Skip to main content
QUICK REVIEW

[論文レビュー] Path Conditions and Principal Matching: A New Approach to Access Control

Jason Crampton, James Sellwood|arXiv (Cornell University)|Jun 19, 2014
Access Control and Trust参考文献 12被引用数 50
ひとこと要約

この論文は、ユーザーIDだけでなく、エンティティ間の関係に基づいて、細粒度でスケーラブルな承認を可能にする、新しいグラフベースのアクセス制御モデルを提案する。パス条件とプリンシパルマッチングを用い、複雑なアクセスルールを表現可能な正規表現に類似した構成要素としてパス条件を形式化し、関係ベースのポリシー・マッチングとロールに類似したプリンシパル抽象化を組み合わせる二段階評価プロセスを導入することで、表現力と効率的なリクエスト評価の両方を達成する。

ABSTRACT

Traditional authorization policies are user-centric, in the sense that authorization is defined, ultimately, in terms of user identities. We believe that this user-centric approach is inappropriate for many applications, and that what should determine authorization is the relationships that exist between entities in the system. While recent research has considered the possibility of specifying authorization policies based on the relationships that exist between peers in social networks, we are not aware of the application of these ideas to general computing systems. We develop a formal access control model that makes use of ideas from relationship-based access control and a two-stage method for evaluating policies. Our policies are defined using path conditions, which are similar to regular expressions. We define semantics for path conditions, which we use to develop a rigorous method for evaluating policies. We describe the algorithm required to evaluate policies and establish its complexity. Finally, we illustrate the advantages of our model using an example and describe a preliminary implementation of our algorithm.

研究の動機と目的

  • 従来のユーザー中心型およびロールベース型アクセス制御モデルに欠如している細粒度の表現力と、エンティティ間の文脈的関係を活用できないという限界を是正すること。
  • 社会的ネットワークにとどまらず、多様なシステムにおける任意のエンティティと関係をサポートする、形式的かつ汎用的なアクセス制御モデルの開発。
  • RBACおよびUnixモデルのスケーラビリティと、関係ベース型アクセス制御の正確性を統合するために、プリンシパルマッチングを導入すること。
  • パス条件の厳密な意味論と、複雑で動的なシステムにおけるポリシー評価のための効率的なアルゴリズムの提供。
  • 企業システム、ワークフロー、可変な深さを持つデータ構造におけるアクセス制御のための表現力豊かなポリシー記述の実現。

提案手法

  • システムを有向グラフとして表現し、ノードを主体、対象、または論理的エンティティとし、エッジを関係と定義する。
  • アクセス制御ポリシーは、エンティティ間の関係のシーケンスを記述する正規表現に類似した構成要素であるパス条件によって定義される。
  • パス条件は、連結、閉包($\pi^+$)、選択($\pi_1 \mid \pi_2$)をサポートする形式的意味論を備えており、複雑なアクセスルールの表現を可能にする。
  • 本モデルは二段階評価を導入する:第一に、有効なエンティティパスを特定するパスマッチング;第二に、マッチしたパスを承認プリンシパルにマッピングするプリンシパルマッチング。
  • 評価アルゴリズムは、有限オートマトンに類似したアプローチを用い、システムグラフのサイズに対して多項式時間の計算量でパスを効率的にマッチングする。
  • パス条件内に論理積と論理否定をエンコードすることで拡張性を実現し、将来のサブグラフマッチングや状態保持型オブジェクトのサポートも可能にする。

実験結果

リサーチクエスチョン

  • RQ1エンティティ間の関係に基づいてアクセス制御ポリシーをユーザーIDではなく表現できるか?
  • RQ2RBACのスケーラビリティと関係ベース型アクセス制御の表現力の両方を統合した形式的モデルを開発できるか?
  • RQ3動的システムにおけるパスベースアクセス制御ポリシーを評価するための効率的かつ形式的に整合性のあるアルゴリズムは何か?
  • RQ4ディレクトリツリーまたはワークフロー・グラフのような任意の深さの関係をサポートするパス条件はどのように設計できるか?
  • RQ5ロールベース型およびUnixスタイルのアクセス制御原理を関係中心型モデルに統合するためのメカニズムは何か?

主な発見

  • 本モデルは、エンティティ間の複雑な関係を捉えるパス条件によるポリシー表現により、細粒度のアクセス制御を実現し、文脈に応じた承認意思決定を可能にする。
  • パスマッチングとプリンシパルマッチングの二段階プロセスにより、システムグラフのサイズに対して多項式時間の計算量でリクエスト評価が効率的に行える。
  • パス条件は、ルールの分解により$\pi^+$の閉包と選択をサポートし、列挙を伴わずに任意に長いパスのモデル化が可能である。
  • 本モデルはソーシャルネットワークにとどまらず、論理的エンティティと任意の関係をサポートすることで、企業システム、ITインfra、ビジネスプロセスへも一般化可能である。
  • パス条件内での論理積と論理否定により、分離の義務やチャイナーウォールのような複雑なアクセス制約を表現可能である。
  • 初期の実装により実現可能性が示され、分散アクセス制御、状態保持型オブジェクト、サブグラフマッチングのサポートも拡張可能である。

より良い研究を、今すぐ始めましょう

論文設計から論文執筆まで、研究時間を劇的に削減しましょう。

クレジットカード登録不要

このレビューはAIが作成し、人間の編集者が確認しました。