ITEM METADATA RECORD
Title: Uniform and Modular Context-Based Access Control for Software Applications (Uniforme en modulaire contextgebaseerde toegangscontrole voor software toepassingen)
Other Titles: Uniform and Modular Context-Based Access Control for Software Applications
Authors: Verhanneman, Tine
Issue Date: 8-Mar-2007
Abstract: De tendens van een almaar prominentere computerisatie van onze samenlevi ng manifesteert zich, bijvoorbeeld, in de ontwikkeling van toepassingen voor de overheid en gezondheidszorg. We dienen echter voor ogen te houde n dat deze computerisatie niet alleen aanleiding geeft tot een grotere a utomatisatie en efficientie, maar ook het risico op misbruik op grote sc haal verhoogt. Het is daarom cruciaal dat deze toepassingen beveiligd wo rden door alleen correct gebruik toe te staan. Dit correct gebruik wordt gespecificeerd in een beleid dat vastlegt wanneer een toegang tot een o bject (zoals data of functionaliteit) moet worden ingewilligd of geweige rd. Dit beleid wordt afgedwongen door middel van toegangscontrole. De ge voeligheid van de data die wordt verwerkt, is doorgaans zo hoog dat toeg ang tot deze data gelimiteerd moet worden tot het strikte minimum. Het a fdwingen van een expressief toegangscontrolebeleid wordt des te cruciale r naarmate de organisatie de interne infrastructuur ter beschikking stel t aan buitenstaanders, zoals bijvoorbeeld klanten en leveranciers. Om ee n dergelijk expressief beleid te kunnen afdwingen, dient de gebruikte to egangscontroletechnologie ondersteuning te bieden voor contextgebaseerde toegangscontrole, waarbij een toegangscontrolebeslissing wordt genomen op basis van informatie omtrent de context van de toegangsaanvraag. Voor beelden van contextinformatie zijn de toestand waar de toepassing zich i n bevindt, en de omstandigheden waarin een toegang wordt aangevraagd. De complexiteit en de grootschaligheid van huidige software systemen maakt het moeilijk een toegangscontrolebeleid op uniforme wijze af te dwingen in de toepassingen die draaien binnen de organisatie. Bovendien wordt d eze uniformiteit ondermijnd door een voortdurende evolutie van het toega ngscontrolebeleid en de toegangscontrolelogica. Toegangscontroletechnolo gieen dienen ondersteuning te bieden voor een aanpasbare toegangscontrol e om tegemoet te komen aan de veranderlijke vereisten. Een evaluatie van state-of-the-art technologieen toont aan dat deze technologieen er niet in slagen om een contextgebaseerd beleid op een uniforme en aanpasbare manier af te dwingen. Aan de basis hiervan ligt het onvermogen om het af dwingen van een contextgebaseerd beleid te modulariseren. De oplossing die wij voorstellen, kan worden beschreven in termen van vo lgende twee contributies, namelijk (1) de definities van de concepten ac cess interface en view connector, en (2) de ontwikkeling van een toegang scontroledienst. Een access interface ondersteunt het afdwingen van een contextgebaseerd toegangscontrolebeleid op een uniforme en gecentraliseerde manier in een aantal toepassingen. Deze access interface is een voorstelling van een domeinmodel in termen van de voor toegangscontrole gebruikelijke abstrac ties object - principaal - actie en omvat enkel de informatie die nodig is om het toegangscontrolebeleid te formuleren. Voor elke toepassing wor dt dan een view connector gespecificeerd, die de access interface bindt aan de toepassing. Op basis van deze concepten, hebben we een toegangscontroledienst ontwik keld die een contextgebaseerd toegangsbeleid afdwingt met behulp van asp ectorientatie. Onze bevinding is dat de ondersteuning die aspectgeorient eerd software ontwikkeling (Aspect-Oriented Software Development (AOSD)) biedt om een doorsnijdend aspect te modulariseren, nuttig en nodig is v oor het modulariseren van het toegangscontroleaspect. Deze bevinding wor dt ondersteund door twee prototypes, die respectievelijk gebaseerd zijn op het AOSD-raamwerk JAC (Java Aspects Components) en de aspecttaal Caes arJ. Ten derde, werd ook een lijst opgesteld met evaluatiecriteria voor toega ngscontroletechnologieen en werd onze aanpak geevalueerd aan de hand van deze criteria.
Table of Contents: 1 Introduction
1.1 Access Control Challenges for Contemporary Distributed Applications
1.2 Separation of Concerns for Access Control Enforcement
1.3 Overview of the Chapters

2 Context-Based Access Control for Medical Applications
2.1 Introduction
2.2 Legislation
2.2.1 European Data Privacy Directive
2.2.2 US Health Insurance Portability and Accountability Act
2.3 Security Principles and Challenges for Health Care Systems
2.3.1 Organizational Measures
2.3.2 Technical Measures
2.3.3 Authorization
2.3.4 Principles addressed in this Thesis
2.4 A Representative Health Care Access Control Policy
2.5 Context-Based Access Control for Health Care
2.6 Conclusion

3 Evaluation of State-of-the-Art Access Control Technologies
3.1 Access Control Policies and Models
3.1.1 Access Control Policies
3.1.2 Access Control Management
3.1.3 Access Control Information
3.2 Access Control Architecture and Mechanism
3.2.1 Access Control Functions
3.2.2 Access Control Software Decomposition
3.2.3 Overview of an Access Control Enforcement Architecture
3.3 Evaluation Criteria for Access Control Technologies
3.3.1 Expressiveness
3.3.2 Evolution
3.3.3 Uniformity
3.4 State-of-the-Art Access Control Technologies
3.4.1 Java Authentication and Authorization Service
3.4.2 Java 2 Enterprise Edition
3.4.3 COM+ and .NET
3.4.4 CORBA Security Service
3.4.5 Tivoli Access Manager
3.4.6 Summary
3.5 Conclusion

4 Uniform Enforcement of Evolving Application-Domain-Specific Policies
4.1 Overview of the Approach
4.2 Access Interface
4.2.1 A Health Care-Specific Access Interface Example
4.2.2 Access Interface Syntax
4.2.3 Access Interface Semantics
4.3 View Connector
4.3.1 View Connector for a Health Care Application
4.3.2 View Connector Specification Syntax
4.3.3 View Connector Semantics
4.4 Discussion
4.4.1 Evaluation
4.4.2 Realization of the View Connector
4.4.3 Implementation Alternatives and Extensions
4.5 Conclusion

5 A Modular Access Control Service for Application-Domain-Specific Policies
5.1 Aspect-Oriented Software Development
5.2 Access Control Service Overview
5.3 Prototype Implementation in Java Aspect Components
5.3.1 Java Aspect Components
5.3.2 Design of the JAC Prototype
5.3.3 Discussion
5.4 Prototype Implementation in CaesarJ
5.4.1 CaesarJ
5.4.2 Pluggable Authentication Module Framework
5.4.3 Implementation of the Access Control Service
5.4.4 Discussion
5.5 Conclusion

6 Evaluation and Related Work
6.1 A Thorough Evaluation of the Access Control Service
6.1.1 Expressiveness
6.1.2 Policy Management
6.1.3 System Evolution
6.1.4 Scalability
6.1.5 Assurance
6.1.6 Conclusion
6.2 Applicability
6.3 Positioning in a Broader Perspective
6.3.1 Security Engineering
6.3.2 Policy Languages and Frameworks
6.3.3 AOSD and the Security Concern
6.3.4 Policy Enforcement Mechanisms
6.3.5 Context-Based Access Control

7 Conclusion
7.1 Contributions
7.2 Conclusion
7.3 Future Work

Bibliography
List of Publications
Biography
Dutch Summary
ISBN: 978-90-5682-780-9
Publication status: published
KU Leuven publication type: TH
Appears in Collections:Informatics Section

Files in This Item:
File Description Status SizeFormat
PHD_TineVerhanneman.pdf Published 1130KbAdobe PDFView/Open

 


All items in Lirias are protected by copyright, with all rights reserved.