그래프 기반 액세스 제어
Graph-based access control그래프 기반 액세스 제어(GBAC)는 정보 시스템에서 액세스 권한, 태스크 할당, 수신자 및 콘텐츠를 정의하는 선언적인 방법입니다.액세스 권한은 파일이나 문서와 같은 개체뿐만 아니라 계정과 같은 비즈니스 개체에도 부여됩니다.또한 워크플로 환경의 태스크에 에이전트를 할당하는 데도 사용할 수 있습니다.조직은 조직 단위, 역할 및 기능뿐만 아니라 인간과 자동 에이전트(즉, 사람, 기계)로 구성된 특정 종류의 의미 그래프로 모델링됩니다.롤 베이스 액세스컨트롤이나 어트리뷰트 베이스의 액세스컨트롤등의 다른 어프로치에 비해, GBAC 액세스권은, 완전한 열거가 아닌 조직 쿼리 언어를 사용해 정의되는 것이 주된 차이점입니다.
역사
GBAC의 기반은 CoCo라는 연구 프로젝트로 거슬러 올라간다.Bamberg University의 SOrg (Configurable Cooperation System)[[1] ] (영어판 참조).CoCo의 경우SOrg 조직은 의미 그래프로 표현되며 워크플로우 환경에서 에이전트와 에이전트의 액세스 권한을 지정하기 위해 정식 언어가 사용됩니다.Hof University Information Systems(iisys)의 C-Org-Project 내에서는 직무 분리, 가상 조직 내 접근 제어 및 주체 지향 접근 [4]제어 등의 기능을 통해 접근 방식이 확장되었습니다.
정의.
그래프 기반 접근컨트롤은 다음 2개의 빌딩 블록으로 구성됩니다.
- 조직을 모델링하는 의미 그래프
- 쿼리 언어
조직 그래프
조직 그래프는 유형 및 인스턴스 수준으로 나뉩니다.인스턴스 수준에는 조직 단위, 기능 단위 및 에이전트의 노드 유형이 있습니다.조직의 기본 구조는 이른바 "구조적 관계"를 사용하여 정의됩니다.기능 단위와 조직 단위 간의 관계뿐만 아니라 기능 단위와 에이전트의 매핑도 정의한다.또한 "deputyship" 또는 "informed_by"와 같은 특정 관계 유형이 있습니다.이러한 유형은 모델러에 의해 확장될 수 있습니다.술어를 사용하면 모든 관계가 문맥에 따라 달라질 수 있습니다.
유형 수준에서 조직 구조는 보다 일반적인 방식으로 설명된다.이는 조직 단위 유형, 기능 단위 유형 및 인스턴스 수준에서와 동일한 관계 유형으로 구성됩니다.유형 정의를 사용하여 새 인스턴스를 만들거나 예외가 발생할 경우 조직 지식을 재사용할 수 있습니다(자세한 내용은[1][2] 참조).
쿼리 언어
GBAC에서는 쿼리 언어를 사용하여 특정 특성 또는 기능을 가진 에이전트를 정의합니다.다음 표는 접근컨트롤 매트릭스에서의 쿼리 언어 사용을 나타내고 있습니다.
첫 번째 문의는 회사에서 6개월 이상 근무하는 모든 매니저와 "Read Financial Report" 플래그로 분류된 매니저가 재무 보고서를 읽을 수 있음을 의미합니다.
일별 재무보고서는 이를 수행할 수 있는 관리 부서의 관리자 또는 부서의 직원만 작성할 수 있습니다(WriteFinancialReport==TRUE).
| 데이터 객체 | 읽어주세요 | 기입하다 |
|---|---|---|
| 데일리 파이낸셜 리포트 | 매니저(*)(Now() - Employing Year > 0.5) OR 매니저.재무 보고서 읽기 == TRUE | 매니저(제어) 또는 점원(제어)WriteFinancialReport == TRUE |
실행
GBAC는 조직 서버의 CoCoS 환경에서 최초로 [1]구현되었습니다.C-Org-Project에서는 분산 환경에서의 업무 분리나 액세스 제어와 같은 보다 정교한 기능으로 확장되었습니다.IBM의 Bluemix[6] 플랫폼에도 클라우드 기반 구현이[5] 있습니다.
모든 구현에서 서버는 클라이언트 시스템에서 쿼리를 가져와 에이전트 세트로 해결합니다.이 세트는, 응답으로서 발신측 클라이언트에 반송됩니다.클라이언트는 파일 시스템, 데이터베이스 관리 시스템, 워크플로우 관리 시스템, 물리적 보안 시스템 또는 전화 서버일 수 있습니다.
「 」를 참조해 주세요.
- 액세스 컨트롤 리스트
- Attribute-based Access Control(ABAC; 속성 기반 접근컨트롤)
- 기능 기반 보안
- Context-Based Access Control(CBAC; 컨텍스트 기반 접근컨트롤)
- 임의 접근 제어(DAC)
- 격자 기반 액세스 제어(LBAC)
- 위치 기반 인증
- 필수 접근 제어(MAC)
- 조직 기반 접근 제어(OrBAC)
- 리스크 기반 인증
- Role-Based Access Control(RBAC; 롤베이스 액세스컨트롤)
- 규칙 집합 기반 액세스 제어(RSBAC)
레퍼런스
- ^ a b c Schaller, Thomas (1998). Organisationsverwaltung in CSCW-Systemen - Dissertation. Bamberg: Bamberg University.
- ^ a b Lawall, Schaller, Reichelt (2014). Enterprise Architecture: A Formalism for Modelling Organizational Structures in Information Systems. Thessaloniki: Enterprise and Organizatinal Modeling and Simulation: 10th International Workshop CAiSE2014.
{{cite book}}: CS1 maint: 여러 이름: 작성자 목록(링크) - ^ Lawall, Schaller, Reichelt (2014). "Restricted Relations between Organizations for Cross-Organizational Processes". IEEE 16th Conference on Business Informatics (CBI),Geneva: 74–80.
{{cite journal}}: CS1 maint: 여러 이름: 작성자 목록(링크) - ^ Lawall, Schaller, Reichelt (2015). S-BPM in the Wild: Role and Rights Management (1 ed.). Berlin: Springer. pp. 171–186. ISBN 978-3-319-17541-6.
{{cite book}}: CS1 maint: 여러 이름: 작성자 목록(링크) - ^ Lawall, Schaller, Reichelt (2015). Resource Management and Authorization for Cloud Services. Proceedings of the 7th International Conference on Subject-Oriented Business Process Management, ACM. pp. 18:1–18:8.
{{cite book}}: CS1 maint: 여러 이름: 작성자 목록(링크) - ^ 블루믹스
