Analýza přístupových oprávnění a jejich převod na RBAC model
Thesis title in Czech: | Analýza přístupových oprávnění a jejich převod na RBAC model |
Thesis title in English: | The analysis of access permisisons and their conversion to RBAC model |
Academic year of topic announcement: | 2007/2008 |
Thesis type: | project |
Thesis language: | |
Department: | Department of Software Engineering (32-KSI) |
Supervisor: | RNDr. Antonín Beneš, Ph.D. |
Author: |
References |
Ferraiolo, D.F. and Kuhn, D.R. (October 1992). "Role Based Access Control" 15th National Computer Security Conference: 554-563.
Sandhu, R., Coyne, E.J., Feinstein, H.L. and Youman, C.E. (August 1996). "Role-Based Access Control Models" IEEE Computer 29 (2): 38-47. IEEE Press. Ravi Sandhu, Qamar Munawer (October 1998). "How to do discretionary access control using roles" 3rd ACM Workshop on Role-Based Access Control: 47-54. Sylvia Osborn, Ravi Sandhu, and Qamar Munawer (2000) "Configuring role-based access control to enforce mandatory and discretionary access control policies" ACM Transactions on Information and System Security (TISSEC): 85-106. Sandhu, R., Ferraiolo, D.F. and Kuhn, D.R. (July 2000) "The NIST Model for Role Based Access Control: Toward a Unified Standard" 5th ACM Workshop Role-Based Access Control: 47-63. |
Preliminary scope of work |
Vytvoření systému, který bude na základě vstupních parametrů provádět analýzu nastavení přístupových oprávnění a generovat výstupní sestavy rolí.
Systém načte účty z LDIF nebo LDIF jednotného formátu - všechny budou mít stejný počet a typ konstantních atributů. Uživatel si vybere atributy, které budou klíčové pro generování rolí a nadefinuje pravidla pro sčítání rolí. Poté položí jeden z následujících dotazů: ? najít X rolí, aby pokryly maximum účtů (např. najít 1 základní roli, jenž pokryje skoro všechny účty) ? najít co nejméně rolí, které pokryjí alespoň X% účtů (většinou 95% nebo 98%) ? fixace rolí na zvolený atribut. Počet rolí bude právě roven nebo vyšší než počet nasatvení tohoto atributu. Analýza rolí tedy bude probíhat s tím, že se budeme zajímat o kombinace zbývajících atributů ? a jim podobné dotazy Problém, který se řeší při dotazování je podobný problému rozvrhu. Poté co systém najde požadované možnosti kombinací rolí. Uživatel bude mít možnost preview na změny v modelu. Uvidí, které účty nejsou pokryté a proč, statistiky a jak se ta situace změní při dodefinování nové role, změně definice nějaké role, odebraní role apod |
Preliminary scope of work in English |
A creation of the system, which will make according to the input parameters an analysis of accounts and their attributes and will generate a set of roles.
The system reads accounts from LDIF or LDAP in an constant unified format. A user choose key attributes for the generating of roles and defines rules for a merging of roles. Then the user asks one of the following questions: ? To find X roles, which meet the maximum number of the accounts (for example to find 1 a base role, that meets almost all of the accounts) ? To find the minimum number of roles, which meets at lest X% of the accounts (it will be mostly 95% or 98%) ? A fixation of roles to a selected attribute. The number of roles will be the same or greater than the number of different occurences of the selected attribute. The analysis of roles will try to make combinations of the rest of attributes. ? And other similar tasks During these tasks we have to solve the problem, which is similar to the problem of the scheduling. The system finds the possibilities of the sets of roles. Than the user can see the solutions and a preview of the changes in a model. The user will be able to see, which accounts don?t meet the set of roles and why, statistics and situations after adding, changing or deleting the roles. |