Rooliperustainen pääsynvalvonta (2-B)

Rooliperustainen pääsynvalvonta RBAC, Role Based Access Control on edelleen tutkimusaihe, vaikka sitä käyttäviä järjestelmiä on ollut jo kauan olemassa -- myös ennen ATK-aikakautta. Pääsynvalvonnan automatisoinnissa RBAC edustaa pohjimmiltaan vain yhtä tehokasta tapaa jäsentää käyttäjien ja heidän oikeuksiensa suhteita. Se ei itse ole MAC eikä DAC, eli pakollinen tai harkinnanvarainen, vaan politiikan suhteen neutraali mekanismi. Yhtenä vertailukohteena voidaan pitää käyttäjien ryhmittelyä ja oikeuksien määrittelyä sen perusteella. Ero voi syntyä siitä, että vaikka jäsenyys saadaan kummassakin nopeasti selville, ryhmälle kuuluvat oikeudet voivat olla hitaita selvittää (kuten on laita esim Unixissa).

Tavallisin ajatus rooleista pääsynvalvonnan yhteydessä on se, että samalla henkilöllä on eri oikeuksia sen mukaan, missä roolissa hän on kirjautuneena. Tämä erottaa roolin ja yksilön käsitettä toisistaan.

Yleisesti mielletään myös, että rooli on jotain, joka pitää erikseen ottaa käyttöön, toisin kuin ryhmän jäsenyys, joka siis tuo automaattisesti siihen kuuluvat oikeudet käyttöön. Tämä siis erottaa roolin ja ryhmän käsitettä.

Rooleille on tyypillistä (mutta ei välttämätöntä) myös se, että samalla henkilöllä ei pitäisi samalla hetkellä olla useita rooleja. Toisaalta jotkin roolit voivat olla sellaisia, että niissä ei voi samalla hetkellä olla useita henkilöitä.

Joitakin seikkoja, joita rooleilla voidaan saavuttaa:

  • Roolin mukaisesti personoitu käyttöliittymä.
  • Satunnaisten virheiden vaikutus saadaan pienemmäksi kun voimakkaammissa rooleissa ollaan vain vähän aikaa.
  • Vastaavasti mahdollisesti turvattoman koodin aiheuttamat ongelmat saadaan rajatuksi, kun sellaista ajetaan vain oikeuksiltaan rajatussa roolissa.
  • Kiinan muurin tapaisia monimutkaisia politiikkoja.

Rooleista ja niiden tarpeellisuudesta on erilaisia näkemyksiä. Tapahtumien jäljitettävyyden takia roolissa toimiminenkin kirjautuu yksilön tiliin. Toisaalta monet rooleihin liittyvistä toivottavista ominaisuuksista voidaan toteuttaa ryhmien avulla.

Sandhu ym. esittävät? selkeän mallin sille, miten RBAC-ilmiön voi ymmärtää. Tiivistetysti se on tällainen:

  • On olemassa neljä joukkoa: käyttäjät, roolit, oikeudet ja istunnot.
  • Hallinnollisesti (erillisellä RBAC-järjestelmällä) asetetaan ja päivitetään (monesta-moneen-) relaatioita
    • mitkä oikeudet kuuluvat mihinkin rooleihin. Näitä relaatioita voidaan jäsentää käyttäen roolihierarkiaa, jossa ylemmät roolit perivät alempien oikeudet.
    • mitkä roolit kuuluvat kullekin käyttäjälle. Käyttäjä on roolin jäsen.
  • Käyttäjät "avaavat" istuntoja ja siitä muodostuu kullakin hetkellä vallitseva funktio istunnoilta käyttäjien joukkoon.
  • Käyttäjät aktivoivat ja deaktivoivat (kussakin) istunnossaan tiettyjä roolejaan ja sen puitteissa nauttivat roolien mukaisia oikeuksia.
  • Rajoitteita on voitu asettaa
    • sille, missä rooleissa ei saa olla samoja jäseniä (mutual exclusion). Vastaavasti voidaan rajoittaa sitä, millä rooleilla ei saa olla samoja oikeuksia. Pitää varmistaa RBAC:n ulkopuolella, ettei samalla ihmisellä/asialla ole kahta nimeä.
    • sille, montako jäsentä tietyssä roolissa saa olla.
    • pätevyysehtojen tms. kautta: jotta henkilö saisi jäsenyyden tietyssä roolissa, hänellä pitää olla jäsenyys jossain toisessa.
    • myös istuntojen kautta: tiettyjä rooleja ei samanaikaisesti samalla käyttäjällä; montako istuntoa saa olla samanaikaisesti samalla käyttäjällä tai samalla roolilla.

Lisätietoja ja linkkejä löytyy NIST:n ylläpitämältä RBAC-sivustolta? , josta on ladattavissa mm. RBAC-koodi www-palvelinta varten.

-- JukkaKoskinen?

SivuTiedotLaajennettu edit

Vaativuus Perus
Valmius Valmisteilla
Tyyppi Ydin
Luokitus Uhkat
Mitä Luottamuksellisuus
Miltä Ihmisetön uhka
Missä Organisaatio
Kuka Tite-ammattilainen
Milloin Ennakolta
Miksi Hyvä tapa
Print version |  PDF  | History: r2 < r1 | 
Topic revision: r2 - 26 Sep 2010 - 11:11:14 - MarkoHelenius
 

TUTWiki

Copyright © by the contributing authors. All material on this collaboration platform is the property of the contributing authors.
Ideas, requests, problems regarding TUTWiki? Send feedback