Um Modelo de Autorização Contextual para o Controle de Acesso Baseado em Papéis
Resumo
Este trabalho propõe um modelo de autorização contextual que estende e refina o modelo de referência para controle de acesso baseado em papéis do NIST (National Institute of Standards and Technology). O modelo suporta autorizações positivas e negativas, sobreposição de autorizações herdadas para definição de exceções, ativação automática de papéis, separação de responsabilidades estática e dinâmica baseadas em conflitos fortes e fracos entre papéis. Uma autorização contextual será positiva ou negativa de acordo com a avaliação uma regra de autorização. Tal regra é especificada como uma expressão lógica que relaciona informações ambientais (contextos) sobre o usuário corrente, momento e local de acesso, dentre outros dados que podem ser livremente programados e disponibilizados para definição de políticas de acesso mais complexas.
Referências
Ferraiolo, D. F.; Sandhu, R.; Gavrila, S.; Kuhn, D. R. e Chandramouli, R. "Proposed NIST Standard for Role-Based Access Control", ACM Transactions on Information and System Security 4, 3 (Agosto 2001), 224-274.
Joshi, J. B. D.; Aref, W. G.; Ghafoor, A. e Spafford, E. H. "Security Models for Web-Based Applications", Communications of the ACM 44, 2 (Fevereiro 2001), 38-44.
Motta, G. H. M. B. e Furuie, S. S. "Um Modelo de Autorização e Controle de Acesso para o Prontuário Eletrónico do Paciente em Ambientes Abertos e Distribuídos", Revista Brasileira de Engenharia Biomédica 17, 3 (Setembro/Dezembro 2001), no prelo.
Motta, G. H. M. B.; Furuie, S. S.; Nardon, F. B.; Gutierrez, M. A. e Yamaguti, M. "Autorização e Controle de Acesso para o Prontuário Eletrónico do Paciente em Ambientes Abertos e Distribuídos: uma Proposta de Modelo e Arquitetura", Anais do WSeg'2001 - Workshop em Segurança de Sistemas Computacionais, (Março 2001), 92-97.
Obelheiro, R. R.; Fraga, J. S. e Westphall, C. M. "Controle de Acesso Baseado em Papéis para o Modelo CORBA de Segurança", Anais do 19o Simpósio Brasileiro de Redes de Computadores, maio de 2001.
Object Management Group. CORBA Security Service Specification. In: http://www.omg.org/cgibin/doc?formal/98-12-17.
Object Management Group. Resource Access Decision Facility. In: http://www.omg.org/cgi-bin/doc?dtc/00-08-06
Oh, S. e Park, S. "Enterprise Model as a Basis of Administration on Role-Based Access Control", Proceedings of the Third International Symposium on Cooperative Database Systems for Advanced Applications, (2001), 150-158.
Osborn, S.; Sandhu, R. e Munawer, Q. "Configuring Role-Based Access Control to Enforce Mandatory and Discretionary Access Control Policies", ACM Transactions on Information Systems Security 3, 2 (Maio 2000), 85-106.
United States Department of Health and Human Services, Office of the Secretary. Security and Electronic Signature Standards. Federal Register, (Agosto 1998), 63:43241-43280.
Yeong, W.; Howes, T. e Kille, S. Lightweight Directory Access Protocol (LDAP). Internet Engineering Task Force - IETF, (Março 1995), In: http://www.ietf.org/rfc/rfc1777.txt?number=1777.