Authentication and authorization in multilevel security systems for public administration

• Autorzy: El Fray I. , Hyla T. , Maćków W. , Pejaś J.

Warianty tytułu

PL

Uwierzytelnianie i autoryzacja w wielopoziomowych systemach bezpieczeństwa dla administracji publicznej

• Języki publikacji: EN

Abstrakty

EN

The article contains a brief survey of the different approaches to authentication and authorization in distributed systems and the new concept of the authentication and authorization based on multilevel security features. Proposed idea should be particularly useful in public administration systems. Such systems can consist of many separated subsystems with completely different authentication mechanisms. The goal of the paper was to develop a prototype of Authentication and Authorization System (AAS in short) to supervise access to the data applications operating in the information systems of public administration.

PL

Artykuł zawiera krótki przegląd różnych metod uwierzytelniania i autoryzacji w systemach rozproszonych oraz nową koncepcję uwierzytelniania w oparciu o zabezpieczenia wielopoziomowe. Zaproponowane rozwiązanie powinno być szczególnie użyteczne w systemach informacyjnych administracji publicznej, które zwykle składają się z wielu podsystemów posiadających całkowicie różne mechanizmy uwierzytelniania i autoryzacji. W artykule zaproponowano taki sposób integracji tych mechanizmów, aby w zależności od poziomu uprawnień bezpieczeństwa podmiotu oraz wrażliwości danych możliwe było nie tylko kontrolowanie dostępu do tych danych, ale użycie różnych metod uwierzytelniania (np. uwierzytelniania wieloczynnikowego). Chociaż w systemach rozproszonych poziomy uprawnień bezpieczeństwa podmiotu oraz wrażliwości danych brane są pod uwagę tylko w procesie autoryzacji, realizowanego zwykle w oparciu o modele kontroli dostępu będące kombinacją modeli MAC i RBAC, w naszej propozycji przyjmujemy dodatkowo, że czynniki te powinny być brane po uwagę także w procesie uwierzytelnia i mieć wpływ na stosowane metody uwierzytelniania. Celem artykułu jest przedstawienie koncepcji prototypu systemu uwierzytelniania i autoryzacji (w skrócie SUA) nadzorującego dostęp do aplikacji działających w systemach informacyjnych administracji publicznej. Wymagania bezpieczeństwa dla tej klasy systemów są zapisywane w postaci dobrze sformalizowanej politykibezpieczeństwa, uwzględniającej poziomy uprawnień bezpieczeństwa podmiotów zaangażowanych w wymianę danych, poziomy wrażliwości wymienianej informacji, a także własności (m.in. poziomy bezpieczeństwa) urządzeń stosowanych podczas przesyłania danych.

Słowa kluczowe

EN

authentication and authorization system; access control system; classified information; IT public administration systems

PL

system uwierzytelniania i autoryzacji; system kontroli dostępu; informacja niejawna; systemów informacyjny administracji publicznej

• Wydawca: Wydawnictwo PAK
• Czasopismo: Pomiary Automatyka Kontrola
• Rocznik: 2010
• Tom: R. 56, nr 8
• Strony: 983--986
• Opis fizyczny: Bibliogr. 15 poz., rys.

Twórcy

autor

El Fray I.

autor

Hyla T.

autor

Maćków W.

autor

Pejaś J.

• West Pomeranian University of Technology, Faculty of Computer Science, ul. Żołnierska 49, 71-200 Szczecin,

Bibliografia

• [1] Stallings W.: Data Protection network and internet work. WNT, 1997.
• [2] ISO/IEC 9798-1:2010. Information technology - Security techniques - Entity authentication - Part 1: General, 2010.
• [3] Registration and Authentication, e-Government Strategy Framework Policy and Guidelines. Office of the e-Envoy. Version 3, 2002.
• [4] IDABC European eGovernment Services eID Interoperability for PEGS, for a multi-level authentication mechanism and a mapping of existing authentication mechanisms, 2007.
• [5] Rigney C.: Remote Authentication Dial In User Service (RADIUS), RFC 2865, 2000.
• [6] Nelson D.: Common Remote Authentication Dial In User Service (RADIUS). Implementation Issues and Suggested Fixes, RFC 5080, 2007.
• [7] Calhoun P.: Diameter Base Protocol, RFC 3588, 2003.
• [8] Finseth C: An Access Control Protocol, Sometimes Called TACACS. RFC 1492, 1993.
• [9] Carrel D.: The TACACS+ Protocol, Version 1.78, RFC Draft, 1997.
• [10] David Elliott and La Padula, Leonard J.: Secure Computer Systems: Mathematical Foundations, Bell, 1973, MITRE Corporation.
• [11] Ravi Sandhu, Ferraiolo David, Kuhn Rick. ANSI INCITS 359-2004. American National Standard for Information Technology - Role Based Access Control, 2004.
• [12] Chadwick David W., Alexander Otenko: The PERMIS X.509 role based privilege management infrastructure. Future Generation Computer Systems, Vol. 19, Issue 2, February 2003, pp. 277-289.
• [13] Vinaye Misra: Oracle Application Server Single Sign-On Administrator’s Guide. 10g Release 2 (10.1.2), Oracle, 2005.
• [14] Polkowski K.: Information Security in Poland, Part I (in polish), Ochrona Mienia i Informacji, No 6, pp. 17-19, 2009.
• [15] Hengartner, P.: Steenkiste Exploiting Hierarchical Identity-Based Encryption for Access Control to Pervasive Computing Information, Proc. of the First Int. Conf. on Security and Privacy for Emerging Areas in Communications Networks, SECURE-COMM, pp. 384-396, IEEE Computer Society, 2005.