tener dominios traslapados, por ejemplo, cuando un recursos es
compartido por diferentes departamentos (ver Figura 3). La
Figura 6: Soporte de las politicas para diferentes privilegios
administrativos
contenga (↑ϕ v) U (↓ϕ v') i. e las partes de ϕ necesarias para
ejecutar los mensajes de comandos descritos en la sección 4.
Llamamos a ( (↑ϕ v) U (↓ϕ v') ), en el ejemplo, el soporte a las
politicas de los privilegios administrativos (v, v'). Basicamente,
el soporte a las politicas de los privilegios administrativos asegura
que un subsistema administrativo puede ejecutar operaciones
administrativas, y propagar las partes adicionales de ϕ a los demas
subsistemas. A continuación mostramos un ejemplo de soporte de
la politica.
Ejemplo 6. La Figura 6 muestra el soporte de la politicas de dos
privilegios administrativos. Los bordes de las areas marcadas con
I forman la politica soporte del privilegio (ernurse, dbusr), y
aquellas marcadas con II la politica de soporte del privilegio 
(ornurse, sqanusr).
Es claro ahora el como un procedimiento de administración
correcto y eficiente puede ser definido con este modelo. Depende
del mapeo de privilegios administrativos pm° como sigue: un
subsistema administrativo sa debe enviar una actualización a otro
subsistema administrativo sb cada vez que el soporte a la politicas
de privilegios administrativos relevantes de sb cambie.
7. Trabajo relacionado.
La administración de politicas RBAC es un tema que atrae
considerable atención de la comunidad de investigación . En
particular, hay mucha literatura de como escoger politicas de
admnistración (informalmente, de las funciones que una autoridad
debe tener para cambiar una politica RBAC) [2, 4, 5, 6, 7, 11, 14,
16, 18, 19]. Las consideraciones que motivan la elección de esta
propuesta es diversa. Crampton y Loizou, por ejemplo motivan su
elección considerando la responsabilidad en la jerarquia de la
organización [5], mientras que Li y Mao consideran for ejemplo la
flexibilidad, y la aceptación sicologica [11]. Pero ninguna de estas
propuestas describe como distribuir las politicas RBAC en un
sistema distribuido, de un modo correcto y eficiente (lo cual es el
alcance de este articulo). Ahora consideramos alguna de estas
propuestas en mas detalle. Wang y Osborn [17] introducen
dominios administrativos para grafos de funciones, una clase de
politica RBAC con una unica y mas baja funcion y la mas alta
función, llamadas mainrole y maxrole respectivamente. Cada
dominio administrativo es definido por una función y contiene
todas las funciones debajo de ella, execpto al minrole. Los
dominios administrativos pueden no traslaparse, a menos que un
dominio incluya al otro completamemte. Wamg y Osborn justifican
esta restricción argumentando que no deberia permitirse que
diferentes administradores de dominios efectuan cambios a las
mismas funciones. Por otro lado tambien destacan que esta es una
desventaja de su modelo, argumentando de que en la práctica uno
podria querer -
implementación de RBAC en sistemas distribuidos no es la base de
esta elección. Por ejemplo, la politica administrativa descrita en la
Figura 3 no es admitida por el modelo de dominios administrativos
de Wang y Osborn. En su modelo, los dominios administrativos de
una funcion sqanusr solo puede ser asignada a un administrador de
dominios, el cual tambien tiene privilegios administrativos sobre
ehrsta y orsta. Aunque coincidimos que podria haber
configuraciones prácticas donde los dominios administrativos
podrian ser utiles, no adoptamos tales restricciones aquí.
Muy relacionado es el trabajo de Crampton y Loizou [5], quienes
definen el concepto de ámbito administrativo. Básicamente una
función r esta en el ámbito de aplicación de un papel r' si no hay un
papel por encima de r que no es comparable a r'. Muestran cómo el
ámbito administrativo se puede utilizar para limitar a las
delegaciones a evolucionar en una progresión natural en la
jerarquia de papeles. Los ámbitos administrativos pueden ser
utilizados como base para la política de distribución, pero esto no
produce los solidos y completos procedimientos administrativos
definidos en nuestro modelo.
Del mismo modo, en el modelo ERBAC propuesto por Kern et
al. se utilizan los ámbitos para definir sobre cuales objetos RBAC
el administrador tiene autoridad [9]. El modelo ERBAC se centra
en la administración de políticas RBAC en una empresa comercial
de software de seguridad. Aunque se ha verificado ERBAC contra
un caso de negocios que involucra a una empresa con múltiples
sitios remotos, el objetivo principal del componente administrativo
de ERBAC es permitir la delegación de la autoridad administrativa,
y no se ocupa de la cuestión de la distribución (piezas) de las
políticas de RBAC una manera adecuada.
Li y Mao diseñan tres principales requerimientos (felxibilidad y
escalabilidad, aceptabilidad psicologica, economia de mecanismos)
y los analiza en diferentes modelos administrativos existentes, y
diseñaron UARBAC, una nueva familia de modelos. Como se
mencionó previamente, ninguno de los modelos antes mencionados
manejan la cuestion de la distribución (administrativa) de politicas
en todo el sistema.
Algo relacionado con nuestro trabajo es el articulo escrito por
Bhamidi-pati y Sandhu en el cual se discute como RBAC puede ser
usado en diferentes arquitecturas con multiples servidores en una
red[3]. Se enfocan en las capacidades de los servidores,
especificamente en si el RBAC es o no soportado, y trata la
jerarquia de funciones como un servicio central. Por otra parte en
nuestro modelo disntiguimos cuales cambios a las politicas son
relevantes, y no actualizamos a los subsistemas con cambios
irrelevantes a las politicas. DRBAC es un mecanismo de
administración descentralizada y control de acceso para sistemas
que abarcan múltiples sistemas administrativos [8]. Esta dirigido a
configuraciones donde organizaciones independientes forman
coaliciones dinámicas. Configuraciones similares también son
manejadas por los modelos TM que se discuten adelante. En
dRBAC, las politicas locales en un dominio administrativo pueden
ser usadas en otro dominio; además dRBAC no maneja el tema de
distribucion de politicas (eficientemente) en todos los sistemas
dentro de un dominio administrativo. La administración basada en
funciones (TM por sus siglas en Inglés)[12] y los sistemas de
distribución de certificados, tales como SDSI[13], estan
remotamente relacionados con las lineas de investigación. En estos
sistemas, cierto numero de agentes intercambian sentencias de
seguridad y pueden crear jerarquias similares a aquellas usadas en
RBAC. La expedición de credenciales TM corresponde a los
comandos administrativos de en RBAC. Sin embargo, en TM
generalmente se presume que los usuarios tienen la libertad de
ejecutar los comandos de seguridad, mientras que el enfoque está -
en si se debe confiar en tales comandos (lo que implica algun
calculo de confianza por parte del receptor de tales comandos). En
RBAC esta presunción es inapropiada, puesto que los cambios a la
politica son explicitamente resguardados por los privilegios
administrativos. El tema central de este articulo, es, asegurar que
los usuarios pueden ejecutar las acciones que se les permite, sin
tener que transmitir la politica de seguridad completa, también ha
sido investigada en TM. En algunos modelos de TM se espera que
el usuario recolecte las credenciales necesarias para acceder por si
mismo. En otros se usan algoritmos de descubrimiento de cadenas
de credenciales, los cuales son procedimientos automaticos para
recuperar credenciales extraviadas. En este articulo describimos un
modelo que que previene situaciones donde las definiciones de las
politicas deben ser recuperadas ad-hoc por un subsistema,
empujando a los subsistemas interesados a efectuar los cambios en
las politicas.
8. CONCLUSION
A pesar de la abundante literatura en la administración de politicas
RBAC [5, 7, 14, 17], no existe una propuesta para la adminitración
RBAC en sistemas distribuidos. En este articulo, llenamos ese
vacio: presentamos un modelo para la implementacion de una
norma RBAC común en un sistema distribuido. Nos enfocamos en
los requerimientos formales para tal implementacion, y
proponemos un procedimiento de administración para el despliegue
de los cambios a las politicas en todo el sistema distribuido, lo cual
es eficiente y preserva los requerimientos formales. Un punto clave
de nuestro modelo es el mapeo de privilegios, el cual captura la
idea de que diferentes sistemas protegen diferentes objetos. Para
demostrar como el procedimiento puede ser implementado en la
práctica, traducimos nuestro procedimiento a seudocódigo práctico,
y finalmente también indicamos como extender nuestro modelo
para cubrir las configuraciones de múltiples sistemas operativos,
los cuales son más que comunes en la práctica.
Agradecimientos.
Nos gustaria agradecer a los revisores anonimos por sus valiosos
comentarios. Agradecemos a Jan Cederquist por sus discusiones
en los primeros borradores de este articulo. Marnix Dekker fue
financiado por TNO y SenterNovem por medio del proyectoIOP
Gencom PAW. Sandro Etalle fue parcialmente financiado por los
proyectos EU-Serenity, y EU-NOE-ARTIST2.
9. REFERENCIAS
[1] RBAC Standard, ANSI INCITS 359-2004, 2004.
[2] E. Barka and R. S. Sandhu. Framework for role-based
delegation models. In Proceedings of the 16th Annual Computer
Security Applications Conference (ACSAC), pages 168-176. IEEE
Computer Society Press, 2000.
[3] V. Bhamidipati and R. Sandhu. Push architectures for user role
assignment. In Proceedings of the 23rd National Information
Systems Security Conference (NISSC), pages 89-100, 2000.
[4] J. Crampton and H. Khambhammettu. Delegation in role-based
access control. In Proceedings of the 11th European Symposium on
Research in Computer Security (ESORICS), LNCS, pages 174-
191. Springer, Berlin, 2006.
[5] J. Crampton and G. Loizou. Administrative scope: A foundation
for role-based administrative models. ACM Transactions on
Information System Security (TISSEC), 6(2):201-231, 2003.
[6] M. A. C. Dekker, J. Cederquist, J. Crampton, and S. Etalle.
Extended privilege inheritance in RBAC. In Proceedings of the
2007 ACM Symposium on Information, Computer and
Communications Security (ASIACCS), pages 383-385. ACM
Press, 2007.
[7] D. F. Ferraiolo, D. R. Kuhn, and R. Chandramouli. Role-based
Access Control. Computer Security Series. Artech House, 2003.
[8] E. Freudenthal, T. Pesin, L. Port, E. Keenan, and V.
Karamcheti. dRBAC: Distributed role-based access control for
dynamic coalition environments. In Proceedings of the 22nd
International Conference on Distributed Computing Systems
(ICDCS), pages 411-420, IEEE Computer Society Press, 2002.
[9] A. Kern, A. Schaad, and J. Moett. An administration concept for
the enterprise role-based access control model. In Proceedings of
the 8th ACM Symposium on Access Control Models and
Technologies (SACMAT), pages 3-11, 2003.
[10] N. Li, J. Byun, and E. Bertino. A critique of the ANSI standard
on role based access control. IEEE Security and Privacy, pages
1540-7993.
[11] N. Li and Z. Mao. Administration in role-based access control.
In Proceedings of the 2007 ACM Symposium on Information,
Computer and Communications Security (ASIACCS), pages 127-
138. ACM Press, 2007.
[12] N. Li, W. H. Winsborough, and J. C. Mitchell. Distributed
credential chain discovery in trust management: extended abstract.
In Proceedings of the 8th ACM Conference on Computer and
Communications Security (CCS), pages 156-165. ACM Press,
2001.
[13] R. L. Rivest and B. Lampson. SDSI - A simple distributed
security infrastructure. Presented at CRYPTO'96 Rump session,
1996.
[14] R. S. Sandhu, V. Bhamidipati, and Q. Munawer. The
ARBAC97 model for role-based administration of roles. ACM
Transactions on Information and System Security (TISSEC),
2(1):105-135, 1999.
[15] R. S. Sandhu, E. J. Coyne, H. L. Feinstein, and C. E. Youman.
Role-based access control models. IEEE Computer, 29(2):38-47,
1996.
[16] J. Wainer and A. Kumar. A ne-grained, controllable, user-to-
user delegation method in RBAC. In Proceedings of the 10th ACM
Symposium on Access Control Models and Technologies
(SACMAT), pages 59-66. ACM Press, 2005.
[17] H. Wang and S. L. Osborn. An administrative model for role
graphs. In Proceedings of the IFIP TC-11 WG 11.3 Annual
Working Conference on Data and Application Security (DBSec),
pages 302-315. Kluwer, 2003.
[18] L. Zhang, G. Ahn, and B. Chu. A rule-based framework for
role-based delegation and revocation. ACM Transactions on
Information and System Security (TISSEC), 6(3):404-441, 2003.
[19] X. Zhang, S. Oh, and R. S. Sandhu. PBDM: a flexible
delegation model in RBAC. In Proceedings of the 8th ACM
Symposium on Access Control Models and Technologies
(SACMAT), pages 149-157. ACM Press, 2003.