El control de acceso basado en roles (RBAC) ha sido criticado por la dificultad de establecer una estructura de roles inicial y por la inflexibilidad en dominios que cambian rápidamente. Una solución RBAC pura puede proporcionar soporte inadecuado para atributos dinámicos@ como la hora del día@ que podrían necesitar ser considerados al determinar los permisos de usuario. Este estándar RBAC mejorado por políticas (al que se hará referencia como RPE) proporciona un marco y especificaciones funcionales para manejar la relación entre roles y restricciones dinámicas. Algunas de las ventajas administrativas y de revisión de permisos de usuario de RBAC se conservan y al mismo tiempo permiten que el sistema de control de acceso funcione en un entorno que cambia rápidamente. El RPE define el alcance y el contexto para rol-rol@ usuario-rol@ y restricciones dinámicas sensibles a atributos que se pueden implementar en un entorno de tiempo de ejecución. Este estándar define las áreas funcionales de las interfaces de política externa @ el motor RBAC @ y los mecanismos de restricción dinámica mejorados del modelo de referencia mejorado por políticas RBAC. Se han incluido interfaces adicionales para proporcionar visibilidad del sistema para la verificación de integridad (Interfaz de implementación e interoperabilidad RBAC) y monitoreo de auditoría del modelo de control de acceso RPE. Estas características del RPE amplían las restricciones dinámicas del RBAC (INCITS 359-2012) @ que enfatizan principalmente las funciones de separación de funciones (SoD). El RPE permite que las políticas externas (reglas y datos) implementen restricciones en los componentes de roles principales dentro del modelo de referencia RBAC base (INCITS 359-2012) y definan restricciones dinámicas que se pueden aplicar a los usuarios@ roles@ operaciones@ objetos@ y permisos. Estas mejoras se definen a través de varios mecanismos, incluido un algoritmo del motor RBAC@ que admite funciones del sistema para el motor RBAC@, una interfaz de política de seguridad externa y las definiciones de operaciones y primitivas de restricción dinámica. Estas características combinadas permiten que el RPE defina e implemente las condiciones de privilegios mínimos (autorización detallada) necesarias para adaptar el modelo de referencia RBAC base a varios atributos y restricciones dinámicas. Ampliando las restricciones estáticas de RBAC (INCITS 359-2012)@, el RPE también define restricciones estáticas@ que consisten en restricciones rol-rol@ permiso-permiso@ permiso-rol@ y restricciones de rol de usuario. Las restricciones estáticas son restricciones que entran en vigor antes del tiempo de ejecución y se aplican mediante procesos administrativos. El Anexo informativo A proporciona referencias para este documento. El Anexo informativo B presenta la tabla de Funciones de Gestión del Estándar de Implementación e Interoperabilidad (RIIS) @ RBAC que son comandos para revisar el estado del Motor RBAC descrito en este trabajo.
INCITS 494-2012 Historia
2012INCITS 494-2012 Tecnología de la información – Control de acceso basado en roles – Mejorado por políticas