Você está na página 1de 2

tener dominios traslapados, por ejemplo, cuando un recursos es

compartido por diferentes departamentos (ver Figura 3). La


implementación de RBAC en sistemas distribuidos no es la base de
esta elección. Por ejemplo, la politica administrativa descrita en la
Figura 3 no es admitida por el modelo de dominios administrativos
de Wang y Osborn. En su modelo, los dominios administrativos de
una funcion sqanusr solo puede ser asignada a un administrador de
dominios, el cual tambien tiene privilegios administrativos sobre
ehrsta y orsta. Aunque coincidimos que podria haber
configuraciones prácticas donde los dominios administrativos
podrian ser utiles, no adoptamos tales restricciones aquí.
Muy relacionado es el trabajo de Crampton y Loizou [5], quienes
Figura 6: Soporte de las politicas para diferentes privilegios
definen el concepto de ámbito administrativo. Básicamente una
administrativos
función r esta en el ámbito de aplicación de un papel r' si no hay un
papel por encima de r que no es comparable a r'. Muestran cómo el
contenga (↑ϕ v) U (↓ϕ v') i. e las partes de ϕ necesarias para
ámbito administrativo se puede utilizar para limitar a las
ejecutar los mensajes de comandos descritos en la sección 4. delegaciones a evolucionar en una progresión natural en la
Llamamos a ( (↑ϕ v) U (↓ϕ v') ), en el ejemplo, el soporte a las jerarquia de papeles. Los ámbitos administrativos pueden ser
politicas de los privilegios administrativos (v, v'). Basicamente, utilizados como base para la política de distribución, pero esto no
el soporte a las politicas de los privilegios administrativos asegura produce los solidos y completos procedimientos administrativos
que un subsistema administrativo puede ejecutar operaciones definidos en nuestro modelo.
administrativas, y propagar las partes adicionales de ϕ a los demas Del mismo modo, en el modelo ERBAC propuesto por Kern et
subsistemas. A continuación mostramos un ejemplo de soporte de al. se utilizan los ámbitos para definir sobre cuales objetos RBAC
la politica. el administrador tiene autoridad [9]. El modelo ERBAC se centra
en la administración de políticas RBAC en una empresa comercial
Ejemplo 6. La Figura 6 muestra el soporte de la politicas de dos de software de seguridad. Aunque se ha verificado ERBAC contra
privilegios administrativos. Los bordes de las areas marcadas con un caso de negocios que involucra a una empresa con múltiples
I forman la politica soporte del privilegio (ernurse, dbusr), y sitios remotos, el objetivo principal del componente administrativo
aquellas marcadas con II la politica de soporte del privilegio  de ERBAC es permitir la delegación de la autoridad administrativa,
(ornurse, sqanusr). y no se ocupa de la cuestión de la distribución (piezas) de las
políticas de RBAC una manera adecuada.
Es claro ahora el como un procedimiento de administración Li y Mao diseñan tres principales requerimientos (felxibilidad y
correcto y eficiente puede ser definido con este modelo. Depende escalabilidad, aceptabilidad psicologica, economia de mecanismos)
del mapeo de privilegios administrativos pm° como sigue: un y los analiza en diferentes modelos administrativos existentes, y
subsistema administrativo sa debe enviar una actualización a otro diseñaron UARBAC, una nueva familia de modelos. Como se
subsistema administrativo sb cada vez que el soporte a la politicas mencionó previamente, ninguno de los modelos antes mencionados
de privilegios administrativos relevantes de sb cambie. manejan la cuestion de la distribución (administrativa) de politicas
en todo el sistema.
7. Trabajo relacionado. Algo relacionado con nuestro trabajo es el articulo escrito por
La administración de politicas RBAC es un tema que atrae Bhamidi-pati y Sandhu en el cual se discute como RBAC puede ser
considerable atención de la comunidad de investigación . En usado en diferentes arquitecturas con multiples servidores en una
particular, hay mucha literatura de como escoger politicas de red[3]. Se enfocan en las capacidades de los servidores,
admnistración (informalmente, de las funciones que una autoridad especificamente en si el RBAC es o no soportado, y trata la
debe tener para cambiar una politica RBAC) [2, 4, 5, 6, 7, 11, 14, jerarquia de funciones como un servicio central. Por otra parte en
16, 18, 19]. Las consideraciones que motivan la elección de esta nuestro modelo disntiguimos cuales cambios a las politicas son
propuesta es diversa. Crampton y Loizou, por ejemplo motivan su relevantes, y no actualizamos a los subsistemas con cambios
elección considerando la responsabilidad en la jerarquia de la irrelevantes a las politicas. DRBAC es un mecanismo de
organización [5], mientras que Li y Mao consideran for ejemplo la administración descentralizada y control de acceso para sistemas
flexibilidad, y la aceptación sicologica [11]. Pero ninguna de estas que abarcan múltiples sistemas administrativos [8]. Esta dirigido a
propuestas describe como distribuir las politicas RBAC en un configuraciones donde organizaciones independientes forman
sistema distribuido, de un modo correcto y eficiente (lo cual es el coaliciones dinámicas. Configuraciones similares también son
alcance de este articulo). Ahora consideramos alguna de estas manejadas por los modelos TM que se discuten adelante. En
propuestas en mas detalle. Wang y Osborn [17] introducen dRBAC, las politicas locales en un dominio administrativo pueden
dominios administrativos para grafos de funciones, una clase de ser usadas en otro dominio; además dRBAC no maneja el tema de
politica RBAC con una unica y mas baja funcion y la mas alta distribucion de politicas (eficientemente) en todos los sistemas
función, llamadas mainrole y maxrole respectivamente. Cada dentro de un dominio administrativo. La administración basada en
dominio administrativo es definido por una función y contiene funciones (TM por sus siglas en Inglés)[12] y los sistemas de
todas las funciones debajo de ella, execpto al minrole. Los distribución de certificados, tales como SDSI[13], estan
dominios administrativos pueden no traslaparse, a menos que un remotamente relacionados con las lineas de investigación. En estos
dominio incluya al otro completamemte. Wamg y Osborn justifican sistemas, cierto numero de agentes intercambian sentencias de
esta restricción argumentando que no deberia permitirse que seguridad y pueden crear jerarquias similares a aquellas usadas en
diferentes administradores de dominios efectuan cambios a las RBAC. La expedición de credenciales TM corresponde a los
mismas funciones. Por otro lado tambien destacan que esta es una comandos administrativos de en RBAC. Sin embargo, en TM
desventaja de su modelo, argumentando de que en la práctica uno generalmente se presume que los usuarios tienen la libertad de
podria querer - ejecutar los comandos de seguridad, mientras que el enfoque está -
en si se debe confiar en tales comandos (lo que implica algun [6] M. A. C. Dekker, J. Cederquist, J. Crampton, and S. Etalle.
calculo de confianza por parte del receptor de tales comandos). En Extended privilege inheritance in RBAC. In Proceedings of the
RBAC esta presunción es inapropiada, puesto que los cambios a la 2007 ACM Symposium on Information, Computer and
politica son explicitamente resguardados por los privilegios Communications Security (ASIACCS), pages 383-385. ACM
administrativos. El tema central de este articulo, es, asegurar que Press, 2007.
los usuarios pueden ejecutar las acciones que se les permite, sin [7] D. F. Ferraiolo, D. R. Kuhn, and R. Chandramouli. Role-based
tener que transmitir la politica de seguridad completa, también ha Access Control. Computer Security Series. Artech House, 2003.
sido investigada en TM. En algunos modelos de TM se espera que [8] E. Freudenthal, T. Pesin, L. Port, E. Keenan, and V.
el usuario recolecte las credenciales necesarias para acceder por si Karamcheti. dRBAC: Distributed role-based access control for
mismo. En otros se usan algoritmos de descubrimiento de cadenas dynamic coalition environments. In Proceedings of the 22nd
de credenciales, los cuales son procedimientos automaticos para International Conference on Distributed Computing Systems
recuperar credenciales extraviadas. En este articulo describimos un (ICDCS), pages 411-420, IEEE Computer Society Press, 2002.
modelo que que previene situaciones donde las definiciones de las [9] A. Kern, A. Schaad, and J. Moett. An administration concept for
politicas deben ser recuperadas ad-hoc por un subsistema, the enterprise role-based access control model. In Proceedings of
empujando a los subsistemas interesados a efectuar los cambios en the 8th ACM Symposium on Access Control Models and
las politicas. Technologies (SACMAT), pages 3-11, 2003.
[10] N. Li, J. Byun, and E. Bertino. A critique of the ANSI standard
on role based access control. IEEE Security and Privacy, pages
8. CONCLUSION 1540-7993.
A pesar de la abundante literatura en la administración de politicas [11] N. Li and Z. Mao. Administration in role-based access control.
RBAC [5, 7, 14, 17], no existe una propuesta para la adminitración In Proceedings of the 2007 ACM Symposium on Information,
RBAC en sistemas distribuidos. En este articulo, llenamos ese Computer and Communications Security (ASIACCS), pages 127-
vacio: presentamos un modelo para la implementacion de una 138. ACM Press, 2007.
norma RBAC común en un sistema distribuido. Nos enfocamos en [12] N. Li, W. H. Winsborough, and J. C. Mitchell. Distributed
los requerimientos formales para tal implementacion, y credential chain discovery in trust management: extended abstract.
proponemos un procedimiento de administración para el despliegue In Proceedings of the 8th ACM Conference on Computer and
de los cambios a las politicas en todo el sistema distribuido, lo cual Communications Security (CCS), pages 156-165. ACM Press,
es eficiente y preserva los requerimientos formales. Un punto clave 2001.
de nuestro modelo es el mapeo de privilegios, el cual captura la [13] R. L. Rivest and B. Lampson. SDSI - A simple distributed
idea de que diferentes sistemas protegen diferentes objetos. Para security infrastructure. Presented at CRYPTO'96 Rump session,
demostrar como el procedimiento puede ser implementado en la 1996.
práctica, traducimos nuestro procedimiento a seudocódigo práctico, [14] R. S. Sandhu, V. Bhamidipati, and Q. Munawer. The
y finalmente también indicamos como extender nuestro modelo ARBAC97 model for role-based administration of roles. ACM
para cubrir las configuraciones de múltiples sistemas operativos, Transactions on Information and System Security (TISSEC),
los cuales son más que comunes en la práctica. 2(1):105-135, 1999.
[15] R. S. Sandhu, E. J. Coyne, H. L. Feinstein, and C. E. Youman.
Role-based access control models. IEEE Computer, 29(2):38-47,
Agradecimientos. 1996.
Nos gustaria agradecer a los revisores anonimos por sus valiosos [16] J. Wainer and A. Kumar. A ne-grained, controllable, user-to-
comentarios. Agradecemos a Jan Cederquist por sus discusiones user delegation method in RBAC. In Proceedings of the 10th ACM
en los primeros borradores de este articulo. Marnix Dekker fue Symposium on Access Control Models and Technologies
financiado por TNO y SenterNovem por medio del proyectoIOP (SACMAT), pages 59-66. ACM Press, 2005.
Gencom PAW. Sandro Etalle fue parcialmente financiado por los [17] H. Wang and S. L. Osborn. An administrative model for role
proyectos EU-Serenity, y EU-NOE-ARTIST2. graphs. In Proceedings of the IFIP TC-11 WG 11.3 Annual
Working Conference on Data and Application Security (DBSec),
9. REFERENCIAS pages 302-315. Kluwer, 2003.
[1] RBAC Standard, ANSI INCITS 359-2004, 2004. [18] L. Zhang, G. Ahn, and B. Chu. A rule-based framework for
[2] E. Barka and R. S. Sandhu. Framework for role-based role-based delegation and revocation. ACM Transactions on
delegation models. In Proceedings of the 16th Annual Computer Information and System Security (TISSEC), 6(3):404-441, 2003.
Security Applications Conference (ACSAC), pages 168-176. IEEE [19] X. Zhang, S. Oh, and R. S. Sandhu. PBDM: a flexible
Computer Society Press, 2000. delegation model in RBAC. In Proceedings of the 8th ACM
[3] V. Bhamidipati and R. Sandhu. Push architectures for user role Symposium on Access Control Models and Technologies
assignment. In Proceedings of the 23rd National Information (SACMAT), pages 149-157. ACM Press, 2003.
Systems Security Conference (NISSC), pages 89-100, 2000.
[4] J. Crampton and H. Khambhammettu. Delegation in role-based
access control. In Proceedings of the 11th European Symposium on
Research in Computer Security (ESORICS), LNCS, pages 174-
191. Springer, Berlin, 2006.
[5] J. Crampton and G. Loizou. Administrative scope: A foundation
for role-based administrative models. ACM Transactions on
Information System Security (TISSEC), 6(2):201-231, 2003.