Loading…
Rollenbasierte Zugriffskontrollsysteme (RBAC) sind als Basis fü̈r ein effizientes Autorisierungssystem weit verbreitet. Diese Arbeit beschreibt einen Modellierungsansatz, der eine Identitä̈ts-, eine Struktur-, eine Anwendungs- und eine Organisationssicht voneinander trennt, um so zu einer Verteilung von Verantwortlichkeiten zu kommen. Ferner wird ein Entwurfsverfahren fü̈r die Rollenmodellierung entwickelt, das fü̈r eine verteilte Administration geeignet ist und den Qualifizierungsaufwand sowie die Fehleranfälligkeit bei der Rollenmodellierung minimiert. Der Entwurfsprozess kombiniert Ansätze der agilen Softwareentwicklung mit Role-Engineering-Methoden und kann komplett EDV-gestützt implementiert werden. Ein Rollenmodell dient der Strukturierung von Rollen und kann wie ein Softwaremodell behandelt werden kann. So wird beleuchtet, wie Erkenntnisse aus der Softwareentwicklung auf den Entwurf von Rollenmodellen übertragbar sind. Das vom eXtreme Programming (XP) abgeleitete Rollenentwurfsverfahren eXtreme Role-Engineering (xRE) wird ebenso wie die Anwendung von Mustern und die Modellierung über verschiedene Sichten (Views) in dieser Arbeit erö̈rtert. Das in der Software-Entwicklung weit verbreitete Konzept der Entkopplung wird auf die Organisationsstruktur und auf die Anwendungs- und Geschä̈ftslogik angewandt. Die durch eine Zentralisierung entstehenden Nachteile, wie Verfolgbarkeit aller Benutzeraktionen und zentrale Datensammlungen kö̈nnen durch konsequente Anwendung von Methoden der mehrseitigen Sicherheit reduziert werden. Die Anwendung dieser Methodik wird am Beispiel der Authentisierung mit Smartcards, einem Modell zur nicht verfolgbaren Autorisierung sowie zur Protokollierung für verschiedene Rollen gezeigt. Teile des in der Arbeit entwickelten Systems sind an der Technischen Universität Berlin seit einigen Jahren mit mehreren tausend Benutzern im produktiven Einsatz. Die beim Einsatz des Systems gesammelten Erfahrungen sind in die umfangreiche experimentelle Evaluation eingeflossen. Dieser Anwendungsfall zeigt die Nutzbarkeit der beschriebenen Methoden und Verfahren und bietet ferner eine Plattform für weiterführende Forschung und Entwicklung auf dem Gebiet.
Role-based access control systems as a base for efficient authorization is widely used. This work describes a model, that divides different views, such as identity, structure, user and organization to lead to a separation of duty. A role-engineering process is also developed. This is suitable for shared administration and minimizes the costs for qualification as well as it reduces error-proneness during role modeling. The engineering process combines agile software development with role-engineering methods and can be implemented completely computer aided. A role model is a model that can be treated like a software model. This work presents ways to transfer knowledge gained from software-engineering onto role-modeling. Derived from eXtreme programming (XP) is the eXtreme role-engineering (xRE) process. xRE as well as the use of patterns and views-orientated modeling are discussed here. Uncoupling is largely used in software development and is herein applied for the organization-, the user- and business-structure. Drawbacks arising from centralization, as traceability of user actions and central data collections, can be avoided by following the methods of multilateral security consequently. Authentication via smart-cards, a model for non-traceable authorization and logging, for different roles show the usage of this methodology exemplary. Major parts of the system developed within this work are used daily at the Technische Universität Berlin by many thousand users since a couple of years. The gain in experience using this system led to an extensive experimental evaluation. This case demonstrates the suitability of the developed methods and processes and offers a stage for continuing research and development in this field.
