergibt sich, dass die Authentikation in derartigen Umge-
bungen in den Hintergrund tritt und Autorisierung und Zugriffskontrolle an Bedeutung
gewinnen. Die Verwendung traditioneller Zugriffskontrollverfahren wie RBAC (rollen-
285
basierte Zugriffskontrolle) wird durch die möglicherweise nicht bekannte Identität der Be-
nutzer und die große Anzahl sowohl von Subjekten als auch Objekten erschwert. Tatsäch-
lich ist es bei vielen der genannten Anwendungen auch gar nicht notwendig, die Identität
der Benutzer zu kennen. Viel wichtiger ist es, sicherzustellen, dass sie gewisse Berechti-
gungen besitzen. Vor diesem Hintergrund haben sich einige Zugriffskontrollansätze auf
Basis von Benutzerattributen (sog. Credentials) und Metadaten entwickelt [AABF02,
OAS03, PS04]. Ein erstes vereinheitlichtes Referenzmodell wurde in [PFMP04] als Sicher-
heitsmuster vorgestellt. Dieser Beitrag baut darauf auf und stellt ein erweitertes Modell
unter dem Namen ABAC („Attribute-Based Access Control“) vor. Ziel dieses Beitrages
ist es weiterhin darzustellen, dass ABAC als Generalisierung auch traditioneller Zugriff-
skontrollmodelle gesehen werden kann und diese auf ABAC abgebildet werden können.
Der Beitrag ist folgendermaßen aufgebaut: Abschnitt 2 dokumentiert das ABAC-Referenz-
modell, wobei ein Grund- und ein erweitertes Modell unterschieden werden. Abschnitt
3 schlägt eine grasche Notation zum Entwurf von ABAC-Politiken mit UML vor. Da-
rauf aufbauend zeigt Abschnitt 4, wie traditionelle Zugriffskontrollmodelle (konkret DAC,
MAC und RBAC) im ABAC-Modell abgebildet werden können. In Abschnitt 5 wird eine
Implementierung des ABAC-Modells vorgestellt; eine Zusammenfassung des Beitrags
sowie ein Ausblick auf zukünftige Entwicklungen nden sich in Abschnitt 6.
2 Das ABAC-Referenzmodell
Die Grundidee attributbasierter Zugriffskontrolle besteht darin, Zugriffsrechte zwischen
den Subjekten und Objekten nicht statisch zu denieren, sondern ihre Eigenschaften oder
Attribute dynamisch als Grundlage der Autorisierung zu nutzen. Die Attribute der Be-
nutzer werden in diesem Zusammenhang auch Credentials genannt. Dabei kann es sich um
allgemeine Eigenschaften wie beispielsweise die Position des Benutzers im Unternehmen
handeln. Sofern erforderlich, insbesondere bei Zugriff durch Unternehmensexterne (z.B.
Kunden), treten aber auch Attribute wie das Alter, die Lieferadresse, oder sogar erwor-
bene Credentials (z.B. Abonnements) an diese Stelle. Attribute können (im Gegensatz
zu relativ statisch denierten Rollen) sehr dynamisch sein. Beispielsweise könnte man
sich in einem mobilen Umfeld die Verwendung des aktuellen Standorts eines Benutzers
als Attribut vorstellen. Zur Kodierung der Benutzerattribute kann beispielsweise X.500
[ITU96] verwendet werden. Auf der Seite der Sicherheitsobjekte lassen sich die Inhalte
der Dokumente durch Metadaten beschreiben, beispielsweise basierend auf dem Dublin
Core Metadatenstandard1. Auch diese Metadaten können als Attribute zur Zugriffskon-
trolle herangezogen werden.
Wie in der Einleitung dieses Beitrages erwähnt, wurden bereits einige attributbasierte An-
sätze in der Literatur vorgeschlagen. So schlagen Adam et al. [AABF02] das Digital Li-
brary Access Control Model (DLAM) für Sicherheit in digitalen Bibliotheken vor, welches
Zugriffsrechte anhand von Benutzerattributen und mit Objekten assoziierten Konzepten
deniert. Andere Arbeiten haben ihre Ursprünge im Bereich der Public Key und Privilege
1http://www.dublincore.org
286
**
isAuthorized
For
1*
Object
Descriptor
Subject
Descriptor
*
1
*
1
Object
Attribute
Object
*
*
1
Subject
Attribute
Subject
Authorizatio n
accessT ype
Object
Attribu teValue
value
Subject
AttributeValue
value
Subject
Qualifier
operator
value
* *
Object
Qualifier
operator
value
*
Figure 1: ABAC-Grundmodell
Management Infrastructures und basieren auf X.509-Attributzertikaten [ITU00]. Erste
Vorschläge zur Verwendung von Attributzertikaten zur Zugriffskontrolle ndet sich in
[OPS00, Bis02]. Mittlerweile haben sich einige Projekte und Systeme in diesem Umfeld
entwickelt (z.B. PERMIS2und Shibboleth3). Auch der XML-Dialekt zur Denition von
Zugriffskontrollpolitiken XACML [OAS03] basiert auf Benutzer- und Objektattributen.
Ein neueres Beispiel für die Anwendung eines attributbasierten Modells im Umfeld des
Digital Rights Management ist UCONABC [PS04].
2.1 Grundmodell
Wie erwähnt wurde in [PFMP04] ein erstes Referenzmodell für attributbasierte Zugriff-
skontrolle (dort noch unter dem Namen MBAC – „Metadata-Based Access Control“) als
Sicherheitsmuster vorgestellt. Dieses ist in Abbildung 1 mit leicht angepasster Terminolo-
gie als UML-Klassendiagramm dargestellt.
2http://www.permis.org
3http://shibboleth.internet2.edu
287
Subjekte und Objekte (Subject und Object) sind durch eine Menge von Attributwerten
(SubjectAttributeValue und ObjectAttributeValue) repräsentiert. Die Autorisierungen (Au-
thorization) werden zwischen Subjekt- und Objektdeskriptoren (SubjectDescriptor und
ObjectDescriptor)deniert. Diese bestehen aus einer Menge von Attributbedingungen
(SubjectQualier und ObjectQualier), z.B. „Alter > 18“, „PLZ beginnt mit 93“. Ein
Subjektdescriptor kann demnach mehreren realen Subjekten entsprechen. Das gleiche gilt
für die Objektdeskriptoren, die Attributbedingungen auf Basis von Objekteigenschaften,
wie „Verbindung zu einem bestimmten Projekt“ oder „Veröffentlichung durch einen bes-
timmten Verlag“, verwenden. Subjekt- und Objektdeskriptoren stellen so etwas wie Subjekt-
und Objektgruppen dar, nur dass die Zuordnung zu diesen Gruppen nicht explizit, sondern
implizit durch die Attributwerte erfolgt. Bei dem Klassendiagramm in Abbildung 1 ist zu
beachten, dass die Klassen SubjectAttribute und ObjectAttribute die Schemaebene darstel-
len (eine Instanz wäre z.B. „Alter“ oder „Verlag“). Die Attributausprägungen sind durch
die Klassen SubjectAttributeValue und ObjectAttributeValue repräsentiert.
Ein Beispiel für eine Sicherheitspolitik nach dem ABAC-Grundmodell ndet sich in Ab-
bildung 4 a) und wird in Abschnitt 3 näher erläutert.
Das ABAC-Grundmodellkann als eine Art kleinster gemeinsamer Nenner der in der Liter-
atur betrachteten attributbasierten Zugriffskontrollmodelle gesehen werden. Die dargestell-
ten Konzepte nden sich, zum Teil unter anderem Namen, in allen genannten Modellen
(DLAM, XACML, UCONABC)wieder.
2.2 Erweitertes Modell mit Sitzungen und Bedingungen
Aufbauend auf dem ABAC-Grundmodell sollen zwei Erweiterungen dargestellt werden,
die so oder ähnlich auch in den bestehenden attributbasierten Zugriffskontrollansätzen
[AABF02, OAS03, PS04] existieren: Sitzungen (Session) und Bedingungen (Condition).
Der Benutzer hat die Möglichkeit, innerhalb einer Sitzung nur eine Teilmenge der ihm
zugewiesenen Attribute zu offenbaren. Nur die ausgewählten (aktivierten) Attributwerte
werden zur Zugriffskontrolle verwendet. Da eine minimale Menge an Attributwerten auch
eine minimale Menge an Autorisierungen mit sich bringt, wird so das Prinzip der „Least
Privileges“ unterstützt, welches besagt, dass Benutzer nur die Berechtigungen besitzen
sollten, die sie unbedingt für ihre aktuellen Aufgaben benötigen. Hinzu kommt, dass das
Sitzungskonzept aus Datenschutzüberlegungen zur Erhöhung der informationellen Selb-
stbestimmung und zur Datensparsamkeit beitragen kann. Ein Benutzer muss nur die per-
sönlichen Daten (in Form von Attributwerten) preisgeben, die zur Durchführung der be-
absichtigten Tätigkeit (bzw. der Autorisierung dazu) notwendig sind4. Ein Besteller bei
einem e-Commerce-Anbieter für Videolme muss sein Alter beispielsweise nur offen-
baren, wenn seine Bestellung FSK-geschützte Positionen beinhaltet.
Wir lehnen uns mit dem ABAC-Sitzungskonzept an den aus der rollenbasierten Zugriff-
skontrolle (RBAC) [FSG+01] bekannten Sitzungen an. XACML [OAS03] und UCONABC
4Siehe hierzu auch die kontrollierte Preisgabe von persönlichen Eigenschaften im Internet bei P3P (Platform
for Privacy Preferences) [W3C02].
288
**
isAuthorized
For
1*
*
Object
Descriptor
Subject
Descriptor
Environment
Attribute
*
1
*
1
Object
Attribute
Object
*
**
{subset}
1
*
activeIn
Session
hasSession
*
1
Subject
Attribute
Session
Subject
Authorization
accessTyp e
Condition
Object
Attribut eValue
value
Subject
AttributeValue
value
Attribute
*
*
Subject
Qualifier
operator
value
* *
Object
Qualifier
operator
value
*
Figure 2: Erweitertes ABAC-Modell
289
[PS04] gehen von sitzungsloser Kommunikation zwischen Benutzer und System aus. Je-
doch ist bei beiden Varianten vorgesehen, dass die zu verwendenden Attributwerte bei je-
dem Request erneut übermittelt werden. Insofern gilt – aus Sicht des Zugriffskontrollmod-
ells – dass bei jedem Request eine Teilmenge der dem Subjekt zugewiesenen Attributwerte
ausgewählt werden kann. Da eine Sitzung ein oder mehrere Requests beinhaltet, lässt sich
dieses Vorgehen auch durch das ABAC-Sitzungskonzept abbilden.
Neben Sitzungen beinhaltet das erweiterte ABAC-Modell die Möglichkeit, Autorisierun-
gen mit zusätzlichen Bedingungen (Condition) zu versehen. Die Grundidee ndet sich
bereits im klassischen benutzerbestimmbaren Zugriffskontrollmodell (DAC) [Eck04, S.
242], dort werden Bedingungen jedoch Prädikate genannt. Das Konzept der Bedingungen
existiert auch in XACML [OAS03] und UCONABC [PS04]. Während mit dem ABAC-
Grundmodell in den Subjekt- und Objektqualiern Attribute nur mit konstanten Werten
verglichen werden konnten, ist es möglich, in einer Bedingung ein Subjektattribut mit
einem Objektattribut zu vergleichen. Beispiele für eine solche Politik nden sich in Ab-
bildung 4 b) und c). Neben Subjekt- und Objektattributen führt das erweiterte ABAC-
Modell (wie auch in XACML und UCONABC vorhanden) Umgebungsattribute (Environ-
mentAttribute), wie beispielsweise die Uhrzeit ein. Diese Attribute können ebenfalls in
Bedingungen verwendet werden, wodurch sich eine Autorisierung z.B. auf die üblichen
Geschäftszeiten beschränken lässt. Das erweiterte ABAC-Modell ist in Abbildung 2 als
UML-Klassendiagramm dargestellt.
3 Entwurf von ABAC-Politiken mit UML
Durch die höhere Flexibilität (und Komplexität) attributbasierter Zugriffskontrollmodelle
ist die Textform zur Dokumentation der Sicherheitspolitiken nur eingeschränkt geeignet.
Auch die XML-basierte Notation von XACML [OAS03] ist für den menschlichen Leser
schwer zu erfassen. Daher schlagen wir eine grasche, auf UML basierende Notation vor.
Konkret werden, wie in Tabelle 1 aufgeführt, Subjekt- und Objektdeskriptoren als Klassen
in einem UML-Klassendiagamm dargestellt, versehen mit einem Stereotypen (textuell
oder als Symbol). Die Subjekt- und Objektattribute der Subjekt- und Objektqualier
werden dabei als zugehörige Klassenattribute notiert, sofern vorhanden mit Operator und
Wert als UML Constraint. Eine Autorisierung wird als gerichtete Assoziation zwischen
Subjekt- und Objektdeskriptorklasse gezeichnet, benannt mit der erlaubten Zugriffsart.
Einer Autorisierung kann eine Bedingung in Form eines UML Constraints beigefügt wer-
den. Diese hier aus Platzgründen nur grob dargestellte Vorgehensweise könnte auch in
Form eines UML-Prols speziziert werden. Abbildung 3 zeigt die vorgeschlagene UML-
Notation für ABAC-Politiken exemplarisch.
Abbildung 4 zeigt nun drei beispielhafte ABAC-Politiken in der dargestellten UML-No-
tation. Bei den Attributen lehnen wir uns, wie bereits in Abschnitt 2 erwähnt, an X.500
und Dublin Core an. Das erste Beispiel unter a) geht von einem e-Government-Kontext
aus. Auf ein bestimmtes Bauvorhaben in der Hemauerstraße in Regensburg betreffende
Dokumente sollen nur volljährige Anrainer zugreifen können. Hierzu wird ein Subjekt-
290
ABAC-Element UML-Element Stereotyp Symbol
SubjectDescriptor Class < <SubjectDescriptor> >
SubjectAttribute Attribute
SubjectQualifier Constraint
ObjectDescriptor Class < <ObjectDescriptor> >
ObjectAttribute Attribute
ObjectQualifier Constraint
Authorization Association
Condition Constraint
Table 1: UML-Elemente und Stereotypen zum Entwurf von ABAC-Politiken
DFFHVV7\SH
^FRQGLWLRQ`
DWWULEXWH^RSHUDWRUYDOXH`

6XEMHFW'HVFULSWRU
DWWULEXW H^RSHUDWR UYDOXH`

2EMHFW'HVFULSWRU
Figure 3: UML-Notation für ABAC-Politiken
deskriptor „NeighborHemauer“ deniert, der als Straße die Hemauerstraße und als Ort,
repräsentiert durch das X.500-Attribut „Locality“ (l), Regensburg in Deutschland fordert.
Weiterhin wird durch einen Subjektqualier festgelegt, dass das Alter größer oder gleich
18 sein muss. Auf Objektseite wird ein Objektdeskriptor „ProjectHemauer“ deniert,
der alle Objekte repräsentiert, die über das Dublin-Core-Element „Coverage“ mit dem
Vorhaben „ProjectHemauer“ verknüpft sind. Ein 29-jähriges Subjekt „Priebe“, welches in
der Hemauerstraße in Regensburg wohnt, wird anhand seiner Attributwerte automatisch
als „NeighborHemauer“ eingestuft und erhält so Zugriff auf die betreffenden Dokumente.
Eine manuelle Rollenzuweisung ist nicht notwendig.
Während das obige Beispiel ausschließlich Konstrukte des ABAC-Grundmodells verwen-
det, verwenden die Beispiele in Abbildung 4 b) und c) im erweiterten ABAC-Modell
denierte Bedingungen. Das Beispiel in b) geht von einem e-Commerce-System zum Ver-
leih von Videolmen aus. Ein Kunde besitzt die Rolle „Customer“ und ein Alter; er darf
Filme nur dann ausleihen, wenn sein Alter größer oder gleich der FSK-Beschränkung des
Filmes ist. Diese Einschränkung wird als Bedingung deniert. Ohne diese Möglichkeit
zum Vergleich von Subjekt- mit Objektattributen hätten Subjekt- und Objektdeskriptoren
für jede mögliche FSK-Klasse deniert werden müssen.
Beispiel c) zeigt schließlich, wie ein Grundproblem der rollenbasierten Zugriffskontrolle
durch ABAC-Bedingungen gelöst werden kann, nämlich die Anforderung dass der Er-
steller eines Objektes besondere Rechte genießt. Hierzu müsste im rollenbasierten Fall für
jeden Ersteller eine eigene Rolle deniert werden, was das Rollenkonzept ad absurdum
führen würde. Die dargestellte Politik stellt einen Ausschnitt aus dem Szenario einer Job-
Vermittlung dar. Bewerbungen können von jedem Bewerber erstellt werden, jedoch kann
ein Bewerber nur seine eigenen Bewerbungen lesen und ändern. Hierzu wird das X.500-
Attribut „Distinguished Name“ (dn) mit dem Dublin-Core-Element „Creator“ verglichen.
291
VWUHHW^ +HPDX HUVWUDH `
O^ 5HJHQVEXUJ`
F^ GH`
DJH^! `
1HLJKERU+HPD XHU
YLHZ FRYHUDJH^ 3URMHFW+HPDXHU`
3URMHFW+HPDXHU
UROH^ &XVWRPHU`
DJH
&XVWRPHU
UHQW
^DJH! UD WLQJ`
FUHDWRU
$SSOLFDWLRQ
W\SH^  0RYLH`
UDWLQJ
0RYLH
FUHDWH
UHDG
^GQ FU HDWRU`
PRGLI\
^GQ FUHDWRU`
D
E
F
UROH^ $ SSOLFDQW`
GQ
$SSOLFDQW
Figure 4: Beispielpolitiken in UML-Notation
4 Abbildung klassischer Zugriffskontrollmodelle
Ziel dieses Abschnittes ist es zu zeigen, dass ABAC als Generalisierung auch traditioneller
Zugriffskontrollmodelle gesehen werden kann und dass diese auf ABAC abgebildet wer-
den können. Hierzu wird im Folgenden dargestellt, wie ABAC-Politiken zur Umset-
zung benutzerbestimmbarer Zugriffskontrolle (DAC), systembestimmter Zugriffskontrolle
(MAC) und rollenbasierter Zugriffskontrolle (RBAC) deniert werden können.
4.1 Benutzerbestimmbare Zugriffskontrolle (DAC)
Die benutzerbestimmbare Zugriffskontrolle basiert auf dem Eigentümerprinzip. Jeder Be-
nutzer ist selbst für die Sicherheit seiner Objekte zuständig, d.h. er allein entscheidet
über die Vergabe, Weitergabe und Änderung der Autorisierungen für Objekte, die er selbst
erstellt hat. Hierzu wird für jedes Paar (Subjekt, Objekt) festgelegt, ob das Subjekt ein
Zugriffsrecht auf das Objekt besitzt und welcher Art ein eventuelles Recht ist, d.h. welche
Operationen das Subjekt ausführen darf [Eck04, S. 242]. Üblicherweise kann ein Subjekt
auch die Rechtevergabe an andere Subjekte weitergeben (delegieren).
Das DAC zugrunde liegende Zugriffskontrollmodell ist das Prinzip direkter Autorisierun-
gen zwischen Subjekten und Objekten. In ABAC werden dafür Subjekt- und Objekt-
deskriptoren deniert. Daher ist die Abbildung einer DAC-Politik auf ABAC dadurch zu
292
UHDG
GQ FQ 7RUVWHQ 3ULHEHO 5HJHQVEXU JF GH
6XEMHFW
LGHQWLILHU KWWSZZZLQZLVVRUJ6RPH5HVRXUFH
2EMHFW
Figure 5: DAC-Beispiel als ABAC-Politik
bewerkstelligen, dass für jedes Objekt ein Objektdeskriptor und für jedes Subjekt ein Sub-
jektdeskriptor deniert wird, wobei jeweils eine Qualizierung über ein eindeutig identi-
zierendes Attribut erfolgt. Im Falle von X.500 ist das der „Distinguished Name“ (dn),
im Falle von Dublin Core der „Identier“. Abbildung 5 zeigt ein einfaches DAC-Beispiel,
umgesetzt als ABAC-Politik.
Erweiterte DAC-Konzepte sind die oben erwähnte Delegation der Rechtevergabe und Ein-
schränkungen durch Prädikate. Delegation lässt sich durch Konstrukte des ABAC-Modells
nicht direkt ausdrücken, da wir explizit keine objektbezogene Administration betrachten.
Das Prinzip lässt sich aber ggf. auf Anwendungsebene durch entsprechende Zugriffsarten
und Autorisierungen nachbilden. Prädikate in DAC entsprechen hingegen weitestgehend
den Bedingungen in ABAC. Die Einschränkung von Autorisierungen abhängig von der
Uhrzeit wurde bereits in Abschnitt 2 als Beispiel genannt.
4.2 Systembestimmte Zugriffskontrolle (MAC)
Während die benutzerbestimmbare Zugriffskontrolle eine individuelle Denition von Zu-
griffsrechten ermöglicht, basiert das systembestimmte Zugriffskontrollmodell auf system-
weit festgelegten Regeln. Neben der Kontrolle des direkten Zugriffs wird hier auch der
Informationsuss mit einbezogen. Ein Benutzer mit Zugriff auf bestimmte, sensitive In-
formationen soll so daran gehindert werden, diese Informationen an andere Benutzer, die
keinen direkten Zugriff auf diese Informationen haben, weiterzugeben [Eck04, S. 243].
Der wohl bekannteste Vertreter der systembestimmten Zugriffskontrollmodelle ist das
Modell nach Bell und LaPadula. Es entstammt dem militärischen Bereich, wo es üblich
ist, Subjekte und Objekte zu klassizieren bzw. in Schutzklassen (z.B. Top Secret > Se-
cret > Unclassied) einzuteilen. Dabei wird die Schutzklasse des Subjektes als Freigabe
(Clearance) bezeichnet und die des Objekts als Klassikation (Classication). In diesem
Modell wird Zugriff und Informationsuss mittels zweier Regeln kontrolliert: Ein Subjekt
hat Leserechte auf ein Objekt, wenn seine Freigabe höher oder gleich der Klassikation
des Objektes ist (sog. Simple-Security-Eigenschaft). Ein Subjekt hat Schreibrechte auf
ein Objekt, wenn seine Freigabe niedriger oder gleich der Klassikation des Objektes ist.
Die zweite Regel (die sog. *-Eigenschaft) verhindert dabei einen Informationsuss von
oben nach unten in der Klassizierungshierarchie [Eck04, S. 266].
Zur Abbildung in ABAC wird für alle Subjekte ein einziger Subjektdeskriptor mit einem
Attribut „Clearance“, sowie für die Objekte ein Objektdeskriptor mit Attribut „Classi-
cation“ deniert. Es wird vorausgesetzt, dass Subjekte und Objekte über diese Attribute
293
UHDG
^FOHDUDQFH! FODVVLILFDWLRQ`
FOHDUDQFH
6XEMHFW
FODVVLILFDWLRQ
2EMHFW
ZULWH
^FOHDUDQFH FODVVLILFDWLRQ`
Figure 6: MAC-Modell (nach Bell & LaPadula) als ABAC-Politik
entsprechend klassiziert sind. Die genannten beiden Regeln nach Bell und LaPadula
lassen sich dann problemlos durch ABAC-Bedingungen denieren (siehe Abbildung 6).
4.3 Rollenbasierte Zugriffskontrolle (RBAC)
Das mittlerweile standardisierte rollenbasierte Zugriffskontrollmodell [FSG+01] fußt auf
dem Konzept der Rolle als Mittler zwischen Subjekten und Berechtigungen. Die Rollen
orientieren sich dabei an der organisatorischen Struktur der Einsatzumgebung. Der Hin-
tergedanke dabei ist, dass eine Rollendenition im Zeitablauf relativ unveränderlich ist,
im Vergleich zu der Menge von Subjekten, die einer Rolle zugeordnet sind. Durch dieses
Mittlerkonzept können sowohl die Rollendenitionen auf der einen Seite als auch die
Zuweisung von Subjekten zu bestimmten Rollen auf der anderen Seite unabhängig vonein-
ander verändert werden, was die Rechteverwaltung vereinfacht. Zur Unterstützung des
Prinzips der „Least Privileges“ wird ein Sitzungskonzept verwendet, wobei ein Benutzer
in einer Sitzung eine Teilmenge der ihm zugewiesenen Rollen aktivieren kann.
Eine Abbildung des RBAC-Modellsin ABAC geschieht dermaßen, dass ein Attribut „Role“
eingeführt wird, dessen Werte auf der Subjektseite die Rollenzugehörigkeiten darstellen.
Daneben wird für jede Rolle ein entsprechender Subjektdeskriptor deniert. In Kombina-
tion mit Objektdeskriptoren, die jeweils ein bestimmtes Objekt bezeichnen (z.B. über das
Dublin-Core-Element „Identier“), bildet die Rechtezuweisung zwischen den Descrip-
toren das Analogon zur Beziehung zwischen Rollen und Berechtigungen. Das Sitzungs-
konzept von RBAC wird durch das erweiterte ABAC-Modell direkt unterstützt. Beispiele
für die Verwendung eines Rollenattributes nden sich in Abbildung 4 b) und c).
5 Implementierung in CSAP
Um den praktischen Einsatz von ABAC zu untersuchen, wurde das in Abschnitt 2.1 be-
schriebene ABAC-Grundmodell als Erweiterung des Sicherheitsmoduls CSAP implemen-
tiert. Die Implementierung kann in diesem Beitrag nur kurz beschrieben werden; aus-
führlichere Informationen nden sich in [PMDP04].
Das CSAP-Modul wurde im Zuge des EU-Projekts „Webocracy“ (IST-1999-20364) als
Sicherheitskomponente des e-Government-Portals „Webocrat“ entwickelt5. Es bietet Di-
5http://www.webocrat.org
294
enste zu Authentikation, Autorisierung, Sitzungsmanagement und Auditing. Das in Java
implementierte CSAP basiert auf einem Schichtenmodell, separiert in Dienste- und Daten-
haltungsschicht, um die Art der Speichertechnik für die Diensteschicht transparent und
austauschbar zu halten. Außerdem stellt CSAP auf der Diensteschicht ein Plug-In-Konzept
bereit, das es erlaubt, alternative Implementierungen der Sicherheitsdienste in das Modul
einzufügen und so exibel verschiedene Varianten zur Verfügung zu stellen. In der er-
sten Version verfügte CSAP über einen passwortbasierten Authentizierungs- sowie einen
rollenbasierten Autorisierungsdienst.
ABAC wurde in der Implementierung als alternativer Autorisierungsdienst verwirklicht,
der neben RBAC verwendet werden kann. Außerdem wurde das CSAP-Modul in die
Portalumgebung INWISS6[Pri04] integriert, wo es die Authentisierung, Autorisierung
und die Benutzerverwaltung übernimmt.
Bei der praktischen Anwendung des ABAC-Modells zeigt sich, dass die Performance
der Implementierung aufgrund der Komplexität von ABAC beim Einsatz z.B. in einer
Suchmaschine, bei der möglicherweise mehrere Tausend Zugriffskontrollentscheidungen
in kurzer Zeit getroffen werden müssen, unzureichend ist. Da INWISS für die Objekt-
metadaten Semantic-Web-Techniken wie RDF und OWL verwendet, erscheint die Aus-
nutzung einer entsprechenden Inferenzmaschine auch zur Auösung von ABAC-Subjekt-
und Objektdeskriptoren vielversprechend. Noch ausstehend sind außerdem administrative
Funktionen zur Pege der ABAC-Sicherheitspolitik. Analog zur webbasierten RBAC-
Administration [DMP04] streben wir eine Portletimplementierung innerhalb von INWISS
an. Hier kann die Notation aus Abschnitt 3 möglicherweise als Grundlage dienen.
6 Zusammenfassung und Ausblick
Im vorliegenden Beitrag wurde – basierend auf in der Literatur vorgeschlagenen Mod-
ellen – ein Referenz-Zugriffskontrollmodell vorgestellt, das durch die Verwendung von At-
tributen zur Zugriffskontrollentscheidung eine exible Rechteverwaltung erlaubt. Durch
die Einführung von Sitzungen und die Einbeziehung von Umweltzuständen werden um-
fassende Möglichkeiten zur Modellierung von Zugriffsrechten eingeräumt. Daneben wurde
eine Methode vorgestellt, Zugriffskontrollpolitiken für das ABAC-Modell grasch unter
Verwendung von UML zu entwerfen. Dies wurde an Hand der klassischen Zugriffskon-
trollstrategien DAC, MAC und RBAC demonstriert. Dabei zeigte sich, dass ABAC weitge-
hend in der Lage ist, die genannten Modelle zu subsumieren und unter einem gemeinsamen
Dach zusammenzufassen. Schließlich wurde eine Implementierung des ABAC-Modells in
einem Sicherheitsmodul vorgestellt.
Zukünftige Arbeiten werden vor allem die vollständige Implementierung des Referenz-
modells sowie die Entwicklung einer Administrationskomponente, die in ein Portal einge-
bunden werden kann, umfassen. Weiterhin werden wir die Verwendbarkeit von Semantic-
Web-Technologien, insbesondere Ontologien und Inferenzmaschinen, zur optimierten Um-
setzung einer attributbasierten Zugriffskontrolle untersuchen.
6http://www.inwiss.org
295
References
[AABF02] Adam, N.R., Atluri, V., Bertino, E., Ferrari, E.: A Content-based Authorization Model
for Digital Libraries. IEEE Transactions on Knowledge and Data Engineering, Volume
14, Number 2, März/April 2002.
[Bis02] Biskup, J.: Credential-basierte Zugriffskontrolle: Wurzeln und ein Ausblick. 32.
Jahrestagung der Gesellschaft für Informatik e.V. (GI), Dortmund, Germany, Septem-
ber/Oktober 2002.
[DMP04] Dridi, F., Muschall, B., Pernul, G.: Administration of an RBAC System. Proc.of the 37th
Hawaiian International Conference on System Sciences (HICSS 2004), Hawaii, USA,
Januar 2004.
[Eck04] Eckert, C.: IT-Sicherheit: Konzepte – Verfahren – Protokolle,3.Auage, Oldenbourg
Verlag, 2004.
[FSG+01] Ferraiolo, D.F., Sandhu, R., Gavrila, S., Kuhn, D., and Chandramouli, R.: Proposed
NIST Standard for Role-based Access Control. ACM Transactions on Information and
Systems Security, Volume 4, Number 3, August 2001.
[ITU96] X.520: The Directory – Selected Attribute Types. ITU-T Recommendation, 1996.
[ITU00] X.509: The Directory – Public Key and Attribute Certicate Frameworks. ITU-T Rec-
ommendation, 2000.
[OAS03] eXtensible Access Control Markup Language (XACML), Version 1.1. OASIS
Community Specication, August 2003. http://www.oasis-open.org/
committees/xacml/
[OPS00] Oppliger, R., Pernul, G., Strauss, C.: Using Attribute Certicates to implement Role-
based Authorization and Access Control. Proceedings of the 4th Conference on „Sicher-
heit in Informationssystemen“ (SIS 2000), Zürich, Schweiz, Oktober 2000, S. 169-184.
[PS04] Park, J., Sandhu, R.: The UCONABC usage control model. ACM Transactions on Infor-
mation Systems Security, 7(1), pp. 128-174, Februar 2004.
[PFMP04] Priebe, T., Fernandez, E.B., Mehlau, J.I., Pernul, G.: A Pattern System for Access Con-
trol. Proc. 18th Annual IFIP WG 11.3 Working Conference on Data and Application
Security, Sitges, Spanien, Juli 2004.
[PMDP04] Priebe, T., Muschall, B., Dobmeier, W., Pernul, G.: A Flexible Security System for
Enterprise and e-Government Portals. Proc. of the 15th International Conference on
Database and Expert Systems Applications (DEXA 2004), Zaragoza, Spanien, Septem-
ber 2004.
[Pri04] Priebe, T.: INWISS – Integrative Enterprise Knowledge Portal. Demonstration at the 3rd
International Semantic Web Conference (ISWC 2004), Hiroshima, Japan, November
2004.
[W3C02] The Platform for Privacy Preferences 1.0 (P3P 1.0) Specication. W3C Recommenda-
tion, 2002. http://www.w3.org/TR/2002/REC-P3P-20020416/
296
... This reduces administrative efforts but at to model dynamic access management policies based on attribute values of entities like employees or permissions. Initial ABAC approaches were introduced by Priebe et al. [14] and Yuan et al. [15]. A more comprehensive view on ABAC has been given by Hu et al. [6]. ...
Attribute Quality Management for Dynamic Identity and Access Management
Article
  • Feb 2019
Identity and access management (IAM) has become one main challenge for companies over the last decade. Most of the medium-sized and large organizations operate standardized IAM infrastructures in order to comply with regulations and improve the level of IAM automation. A recent trend is the application of attribute-based access control (ABAC) for automatically assigning permissions to employees. The success of ABAC, however, heavily relies on the availability of high-quality attribute definitions and values. Up to now, no structured attribute quality management approach for IAM environments exists. Within this paper, we propose TAQM, a comprehensive approach building on a tool-supported structured process for measuring and improvement of IAM data quality. During the evaluation of three real-life use cases within large industrial companies we underline the applicability of TAQM for the identification and cleansing of attribute errors by IT and non-IT experts as well as the general introduction of quality management processes for IAM.
View
... Eine weitere bekannte Form der Zugriffskontrolle ist das Attributebased Access Control Model (ABAC), welches die Formulierung von Zugriffsregeln basierend auf Attributen erlaubt. Grundsätzlich wurde gezeigt, dass sich die Zugriffsmodelle DAC, MAC und RBAC mit ABAC abbilden lassen, sodass auch im PaaSword-Framework ABAC verwendet wird(Priebe et al. 2005).Mit ABAC können beliebige Kontextattribute verwendet werden. Hier kann damit beispielsweise das gerade verwendete Endgerät, der momentane Aufenthaltsort oder die Art des verwendeten Zugangsnetzes (WLAN, Mobilfunk, usw.) als Kontextattribut genutzt werden. ...
Security-by-Design in der Cloud-Anwendungsentwicklung
Article
Full-text available
  • Oct 2016
Unternehmen erkennen zunehmend die ökonomischen und operationalen Vorteile von Cloud Computing, die es ihnen ermöglichen, sowohl signifikante Kosteneinsparungen zu erzielen als auch den Einsatz neuer Software-Anwendungen zu beschleunigen. Der Einsatz von Cloud Computing erfordert jedoch eine zunehmende Betrachtung neuer Herausforderungen an die Sicherheit von Daten, die eine große Barriere für eine breitere Akzeptanz von Cloud Computing sind. In diesem Artikel werden Erkenntnisse aus dem von der EU geförderten Projekt PaaSword vorgestellt, welches das Ziel verfolgt, das Vertrauen in Cloud Computing zu erhöhen. In diesem Projekt wird ein holistisches Datensicherheits-Framework entwickelt, wobei der Fokus auf Software-Entwicklern liegt, die bei der Entwicklung von sicheren Cloud-Anwendungen und -Diensten unterstützt werden sollen. Dazu wird zunächst das zugrundeliegende Architektur-Konzept für eine sichere Speicherung von Daten vorgestellt, um dann vertieft auf die kontextbasierte Zugriffskomponente einzugehen. Zentraler Aspekt dieser Zugriffskomponente ist ein kontextbasiertes Zugriffsmodell, das von Entwicklern zur Annotation von Data Access Objects verwendet werden kann. Das Zugriffsmodell baut auf einem Attribute-based Access Control Modell auf. Dabei werden Zugriffsrechte gewährt, indem Zugriffsregeln ausgewertet werden, welche Kontextattribute berücksichtigen. Zu diesen Attributen können beispielsweise die IP-Adresse des anfragenden Geräts, die Art des verwendeten Geräts oder die Rolle des Nutzers innerhalb einer Organisation gehören. Im PaaSword-Zugriffsmodell werden Aspekte konzeptualisiert, die bei der Auswahl von Datenzugriffsregeln beachtet werden sollen und mit deren Hilfe das kontextbasierte Zugriffsmodell festlegt, auf welche Daten unter welchen Bedingungen zugegriffen werden darf. Die Formulierung der Regeln baut auf dem XACML-Standard auf, der es ermöglicht, einzelne Regeln mit Kontextbedingungen zu komplexeren Regelwerken zusammenzufassen.
View
... As a result, companies aim at enhancing their existing IAM systems with dynamic ABAC policies in order to increase provisioning capabilities, strategically reduce administrative tasks, and keep IAM infrastructures manageable [21]. While standard ABAC protocols like the eXtensible Access Control Markup Language (XACML) [33] have been around since 2003, Priebe et al. [36] and Yuan et al. [52] were the first to formally define ABAC as an access control model. However, their focus was on formalizing the model and did not consider an application-independent IAM scenario. ...
Introducing Dynamic Identity and Access Management in Organizations
Conference Paper
  • Dec 2015
Efficient and secure management of access to resources is a crucial challenge in today's corporate IT environments. During the last years, introducing company-wide Identity and Access Management (IAM) infrastructures building on the Role-based Access Control (RBAC) paradigm has become the de facto standard for granting and revoking access to resources. Due to its static nature, the management of role-based IAM structures, however, leads to increased administrative efforts and is not able to model dynamic business structures. As a result, introducing dynamic attribute-based access privilege provisioning and revocation is currently seen as the next maturity level of IAM. Nevertheless, up to now no structured process for incorporating Attribute-based Access Control (ABAC) policies into static IAM has been proposed. This paper closes the existing research gap by introducing a novel migration guide for extending static IAM systems with dynamic ABAC policies. By means of conducting structured and tool-supported attribute and policy management activities, the migration guide supports organizations to distribute privilege assignments in an application-independent and flexible manner. In order to show its feasibility, we provide a naturalistic evaluation based on two real-world industry use cases.
View
... Restricting access to valuable service resources only after trustful authorization was seen as a crucial part to heighten the overall security of the semantic service-oriented system and the reliability in general [2]. Our semantic security architecture for service-oriented systems based on the attribute-based access control paradigm [3] has already been described in [4], [5], [6] and has now successfully been implemented. In the following chapters, we describe the technological building blocks for implementing authorization and access control in service-oriented architectures and also introduce the related key technologies that already exist in this field of research (chapter II). ...
A Semantic Security Architecture for Web Services The Access-eGov Solution
Conference Paper
Full-text available
  • Mar 2010
The shift from mere service-oriented architectures (SOA) to semantically enriched approaches is especially being forced in multi-domain environments that the public sector in the European Union is an example for. The security aspect is lagging behind its possibilities, and new access control approaches native to the semantic environment need to be applied. Based on architectural research work conducted within the EU-funded research project Access-eGov, we outline our implementation of a semantic security architecture for web services by using industry-standard technologies and combining them with semantic enhancements.
View
... For example, a user name, a counter for logins, a printer quota, location in mobile scenarios etc. This approach is called attributebased access control (ABAC) [16] . The main idea of ABAC is to dynamically define the authorization of subjects based on current property values of the calling subjects and their targeted resources, respectively. ...
Engineering Self-protection for Autonomous Systems
Conference Paper
  • Mar 2006
  • Lect Notes Comput Sci
Security violations occur in systems even if security design is carried out or security tools are deployed. Social engineering attacks, vulnerabilities that can not be captured in the relatively abstract design model (as buffer-overflows), or unclear security requirements are only some examples of such unpredictable or unexpected vulnerabilities. One of the aims of autonomous systems is to react to these unexpected events through the system itself. Subsequently, this goal demands further research about how such behavior can be designed and sufficiently supported throughout the software development process. We present an approach to engineer self-protection rules for autonomous systems that is integrated into a model-driven software engineering process and provides concepts to formally verify that a given intrusion response model satisfies certain security requirements.
View
Dezentrale Authentifizierung und Autorisierung proaktiver Industrie 4.0-Verwaltungsschalen am Beispiel des IOTA- basierten Industrie-Marktplatzes
Conference Paper
Full-text available
  • Jun 2021
Die Autoren haben ein Konzept entwickelt, wie die Feststellung der Identität von Industrie 4.0-Komponenten in dezentralen Systemen durch die Bereitstellung eines dezentralen Identitätsmanagements auf Basis der Distributed Ledger Technologie (DLT) und insbesondere dezentraler Identifikatoren (engl. Decentralized Identifier, DID) den beteiligten Akteuren in der Wertschöpfungskette mehr Sicherheit und Zuverlässigkeit garantiert. Auf diese Weise kann die Authentifizierung und Autorisierung für alle beteiligten Akteure in der Wertschöpfungskette ohne den Einsatz von zentralisierten Identity Providern oder Zertifizierungsstellen erfolgen.
View
Security-by-Design in der Cloud-Anwendungsentwicklung
Chapter
  • Apr 2018
Unternehmen erkennen zunehmend die ökonomischen und operationalen Vorteile von Cloud Computing, die es ihnen ermöglichen, sowohl signifikante Kosteneinsparungen zu erzielen als auch den Einsatz neuer Software-Anwendungen zu beschleunigen. Der Einsatz von Cloud Computing erfordert jedoch eine zunehmende Betrachtung neuer Herausforderungen an die Sicherheit von Daten, die immer noch eine Barriere für eine breitere Akzeptanz von Cloud Computing sind. In diesem Artikel werden Erkenntnisse aus dem von der EU geförderten Projekt PaaSword vorgestellt, welches das Ziel verfolgt, das Vertrauen in Cloud Computing zu erhöhen. In diesem Projekt wurde ein Datensicherheits-Framework entwickelt, wobei der Fokus auf Software-Entwicklern liegt, die bei der Entwicklung von sicheren Cloud-Anwendungen und –Diensten unterstützt werden sollen. Dazu wird zunächst das zugrunde liegende Architektur-Konzept vorgestellt, um dann auf die kontextbasierte Zugriffskomponente einzugehen. Zentraler Aspekt dieser Zugriffskomponente ist ein kontextbasiertes Zugriffsmodell, das von Entwicklern zur Annotation von Data Access Objects verwendet werden kann. Das Zugriffsmodell baut auf einem Attribute-based Access Control Modell auf. Dabei werden Zugriffsrechte gewährt, indem Zugriffsregeln ausgewertet werden, welche Kontextattribute berücksichtigen. Im PaaSword-Zugriffsmodell kann festlegt werden, auf welche Daten unter welchen Bedingungen zugegriffen werden darf. Die Formulierung der Regeln baut auf dem XACML-Standard auf, der es ermöglicht, einzelne Regeln mit Kontextbedingungen zu komplexeren Regelwerken zusammenzufassen. Weiterhin wird der Datenbankadapter für eine sichere Speicherung von Daten vorgestellt. Dieser agiert gegenüber einer Anwendung wie ein klassisches relationales Datenbanksystem, transformiert die Datenbank jedoch so, dass die Daten verschlüsselt gespeichert werden können und trotzdem durchsuchbar bleiben. Dazu werden mehrere Datenbanken und besonders gestaltete Indizes verwendet. Die sichere Speicherung wird unterstützt durch Maßnahmen zur sinnvollen Aufteilung von Attributen auf getrennte Datenbanken für die Indizes. Abschließend wird ein leichtgewichtiges Schlüsselmanagement beschrieben, welches durch eine Aufteilung des Datenbankschlüssels die Sicherheit weiter erhöht, eine weiteren Autorisierungsfaktor hinzufügt und die Mechanismen zur Zugriffskontrolle und Speicherung verbindet.
View
Adaptive identity and access management—contextual data based policies
Article
Full-text available
  • Aug 2016
Due to compliance and IT security requirements, company-wide identity and access management within organizations has gained significant importance in research and practice over the last years. Companies aim at standardizing user management policies in order to reduce administrative overhead and strengthen IT security. These policies provide the foundation for every identity and access management system no matter if poured into IT systems or only located within responsible identity and access management (IAM) engineers’ mind. Despite its relevance, hardly any supportive means for the automated detection and refinement as well as management of policies are available. As a result, policies outdate over time, leading to security vulnerabilities and inefficiencies. Existing research mainly focuses on policy detection and enforcement without providing the required guidance for policy management nor necessary instruments to enable policy adaptibility for today’s dynamic IAM. This paper closes the existing gap by proposing a dynamic policy management process which structures the activities required for policy management in identity and access management environments. In contrast to current approaches, it utilizes the consideration of contextual user management data and key performance indicators for policy detection and refinement and offers result visualization techniques that foster human understanding. In order to underline its applicability, this paper provides an evaluation based on real-life data from a large industrial company.
View
Who Does What -- Comparison of Approaches for the Definition of Agents in Workflows
Conference Paper
  • Nov 2013
This paper describes a novel approach to integrate organizational context in workflow systems using a declarative language in conjunction with a comprehensive organizational model. This approach is demonstrated by means of a practical example case and compared to different prevalent approaches with regard to a determined set of requirements.
View
View
Administration of an RBAC system
Conference Paper
Full-text available
  • Feb 2004
Recently RBAC (role-based access controls) was found to be among the most attractive solutions for providing access control in Web-based e-commerce and e-government applications. Usually, such systems involve a huge number of heterogeneous users working with the systems under different rights and obligations. In an RBAC authorization and access control system the users are assigned to roles which are derived from the organizational structure. Because of the huge amount of users and the diversity of their requirements the administration of a RBAC system becomes crucial. Our group is involved in the European funded Webocracy project in which we have designed and implemented an RBAC system based on the core RBAC model as defined in a proposed NIST standard. Based on the functional specification of the proposed NIST standard we specified administration requirements for managing roles, users and permissions we specified. In this paper, we will present an administration console, which we designed to implement this requirements.
View
A Pattern System for Access Control
Conference Paper
Full-text available
  • Jan 2004
In order to develop trustworthy information systems, security aspects should be considered from the early project stages. This is particularly true for au- thorization and access control services, which decide which users can access which parts of the system and in what ways. Software patterns have been used with success to encapsulate best practices in software design. A good collec- tion of patterns is an invaluable aid in designing new systems by inexperienced developers and is also useful to teach and understand difficult problems. Fol- lowing in this direction, this paper presents a pattern system to describe au- thorization and access control models. First, we present a set of patterns that include a basic authorization pattern that is the basis for patterns for the well- established discretionary and role-based access control models. Metadata ac- cess control models have appeared recently to address the high flexibility re- quirements of open, heterogeneous systems, such as enterprise or e-commerce portals. These models are complex and we use the basic patterns to develop a set of patterns for metadata-based access control.
View
Proposed NIST Standard for Role Based Access Control
Article
Full-text available
  • Aug 2001
this article we propose a standard for role-based access control (RBAC). Although RBAC models have received broad support as a generalized approach to access control, and are well recognized for their many advantages in performing large-scale authorization management, no single authoritative definition of RBAC exists today. This lack of a widely accepted model results in uncertainty and confusion about RBAC's utility and meaning. The standard proposed here seeks to resolve this situation by unifying ideas from a base of frequently referenced RBAC models, commercial products, and research prototypes. It is intended to serve as a foundation for product development, evaluation, and procurement specification. Although RBAC continues to evolve as users, researchers, and vendors gain experience with its application, we feel the features and components proposed in this standard represent a fundamental and stable set of mechanisms that may be enhanced by developers in further meeting the needs of their customers. As such, this document does not attempt to standardize RBAC features beyond those that have achieved acceptance in the commercial marketplace and research community, but instead focuses on defining a fundamental and stable set of RBAC components. This standard is organized into the RBAC Reference Model and the RBAC System and Administrative Functional Specification. The reference model defines the scope of features that comprise the standard and provides a consistent vocabulary in support of the specification. The RBAC System and Administrative Functional Specification defines functional requirements for administrative operations and queries for the creation, maintenance, and review of RBAC sets and relations, as well as for specifying system level functionality in sup...
View
A Flexible Security System for Enterprise and e-Government Portals
Conference Paper
Full-text available
  • Aug 2004
  • Lect Notes Comput Sci
Web-based systems like enterprise and e-government portals pose special requirements to information security. Todays portal platforms provide some security functionality, mainly targeting at supporting a single-sign-on for the underlying applications. We argue that single-sign-on is not sufficient, but rather a mature security service is needed as a central authorization instance. As access control is needed on different levels of a portal architecture, only this allows an integrated approach to security management. We present CSAP (Communication Security, Authentication, and Privacy), a flexible security system for enterprise and e-government portals. CSAP was originally developed within the EU-funded research project Webocracy. Meanwhile, various enhancements to CSAP have been made, which are being discussed in this paper. The major enhancement is a Metadata-based Access Control facility (MBAC) which allows more flexibility in highly open and heterogeneous systems. We use CSAP within two portal prototypes, one in an enterprise one in an e-government context, which are being presented as case studies.
View
A content-based authorization model for digital libraries
Article
Full-text available
  • Apr 2002
Digital libraries (DLs) introduce several challenging requirements with respect to the formulation, specification and enforcement of adequate data protection policies. Unlike conventional database environments, a DL environment is typically characterized by a dynamic user population, often making accesses from remote locations, and by an extraordinarily large amount of multimedia information, stored in a variety of formats. Moreover, in a DL environment, access policies are often specified based on user qualifications and characteristics, rather than on user identity (e.g. a user can be given access to an R-rated video only if he/ she is more than 18 years old). Another crucial requirement is the support for content-dependent authorizations on digital library objects (e.g. all documents containing discussions on how to operate guns must be made available only to users who are 18 or older). Since traditional authorization models do not adequately meet the access control requirements typical of DLs, we propose a content-based authorization model that is suitable for a DL environment. Specifically, the most innovative features of our authorization model are: (1) flexible specification of authorizations based on the qualifications and (positive and negative) characteristics of users, (2) both content-dependent and content-independent access control to digital library objects, and (3) the varying granularity of authorization objects ranging from sets of library objects to specific portions of objects
View
Using Attribute Certificates to implement RoleBased Authorization and Access Control
Article
Full-text available
  • Sep 1999
Users of electronic commerce applications often face the problem of how to judge the value of a document that is digitally signed by someone claiming to be an authorized agent of a particular organization, such as a company or a federal office. While the claimant might provide a personal certificate that can be used for authentication, the more general questions are related to the issue of authorization: how can a user be certain that the agent is truly authorized to act on behalf of the organization and that the agent is acting in a legally-binding manner? Similarly, how can the organization be held liable for the digital signatures its authorized agents provide? This paper elaborates on possible means of addressing these and similar questions. In particular, it addresses the utilization of attribute certificates for implementing role-based authorization and access controls. In addition, the paper also elaborates on a possible prototype implementation for commercial registers that cou...
View
The UCON ABC usage control model
Article
  • Feb 2004
In this paper, we introduce the family of UCONABC models for usage control (UCON), which integrate Authorizations (A), oBligations (B), and Conditions (C). We call these core models because they address the essence of UCON, leaving administration, delegation, and other important but second-order issues for later work. The term usage control is a generalization of access control to cover authorizations, obligations, conditions, continuity (ongoing controls), and mutability. Traditionally, access control has dealt only with authorization decisions on users' access to target resources. Obligations are requirements that have to be fulfilled by obligation subjects for allowing access. Conditions are subject and object independent environmental or system requirements that have to be satisfied for access. In today's highly dynamic, distributed environment, obligations and conditions are also crucial decision factors for richer and finer controls on usage of digital resources. Although they have been discussed occasionally in recent literature, most authors have been motivated from specific target problems and thereby limited in their approaches. The UCONABC model integrates these diverse concepts in a unified framework. Traditional authorization decisions are generally made at the time of requests but hardly recognize ongoing controls for relatively long-lived access or for immediate revocation. Moreover, mutability issues that deal with updates on related subject or object attributes as a consequence of access have not been systematically studied.Unlike other studies that have targeted on specific problems or issues, the UCONABC model seeks to enrich and refine the access control discipline in its definition and scope. UCONABC covers traditional access controls such as mandatory, discretionary, and role-based access control. Digital rights management and other modern access controls are also covered. UCONABC lays the foundation for next generation access controls that are required for today's real-world information and systems security. This paper articulates the core of this new area of UCON and develops several detailed models.
View
The UCON ABC usage control model
Article
  • Mar 2002
  • ACM T INFORM SYST SE
In this paper, we introduce the family of UCON ABC models for usage control (UCON), which in-tegrate Authorizations (A), oBligations (B), and Conditions (C). We call these core models because they address the essence of UCON, leaving administration, delegation, and other important but second-order issues for later work. The term usage control is a generalization of access control to cover authorizations, obligations, conditions, continuity (ongoing controls), and mutability. Tra-ditionally, access control has dealt only with authorization decisions on users' access to target resources. Obligations are requirements that have to be fulfilled by obligation subjects for allowing access. Conditions are subject and object independent environmental or system requirements that have to be satisfied for access. In today's highly dynamic, distributed environment, obligations and conditions are also crucial decision factors for richer and finer controls on usage of digital resources. Although they have been discussed occasionally in recent literature, most authors have been mo-tivated from specific target problems and thereby limited in their approaches. The UCON ABC model integrates these diverse concepts in a unified framework. Traditional authorization deci-sions are generally made at the time of requests but hardly recognize ongoing controls for relatively long-lived access or for immediate revocation. Moreover, mutability issues that deal with updates on related subject or object attributes as a consequence of access have not been systematically studied. Unlike other studies that have targeted on specific problems or issues, the UCON ABC model seeks to enrich and refine the access control discipline in its definition and scope. UCON ABC covers traditional access controls such as mandatory, discretionary, and role-based access control. Digital rights management and other modern access controls are also covered. UCON ABC lays the foundation for next generation access controls that are required for today's real-world information and systems security. This paper articulates the core of this new area of UCON and develops several detailed models.
View
Credential-basierte Zugriffskontrolle: Wurzeln und ein Ausblick.
Conference Paper
  • Jan 2002
Herkömmliche Verfahren zur Zugriffskontrolle in zentralen Systemen setzen voraus, dass an im Vor- hinein bekannte Identitäten wohlbestimmte Zugriffsrechte für spezifische Zugriffe zu Diensten oder Daten vergeben werden. Ferner wird ein sicherer lokaler Kanal angenommen, über den solche Zugriffe angefordert werden. Die Zugriffskontrolle überprüft dann die Authentizität der Anforderung und entscheidet über Erlaubnis oder Verbot aufgrund der vergebenen Zugriffsrechte. Offene, interoperable IT-Systeme erfüllen nicht mehr die Voraussetzungen herkömmlicher Verfahren zur Zugriffskontrolle, die somit nur noch eingeschränkt oder geeignet angepasst einsetzbar sind. Credential-basierte Verfah- ren zur Zugriffskontrolle versprechen, für die neuen Herausforderungen tragfähige Lösungen zu lie- fern. Insbesondere können mit Hilfe von Credentials Autorisierungen nicht nur an Identitäten, sondern auch an andere Merkmale von Systemteilnehmern gebunden werden. Und Credentials können aufgrund ihrer kryptographisch gesicherten Beglaubigungen auch über unsichere Kanäle bei entfernten Kompo- nenten genutzt werden.
View
Version 1.1. OASIS Community Specification
  • Sep 2003
[OAS03] eXtensible Access Control Markup Language (XACML), Version 1.1. OASIS Community Specification, August 2003. http://www.oasis-open.org/ committees/xacml/