Τίτλος Access control policy definition using XACML
Δημιουργός Λεπενιώτης, Σπυρίδων
Συντελεστής Οικονομικό Πανεπιστήμιο Αθηνών, Τμήμα Πληροφορικής
Πολύζος, Γεώργιος
Τύπος Collection
Φυσική περιγραφή 150 σ.
Γλώσσα el
Περίληψη Access control is one of the most important issues of an organization that uses information systems today. Nowadays, large organizations that use a variety of systems and employ a large number of employees, protection of resources is a primary goal. Systems that undertake access control are designed to control who can do which tasks and in which resources they have access to. Essentially, an access control system restricts access to the subject that is authorized in the computing resources of a system by controlling the rights granted to it. XML and other languages have been adopted to define access control policy. XACML is an XML-based language for developing a standard for access control and licensing systems. It is both a policy language that is used to describe access control as well as a request / response language that allows a request to be asked whether or not to allow or interpret the result. It includes standard data – types such as well – known types of XML schema and its own, functions including some higher order and combining algorithms which are responsible to harmonize multiple results into a single decision. The language is scalable, generic and provides access control for any environment. Distribute, which means it can refer to other policies that are kept in arbitrary locations. It also connects to other well-known standards such as SAM and LDAP. The syntax of policies is based on a triple method that includes the object, subject and action. In this paper we present the theoretical and conceptual background of Access control as well as its basic concepts. It referred the main and best known Access Control Policies and the most basic models are based on the properties of these models. There is a detailed review of XACML and its capabilities, the models on which it is based and its main elements as Policy, Policy Set, Rule, etc. We will use an existing access control decision making system to a trusted place that is referred as the Access control Provider (ACP) using the open source Identity Server “WSO2”, supporting the definition of a richer access control policy using XACML. For this purpose, an information system called “Student Portal” will be implemented, which will define the resources which must be protected, the subjects who will have access to these resources and their roles. Two separate policies sets will be implemented which will grant access to student grades resource and student invoices respectively. Finally, we make an evaluation of XACML language, indicating some advantages and disadvantages. We mention some conclusions from our study of the language in which ascertain very low research and very low – industry adoption. However, some major and large IT organizations have implemented language- based products which use XACML, some of which are Oracle with the “Oracle Web Logic Server” that use the XACML version 2.0, ΙΒΜ with the “IBM Tivoli Security Policy Manager” and Jericho Systems with the “Jericho Authorization Provider”.
Ο έλεγχος πρόσβασης είναι ένα από τα πιο σημαντικά ζητήματα που απασχολεί έναν οργανισμό που χρησιμοποιεί πληροφοριακά συστήματα σήμερα. Στις μέρες μας οι μεγάλοι οργανισμοί που χρησιμοποιούν πληθώρα συστημάτων και απασχολούν μεγάλο αριθμό υπαλλήλων, η προστασία των πόρων αποτελεί πρωταρχικό στόχο. Τα συστήματα που αναλαμβάνουν να κάνουν τον έλεγχο πρόσβασης έχουν σχεδιαστεί για να ελέγχουν ποιοι μπορούν να κάνουν ποιες εργασίες και σε ποιους πόρους έχουν πρόσβαση. Στην ουσία ένα σύστημα ελέγχου πρόσβασης περιορίζει την προσπέλαση του υποκειμένου που είναι εξουσιοδοτημένο στους υπολογιστικούς πόρους ενός συστήματος ελέγχοντας τα δικαιώματα που του έχουν δοθεί. H XML και άλλες γλώσσες έχουν υιοθετηθεί για τον καθορισμό της πολιτικής ελέγχου πρόσβασης. Η XACML είναι μια γλώσσα που βασίζεται στην XML για την ανάπτυξη ενός προτύπου για συστήματα ελέγχου πρόσβασης και αδειοδότησης. Είναι τόσο μια γλώσσα πολιτικής, η οποία χρησιμοποιείται για να περιγράψει τις απαιτήσεις ελέγχου πρόσβασης όσο και μια γλώσσα αιτήματος / απόκρισης που επιτρέπει την διαμόρφωση ενός ερωτήματος για το αν πρέπει να επιτραπεί ή όχι και να ερμηνευτεί το αποτέλεσμα. Περιλαμβάνει τυποποιημένους τύπους δεδομένων όπως οι πιο γνωστοί τύποι του XML σχήματος αλλά και δικούς της, λειτουργίες μεταξύ των οποίων και κάποιες υψηλότερης τάξης και αλγόριθμους συνδυασμού οι οποίοι είναι υπεύθυνοι για να εναρμονίζουν πολλαπλά αποτελέσματα σε μια ενιαία απόφαση. Η γλώσσα είναι επεκτάσιμη, γενικής μορφής και παρέχει έλεγχο πρόσβασης για οποιοδήποτε περιβάλλον. Διανέμεται, που σημαίνει ότι μπορεί να αναφέρεται σε άλλες πολιτικές που διατηρούνται σε αυθαίρετες τοποθεσίες. Επίσης συνδέεται με άλλα γνωστά πρότυπα όπως το SAML και το LDAP. H σύνταξη των πολιτικών βασίζονται σε τριπλή μέθοδο που περιλαμβάνει το αντικείμενο, υποκείμενο και ενέργεια. Στην παρούσα εργασία παρουσιάζεται το θεωρητικό και εννοιολογικό υπόβαθρο του Ελέγχου Πρόσβασης καθώς και οι βασικές έννοιές του. Αναφέρονται οι κυριότερες και πιο γνωστές Πολιτικές Ελέγχου Πρόσβασης και τα βασικότερα μοντέλα που βασίζονται στις ιδιότητες των μοντέλων αυτών. Γίνεται μια λεπτομερής ανασκόπηση της XACML και των δυνατοτήτων της, των μοντέλων στα οποία βασίζεται και των κυριότερων στοιχείων της όπως τα Policy, Policy Set, Rule. Θα χρησιμοποιήσουμε ένα ήδη υπάρχον σύστημα ανάθεσης αποφάσεων ελέγχου πρόσβασης σε ένα αξιόπιστο μέρος που αναφέρεται ως Πάροχος Ελέγχου Πρόσβασης (Access control Provider) χρησιμοποιώντας τον ανοικτού κώδικα Identity Server “WSO2” υποστηρίζοντας τον ορισμό πολιτικών ελέγχου πρόσβασης χρησιμοποιώντας τη γλώσσα XACML. Για τον λόγο αυτό θα δημιουργηθεί ένα πληροφοριακό σύστημα «Φοιτητολογίου» στο οποίο θα οριστούν οι πόροι οι οποίοι πρέπει να προστατευτούν, τα υποκείμενα που θα έχουν πρόσβαση στους πόρους και οι ρόλοι τους. Θα δημιουργηθούν δύο επιμέρους πολιτικές οι οποίες θα αφορούν στην πρόσβαση των βαθμών των φοιτητών και των αποδείξεων πληρωμής των διδάκτρων τους αντίστοιχα. Τέλος γίνεται μια αξιολόγηση της XACML αναφέροντας κάποια πλεονεκτήματα και κάποια μειονεκτήματά της. Αναφέρονται κάποια συμπεράσματα από την μελέτη που έγινε γύρω από την γλώσσα στα οποία διαπιστώθηκε τόσο το μικρό ποσοστό έρευνας που έχει πραγματοποιηθεί μέχρι σήμερα όσο και η μικρή διείσδυσή της στην αγορά και την βιομηχανία. Ωστόσο κάποιες μεγάλες εταιρίες στον χώρο της πληροφορικής έχουν υλοποιήσει προϊόντα που χρησιμοποιούν την γλώσσα μερικές από τις οποίες είναι η Oracle με τον «Oracle WebLogic Server» ο οποίος χρησιμοποιεί την XACML version.2.0, η IBM με τον «IBM Tivoli Security Policy Manager» και η Jericho Systems με τον «Jericho Authorization Provider».
Λέξη κλειδί Προσπέλαση
Λογικό υποκείμενο
Λογικό αντικείμενο
Πολιτική ελέγχου προσπέλασης
Logical subject
Logical object
Access control policy
Ημερομηνία έκδοσης 07-10-2018
Ημερομηνία κατάθεσης 09-10-2018
Άδεια χρήσης https://creativecommons.org/licenses/by/4.0/