Attribute Based Access Control

Den forventede fordel ved ABAC kontra andre metoder for adgangskontrol, består i en høj grad af flexibilitet og sikkerhed, specielt ved store Enterprise systemer.

Udfordringen, som det også fremgår af NIST – ligger i at få defineret de korrekte begreber, metoder og politikker for ABAC.

NIST Computer Security Division Computer Security Resource Center:

“Over the past decade, vendors have begun implementing Attribute Based Access Control (ABAC)-like features in their security management and network operating system products, without general agreement as to what constitutes an appropriate set of ABAC features. Due to a lack of consensus on ABAC features, users cannot accurately assess the benefits and challenges associated with ABAC.”  [http://csrc.nist.gov/projects/abac/]

Det forskningsmæssige fundament i relation til ABAC, vil være baseret på publicationen fra NIST [800-162]. SECOND2 forventer at analyserer og metodeudvikle yderligere på følgende områder:

  • Konkretisering af specifikke anvendelsesscenarier, som indgår i et dansk (Europæisk) elsystem – hvilket er nødvendigt for udarbejdelse af ABAC Policies og efterfølgende kobling til XACML syntax.
  • Metodeudvikling for ’ABAC support management functions for enterprise policy development’ – herunder analyse af seneste forskningsartikler og kommercielle produkter indenfor området.
  • Koblingen imellem anvendelsesscenarier, NLPer og DPer – således at det kan eftervises om der er en naturlig sammenhæng, der kan automatiseres på sigt.
  • Definering af attributter som vil indgå i ABAC, baseret på erfaringerne fra CHPCOM projektet.

 

SecureMMS

Den nuværende anbefalede standard  for sikker dataoverførsel indenfor elsystemer har i den nuværende version en række sikkerhedsproblemstillinger.

Grundlæggende drejer det sig om at den sikrer autenticitet, men ikke integritet, og derfor kan der potentielt manipuleres med data i et ’proxy scenarie’. I tilgift giver den ikke beskyttelse “end-to-end” i situationer, hvor en forbindelse går over mellemliggende systemer, som er en konfiguration, som forekommer i elsystemer. Her er autenticitet, integritet og hemmeligholdelse (kryptering) af vital betydning.

Den nærmere specificering af problemstillingen er veldokumenteret i et internt dokument  i IEC TC57 WG15 gruppen, hvilket af sikkerhedsmæssige og ophavsretslige grunde ikke er vedlagt denne ansøgning.

Forskningsmæssigt er der tale om metodeudvikling af en avanceret specifikation, som tillader “end-to-end” autenticitet, integritet og kryptering af selve dataindholdet. Da Danmark er i front med udvikling og implementering af SecureMMS, er der her brug for at klargøre danske ønsker og krav. Erik Andersen fra Andersen’s L-Service har en indgående indsigt i hvad planerne er for næste udgave af den underlæggende international standard. Metoden vil basere sig på udvidet brug af Open Systems Interconnection (OSI) standarder og af Recommendation ITU-T X.509, som er den grundlæggende specifikation for public-key infrastructure (PKI)

Forskningsmæssigt er der også tale om at analysere behovet for nye og mere effektive krypteringsmetoder.

En væsentlig del af metodeudviklingen vil bestå i opbygning af et ’Proof-of-Concept’ system, som kan sandsynliggøre, at den udviklede metode er sikker.

 

Referencer

D.F. Ferraiolo and D.R. Kuhn (1992) “Role Based Access Control” 15th National Computer Security Conference, Oct 13-16, 1992, pp. 554-563. – introduced formal model for role based access control.
R. S. Sandhu, E.J. Coyne, H.L. Feinstein, C.E. Youman (1996), “Role-Based Access Control Models“, IEEE Computer 29(2): 38-47, IEEE Press, 1996.- proposed a framework for RBAC models.
D.F. Ferraiolo, R. Kuhn, R. Sandhu (2007), “RBAC Standard Rationale: comments on a Critique of the ANSI Standard on Role Based Access Control“, IEEE Security & Privacy, vol. 5, no. 6 (Nov/Dec 2007), pp. 51-53 – explains decisions made in developing RBAC standard.
D.R. Kuhn, E.J. Coyne, T.R. Weil, “Adding Attributes to Role Based Access Control“, IEEE Computer, vol. 43, no. 6 (June, 2010), pp. 79-81.
Guide to Attribute Based Access Control (ABAC) Definition and Considerations, NIST Special Publication [800-162], http://nvlpubs.nist.gov/nistpubs/specialpublications/NIST.sp.800-162.pdf
NIST Attribute Based Access Control Workshop, 17th of July 2013, http://csrc.nist.gov/projects/abac/july2013_workshop/presentations.html
IEC TC57 WG15: IEC 62351 Security Standards for the Power System Information Infrastructure.http://iectc57.ucaiug.org/wg15public/Public%20Documents/White%20Paper%20on%20Security%20Standards%20in%20IEC%20TC57.pdf