Historien bag Attribute Based Access Control [ABAC]

abac_concept_1Rollebaseret adgangskontrol kan dateres tilbage til 70’erne, men det var først i 1992 at Ferraiolo og Kuhn  offentliggjorde et paper om ’Role-based Access Control’ som begreb og som alternativ til den eksisterende Mandatory Access Control (MAC) og Discretionary Access Control (DAC).

I 2004 publiserer ANSI (American National Standard Institute) dokumentet [INCITS 359-2004] og IEC (International Electrotechnical Commission) i 2011 dokumentet [IEC TS 62351-8:2011] omhandlende Role-based Access Control [RBAC] indenfor Power system management.

RBAC er nu en international teknisk specifikation med veldefinerede roller som f.eks.: OPERATOR, INSTALLER, SECAUDIT, VIEWER m.m. – men der er internt i standardiseringgruppen også en del diskussioner omkring behovet for mere fleksible adgangsparametre, som f.eks. tidsafgræsning og geografiske adgangsbegrænsninger, kaldet ’Area-of-Responsibility [AoR], hvilket går i retning af begrebet ’Attribute Based Access Control [ABAC].

Resultaterne fra CHPCOM projektet [ForskEL: 12095] har bla. vist at RBAC er nødvendig, men også at der i praksis er andre attributter end rollen der kan indgå i adgangskontrollen. Alt afhængigt af den aktuelle ’Policy’ kan bestemte tidsperioder, CVR nummer, IP-adresser og geografiske områder også indgå som attributter for den nødvendige adgangskontrol.

ABAC er i henhold til Gartner , den teknologi for adgangskontrol som i 2020 vil være dominerende med en udbredelse på op til 70% – men ABAC indenfor energisystemer og kritisk infrastrukter er ikke tilstrækkeligt veldokumenteret og afprøvet i praksis.

SECOND2 ønsker at få de tekniske aspekter for ABAC analyseret og specificeret i forhold til RBAC.

Teknisk afgrænsning af ABAC.

Grundlæggende består SECOND2 projektets teknologiafgrænsning i at efterprøve mulighederne og begrænsningerne i ABAC kontra RBAC som f.eks. benyttes i dag i CHPCOM projektet – herunder:

– Koblingen imellem ABAC Policy (klar tekst) og XACML (maskinlæsbar tekst) – er det praktisk muligt og hvordan?
– RBAC som den er defineret i IEC62351-8 , er den fyldestgørende for fremtidens energisystemer med stort antal DER enheder?
– Opbygning af ’Proof-of-Concept for et ABAC system til efterprøvning af teknologierne i praksis og ikke mindst som beslutningsgrundlag for de grundlæggende afgræsninger i projektet.

Det grundlæggende koncept som ønskes efterprøvet, består i opbygning af et ’Proof-of-Concept’ i henhold til nedenstående funktionstegning.

abac_concept_2

En person eller system (Subject) skal have adgang til et motorgeneratoranlæg (Object) gennem Policy Enforcement Point (PEP).

En Policy i klar tekst (NLP ) f.eks. ’Hans Jensen fra Elhandel A/S skal have adgang til produktionsplanerne fra anlæg 3 på Ølby kraftvarmeværk’ – indlæses via Policy Administration Point (PAP) i Policy Decision Point (PDP) via XACML  formatet som en digital policy (DP ) for videre behandling.

Metodeudviklingen og ’Proof-of-Concept’ for managementsystemet til administration af DP’erne er et af de mest omfattende og kritiske elementer af projektets aktiviteter.

Informationer (attributter) fra en række kilder samles i Policy Information Point (PIP) og danner basis for hvorvidt den definerede Policy giver ’Subject’ adgang til ’Object’