Pravila za upravljanje pristupom podacima temeljena na ulogama

Jasenka Anzil
Fakultet elektrotehnike i raunarstva
Sveuilite u Zagrebu
Unska 3, 10000 Zagreb

jasenka.anzil@fer.hr

Saetak Upravljanje pristupom, iji je
zadatak sprjeavanje neovlatenih operacija
nad upravljanim podacima, provodi se na
temelju skupa pravila pristupa navedenih u
skladu s politikama upravljanja pristupom.
Koncept uloga omoguava jednostavno i
fleksibilno upravljanje pravilima pristupa,
ime se smanjuju trokovi njihova odravanja.
Iz tog se razloga pravila pristupa u dananjim
informacijskim sustavima najee temelje na
ulogama.
Unato postojanju ANSI/INCITS
1
standar-
da, razvijen je niz modela upravljanja
pristupom temeljenog na ulogama, modela
upravljanja njegovim elementima, kao i
koncepata tumaenja uloga, to je posljedica
nepostojanje precizne definicije pojma uloge.
Kljune rijei sigurnost podataka, pravila
pristupa podacima, upravljanje pristupom
temeljenom na ulogama, aktivni sigurnosni
model
I. UVOD
Pojavom Interneta znatno je olakan pristup
podacima pohranjenim u resursima raunalnih
sustava te omoguen pristup velikoj koliini
informacija u kratkom vremenu. Pristup podacima
koji su vlasnitvo neke organizacije potrebno je
dozvoliti samo ogranienom skupu ovlatenih
korisnika. Stoga je prilikom svakog pokuaja
pristupa podacima potrebno obaviti kontrolu
pristupa (engl. access control), kojom se utvruje je
li traeni pristup dozvoljen. Upravljanje pristupom
predstavlja samo jedan od aspekata zatite
podataka, ije je glavne ciljeve mogue svrstati u tri
osnovne kategorije: tajnost (engl. confidentiality),
integritet (engl. integrity) i dostupnost (engl.
availability) [1]. Date [2], meutim, smatra da zbog
priline razlike u konceptima, integritet i sigurnost
valja promatrati odvojeno: sigurnost se odnosi na

1
American National Standards Institute, International Committee for
Information Technology)
zatitu podataka od neovlatenog otkrivanja,
izmjene ili unitenja, dok se integritet odnosi na
ispravnost ili valjanost podataka, odnosno zatitu
podataka od ovlatenih korisnika.
Ovlateni korisnici nekog informacijskog
sustava mogu pripadati razliitim kategorijama
korisnika. O kategoriji korisnika ovisi skup
podataka kojima mogu pristupiti kao i akcije koje
nad tim podacima mogu obavljati.
Osnovni gradivni blok na koji se upravljanje
pristupom oslanja je skup pravila pristupa. Pravila
pristupa definiraju se na temelju sigurnosne politike
koja utvruje tko, na koji nain i u kojim
sluajevima moe pristupiti kojim informacijama.
Sigurnosna politika moe biti temeljena na naelu
treba-znati (engl. need-to-know), kompetentnosti,
nadlenosti, obavezama, sukobu interesa, itd. Na
sigurnosnu politiku utjeu i zakonske regulative i
etika pitanja vezana uz zatitu privatnosti.
Politike upravljanja pristupom mogue je
grupirati u tri glavna razreda [3]: diskrecijska (engl.
discretionary access control - DAC), mandatna ili
obavezna (engl. mandatory access control - MAC) i
temeljena na ulogama (engl. role-based access
control - RBAC). DAC je temeljen na identitetu
podnositelja zahtjeva za pristupom i evidentiranim
pravilima pristupa kojima su specificirane akcije
nad objektima sustava dozvoljene podnositelju
zahtjeva. Koristi pojam vlasnika objekta koji moe
dodijeliti drugim korisnicima dozvolu pristupa tom
objektu, bez posredovanja administratora sustava.
MAC dozvoljava pristup objektima na temelju
sigurnosnih razreda koje je administrator zaduen
za sigurnost dodijelio subjektima i objektima, u
skladu s pravilima pristupa utvrenim od vodstva
organizacije u kojoj se provode. RBAC se temelji
na ulogama koje korisnici imaju unutar sustava i na
pravilima koja kau koje su akcije dozvoljene danoj
ulozi.
Sigurnosni mehanizam definira funkcije kojima
su implementirane kontrole nametnute politikom i
formalno iskazane modelom. Mora djelovati kao
referentni monitor [5] (Slika 1), tj. kao pouzdana
komponenta odgovorna za provoenje sigurnosne
politike, koja kontrolira svaki pokuaj pristupa
objektu sustava, utvruje je li pristup u skladu s
opisanom politikom, te ga ovisno o tome odobrava
ili uskrauje. Prilikom donoenja odluke konzultira
pravila pristupa pohranjena u bazi podataka, koja
koriste sigurnosne atribute korisnika i resursa (npr.
identifikator korisnika, sigurnosna oznaka koja
odraava razinu povjerenja iskazanu korisniku,
oznaka osjetljivosti objekta). Dokazivanje
autentinosti (engl. authentication), tj. proces
provjere identiteta korisnika, i autorizacija. tj.
administrativni in evidentiranja pravila pristupa i
postavljanja sigurnosnih atributa korisnika i resursa,
temelji su za upravljanje pristupom.






Subjekti
Audit
file
Pravila pristupa
(Baza podataka)
Objekti
Referentni
monitor
Politike
upravljanja
pristupom

Slika 1. Referentni monitor
Model upravljanja pristupom moe biti for-
malno iskazan pomou pojmova: korisnik, subjekt,
objekt, operacija i dozvola te njihovih meusobnih
veza. Subjekt, "aktivni" entitet u sustavu, je proces
koji djeluje u ime korisnika - entiteta koji zahtijeva
pristup. Sjednica (engl. session) predstavlja instancu
dijaloga korisnika sa sustavom. Objekt je "pasivni"
entitet sustava na kojem moe biti obavljena
operacija i kojeg treba zatititi od neovlatenog
pristupa. Operacija je aktivan proces kojeg inicira
subjekt i koji nakon poziva izvrava neke funkcije.
Dozvola, za koju se koriste jo i pojmovi pravo
pristupa, ovlast, ali i autorizacija, odnosi se na
jednu kombinaciju objekta i operacije. Na dozvolu
se moe gledati i kao na nedjeljivu jedinicu posla
primijenjenu u raunalnom okruenju.
II. POVIJEST UPRAVLJANJA PRISTUPOM
Intenzivnije prouavanje problema upravlja-
nja pristupom zapoelo je 60-ih godina prolog
stoljea, uglavnom u vojnim okruenjima.
Lampson [6] svojim modelom matrice pristupa
prvi daje matematiki opis diskrecijskog upravljanja
pristupom radi zatite resursa u sklopu operacijskih
sustava. Uvodi pojmove subjekt i objekt, a element
matrice pristupa (i, j) specificira prava koja subjekt i
ima na objektu j. Harrison, Ruzzo i Ullmann su
model formalizirali kao HRU model [3]. S
vremenom su uvedena mnoga proirenja modela
ukljuivanjem podrke za vremenska (engl.
temporal) ogranienja [7], pravila izvoenja (engl.
derivation rules), negativnih dozvola [8], jakih i
slabih dozvola [9] i dozvola ovisnih o sadraju i
kontekstu. Mnogi modeli, radi pojednostavljenja
upravljanja pravilima pristupa, omoguavaju
grupiranje elemenata modela, npr. korisnika ili
dozvola, te njihovo organiziranje u hijerarhiju.
Diskrecijsko upravljanje pristupom nije bilo
dostatno za implementaciju sheme klasifikacije
dokumenata u vojnim sustavima. Oni zahtijevaju
MAC, radi osiguravanja vierazinske politike
zatite. Ta je politika prvi puta formalizirana u Bell-
LaPadula [10], a zbog mnogo nastalih varijacija tog
modela uveden je minimalni model, nazvan BLP.
Modelom su formulirani principi no-read-up i no-
write-down, koji moraju biti zadovoljeni kako bi se
zatitila tajnost informacije sprjeavanjem tijeka
informacije od subjekata vie razine prema
subjektima niih ili neusporedivih razina.
Politikom kineskoga zida (engl. Chinese Wall
Policy) [11], uvedenom kao pokuaj balansiranja
izmeu diskrecijskog i mandatnog upravljanja
pristupom, nastojao se sprijeiti tijek informacija
koji bi doveo do sukoba interesa. Pristup podacima
nije ogranien klasifikacijom podataka, ve time
kojim se podacima ve pristupilo.
U RBAC-u se mogunost pristupa objektima
raunalnog sustava temelji na korisnikovoj ulozi u
organizaciji. Uloge s razliitim ovlastima i
obvezama vrlo su rano prepoznate u poslovnim
organizacijama, pa su i komercijalne raunalne
aplikacije iz 1970-ih implementirale ograniene
oblike upravljanja pristupom temeljenom na ulozi.
Prvi radovi vezani uz upravljanje pristupom
temeljenom na ulogama javljaju se 1988. godine,
kada su Lochovsky i Woo [12] definirali uloge i
organizirali ih u hijerarhiju. Osnovna je ideja bila
uvoenje dodatne razine pri preslikavanju korisnika
u dozvole, to je ostvareno uvoenjem uloga. U
ranije formalne opise RBAC modela spada model
kojeg su predloili Ferraiolo i Kuhn [4], u kojem
uloga predstavlja skup transakcija koje korisnik
moe obavljati u kontekstu neke organizacije.
Prema modelu grafa uloga [13] [14], uloge
mogu biti ureene na temelju meusobnih odnosa,
uz mogunost potpunog ili djelominog prekrivanja
skupa ovlasti uloga. Model je koristan u analizi
dijeljenja ovlasti te otkrivanju i sprjeavanju sukoba
interesa [15].
U RBAC96 modelu [16] RBAC je podijeljen u
etiri konceptualna modela: RBAC
0
sadri
minimum RBAC mogunosti i osnova je ostalim
modelima; RBAC
1
i RBAC
2
dodaju podrku za
hijerarhiju, odnosno ogranienja; dok RBAC
3

ukljuuje sve aspekte modela na niim razinama.
Modularnu strukturu slijedi Nacionalni institut za
standarde i tehnologije (National Institute of
Standards and Technology - NIST) i 2000. godine
daje prijedlog meunarodnog standarda za RBAC
[17], koji je prihvaen 2004. godine kao
ANSI/INCITS 359-2004.
III. UPRAVLJANJE PRISTUPOM
TEMELJENO NA ULOGAMA
U RBAC modelu svaki se pristup podatkovnim
objektima i resursima, potreban korisniku za
obavljanje poslovnog zadatka, obavlja kroz uloge.
Definicija uloge dana u [16] glasi: "poslovna
funkcija unutar organizacije koja opisuje ovlasti i
obaveze korisnika pridruenog ulozi". Dozvole su
dodijeljene ulogama umjesto korisnicima, a
korisniku je dodijeljen odgovarajui skup uloga.
Korisnik u sjednici moe aktivirati podskup
uloga iji je lan, a koji odgovara zadatku koji treba
obaviti, nakon ega mu je dostupna unija dozvola
aktiviranih uloga. Tijekom trajanja sjednice uloge
mogu biti dinamiki aktivirane i deaktivirane.
Korisnik istovremeno moe koristiti vie sjednica, a
u svakoj sjednici razliitu kombinaciju aktivnih
uloga. Takvim dinamikim ponaanjem RBAC
moe podrati koncept najmanje ovlasti (engl. least
privilege), koji zahtijeva da korisnik ima minimalan
skup ovlasti koje su neophodne za njegov trenutni
zadatak, ime se izbjegava nepotreban, sluajan ili
tetan pristup resursima.
NIST RBAC model je definiran pomou etiri
komponente: osnovni RBAC (engl. core), hijerar-
hijski RBAC, relacije statikog razdvajanja dunosti
i relacije dinamikog razdvajanja dunosti (Slika 2).
Relacije pridruivanje korisnika (engl. user
assignment - UA) i pridruivanje dozvola (engl.
permission assignment - PA) sastavni su dio
osnovnog RBAC modela, iji su elementi korisnici,
uloge i dozvole sastavljene od operacija koje se
primjenjuju na objekte. Osnovni RBAC model
ukljuuje i skup sjednica, pri emu svaka sjednica
predstavlja preslikavanje izmeu korisnika i
aktiviranog podskupa pridruenih mu uloga.
Dozvole i preslikavanja definirana RBAC modelom
mogue je podijeliti u statiku i dinamiku
komponentu, koja ukljuuje pojam subjekta.
Relacija nasljeivanja u hijerarhijskom RBAC
modelu ukljuuje i nasljeivanje dozvola i
nasljeivanje lanstva korisnika. Formalno se
nasljeivanje dozvola i lanstva opisuje relacijom
parcijalnog poretka nad skupom uloga. Ako za
uloge r
1
i r
2
vrijedi da je r
1
r
2
, tada uloga r
1

nasljeuje dozvole uloge r
2
, a lanovi uloge r
1
su
implicitno lanovi i uloge r
2
.









Hijerarhija uloga
(RH)

session_
roles

Pridruivanje
dozvola
(PA)

Pridruivanje
korisnika
(UA)


Korisnici
(U)

Uloge
(R)

Operacije
(OP)

Dozvole
(P)
Objekti
(OB)

osnovni RBAC model
hijerarhijski RBAC model
relacije statikog razdvajanja dunosti
relacije dinamikog razdvajanja dunosti

user_
sessions

Statika ogranienja
(SSD)




Sjednice
(SESS)
Dinamika ogranienja
(DSD)

Slika 2. NIST RBAC model
Ogranienja omoguavaju utvrivanje jesu li
vrijednosti komponenata RBAC modela
prihvatljive. Neke od kategorija ogranienja su npr.
preduvjeti koje korisnik mora zadovoljiti da bi mu
mogla biti dodijeljena neka uloga, zatim
kardinalnost, tj. ogranienje broja sjednica korisnika
ili broja istovremenih aktivnih korisnika uloge, te
ogranienja razdvajanja dunosti (engl. separation
of duties SoD) [5]. SoD zahtijeva da osjetljive
zadatke u cijelosti ne moe obaviti samo jedan
korisnik, ime se smanjuje mogunost zloporabe.
Prema trenutku u kojem se primjenjuju ogranienja
vezana uz uloge postoje dvije ire kategorije SoD
metoda: statiki SoD (engl. Static SoD - SSD) ili
jako iskljuenje (engl. strong exclusion) ili
iskljuenje za vrijeme autorizacije te dinamiki SoD
(engl. Dynamic SoD - DSD) ili slabo iskljuenje
(engl. weak exclusion) ili iskljuenje za vrijeme
rada. Implementacija SoD pravila omoguena je
navoenjem meusobno iskljuivih uloga.
Da bi se SoD zaista proveo, nije dovoljno
sprijeiti pridruivanje meusobno iskljuivih uloga
pojedincu, ve osigurati i da on, kombinacijom
dodijeljenih uloga, ne dobije dozvole koje bi dobio
pridruivanjem meusobno iskljuivih uloga [18].
Sigurnosni uvjet dobiven jednostavnim redefi-
niranjem cilja SoD-a glasi: Niti jedan pojedinac
nema mogunost sm obaviti kritini zadatak.
Glavna prednost RBAC-a je poveanje
produktivnosti pri upravljanju pravilima pristupa, a
time i produktivnost korisnika te smanjenje rizika
od tete koja moe nastati kao posljedica neaurnih
dozvola korisnika. Ako je n broj poslovnih pozicija
unutar organizacije, administrativna prednost
RBAC-a u odnosu na direktno povezivanje
korisnika s dozvolama ostvaruje se kada je:

< +
n
i
i i i i |) P | | U (| |) P | | U (|
n
i

gdje je |U
i
| broj pojedinaca na poslovnoj poziciji
i, a |P
i
| broj dozvola potrebnih za rad na poziciji i.
Iako se RBAC modelom moe iskazati irok
spektar politika upravljanja pristupom, on sm nije
dovoljan za potpuno opisivanje nekih politika koje
se pojavljuju, npr. u sustavu u kojem lanovi tima
surauju kako bi ispunili zadani cilj (engl.
collaborative environment), ili u sustavu koji
podrava tijek posla (engl. workflow), gdje u obzir
treba uzeti kontekst i trenutno stanje poslovnog
procesa. To je dovelo do pojave aktivnih
sigurnosnih modela, koji razlikuju aktivaciju
dodijeljenih dozvola na temelju zadatka i konteksta,
od samog pridruivanja dozvola. U pasivnom
sigurnosnom modelu dodijeljena dozvola moe
uvijek biti aktivirana. U aktivne sigurnosne modele
mogu se svrstati npr. dozvole temeljene na vremenu
(npr. Generalized Temporal Role-Based Access
Control - GTRBAC [19]), zadatku (npr. Task-Based
Access Control - TBAC [20]; Task-Role-Based
Access Control - T-RBAC [21]), timu (npr. Team-
Based Sccess Control - TMAC [22]; context-based
TMAC [23]), gdje je tim apstrakcija koja uahuruje
skup korisnika koji mogu imati razliite uloge, s
ciljem ispunjenja odreenog zadatka ili cilja, itd.
Usprkos brojnim predloenim poboljanjima i
proirenjima, temeljna naela: apstrakcija ovlasti,
razdvajanje administrativnih funkcija, naelo
najmanje ovlasti i razdvajanje dunosti, uvedena u
RBAC96 modelu pokazala su se stabilnim i
robusnim. Apstrakcija ovlasti i razdvajanje
administrativnih funkcija ukljueni su i u
predloena temeljna naela upravljanja pristupom
sljedee generacije (engl. next-generation access
control), poznata kao ASCAA (kratica za
Abstraction, Separation, Containment, Automation,
Accountability) [24]. Novouvedena naela su:
ograniavanje tete koja moe nastati zlonamjernim
djelovanjem korisnika, a obuhvaa najmanju ovlast,
razdvajanje dunosti, dodatna ogranienja te
kontrolu koritenja, automatizacija dodjeljivanja i
ukidanja uloga i dozvola i zaduivanje osobe koja
mora uiniti odgovarajue korake po primitku oba-
vijesti o zloporabi. Navedena naela ukljuena su u
ASCAA model, RBAC model nove generacije [25].
IV. SEMANTIKA ULOGA
Ako je upravljanje pristupom potrebno
implementirati u sustavu koji ukljuuje samo jednu
domenu, u npr. samo jednu instancu sustava za
upravljanje bazama podataka, RBAC moe biti
dizajniran za lokalni sustav i direktno upravljati
korisnicima, ulogama, operacijama i resursima
unutar tog okruenja. Meutim, u heterogenom
raunalnom okruenju, korisnik pri obavljanju svog
poslovnog zadatka moe koristiti razliite aplikacije
i pristupati resursima unutar razliitih sustava, te mu
u svakom koritenom sustavu moraju biti
dodijeljene sve potrebne dozvole. Pri tome se vrste
resursa, dozvoljene operacije i njihova semantika u
koritenim lokalnim sustavima nerijetko razlikuju.
Kao jedan od nedostataka NIST RBAC modela
spominje se nepostojanje definicije pojma uloge.
Ovisno o perspektivi, pojam uloge se tumai s
razliitim znaenjima. Iz poslovne perspektive,
uloga odraava poslovne funkcije i zadatke.
Oekuje se da e sadravati sve dozvole potrebne za
obavljanje te poslovne funkcije, bez obzira na vrstu
i broj sustava potrebnih za ispunjenje te zadae.
Npr. u T-RBAC modelu uloga integrira zadatke
predstavljene radnim funkcijama [21].
Iz perspektive pojedinog sustava, odnosno
sistemske perspektive, uloga se moe promatrati
kao mnotvo sistemskih dozvola koje odraavaju
odreeni zadatak koji moe biti ostvaren u tom
sustavu, stoga i sadri samo dozvole dotinog
sustava. Gledajui iz poslovne i sistemske
perspektive, doseg uloga je potpuno drugaiji. Stoga
se na korisnike, dozvole i uloge, ovisno o
perspektivi, moe gledati kao na globalne i lokalne.
Osnovni RBAC model zahtijeva postojanje
metoda za preslikavanje i odravanje uloge-dozvola
i korisnik-uloga veza, ali ne odreuje nain
implementacije tih preslikavanja.
Jedan od pristupa preslikavanju s globalne na
lokalnu razinu je kreiranje direktne veze izmeu
globalnog korisnika i potrebnog broja lokalnih
identifikatora korisnika u koritenim sustavima, te
veze izmeu globalnih uloga i lokalnih grupa
ovlasti [5]. Na lokalnoj razini, na kojoj se za zatitu
resursa koristi lokalno suelje za upravljanje
pravima pristupa, identifikatori korisnika pridrueni
su grupama kojima su dodijeljene dozvole za
pristup resursima. Kako RBAC sustav povezuje
identifikacijske oznake korisnika na razliitim
sustavima s globalnim korisnikom, upravljanje svim
identifikacijskim oznakama korisnika obavlja se s
jednog mjesta. Na globalnoj razini definirane su
samo uloge i korisnici te su uloge dodijeljene
korisnicima. Pridruivanje korisnika ulozi rezultira
automatskim dodjeljivanjem lanstva u grupi u
svakom sustavu na kojem postoji grupa u koju je
preslikana uloga te kreiranjem identifikacijske
oznake korisnika na sustavima na kojima ona jo ne
postoji.
Drugi pristup preslikavanju s globalne na
lokalnu razinu omoguava definiranje dozvola
neovisnih o sustavu, tj. apstraktnih operacija i
apstraktnih resursa [5]. Svaka se apstraktna
operacija/resurs moe preslikati u jednu ili vie
stvarnih operacija/resursa u realnom sustavu. Kroz
proces preslikavanja, interpretacija generikih ope-
racija na lokalnom sustavu rijeena je kreiranjem
ekvivalentnih operacija specifinih za lokalni
sustav. Dodjeljivanje dozvole ulozi koritenjem
apstraktnih operacija i resursa rezultira kreiranjem
stvarnih ovlasti u jednom ili vie sustava.
U ERBAC modelu (Enterprise RBAC) [26]
definiran je pojam uloge kao uloge poduzea (engl.
enterprise role) koja se sastoji od dozvola u jednom
ili vie ciljnih sustava, pri emu su dozvole
specifine za ciljne sustave, a mogu biti razliite
prirode. Meutim, kao dozvole uloge poduzea
navedene su sve sistemske dozvole bez njihovog
prethodnog grupiranja s obzirom na sustav na koji
se odnose, tj. bez uvoenja apstrakcije uloga
specifinih za sustav.
Smatrajui da postojei pristupi jasno ne
definiraju pojam uloge u njezinim razliitim
kontekstima, niti odnos izmeu uloga i modeliranja
poslovnih procesa, u B&S-RBAC (Business and
System Role-Based Access Control) [27] su uloge
razdvojene na poslovne, koje predstavljaju poslovne
zadatke ili profile poslova unutar poduzea, i
sistemske, koje predstavljaju apstrakciju sistemskih
dozvola. U modeliranju poslovnih procesa koncept
uloga nije nepoznat: uloge su dodijeljene
aktivnostima, to upuuje na to da su svi lanovi
uloge sposobni za obavljanje odgovarajuih instanci
aktivnosti [28]. Zaposleniku se dodjeljuju poslovne
uloge koje nisu specifine niti za jedan
informacijski (pod)sustav, ali su povezane sa
sistemskim ulogama svakog informacijskog
(pod)sustava ukljuenog u djelovanje u ime
poslovne uloge. Nad poslovnim je ulogama mogue
definirati ogranienja vezana uz razdvajanje
dunosti. Sistemska uloga utjelovljuje dozvole za
obavljanje posla u jednom sustavu, a umjesto
izravno korisnicima, dodijeljena je poslovnim
ulogama. Za ujedinjavanje poslovnog i sistemskog
svijeta koristi se preslikavanje izmeu poslovnih i
sistemskih uloga (Slika 3), pri emu je poslovna
uloga povezana s jednom ili vie sistemskih uloga.
Veza izmeu njih omoguuje da se poslovne i
sistemske uloge koriste u svojoj izvornoj domeni.
Poslovna strana koristi poslovne uloge kod opisa
profila posla, bez potrebe za tehnolokim znanjem o
koritenim sustavima.







1..*
1..*
*

* *
1..*
Poslovna perspektiva
Poslovni proces
Sistemska perspektiva
Korisnik
Poslovne uloge
Politika poslovnih uloga
koristi
Pridruivanje
korisnika
Preslikavanje uloga
Pridruivanje politike
uloga *
1..*
1..*
Politika sistemskih uloga
Pridruivanje politike
uloga
Sistemske uloge
*
Slika 3. B&S-RBAC meta-model
S ciljem proirenja njegove primjenjivosti na
vie domena, osobito distribuiranih aplikacija, kao i
mogunosti ukljuivanja atributa prilikom
donoenja odluke o pristupu, pokrenuta je revizija
ANSI/INCITS RBAC standarda [29]. Osnovna
ideja je ujediniti prednosti RBAC i ABAC (engl.
Attribute-Based Access Control) modela [30]. U
ABAC modelu upravljanje pristupom temeljeno je
na pravilima koja u obzir uzimaju vrijednosti
sigurnosnih atributa subjekata i objekata.
V. UPRAVLJANJE PRAVILIMA PRISTUPA
Modeli upravljanja pristupom mogu biti
usporeivani i s obzirom na politiku upravljanja
pravilima pristupa.
Politika upravljanja pravilima pristupa u
vierazinskom mandatnom upravljanju pristupom je
jednostavna, jer su dozvoljeni pristupi utvreni na
temelju sigurnosne klasifikacije subjekata i objekata
[3]. Sigurnosne razine korisnicima pridruuje
administrator zaduen za sigurnost, dok sigurnosne
razine objekata utvruje sustav na temelju razina
korisnika koji su ih kreirali.
U sluaju diskrecijskog upravljanja pristupom
najee se susree centralizirano upravljanje
pravilima pristupa, kod kojeg je samo ovlatenim
subjektima dozvoljeno dodjeljivati dozvole ostalim
korisnicima, te upravljanje pravilima pristupa
temeljeno na vlasnitvu, kod kojeg vlasnik objekta,
najee korisnik koji je kreirao objekt, moe
dodijeliti dozvole nad objektom. Veina sustava
usvojila je i mogunost delegiranja dozvole
upravljanja pravilima pristupa, ime se drugim
subjektima dodjeljuje pravo dodjeljivanja dozvola
nad objektom, ime je podrano decentralizirano
upravljanje pravilima pristupa.
Upravljanje pravilima pristupa temeljenom na
ulogama moe biti centralizirano, kao to je
predloeno u NIST modelu [31] i modelu grafa
uloga [15]. Meutim, kako je glavna prednost
RBAC-a olakavanje upravljanja pravilima
pristupa, prirodno ga je koristiti i za upravljanje
RBAC pravilima pristupa u sloenim sustavima s
velikim brojem korisnikih uloga. Temeljna naela
modela decentraliziranog upravljanja RBAC
pravilima pristupa temeljenog na ulogama, osim
decentralizacije administrativne nadlenosti, su
administrativna autonomija i kontrola nad
nepravilnim dodatnim uincima (engl. anomalous
side effects), a u nastavku su navedeni neki modeli
koji spadaju u tu kategoriju.
RBAC96 [16] (Slika 4) koristi administrativne
uloge za upravljanje korisnikim ulogama.
Administrativnim su ulogama dodijeljene
administrativne dozvole koje obuhvaaju operacije
nad RBAC elementima i relacijama meu njima
(npr. kreiranje i brisanje uloga, pridruenosti
korisnika ulozi, relacija nasljeivanja uloga). Skup
administrativnih objekata kojima se moe pristupiti
odreenom administrativnom ulogom predstavlja
administrativni doseg kontrole.

Hij erarhija
uloga


Korisnici
ogranienj a

Admin.
dozvol e

Dozvole

Uloge

Admin.
uloge




Sjednice

Hijerarhi ja
admin. uloga

(R)
(U)
(AP)
Pridruivanje
korisnika
(AR)
(RH)
(SESS)
(UA)
(P)
Pridruivanje
korisnika
(AUA)
(PA)
(ARH)
Pridruivanje
dozvola
(APA)
Pridruivanje
dozvola
user

roles

Slika 4. RBAC96 administrativni model
ARBAC97 (Administrative RBAC 97) [32] je
definiran u kontekstu RBAC96 modela, a sastoji se
od tri komponente: URA97 (user-role assignment
97) kontrolira pridruivanje korisnika ulogama,
PRA97 (permission-role assignment 97 ) kontrolira
pridruivanje dozvola ulogama i RRA97 (role-role
assignment 97) kontrolira promjene u hijerarhiji
uloga koje prema vrsti mogu biti sposobnosti, grupe
ili UP-uloge (engl. user and permission roles). Pri
dodjeljivanju korisnika/dozvola ulozi koristi
preduvjete definirane na temelju hijerarhije uloga.
ARBAC99 [33] proiruje ARBAC97 model
uvoenjem koncepta mobilnih (engl. mobile) i
imobilnih (engl. immobile) korisnika i dozvola, dok
se u ARBAC02 [34] preduvjeti definiraju pomou
organizacijske strukture i na taj se nain umanjuje
njihova ovisnost o hijerarhiji uloga.
SARBAC (Scoped Administration of Role-
Based Access Control) [35] ne pretpostavlja
postojanje disjunktnih administrativnih i korisnikih
uloga, te osigurava jednostavniji i fleksibilniji nain
definiranja administrativnog dosega kontrole od
onog u RRA97. Administrativni doseg uloge a, S(a),
je podskup hijerarhije uloga kojeg moe
administrirati uloga a, a definiran je pomou uloga-
iznad i uloga-ispod. Koncept striktnog admini-
strativnog dosega osigurava da uloga nije u
vlastitom administrativnom dosegu.
SARBAC97 model [36] koristi pojam
administrativnog dosega uloge, uveden u SARBAC
modelu, a moe se koristiti za upravljanje RBAC
sustavom koji podrava hibridnu hijerarhiju. U
hibridnoj hijerarhiji, koja je uvedena u kontekstu
GTRBAC modela [19], postoje tri vrste hijerarhije:
hijerarhija s nasljeivanjem dozvola (engl.
permission-inheritance-only), hijerarhija s
aktivacijom uloga (engl. role-activation-only) i
kombinirana hijerarhija s nasljeivanjem i dozvola i
uloga (engl. permission-inheritance-activation).
Role control center (RCC) [37] , za razliku od
prije opisanih administrativnih modela, osigurava
podrku za delegiranje administrativnih ovlasti.
Temeljen je na grafu uloga, a unutar istog grafa
pojavljuju se administrativne i korisnike uloge te
korisnici. Uvodi koncept pogleda uloge (engl. role
view) kao naina definiranja korisnika, uloga i
relacija nasljeivanja uloga unutar grafa uloga.
Unato brojnim modelima upravljanja pravili-
ma pristupa temeljenim na ulogama, niti jedan
model nije prihvaen kao standardni model, jer nije
u potpunosti primjenjiv u svim podrujima primjene
uloga pri upravljanju pristupom.
VI. PRIMJENA KONCEPTA ULOGA
Velik broj publikacija bavi se konceptom uloga
u podruju informacijske sigurnosti [38]. Neki od
smjerova istraivanja, osim modela uloga,
hijerarhije, ogranienja, modela upravljanja
ulogama i delegiranja ovlasti, su inenjering uloga,
dubinska analiza uloga (engl. role mining),
povezanost kontrole pristupa temeljene na ulogama
s ostalim sigurnosnim tehnologijama, kao to je npr.
tijek informacija, kriptografija.
Iako su tragovi osnovnih koncepata postojali u
komercijalnoj praksi jo od 1970-ih i to u sklopu
operacijskih sustava i grupiranja dozvola u
sustavima za upravljanje bazama podataka,
upravljanje pristupom temeljeno na ulogama dobilo
je ozbiljnu pozornost u ranim 1990-im, a danas je
iroko koriten oblik upravljanja pristupom.
Istraivana je mogunosti koritenja uloga u
mnogim informacijskim tehnologijama: raunalnim
mreama, osobito u beinim mreama [39] [40] i
peer-to-peer (P2P) mreama [41], web okruenju u
svrhu zatite web posluitelja, a pokuana je i
integracija pojma uloga u web usluge [42].
Koncept uloga olakava upravljanje pristupom i
u sustavima za upravljanja tijekom posla i ostalim
suradnikim okruenjima [43] [44]. Razmatrana je
mogunost definiranja ogranienja prilikom
dodjeljivanja uloge i dodjeljivanje korisnika
zadacima u tijeku, predstavljena je fleksibilna
arhitektura tijeka posla koja se temelji na pojmu
uloge u cilju podravanja dinamike prilagodbe i
promjene tijeka posla, a pokazna je i mogunost
delegiranja u takvom sustavu [45].
Pojava novih informacijskih tehnologija uvodi
nove sigurnosne zahtjeve koji su jo uvijek u velikoj
mjeri neistraeni. Posljednjih godina uoen je porast
istraivanja mogunosti integracije uloga u
okruenje raunalnog grida (engl. grid computing),
vezano uz sigurno dijeljenje resursa, te oblaka
(engl. cloud computing). Panja je usmjerena ka
privatnosti [46] i mogunostima integracije
razliitih aspekata koncepta uloga u raunalni
oblak. Dodatni napori vezani uz upravljanje
pristupom potrebni su i radi zatite geoprostornih
podataka [47][48], podataka prikupljenih senzorima
[49], te sigurnosti web usluga [42].
Kako je podrka ulogama ukljuena u SQL-99
standard, veina komercijalnih sustava za
upravljanje relacijskim bazama podataka podrava
osnovne RBAC mogunosti, ali uz brojne
implementacijske razlike. Meutim, dodatni izazov
predstavlja injenica da je uz upravljane podatke,
potrebno zatititi i metapodatke koji takoer sadre
osjetljive informacije. Podruje sigurnosti baza
podataka, osim upravljanja pristupom, obuhvaa i
nekoliko drugih danas relevantnih tema, posebno u
kontekstu tehnika ouvanja privatnosti, kao to je
kontrola zakljuivanja (engl. inference control).
U novije vrijeme, radi potrebe za pohranom
velike koliine podataka, sve je uestalije koritenje
ne-relacijskih baza podataka, nazvanih NoSQL baze
podataka. One nemaju punu SQL funkcionalnost, a
dosljednost i sigurnost relacijskih baza podataka
zamijenjena je poboljanjem performansi i
skalabilnosti. Iako se NoSQL baze podataka
razlikuju prema modelu podataka koji koriste [50],
zajednika znaajka im je da podravaju vrlo
jednostavnu autorizaciju bez podrke za RBAC i
bez mogunosti dodjeljivanja dozvola razliite
granulacije [51]. esti dodatni sigurnosni problemi,
npr, nedostatak podrke za ifriranje podataka, slabo
dokazivanje autentinosti, ranjivost na SQL
injekcije i napade koji rezultiraju odbijanjem usluge
(engl. Denial of Service), posljedica su injenice da
se radi o novim tehnologijama i pretpostavci da su u
njima pohranjeni manje osjetljivi podaci, te da
pristup mjestu pohrane podataka imaju samo
povjerljivi korisnici. Kako bi se osjetljivi podaci
pohranjeni u NoSQL bazama podataka zatitili,
kako od neovlatenih, tako i od ovlatenih
korisnika, potrebni su znatni napori, ne samo na
razini sustava za upravljanje bazama podataka, ve i
u njihovom cjelokupnom okruenju,
Koritenje uloga u svrhu zatite podataka
usvojeno je ne samo u razliitim tehnologijama, ve
i unutar razliitih podruja primjene, npr. zdravstvo,
e-trgovina, financije, edukacija. Jedno od glavnih
podruja primjene su informacijski sustavi koriteni
u zdravstvu, koji moraju biti uinkoviti i pred koje
su postavljeni visoki sigurnosni zahtjevi, izmeu
ostalog i zbog zakonskih ogranienja u okruenju
zdravstva.
VI. ZAKLJUAK
Sigurnost podataka i posebno zatita podataka
od neovlatenog pristupa ostaju vani ciljevi svakog
sustava za upravljanje podacima. Koncept uloga u
upravljanju pristupom prisutan je u podruju
informacijske sigurnosti ve vie od 20 godina.
Omoguava jednostavno i fleksibilno upravljanje
dozvolama korisnika te smanjuje administrativne
trokove. Meutim, unato postojanja ANSI/
INCITS standarda, razvijen je niz modela
upravljanja pristupom temeljenog na ulogama, koji
proiruju standard. Mnotvo modela, od kojih su
neki navedeni u radu, posljedica je primjene
koncepta uloge u razliitim, sve brojnijim
informacijskim tehnologijama, te potekoa pri
utvrivanju semantike uloga u tim okruenjima.
Upravljanje pristupom temeljeno na ulogama
korisno je u sloenim heterogenim sustavima koji
ukljuuju razliite domene zatite s vrlo
raznolikim skupom zahtjeva vezanih uz
upravljanje pristupom. Takvi sustavi obuhvaaju
velik broj objekata i zahtijevaju upravljanje
ogromnim brojem dozvola, te zahtijevaju uinkovite
tehnike kontrole pristupa. Osobito bitan element
upravljanja pristupom u dananjim dinamikim
okruenjima predstavlja kontekst u kojem je
zatraen pristup, npr. vrijeme i lokacija, kao i
sadraj kojem se pristupa o ijoj semantici ovisi
odluka o dozvoli pristupa.
LITERATURA
[1] R. S. Sandhu and S. Jajodia, "Data and
database security and controls," Handbook of
Information Security Management, 1993.
[2] C. J. Date, An Introduction to Database
Systems, 7th ed.: Addison-Wesley Longman,
Inc., 2000.
[3] P. Samarati and De Capitani di Vimercati,
"Access Control: Policies, Models and
Mechanisms," Foundations of Security
Analysis and Design: Tutorial Lectures,
Lecture Notes in Computer Science, 2001.
[4] D. Ferraiolo and R. Kuhn, "Role-Based Access
Control," Proc. of the 15th NIST-NSA National
(USA) Computer Security Conference, 1992.
[5] D. F. Ferraiolo, D. R. Kuhn, and R.
Chandramouli, Role-Based Access Control.
Boston-London: Artech House, 2003.
[6] B.W Lampson, "Protection," 5th Princeton
Symposium on Information Science and
Systems, 1974.
[7] E. Bertino et al, "An access control model
supporting periodicity constraints and temporal
reasoning," ACM Transactions on Database
Systems (TODS), vol. 23, no. 3, 1998.
[8] E. Bertino, P. Samarati, and S. Jajodia, "An
Extended Authorization Model for Relational
Databases," IEEE Trans. on Knowledge and
Data Engineeringg, vol. 9, no. 1, 1997.
[9] E. Bertino, S. Jajodia, and P. Samarati,
"Supporting Multiple Access Control Policies
in Database Systems," Proc. IEEE Symp. on
Securityty and Privacy, 1996.
[10] D. E. Bell and L. J. LaPadula, "Secure
Computer Systems: Mathematical Foundations
and Model," Technical Report ESD-TR-278,
MA: The Mitre Corporation, vol. 1, 1973.
[11] D. F. C. Brewer and M. J. Nash, "The Chinese
Wall Security Policy," Proc. IEEE Computer
Society Symposium on Research in Security
and Privacy, 1989.
[12] F.H. Lochovsky and C.C. Woo., "Role-Based
Security in Data Base Management Systems.
In DBSec," Proc. on Database Security: Status
and Prospects, pp. 209-222, 1988.
[13] M. Nyanchama and S. L. Osborn, "Access
Rights Administration in Role-Based Security
Systems," Proc. of the IMP WG11.3 Working
Conference on Database Security, 1994.
[14] M. Nyanchama and S. Osborn, "The role graph
model," Proc. of the first ACM Workshop on
Role-Based Access Control (RBAC95), 1995.
[15] M. Nyanchama and S. Osborn, "The Role
Graph Model and Conflict of interest," ACM
Transactions on Information and System
Security (TISSEC), vol. 2, no. 1, 1999.
[16] R. S. Sandhu et al, "Role-Based Access
Control Models," IEEE Computer, vol. 29, no.
2, 1996.
[17] D. F. Ferraiolo et al, "Proposed NIST standard
for Role-Based Access Control," ACM
Transactions on Information and System
Security, vol. 4, no. 3, pp. 224274, 2001.
[18] D. R. Kuhn, "Mutual Exclusion of Roles as a
Means of Implementing Separation of Duty in
Role-Based Access Control Systems," Proc.
2nd ACM Workshop on Role-Based Access
Control, 1997.
[19] J. Joshi et al, "A generalized temporal role-
based access control model," IEEE
Transactions on Knowledge and Data
Engineering, vol. 17, pp. 423, 2005.
[20] R. Thomas and R. Sandhu, "Task-based
Authorization Controls (TBAC): Models for
Active and Enterprise-Oriented Authorization
Management," Proc. of the IFIP Workshop on
Database Security, 1997.
[21] S. Oh and S. Park, "Task-role-based access
control model," Information Systems, vol. 28,
no. 6, 2003.
[22] R. K. Thomas, "Team-Based Access Control
(TMAC): A Primitive for Applying Role-
Based Access Controls in Collaborative
Environments," Proc. of the Second ACM
workshop on Role-based Access Control, 1997.
[23] C. K. Georgiadis et al, "Flexible Team-Based
Access Control Using Contexts," in Sixth ACM
Symposium on Access Control Models and
Technologies, Chantilly, VA, USA, 2001.
[24] R. Sandhu and V. Bhamidipati, "The ASCAA
Principles for Next-Generation Role-Based
Access Control," in Proc. 3rd International
Conference on Availability, Reliability and
Security (ARES), 2008.
[25] Z. Zhai and J. Wang, "Next Generation Role-
Based Access Control Model," Journal of
Computational Inf. Systems, vol. 7, no. 6, 2011.
[26] A. Kern et al, "Observations on the role life-
cycle in the context of enterprise security
management," Proc. of the 7th ACM
Symposium on Access Control Models and
Technologies, pp. 4351, 2002.
[27] Heiko Klarl et al, "Extending Role-based
Access Control for Business Usage," Third
International Conference on Emerging Secu-
rity Information, Systems and Technologies,
2009.
[28] M. Weske, Business Process Management
Concepts, Languages, Architectures: Springer,
2007.
[29] D. R. Kuhn, E. J. Coyne, and T. R. Weil,
"Adding Attributes to Role-Based Access
Control," IEEE Computer, vol. 43, no. 6, pp.
79-81, June 2010.
[30] J. Zhu and W.W. Smari, "Attribute Based
Access Control and Security for Collaboration
Environments," in IEEE National Aerospace
and Electronics Conference (NAECON), 2008.
[31] S. I. Gavrila and J. F. Barkley, "Formal
specification for role based access control
user/role and role/role relationship
management," Proc. of Third ACM Workshop
on Role-Based Access Control, 1998.
[32] R. Sandhu, V. Bhamidipati, and Q. Munawer,
"The ARBAC97 Model for Role-Based
Administration of Roles," ACM Transactions
on Information and System Security, vol. 2, no.
1, 1999.
[33] R. Sandhu and Q. Munawer, "The ARBAC99
Model for Administration of Roles," Proc. of
15th Annual Computer Security Application
Conference,., 1999.
[34] S. Oh and R. Sandhu, "A Model for Role
Administration Using Organization Structure,"
Proc. of the 7th ACM Symposium on Access
Control Models and Technologies, 2002.
[35] J. Crampton and G. Loizou, "Administrative
Scope: A Foundation for Role-Based
Administrative Models," ACM Transactions on
Information and System Security, vol. 6, no. 2,
2003.
[36] Y. Zhang and J.B.D. Joshi, "SARBAC07: a
scoped administration model for RBAC with
hybrid hierarchy," IAS 07: Proceedings of the
3rd International Symposium on Information
Assurance and Security, pp. 149154, 2007.
[37] D. Ferraiolo et al, "The Role Control Center:
Features and Case Studies," Proc. of the 8th
ACM Symposium on Access Control Models
and Technologies (SACMAT'03), 2003.
[38] L. Fuchs, G. Pernul, and R. Sandhu, "Roles in
information security: A survey and
classification of the research area," Computers
& Security, vol. 30, no. 8, pp. 748769, 2011.
[39] D.G. Park and Y.R. Lee, "The ET-RBAC
based privilege management infrastructure for
wireless networks," Proc. of the 4th
International Conference on E-commerce and
Web Technologies, 2003, pp. 8493.
[40] E. Tomur and Y.M. Erten, "Application of
temporal and spatial role-based access control
in 802.11 wireless networks," Computers &
Security, vol. 25, pp. 452458, 2006.
[41] A. Mathur, S. Kim, and M. Stamp, "Role based
access control and the JXTA peer-to-peer
framework," Security and Management, pp.
390398, 2006.
[42] H. Sun, W. Zhao, and J. Yang, "SOAC: A
conceptual model for managing service-
oriented authorization," in SCC10: Proc. of
the IEEE International Conference on Services
Computing, IEEE Computer Society, 2010.
[43] S. Liu and H. Huang, "Role-based access
control for distributed COOPERATION
environment," in International Conference on
Computational Intelligence and Security, vol.
2, 455-459, 2009.
[44] T. Ahmed and A.R. Tripathi, "Security policies
in distributed CSCW and workflow systems,"
IEEE Transactions on Systems, Man, and
Cybernetics, Part A:Systems and Humans, vol.
40, no. 6, pp. 1220-1231, 2010.
[45] J. Wainer, A. Kumar, and P. Barthelmess,
"DW-RBAC: a formal security model of
delegation and revocation in workflow
systems," Information Systems, vol. 32, pp.
365384, 2007.
[46] X. Huang et al., "Privacy of value-added
context-aware service cloud," in
CloudCom09: Proc. of the 1st International
Conference on Cloud Computing, 2009, pp.
547552.
[47] E. Bertino et al, "GEO-RBAC: a spatially
aware RBAC," in Proc. of the tenth ACM
symposium on Access control models and
technologies, 2005, pp. 29-37.
[48] M.S. Kirkpatrick, G. Ghinita, and E. Bertino,
"Privacy-Preserving Enforcement of Spatially
Aware RBAC," IEEE Transactions on
Dependable & Secure Computing, vol. 9, no. 5,
2012.
[49] B. Carminat, E. Ferrari, and K.-L. Tan,
"Enforcing access control over," in Proc. of
12th ACM Symp. on Acccess Control Models
and Technologies (SACMAT), 2007, pp. 21-30.
[50] R.P. Padhy, M.R. Patra, and S.C. Satapathy,
"RDBMS to NoSQL: Reviewing Some Next-
Generation Non-Relational Databases,"
International Journal of Advanced Engineering
Science and Technologies, vol. 11, no. 1, 2011.
[51] L. Okman et al, "Security Issues in NoSQL
Databases," in Trust, Security and Privacy in
Computing and Communications (TrustCom),
2011 IEEE 10th International Conference on,
2011, pp. 541-547.