Контроль доступа на основе графов
Управление доступом на основе графов ( GBAC ) — это декларативный способ определения прав доступа , назначения задач, получателей и контента в информационных системах . Права доступа предоставляются таким объектам, как файлы и документы, а также бизнес-объектам, таким как учетная запись. GBAC также можно использовать для назначения агентов задачам в средах рабочих процессов. Организации моделируются как особый вид семантического графа, включающего организационные единицы, роли и функции, а также людей и автоматических агентов (например, людей, машин). Основное отличие от других подходов, таких как управление доступом на основе ролей или управление доступом на основе атрибутов, заключается в том, что в GBAC права доступа определяются с использованием языка запросов организации вместо полного перечисления.
История
[ редактировать ]Основы GBAC восходят к исследовательскому проекту под названием CoCoSOrg (Конфигурируемая система сотрудничества) [ [1] ] (на английском языке см. [2] ) в Бамбергском университете. В CoCoSOrg организация представлена в виде семантического графа, а формальный язык используется для указания агентов и их прав доступа в среде рабочих процессов. В рамках проекта C-Org в Институте информационных систем Университета Хофа ( iisys ) этот подход был расширен за счет таких функций, как разделение обязанностей, контроль доступа в виртуальных организациях. [3] и субъектно-ориентированный контроль доступа. [4]
Определение
[ редактировать ]Управление доступом на основе графов состоит из двух строительных блоков:
- Семантический граф, моделирующий организацию
- Язык запросов.
Организационная структура
[ редактировать ]
Организационная диаграмма разделена на тип и уровень экземпляра. На уровне экземпляра существуют типы узлов для организационных единиц, функциональных единиц и агентов. Базовая структура организации определяется с использованием так называемых «структурных отношений». Они определяют отношения «является частью» между функциональными единицами и организационными единицами, а также сопоставление агентов с функциональными единицами. Кроме того, существуют определенные типы отношений, такие как «заместитель» или «информированный_по». Эти типы могут быть расширены разработчиком модели. Все отношения могут быть контекстно-зависимыми за счет использования предикатов .
На уровне типа организационные структуры описываются в более общем виде. Он состоит из типов организационных единиц, типов функциональных единиц и тех же типов отношений, что и на уровне экземпляра. Определения типов можно использовать для создания новых экземпляров или повторного использования организационных знаний в случае исключений (дополнительную информацию см. [1] [2] ).
Язык запросов
[ редактировать ]В GBAC язык запросов используется для определения агентов, обладающих определенными характеристиками или способностями. В следующей таблице показано использование языка запросов в контексте матрицы управления доступом.
Первый запрос означает, что финансовый отчет могут прочитать все менеджеры, работающие в компании более шести месяцев, а также менеджеры, классифицированные по флагу «ReadFinancialReport».
Ежедневный финансовый отчет может составлять только руководитель контролирующего отдела или служащие отдела, имеющие на это право (WriteFinancialReport==TRUE).
| Объект данных | Читать | Писать |
|---|---|---|
| Ежедневный финансовый отчет | Manager(*).(Now() - HiringYear > 0,5) ИЛИ Manager.ReadFinancialReport == TRUE | Менеджер(Контролирующий) ИЛИ Клерк(Контролирующий).WriteFinancialReport == TRUE |
Выполнение
[ редактировать ]
GBAC был впервые реализован в среде CoCoS на сервере организации CoCoSOrg. [1] В проекте C-Org он был расширен за счет более сложных функций, таких как разделение обязанностей или контроль доступа в распределенных средах. Существует также облачная реализация. [5] на IBM Bluemix [6] платформа.
Во всех реализациях сервер принимает запрос от клиентской системы и передает его набору агентов. Этот набор отправляется обратно вызывающему клиенту в качестве ответа. Клиентами могут быть файловые системы, системы управления базами данных, системы управления рабочими процессами, системы физической безопасности или даже телефонные серверы.
См. также
[ редактировать ]- Список контроля доступа
- Управление доступом на основе атрибутов (ABAC)
- Безопасность на основе возможностей
- Контекстно-ориентированный контроль доступа (CBAC)
- Дискреционный контроль доступа (DAC)
- Контроль доступа на основе решеток (LBAC)
- Обязательный контроль доступа (MAC)
- Контроль доступа на уровне организации (OrBAC)
- Аутентификация на основе рисков
- Управление доступом на основе ролей (RBAC)
- Управление доступом на основе набора правил (RSBAC)
Ссылки
[ редактировать ]- ^ Jump up to: а б с Шаллер, Томас (1998). Организационный менеджмент в системах ЦСХО - диссертация . Бамберг: Бамбергский университет.
- ^ Jump up to: а б Лавалл, Шаллер, Райхельт (2014). Архитектура предприятия: формализм для моделирования организационных структур в информационных системах . Салоники: Предприятие и организационное моделирование: 10-й международный семинар CAiSE2014.
{{cite book}}: CS1 maint: несколько имен: список авторов ( ссылка ) - ^ Лавалл, Шаллер, Райхельт (2014). «Ограниченные отношения между организациями для межорганизационных процессов». 16-я конференция IEEE по бизнес-информатике (CBI), Женева : 74–80.
{{cite journal}}: CS1 maint: несколько имен: список авторов ( ссылка ) - ^ Лавалл, Шаллер, Райхельт (2015). S-BPM в дикой природе: управление ролями и правами (1-е изд.). Берлин: Шпрингер. стр. 171–186. ISBN 978-3-319-17541-6 .
{{cite book}}: CS1 maint: несколько имен: список авторов ( ссылка ) - ^ Ловалл, Александр; Райхельт, Доминик; Шаллер, Томас (23 апреля 2015 г.). «Управление ресурсами и авторизация для облачных сервисов» . Материалы 7-й Международной конференции по предметно-ориентированному управлению бизнес-процессами . С-БПМ ОДИН '15. Нью-Йорк, штат Нью-Йорк, США: Ассоциация вычислительной техники: 18:1–18:8. дои : 10.1145/2723839.2723864 . ISBN 978-1-4503-3312-2 .
- ^ Блюмикс