role based access control
play

Role-Based Access Control CS461/ECE422 Spring 2012 - PowerPoint PPT Presentation

Oct 23, 2022 •159 likes •415 views

Role-Based Access Control CS461/ECE422 Spring 2012 Reading Material Chapter 4, sec?ons 4.5 and 4.6 [SFK00] DAC vs RBAC DAC Users, Groups

  1. Role-­‑Based ¡Access ¡Control ¡ CS461/ECE422 ¡ Spring ¡2012 ¡

  2. Reading ¡Material ¡ • Chapter ¡4, ¡sec?ons ¡4.5 ¡and ¡4.6 ¡ • [SFK00] ¡

  3. DAC ¡vs ¡RBAC ¡ • DAC ¡ – Users, ¡Groups ¡ à ¡Permissions ¡ • RBAC ¡ – Roles ¡ à ¡Permissions ¡ – Users ¡ à ¡Roles ¡ – Many-­‑to-­‑many ¡rela?ons ¡ • Difference ¡between ¡groups ¡and ¡roles? ¡ – Groups: ¡collec?on ¡of ¡users ¡ – Roles: ¡ • collec?on ¡of ¡permissions ¡ and/or ¡users, ¡and ¡possibly ¡other ¡ roles ¡[S96] ¡ • job ¡func?on ¡within ¡an ¡organiza?on ¡[text] ¡

  4. Basic ¡RBAC ¡Illustrated ¡ Permissions ¡ Users ¡ Roles ¡ (Objects) ¡ Rela8ons: ¡ Role ¡1 ¡ User ¡ Assignment ¡(UA) ¡ Role ¡2 ¡ Permission ¡ Assignment ¡(PA) ¡ Role ¡3 ¡

  5. Access ¡Matrix ¡Representa?on ¡ (Users, ¡Roles) ¡ (Roles, ¡Objects) ¡ -­‑ ¡Similar ¡to ¡DAC ¡ACM ¡ -­‑ ¡Roles ¡can ¡be ¡ Objects ¡

  6. RBAC ¡Reference ¡Models ¡[SCFY96] ¡ • RBAC 0 ¡ – Minimum ¡func?onality ¡ • RBAC 1 ¡ – RBAC 0 ¡+ ¡Role ¡hierarchies ¡ • RBAC 2 ¡ – RBAC 0 ¡+ ¡Constraints ¡ • RBAC 3 ¡ – RBAC 0 ¡+ ¡RBAC 1 ¡+ ¡RBAC 2 ¡

  7. RBAC 0 ¡– ¡Base ¡ • Users: ¡individuals ¡with ¡access ¡to ¡the ¡system ¡ • Role: ¡named ¡job ¡func?on ¡within ¡the ¡org ¡ • Permission: ¡approval ¡of ¡a ¡par?cular ¡mode ¡of ¡access ¡to ¡objects ¡ • Session: ¡mapping ¡between ¡a ¡user ¡and ¡a ¡subset ¡of ¡roles ¡

  8. RBAC 1 ¡– ¡Role ¡Hierarchies ¡ • Reflect ¡hierarchical ¡structure ¡of ¡roles ¡in ¡org ¡ • Mathema?cally, ¡par?al ¡order ¡(reflexive, ¡ transi?ve, ¡an?-­‑symmetric) ¡ Example ¡of ¡Role ¡Hierarchy ¡ Limi?ng ¡the ¡scope ¡of ¡inheritance: ¡ Role ¡Hierarchy ¡with ¡ private ¡roles ¡

  9. RBAC 2 ¡– ¡Constraints ¡ • Reflect ¡higher-­‑level ¡organiza?onal ¡policy ¡ • Mutually ¡exclusive ¡roles ¡(U ¡ à ¡R ¡and ¡R ¡ à ¡P) ¡ • Cardinality ¡– ¡maximum ¡number ¡with ¡respect ¡ to ¡role ¡ • Prerequisite ¡– ¡can ¡assign ¡role ¡only ¡if ¡already ¡ assigned ¡prerequisite ¡role ¡ – Remember, ¡no ¡hierarchies ¡in ¡RBAC 2 ¡

  10. RBAC 3 ¡– ¡Consolidated ¡Model ¡

  11. NIST ¡RBAC ¡Model ¡[SFK00] ¡ • RBAC ¡System ¡and ¡Administra?ve ¡Func?onal ¡ Specifica?on ¡ • Three ¡categories ¡of ¡features/func?ons: ¡ – Administra8ve ¡func8ons: ¡create, ¡delete, ¡maintain ¡ RBAC ¡elements ¡and ¡rela?ons ¡ – Suppor8ng ¡system ¡func8ons: ¡session ¡management, ¡ access ¡control ¡decisions ¡ – Review ¡func8ons: ¡query ¡opera?ons ¡on ¡RBAC ¡ elements ¡and ¡rela?ons ¡ • Four ¡components: ¡Core ¡RBAC, ¡Hierarchical ¡RBAC, ¡ Sta?c ¡and ¡Dynamic ¡Separa?on ¡of ¡Duty ¡(SSD, ¡DSD) ¡

  12. Core ¡RBAC ¡ • Same ¡as ¡RBAC 0 ¡(users, ¡roles, ¡ permissions , ¡sessions) ¡ – Object: ¡any ¡resource ¡ – Opera?on: ¡executable ¡image ¡of ¡a ¡program ¡ – Permission: ¡approval ¡to ¡perform ¡an ¡ opera/on ¡on ¡ object(s) ¡ ¡ Administra8ve ¡func8ons: ¡ add/delete ¡users ¡and ¡roles, ¡create/delete ¡user-­‑ • to-­‑role ¡and ¡permission-­‑to-­‑role ¡assignments ¡ Suppor8ng ¡system ¡func8ons: ¡ session ¡ ß ¡create, ¡add/delete ¡role, ¡check ¡ • permission ¡ Review ¡func8ons: ¡ enable ¡admin. ¡to ¡view ¡en?re ¡model ¡ •

  13. Hierarchical ¡RBAC ¡ • Similar ¡to ¡RBAC 1 ¡ • r 1 ¡is ¡a ¡ descendant ¡of ¡ r 2 ¡if: ¡ – r 1 ¡includes ¡all ¡ permissions ¡from ¡ r 2 ¡ – All ¡ users ¡assigned ¡to ¡ r 1 ¡are ¡also ¡assigned ¡to ¡ r 2 ¡ • General ¡role ¡hierarchies ¡ – Arbitrary ¡par?al ¡order, ¡mul?ple ¡inheritance ¡ • Limited ¡role ¡hierarchies ¡ – Tree ¡structure, ¡single ¡descendant ¡allowed ¡ ¡ Administra8ve ¡func8ons: ¡ add/delete ¡immediate ¡inheritance ¡rela?onship, ¡ • create ¡new ¡role ¡and ¡add ¡it ¡as ¡ascendant ¡or ¡descendant ¡ Review ¡func8ons: ¡ enable ¡admin. ¡to ¡view ¡users/permissions ¡directly ¡or ¡by ¡ • inheritance. ¡

  14. Sta?c ¡Separa?on ¡of ¡Duty ¡(SSD) ¡ • Prevents ¡conflict ¡of ¡interest ¡ • Cardinality ¡constraint ¡on ¡a ¡set ¡of ¡roles ¡ – SSD ¡:= ¡( role ¡set , ¡ n ) ¡where ¡no ¡user ¡is ¡assigned ¡to ¡ n ¡ or ¡more ¡roles ¡from ¡the ¡ role ¡set ¡ • Mutual ¡exclusive ¡roles ¡as ¡a ¡special ¡case: ¡ – SSD ¡:= ¡({ r 1 , ¡ r 2 }, ¡2) ¡ ¡ • Administra8ve ¡func8ons: ¡ create/delete ¡role ¡sets, ¡add/delete ¡role ¡ members ¡ • Review ¡func8ons: ¡ view ¡proper?es ¡of ¡SSD ¡sets ¡

  15. Dynamic ¡Separa?on ¡of ¡Duty ¡(DSD) ¡ • Similar ¡to ¡SSD, ¡but ¡ac?vated ¡within ¡sessions ¡ • Typically ¡for ¡temporal ¡conflicts ¡of ¡interest ¡ • Defini?on ¡ – DSD ¡:= ¡( role ¡set , ¡ n ) ¡( n ≥2) ¡no ¡user ¡session ¡may ¡ ac?vate ¡≥ n ¡roles ¡from ¡ role ¡set ¡ • Example: ¡Author ¡and ¡PC ¡member ¡(conference) ¡ • Administra?ve ¡and ¡review ¡func?ons: ¡similar ¡to ¡SSD ¡

  16. Unspecified ¡by ¡NIST ¡RBAC ¡ • Scalability ¡ • Authen?ca?on ¡ • Nega?ve ¡permissions ¡ • Nature ¡of ¡permissions ¡ • Discre?onary ¡role ¡ac?va?on ¡ • Role ¡engineering ¡ • Constraints ¡ • RBAC ¡administra?on ¡ • Role ¡revoca?on ¡

  17. NIST ¡Model ¡Revisited ¡

  18. Role ¡Engineering ¡(RE) ¡ • Defini?on ¡of ¡roles ¡can ¡be ¡difficult; ¡essen?ally ¡a ¡ requirements ¡engineering ¡process ¡ • RE ¡is ¡required ¡to ¡implement ¡an ¡abstract ¡model ¡ • Basic ¡process ¡[C96] ¡ collect ¡ group ¡into ¡ name ¡ remove ¡ describe ¡ ac?vi?es ¡ clusters ¡ clusters ¡ duplicates ¡ role ¡ simulate ¡ iden?fy ¡minimal ¡set ¡ candidates ¡ ac?vi?es ¡ of ¡permissions ¡ • Role ¡predic?on ¡[Z+11] ¡ – Use ¡sta?s?cal ¡models ¡to ¡analyze ¡audit ¡logs ¡ – Predict ¡roles, ¡detect ¡anomalies ¡ – Refine ¡roles ¡(generalize ¡or ¡split) ¡

  19. Case ¡Study: ¡RBAC ¡for ¡a ¡Bank ¡[SMJ01] ¡ • Prior ¡to ¡1990 ¡used ¡local ¡access ¡control ¡files ¡ – manually ¡administered ¡for ¡each ¡user, ¡applica?on, ¡ and ¡host ¡ à ¡administra?ve ¡overhead, ¡error-­‑prone ¡ • Implemented ¡RBAC ¡scheme ¡(Authoriza?on) ¡ • Applica?ons ¡no ¡longer ¡make ¡AC ¡decisions; ¡ query ¡Authoriza?on ¡for ¡a ¡security ¡profile ¡ instead ¡ • Role ¡:= ¡(official ¡posi?on, ¡job ¡func?on) ¡ – (different ¡from ¡NIST ¡RBAC) ¡

  21. Architecture ¡ Authoriza8on ¡

  22. Role ¡Administra?on ¡

  23. Numbers ¡ • 65 ¡official ¡posi?ons, ¡368 ¡job ¡func?ons ¡ • 50,659 ¡employees ¡ • 1300 ¡roles ¡(poten?ally ¡23,920) ¡ – Agrees ¡with ¡es?mate ¡– ¡#roles ¡is ¡3-­‑4% ¡of ¡#users ¡ • 42,000 ¡security ¡profiles ¡distributed ¡daily ¡

  24. Key ¡Points ¡ • Roles ¡are ¡collec?ons ¡of ¡permissions, ¡users, ¡ and ¡possibly ¡other ¡roles ¡(many-­‑to-­‑many) ¡ • Role ¡hierarchies ¡simplify ¡RBAC ¡management ¡ and ¡can ¡be ¡derived ¡from ¡org ¡structure ¡ • Constraints ¡prevent ¡conflict ¡of ¡interest ¡ • RBAC ¡implementa?ons ¡simplify ¡access ¡control ¡ but ¡may ¡require ¡role ¡engineering ¡

Download Presentation
Download Policy: The content available on the website is offered to you 'AS IS' for your personal information and use only. It cannot be commercialized, licensed, or distributed on other websites without prior consent from the author. To download a presentation, simply click this link. If you encounter any difficulties during the download process, it's possible that the publisher has removed the file from their server.

Recommend

Role-based access control Role-based access control 1 RBAC: Motivations Complexity of

Role-based access control Role-based access control 1 RBAC: Motivations Complexity of

Role-based access control Role-based access control 1 RBAC: Motivations Complexity of security administration p y y For large number of subjects and objects, the number of authorizations can become extremely large For dynamic

536 views • 51 slides
A Distributed Calculus for Role-Based Access Control Chiara Braghin joint work with D. Gorla and

A Distributed Calculus for Role-Based Access Control Chiara Braghin joint work with D. Gorla and

A Distributed Calculus for Role-Based Access Control Chiara Braghin joint work with D. Gorla and V. Sassone MyThS Meeting, Venice, June, 14th, 2004 A Distributed Calculus for Role-Based Access Control p.1/18 RBAC Why: Role-Based Access

613 views • 36 slides
Meta-policies for Distributed Role-based Access Control Andrs Belokosztolszki, Ken Moody

Meta-policies for Distributed Role-based Access Control Andrs Belokosztolszki, Ken Moody

Meta-policies for Distributed Role-based Access Control Andrs Belokosztolszki, Ken Moody {ab374,km}@cl.cam.ac.uk University of Cambridge, Computer Laboratory, OPERA Policy 2002 1 Outline Role-Based Access Control OASIS

480 views • 14 slides
Role-Based Access Control Corban Rivera CS 6204, Spring 2005 1 Trusted Computer System

Role-Based Access Control Corban Rivera CS 6204, Spring 2005 1 Trusted Computer System

Role-Based Access Control Corban Rivera CS 6204, Spring 2005 1 Trusted Computer System Evaluation Criteria (TCSEC) Background MAC Mandatory Access Control Firm security levels DAC Discretionary Access Control Access

240 views • 6 slides
PERMIS Role-Based Access Control Example System Presenter: Haiyan Cheng CS 6204, Spring 2005 1

PERMIS Role-Based Access Control Example System Presenter: Haiyan Cheng CS 6204, Spring 2005 1

PERMIS Role-Based Access Control Example System Presenter: Haiyan Cheng CS 6204, Spring 2005 1 PERMIS Review A role-based access control infrastructure Uses X.509 attribute certificate (AC) to store users roles All access

397 views • 8 slides
1 General Access Control General Access Control Control of access to memory relatively easy:

1 General Access Control General Access Control Control of access to memory relatively easy:

Role of Access Control Before closing back doors we need to close front doors Access control: determines access to files & processes in OS Fall 2008 We will return to these themes throughout the course Fall 2008 CS

512 views • 6 slides
Delegation in Role-Based Access Control Controlling delegation Enforcing transfer delegation

Delegation in Role-Based Access Control Controlling delegation Enforcing transfer delegation

Introduction Delegation operations in hierarchical RBAC Delegation in Role-Based Access Control Controlling delegation Enforcing transfer delegation Jason Crampton Hemanth Khambhammettu semantics Conclusion Information Security

959 views • 57 slides
Constraints in Role-Based Access Control Jason Crampton Information Security Group, Royal

Constraints in Role-Based Access Control Jason Crampton Information Security Group, Royal

Constraints in Role-Based Access Control Jason Crampton Information Security Group, Royal Holloway University of London jason.crampton@rhul.ac.uk www.isg.rhul.ac.uk/~jason Outline Introduction Separation of duty Role-based

482 views • 14 slides
Working Set- -Based Access Control for Based Access Control for Working Set Network File

Working Set- -Based Access Control for Based Access Control for Working Set Network File

Working Set- -Based Access Control for Based Access Control for Working Set Network File Systems Network File Systems Stephen Smaldone, Vinod Ganapathy, and Liviu Iftode DiscoLab - Department of Computer Science Rutgers, The State University

667 views • 23 slides
Access Control Access Control 1 Access Control Access control : ensures that all direct

Access Control Access Control 1 Access Control Access control : ensures that all direct

Access Control Access Control 1 Access Control Access control : ensures that all direct accesses to object are authorized a scheme for mapping users to allowed actions Protection objects : system resources for which protection is

576 views • 21 slides
Applying Hierarchical and Role-Based Access Control to XML Documents Jason Crampton Information

Applying Hierarchical and Role-Based Access Control to XML Documents Jason Crampton Information

Applying Hierarchical and Role-Based Access Control to XML Documents Jason Crampton Information Security Group Royal Holloway, University of London ACM Workshop on Secure Web Services 2004 George Mason University, 29 October 2004 Applying

647 views • 31 slides
Semantic security framework and context- aware role-based access control ontology for Smart

Semantic security framework and context- aware role-based access control ontology for Smart

Semantic security framework and context- aware role-based access control ontology for Smart Spaces Semantic Big Data Workshop, ACM SIGMOD 2016 Conference 2016, San Francisco, California, July 1st 2016 Shohreh Hosseinzadeh, Natalia

240 views • 19 slides
ROLE BASED ACCESS CONTROL (RBAC) John Barkley RBAC Project Leader Software Diagnostics and

ROLE BASED ACCESS CONTROL (RBAC) John Barkley RBAC Project Leader Software Diagnostics and

ROLE BASED ACCESS CONTROL (RBAC) John Barkley RBAC Project Leader Software Diagnostics and Conformance Testing National Institute of Standards and Technology (301) 975-3346 jbarkley@nist.gov http://hissa.nist.gov/rbac/ ACTIVE PARTICIPANTS

635 views • 27 slides
Access Control Enforcement Access Control Enforcement for Conversation- -based based for

Access Control Enforcement Access Control Enforcement for Conversation- -based based for

The Cyber Center The Cyber Center Access Control Enforcement Access Control Enforcement for Conversation- -based based for Conversation Web Services Web Services Massimo Mecella * Mourad Ouzzani Univ. Roma LA SAPIENZA, Italy Purdue

375 views • 26 slides
Access Control and Protection Overview Access control: What and Why Abstract Models of

Access Control and Protection Overview Access control: What and Why Abstract Models of

Access Control and Protection Overview Access control: What and Why Abstract Models of Access Control Discretionary acces control Mandatory access control Real systems: Unix Access Control Model Access control Access

817 views • 47 slides
Institute for Cyber Security A Framework for Risk-Aware Role Based Access Control Khalid Zaman

Institute for Cyber Security A Framework for Risk-Aware Role Based Access Control Khalid Zaman

Institute for Cyber Security A Framework for Risk-Aware Role Based Access Control Khalid Zaman Bijon, Ram Krishnan and Ravi Sandhu Institute for Cyber Security University of Texas at San Antonio October 16, 2013 SafeConfig 2013: IEEE 6th

227 views • 18 slides
On Permissions, Inheritance and Role Hierarchies Jason Crampton Information Security Group

On Permissions, Inheritance and Role Hierarchies Jason Crampton Information Security Group

On Permissions, Inheritance and Role Hierarchies Jason Crampton Information Security Group Royal Holloway, University of London Introduction The role hierarchy is central to most RBAC models Modelled as a partially ordered set R

834 views • 25 slides
: Programming with Typestates and Permissions Jonathan Aldrich 15-214 December 2013 School of

: Programming with Typestates and Permissions Jonathan Aldrich 15-214 December 2013 School of

: Programming with Typestates and Permissions Jonathan Aldrich 15-214 December 2013 School of Computer Science APIs Define Protocols APIs often define object protocols Protocols restrict possible orderings of method calls

417 views • 24 slides
Linux File Permissions Engineering Secure Software Last Revised: August 26, 2020 SWEN-331:

Linux File Permissions Engineering Secure Software Last Revised: August 26, 2020 SWEN-331:

Linux File Permissions Engineering Secure Software Last Revised: August 26, 2020 SWEN-331: Engineering Secure Software Benjamin S Meyers 1 Review: Principle of Least Privilege Every user, thread, process, module needs permissions to run

459 views • 29 slides
Bypassing the Android Permission Model Georgia Weidman Founder and CEO, Bulb Security LLC Is the

Bypassing the Android Permission Model Georgia Weidman Founder and CEO, Bulb Security LLC Is the

Bypassing the Android Permission Model Georgia Weidman Founder and CEO, Bulb Security LLC Is the permission model working? Are users making good decisions? Most Popular Android App Demo App abusing permissions Demo explained Permissions:

819 views • 43 slides
Hardware Supported Permission Checks On Persistent Objects for Performance and Programmability

Hardware Supported Permission Checks On Persistent Objects for Performance and Programmability

Hardware Supported Permission Checks On Persistent Objects for Performance and Programmability Tiancong Wang, Sakthikumaran Sambasivam, James Tuck twang14@ncsu.edu or jtuck@ncsu.edu 1 NVM Programming 2 NVM Programming

1.67k views • 98 slides
Regions and Permissions for Data Invariants Romain Bardou and Claude March e Septembre 2009

Regions and Permissions for Data Invariants Romain Bardou and Claude March e Septembre 2009

Regions and Permissions for Data Invariants Romain Bardou and Claude March e Septembre 2009 Regions and Permissions for Data Invariants 1 / 1 Motivation preservation of data invariants in pointer programs ownership system of Spec#

301 views • 29 slides
pNFS Access Permissions Check draft-faibish-nfsv4-pnfs-access-permissions-check-03.txt IETF 78

pNFS Access Permissions Check draft-faibish-nfsv4-pnfs-access-permissions-check-03.txt IETF 78

pNFS Access Permissions Check draft-faibish-nfsv4-pnfs-access-permissions-check-03.txt IETF 78 NFSv4 WG Meeting, July 28, 2010 Sorin Faibish sfaibish@emc.com David Black - EMC Mike Eisler - NetApp Jason Glasgow - Google Problem Statement

376 views • 6 slides
A Non-Inclusive Memory Permissions Architecture for Protection Against Cross-Layer Attacks Jesse

A Non-Inclusive Memory Permissions Architecture for Protection Against Cross-Layer Attacks Jesse

A Non-Inclusive Memory Permissions Architecture for Protection Against Cross-Layer Attacks Jesse Elwell 1 Ryan Riley 2 Nael Abu-Ghazaleh 1 Dmitry Ponomarev 1 1 State University of New York at Binghamton Department of Computer Science 2 Qatar

872 views • 76 slides

More recommend