A New Paradigm for Role-Based Access Control

Abstract

Role-Based Access Control (RBAC) is a popular solution for implementing information security however there is no pervasive methodology used to produce scalable access control systems for large organizations with hundreds or thousands of employees. As a result, ten engineers will likely arrive at ten different solutions to the same problem where there is no right or wrong answer but the cost is both immediate and long term. Moreover, they would have difficulty communicating the important aspects of their design implementations to each other. This is an interesting deficiency because despite their diversity, large organizations share two key concepts, roles and responsibilities, where a role like Departmental Chair has responsibilities. In this work, our objective is to introduce ORGODEX, a new model and practical methodology for engineering scalable RBAC systems in large organizations where employees require access to information on a need to know basis. First, we motivate the requirement for new structural RBAC relationships, distinguishing between roles and responsibilities. Next, we introduce our new model for describing and reasoning about RBAC implementations. Then we produce a new iterative methodology for engineering scalable access control systems. Finally, we validate our work with a case study whereby the ORGODEX model and methodology are used to deploy authorization as a service in the context of cloud computing.

Le contrôle d'accès basé sur les rôles (CABR) est une solution populaire pour la mise en œuvre de la sécurité de l'information, mais il n'existe pas de méthodologie omnipreésente utilisée pour produire des systèmes de contrôle d'accès évolutifs pour les grandes organisations avec des centaines ou des milliers d'employés. En conséquence, dix ingénieurs arriveront probablement à dix solutions différentes pour le même problème où il n'y a pas de bonne ou mauvaise réponse, mais où il existe à la fois un coût immédiat et à long terme. En outre, ils auront du mal à communiquer les aspects importants de la conception de leurs implémentations. Il s'agit d'une lacune intéressante car, malgré leur diversité, les grandes organisations sont fondées sur deux concepts clés, des rôles et des responsabilités, où un rôle comme chef de département est identifié et attribué des responsabilités. Dans ce travail, notre objectif est d'introduire ORGODEX, un nouveau modèle et une méthodologie concrète pour l'ingénierie des systèmes évolutifs CABR dans les grandes organisations où les employés ont besoin d'accès à de l'information sur le principe du besoin de savoir. Premièrement, nous motiverons l'exigence d'une nouvelle relation structurelle CABR, en distinguant les rôles et les responsabilités. Ensuite, nous présentons notre nouveau modèle pour décrire et raisonner les implémentations CABR. Ensuite, nous produisons une nouvelle méthodologie itérative pour l'ingénierie des systèmes de contrôle d'accès évolutifs. Enfin, nous validons notre travail avec une étude de cas selon laquelle le modèle et la méthodologie ORGODEX sont utilisés pour déployer l'autorisation en tant que service dans le contexte du cloud computing.