Κεφάλαιο 10

Έλεγχος προσπέλασης και εξου-

σιοδότηση

Ιωάννης Μαυρίδης1, Σταύρος Σαλονικιάς1 και Marie Khair2

1 Τμήμα Εφαρμοσμένης Πληροφορικής, Πανεπιστήμιο Μακεδονίας, Θεσ-
σαλονίκη, (mavridis,salonikias)@uom.gr
2 Department of Computer Science, Faculty of Natural and Applied Sci-
ences, Notre Dame University, Zouk Mosbeh, Lebanon, mkhair@ndu.edu.lb

Περίληψη
Ο έλεγχος προσπέλασης αποτελεί μια περιοχή με σπουδαία σημασία για την
επίτευξη σημαντικών αποτελεσμάτων σε ό,τι αφορά την προστασία της εμπιστευ-
τικότητας και της ακεραιότητας των πληροφοριών, καθώς και της διαθεσιμότη-
τας των κάθε είδους πόρων των σύγχρονων πληροφοριακών συστημάτων. Η
σχεδίαση και υλοποίηση αποδοτικών συστημάτων ελέγχου προσπέλασης για την
εξουσιοδότηση των χρηστών προκειμένου να έχουν πρόσβαση σε πληροφορίες
που αποθηκεύονται επεξεργάζονται και διακινούνται σε υπολογιστικά και δι-
κτυακά συστήματα παραμένει ένα κρίσιμο βήμα προς τη διαμόρφωση ασφαλών
πληροφοριακών συστημάτων. Στη βάση αυτού του πλαισίου μελέτης, παρουσιά-
ζονται στη συνέχεια οι κλασικές καθώς και οι σύγχρονες προσεγγίσεις ελέγχου
προσπέλασης σε ό,τι αφορά την εξουσιοδότηση, τόσο σε επίπεδο εννοιολογικών
ενοτήτων και μοντέλων (model) όσο και σε επίπεδο προτύπων (standard) και
πλαισίων (framework) εφαρμογής συστημάτων ελέγχου προσπέλασης.
114 Ασφάλεια Πληροφοριακών Συστημάτων

10.1. Εισαγωγή
Η ανάγκη για έλεγχο προσπέλασης ξεκινάει να υφίσταται από τη στιγμή που οι
υπολογιστικοί και δικτυακοί πόροι ενός πληροφοριακού συστήματος χρειάζεται να
διαμοιραστούν μεταξύ δύο ή περισσότερων οντοτήτων (π.χ. χρηστών του συστή-
ματος). Μπορούμε να διαχωρίσουμε τον έλεγχο προσπέλασης σε φυσικό και λογι-
κό, ανάλογα με τη φύση των μηχανισμών που χρησιμοποιούνται. Ένα παράδειγμα
φυσικού ελέγχου προσπέλασης μπορούμε να έχουμε σε έναν χώρο στάθμευσης
οχημάτων όπου έχει υλοποιηθεί ένα σύστημα ανάγνωσης πινακίδας σε συνδυασμό
με ένα κιγκλίδωμα που ανοίγει και κλείνει αυτόματα επιτρέποντας ή αποτρέποντας
τη φυσική πρόσβαση στον προστατευόμενο χώρο. Παράδειγμα λογικού ελέγχου
προσπέλασης είναι η χρήση των αδειών (permission) στο λειτουργικό σύστημα
Linux για να είναι δυνατός ο καθορισμός των επιλεγμένων ενεργειών ανάγνωσης
(r), εγγραφής (w) και εκτέλεσης (x) ενός αντικειμένου προσπέλασης (π.χ. αρχείου
δεδομένων) οι οποίες είναι διαθέσιμες στον χρήστη-ιδιοκτήτη του, στην ομάδα
όπου αυτός ανήκει, καθώς και στους υπόλοιπους χρήστες του συστήματος.
Η περιοχή του ελέγχου προσπέλασης περιλαμβάνει τις ακόλουθες υποπεριοχές,
συχνά αποκαλούμενες ως “AAA” (Εικόνα 10.1):
• Αυθεντικοποίηση (authentication): αφορά τη λήψη και επιβολή από-
φασης για την επιβεβαίωση των διαπιστευτηρίων (π.χ. της ταυτότητας
χρήστη) που έχει παρουσιάσει μια οντότητα στο σύστημα κατά τη δια-
δικασία της ταυτοποίησης (identification), προκειμένου να γίνει αποδε-
κτή από αυτό και να μπορεί στη συνέχεια να χρησιμοποιεί τους πόρους
του (login / signin).
• Εξουσιοδότηση (authorization): αφορά τον καθορισμό των επιτρεπόμε-
νων ενεργειών, άρα και απαγορεύσεων, αλλά και τη λήψη και επιβολή
δίτιμης απόφασης για την αποδοχή ή μη μιας ενέργειας που ζητάει να
εκτελέσει μια αυθεντικοποιημένη οντότητα σε πόρους του συστήματος.
• Λογοδοσία (accountability): αφορά την καταγραφή των γεγονότων που
λαμβάνουν χώρα στο σύστημα κατά την αυθεντικοποίηση και στη συ-
νέχεια κατά την αποδοχή ή απόρριψη, στη βάση των σχετικών εξου-
σιοδοτήσεων, των ενεργειών καθεμίας οντότητας.
Μηχανισμοί Ελέγχου Προσπέλασης 115

Εικόνα 10.1 - Έλεγχος προσπέλασης

Σε αυτό το κεφάλαιο, αναφερόμαστε στον λογικό έλεγχο προσπέλασης και επι-
κεντρώνουμε στην υποπεριοχή της εξουσιοδότησης.

10.2. Ορισμοί
Οι οντότητες που γίνονται αποδεκτές από το σύστημα κατά την αυθεντικοποίηση,
αφορούν ενεργά υποκείμενα (subject) τα οποία επιθυμούν να προσπελάσουν, δη-
λαδή να εκτελέσουν ενέργειες, σε παθητικά αντικείμενα (object). Τα υποκείμενα
μπορεί να είναι διεργασίες (process) που ενεργούν εκ μέρους εντολέων (principal),
όπως οι χρήστες (users). Κάθε υποκείμενο μπορεί να συνδέεται με έναν μοναδικό
εντολέα, με τον οποίο μπορούν να συνδέονται πολλά υποκείμενα. Τα αντικείμενα
μπορεί να είναι αρχεία (file), πόροι συστήματος (resource), π.χ. μνήμη, εκτυπωτές,
ή ακόμη και συγκεκριμένα πεδία επιλεγμένων εγγραφών ενός πίνακα βάσης δεδο-
μένων. Τα σύνολα υποκειμένων και αντικειμένων μπορεί να έχουν κοινά μέλη,
δηλαδή μια οντότητα μπορεί να είναι τη μια φορά υποκείμενο και την άλλη αντι-
κείμενο.
Ο όρος εξουσιοδότηση (authorization) χρησιμοποιείται στη βιβλιογραφία με δύο
έννοιες:
1. Ως μια διαδικασία ελέγχου προσπέλασης που αφορά τη λήψη και επιβολή
απόφασης, σχετικά με το να επιτραπεί ή να απορριφθεί ένα αίτημα προ-
σπέλασης, στη βάση των κανόνων μιας πολιτικής ελέγχου προσπέλασης.
2. Ως ένας κανόνας πολιτικής ελέγχου προσπέλασης (π.χ. μπορεί να έχει τη
μορφή: [υποκείμενο, αντικείμενο, ενέργεια]), γνωστός και ως προνόμιο
(privilege), άδεια (permission), δικαίωμα προσπέλασης (access right) κ.ά.
Ένα σημαντικό ποιοτικό χαρακτηριστικό της εξουσιοδότησης, ως κανόνα πολι-
τικής ελέγχου προσπέλασης, είναι ο βαθμός λεπτομέρειας (authorization
granularity), δηλαδή το πόσο αναλυτικά προσδιορίζονται τα συστατικά του κανό-
να (π.χ. υποκείμενο ή αντικείμενο ή ενέργεια που είναι και το πιο σημαντικό εδώ)
ώστε να παρέχεται το μέγιστο δυνατό επίπεδο διακριτότητας του επιδιωκόμενου
ελέγχου. Έτσι μιλάμε για εξουσιοδότηση υψηλού βαθμού λεπτομέρειας (fine-
grained authorization), όπως συνήθως απαιτείται σε εμπορικές εφαρμογές που
διαχειρίζονται συναλλαγές (transaction), ή για εξουσιοδότηση χαμηλού βαθμού
116 Ασφάλεια Πληροφοριακών Συστημάτων

λεπτομέρειας (coarse-grained authorization), που συνήθως συμβαίνει στα λει-

τουργικά συστήματα, όπου συνήθως παρέχονται περιορισμένες επιλογές, ιδιαίτερα
σε ότι αφορά τις ενέργειες (π.χ. read, write, execute). Είναι προφανές ότι όσο υψη-
λότερος ο βαθμός λεπτομέρειας, τόσο μεγαλύτερη η πολυπλοκότητα στη διαχείρι-
ση του συστήματος ελέγχου προσπέλασης. Επομένως, χρειάζεται να επιτευχθεί μια
κατάλληλη ισορροπία μεταξύ των δύο.

10.2.1. Επίπεδα Ελέγχου Προσπέλασης

Ένα σύστημα ελέγχου προσπέλασης (Access Control System - ACS) μπορούμε
να το μελετήσουμε διαχωρίζοντάς το σε τρία επίπεδα αφαίρεσης:
• Πολιτικές Ελέγχου Προσπέλασης (Access Control Policies): Απαρτίζονται
από κανόνες που καθορίζουν τη συμπεριφορά του συστήματος ελέγχου
προσπέλασης ως προς το ποιο υποκείμενο, με ποιό τρόπο (ενέργεια) και
υπό ποιές συνθήκες (πλαίσιο) μπορεί να προσπελάσει ένα αντικείμενο. Η
περιγραφή της συμπεριφοράς του συστήματος ελέγχου προσπέλασης μπο-
ρεί να διατυπωθεί και ως προς το ποιό αντικείμενο, με ποιό τρόπο και υπό
ποιές συνθήκες μπορεί να προσπελαστεί από ένα υποκείμενο.
• Μηχανισμοί Ελέγχου Προσπέλασης (Access Control Mechanisms): Εφαρ-
μόζουν τις πολιτικές ελέγχου προσπέλασης, παρέχοντας τα μέσα για εξέτα-
ση του αιτήματος προσπέλασης του υποκειμένου στη βάση παραγόντων ε-
λέγχου (π.χ. διαπιστευτήρια, χαρακτηριστικά, περιβάλλον κ.λπ), τη λήψη
της απόφασης για αποδοχή ή άρνηση εκτέλεσης της αιτούμενης ενέργειας,
την επιβολή της απόφασης αυτής και την καταγραφή των σχετικών γεγονό-
των. Επιπλέον, οι μηχανισμοί ελέγχου προσπέλασης αφορούν τη διαχείριση
των πολιτικών ελέγχου προσπέλασης, καθώς και τον καθορισμό των συ-
στατικών των κανόνων τους (ταυτότητες, ρόλοι, χαρακτηριστικά κ.λπ.) και
των επιτρεπτών τιμών τους.
• Μοντέλα Ελέγχου Προσπέλασης (Access Control Models): Πρόκειται για
αφαιρετικές συλλογές φορμαλιστικών περιγραφών υλοποίησης μηχανισμών
ελέγχου προσπέλασης, οι οποίες παρέχουν δυνατότητες αυστηρής εξέτασης
και επιβεβαίωσης των πολιτικών ελέγχου προσπέλασης σε ένα καλά ορι-
σμένο εννοιολογικό πλαίσιο. Με αυτό τον τρόπο, μπορούν να προληφθούν
προβλήματα και αστοχίες πριν την πραγματική υλοποίηση ενός συστήμα-
τος ελέγχου προσπέλασης, το οποίο θα επιβάλλει τις πολιτικές ελέγχου
προσπέλασης χωρίς το φόβο καταστρατήγησής τους από κακόβουλους
χρήστες.
Μηχανισμοί Ελέγχου Προσπέλασης 117

10.2.2. Σύστημα Ελέγχου Προσπέλασης

Το αίτημα του υποκειμένου εξετάζεται από τον μηχανισμό ελέγχου προσπέλα-
σης, ο οποίος αποδέχεται ή απορρίπτει το αίτημα, σύμφωνα με τις διαθέσιμες πολι-
τικές ελέγχου προσπέλασης. Μια πρώτη απεικόνιση ενός τέτοιου συστήματος φαί-
νεται στην Εικόνα 10.2.

Εικόνα 10.2 - Σύστημα ελέγχου προσπέλασης

Η έννοια του μηχανισμού παρακολούθησης αναφοράς (reference monitor) ει-
σήχθη από τον Ross Anderson το 1972 ως μια αφαιρετική αποτύπωση μηχανισμού
ελέγχου προσπέλασης που υλοποιεί τη διαδικασία επικύρωσης των αναφορών
(reference) σε αντικείμενα (object) που γίνονται από υποκείμενα (subject) εκ μέ-
ρους των εντολέων (principal). Η επικύρωση αυτή δεν αφορά απλά τη δυνατότητα
χρήσης των αντικειμένων από τα υποκείμενα, αλλά και αν το είδος χρήσης (π.χ.
ανάγνωση ή εγγραφή) είναι επιτρεπτό. Κάθε μηχανισμός ελέγχου προσπέλασης
που υλοποιεί τον μηχανισμό παρακολούθησης αναφοράς πρέπει να πληροί τις α-
κόλουθες ιδιότητες:
• Να είναι απαραβίαστος.
• Να καλείται πάντα χωρίς να μπορεί να παρακαμφθεί.
• Να είναι απλός ώστε να μπορεί να ελέγχεται εύκολα.
118 Ασφάλεια Πληροφοριακών Συστημάτων

10.2.3. Αρχές Εξουσιοδότησης

Η διαδικασία της εξουσιοδότησης μπορεί να εφαρμόζει μια ή περισσότερες αρ-
χές εξουσιοδότησης, οι οποίες αφορούν τη γενική φιλοσοφία διαχείρισης των ε-
ξουσιοδοτήσεων-κανόνων, τόσο κατά τον εκχώρησή (assignment) τους σε χρήστες
κατά το χρόνο οικοδόμησης του συστήματος ελέγχου προσπέλασης (build-time),
όσο και κατά την ενεργοποίησή (activation) τους κατά τη λειτουργία του συστή-
ματος (run-time). Οι επικρατέστερες αρχές εξουσιοδότησης είναι:
• Αναγκαία Γνώση (Need to Know): αφορά την παροχή πρόσβασης στις πλη-
ροφορίες που είναι απαραίτητες να γνωρίζει ο χρήστης για να μπορεί να ε-
κτελεί τα καθήκοντά του στον οργανισμό.
• Ελάχιστα Προνόμια (Least Privileges): επεκτείνει την αρχή της Ανάγκης
για Γνώση και αφορά τη διαθεσιμότητα (εκχώρηση και ενεργοποίηση) μό-
νο των εξουσιοδοτήσεων-κανόνων εκείνων (δηλαδή, ποιές λειτουργίες
μπορεί να εφαρμόσει σε ποιούς πόρους συστήματος) που είναι απαραίτητες
στο υποκείμενο προκειμένου να μπορεί να εκτελέσει μια συγκεκριμένη ερ-
γασία του στο οργανισμό. Ως αποτέλεσμα, το σύστημα προστατεύεται από
τους λανθασμένους χειρισμούς ενός καλοπροαίρετου χρήστη, καθώς και
από τους επιτηδευμένους χειρισμούς ενός κακοπροαίρετου.
• Διαχωρισμός Καθηκόντων (Separation of Duties): αφορά την επιβολή πε-
ριορισμών στην εξάσκηση των εξουσιοδοτήσεων-κανόνων ενός υποκειμέ-
νου για τη διεκπεραίωση μιας συναλλαγής, την οποία αντιλαμβανόμαστε
ως μια ακολουθία από βήματα, καθένα από τα οποία απαιτεί ξεχωριστές
εξουσιοδοτήσεις (επιμέρους ενέργειες σε συγκεκριμένα αντικείμενα) που
αντιστοιχούν σε καθήκοντα χρηστών στο πλαίσιο του οργανισμού όπου ερ-
γάζονται. Για την αποφυγή απάτης, τα καθήκοντα κάθε βήματος μπορούν
να ανατίθενται σε διαφορετικούς χρήστες, είτε κατά την εκχώρηση των ε-
ξουσιοδοτήσεων (build time) οπότε αναφέρεται και ως Στατικός Διαχωρι-
σμός Καθηκόντων (Static Separation of Duties - SSoD), είτε κατά την ενερ-
γοποίησή τους (run time) οπότε αναφέρεται και ως Δυναμικός Διαχωρισμός
Καθηκόντων (Dynamic Separation of Duties - DSoD). Ως αποτέλεσμα, η
ολοκλήρωση της συναλλαγής προϋποθέτει τη συμμετοχή, άρα και τη γνω-
στοποίηση των λεπτομερειών της σε περισσότερους από έναν χρήστες του
συστήματος και στην επίτευξη του απαραίτητου επιπέδου ελέγχου των ε-
νεργειών του ενός από τους υπόλοιπους.
Μηχανισμοί Ελέγχου Προσπέλασης 119

10.3 Κλασικές Προσεγγίσεις Ελέγχου Προσπέλασης

Στη βιβλιογραφία έχουν προταθεί πολλά μοντέλα ελέγχου προσπέλασης. Στη
συνέχεια επιλέγουμε να χρησιμοποιούμε τον ευρύτερο όρο «προσέγγιση» (αντί του
μοντέλου), καθώς δεν πληρούνται πάντα οι απαιτήσεις για μια φορμαλιστική περι-
γραφή τους. Ανάλογα με τον τύπο χαρακτηριστικών του υποκειμένου (π.χ. ταυτό-
τητα, βαθμίδα, ρόλος) που εξετάζεται κατά τη λήψη της απόφασης πρόσβασης,
τρεις κλασικές προσεγγίσεις έχουν διαμορφωθεί στη βιβλιογραφία και έχουν ε-
φαρμοστεί ως επί το πλείστον σε λειτουργικά συστήματα και συστήματα διαχείρι-
σης βάσεων δεδομένων:
• Έλεγχος Προσπέλασης Κατ’ Απαίτηση (Mandatory Access Control -
MAC), που βασίζεται στη διαβάθμιση υποκειμένων και αντικειμένων, στην
υποχρεωτική εφαρμογή κανόνων επικράτησης (dominance) και στη χρήση
ετικετών ασφάλειας (security label). Εφαρμόστηκε κυρίως σε στρατιωτικά
περιβάλλοντα. Μια εναλλακτική ονομασία του MAC είναι Πολυεπίπεδος
Έλεγχος Προσπέλασης (Multi-level Access Control), καθώς βασίζεται στο
μοντέλο δικτυώματος (lattice model).
• Έλεγχος Προσπέλασης Κατά Διάκριση (Discretionary Access Control -
DAC), που βασίζεται στην ταυτότητα χρήστη και χρησιμοποιεί το εννοιο-
λογικό εργαλείο του πίνακα ελέγχου προσπέλασης (access control matrix)
για την αποτύπωση κανόνων πολιτικών ελέγχου προσπέλασης των οποίων
η διαμόρφωση αφήνεται στη διακριτική ευχέρεια (κρίση) του χρήστη-
ιδιοκτήτη του κάθε αντικειμένου. Μια εναλλακτική ονομασία του DAC εί-
ναι Έλεγχος Προσπέλασης Βασισμένος σε Ταυτότητες (Identity-Based Ac-
cess Control - IBAC).
• Έλεγχος Προσπέλασης Βασισμένος σε Ρόλους (Role-Based Access Control
- RBAC), που βασίζεται στην αξιοποίηση ρόλων, ιεραρχιών ρόλων και πε-
ριορισμών διαχωρισμού καθηκόντων προκειμένου να δοθεί λύση σε προ-
βλήματα διαχείρισης ελέγχου προσπέλασης, με κυριότερο αυτό της δυνατό-
τητας κλιμάκωσης (scalability).

10.3.1. MAC: Έλεγχος Προσπέλασης Κατ’ Απαίτηση

Η προσέγγιση του MAC χρησιμοποιήθηκε κυρίως για στρατιωτικούς σκοπούς
από το Υπουργείο Άμυνας των ΗΠΑ και τυποποιήθηκε από τους Bell και LaPadu-
la με βάση το lattice model.
Στα υποκείμενα και στα αντικείμενα αποδίδονται - με βάση την αδειοδότησή
τους (clearance) και την ευαισθησία τους (sensitivity), αντίστοιχα - ετικέτες ασφά-
120 Ασφάλεια Πληροφοριακών Συστημάτων

λειας (security label) με τιμές από ένα μερικώς ταξινομημένο σύνολο (partially
ordered set) που περιέχει δυάδες της μορφής [επίπεδο ασφάλειας, διαμέρισμα]
([security level, compartment]). Τα επίπεδα ασφάλειας παίρνουν τιμές από ένα
πλήρως ταξινομημένο σύνολο (totally ordered set), όπως το {“άκρως απόρρητο”,
“απόρρητο”, “εμπιστευτικό”, “αδιαβάθμητο”}. Τα διαμερίσματα αποτελούν σύνο-
λα κατηγοριών (category set), όπου κάθε κατηγορία παίρνει τιμές από ονομασίες
τμημάτων οργανισμού, έργων κ.ά.
Μεταξύ των ετικετών ασφάλειας ορίζεται η σχέση επικράτησης (dominance)
ως εξής: μια ετικέτα ασφάλειας S1 = [L1 , C1] επικρατεί (dominates) μιας ετικέτας
ασφάλειας S2 = [L2 , C2], δηλαδή S1  S2 , εάν και μόνον εάν L1  L2 και C1  C2 ,
όπου L είναι το επίπεδο ασφάλειας και C είναι το διαμέρισμα.
Με αυτόν τον τρόπο σχηματίζεται ένα δικτύωμα (lattice) του οποίου τα στοι-
χεία αποτελούν ένα μερικώς ταξινομημένο σύνολο, καθώς η δυαδική σχέση επι-
κράτησης  έχει τις ακόλουθες ιδιότητες:
• μεταβατική (αν a  b και b  c τότε a  c)
• αντισυμμετρική (αν a  b και b  a τότε a = b)
• αντανακλαστική (a  α)
• αλλά χωρίς πληρότητα (δεν ισχύει πάντα το a  b ή το b  a).
Στο δικτύωμα που δημιουργεί η εφαρμογή της σχέσης επικράτησης  υπάρχει
ένα άνω όριο, για παράδειγμα με ετικέτα ασφάλειας [“άκρως απόρρητο”, όλα τα
διαμερίσματα] και ένα κάτω όριο, για παράδειγμα με ετικέτα ασφάλειας [“αδια-
βάθμητο”, κανένα διαμέρισμα].
Για την προστασία της εμπιστευτικότητας (μοντέλο Bell-La Padula - BLP), δη-
λαδή την αποτροπή της ροής πληροφοριών από τα ανώτερα προς τα κατώτερα επί-
πεδα ασφάλειας, θα πρέπει να ισχύουν οι ακόλουθες ιδιότητες:
• απλή ιδιότητα ασφάλειας (simple security property) ή προστασία από διά-
βασμα-προς-τα-πάνω: ένα υποκείμενο α επιτρέπεται να διαβάσει ένα αντι-
κείμενο β εάν και μόνον εάν Sa  Sb.
• ιδιότητα αστερίσκου (*-property) ή προστασία από εγγραφή-προς-τα-κάτω:
ένα υποκείμενο α επιτρέπεται να εγγράψει ένα αντικείμενο β εάν και μόνον
εάν Sb  Sa.
Για την προστασία της ακεραιότητας, με την έννοια της συνέπειας και της α-
ξιοπιστίας, των παραγόμενων πληροφοριών (μοντέλο Biba), χρησιμοποιούνται
Μηχανισμοί Ελέγχου Προσπέλασης 121

ετικέτες ακεραιότητας Ι και η σχέση επικράτησης , ενώ θα πρέπει να ισχύουν οι

ακόλουθες ιδιότητες:
• απλή ιδιότητα ακεραιότητας (simple integrity property) ή προστασία-από-
γράψιμο-προς-τα-πάνω: ένα υποκείμενο α επιτρέπεται να έχει πρόσβαση
εγγραφής σε ένα αντικείμενο β εάν και μόνον εάν Ια  Ιβ.
• ιδιότητα αστερίσκου για την ακεραιότητα (integrity *-property): αν ένα υ-
ποκείμενο α έχει πρόσβαση ανάγνωσης σε ένα αντικείμενο β με επίπεδο
ακεραιότητας Ιβ, τότε το υποκείμενο α επιτρέπεται να έχει πρόσβαση εγ-
γραφής σε ένα άλλο αντικείμενο γ εάν και μόνον εάν Ιβ  Ιγ.
Η προσέγγιση MAC απαιτεί συγκεντρωτική διαχείριση των ετικετών (ασφά-
λειας ή ακεραιότητας) με το ανάλογο υψηλό κόστος λειτουργίας και τα προβλήμα-
τα μειωμένης ευελιξίας που αυτή συνεπάγεται.

10.3.2. DAC: Έλεγχος Προσπέλασης Κατά Διάκριση

Η προσέγγιση του DAC παρέχει περιορισμό της πρόσβασης σε αντικείμενα στη
βάση της ταυτότητας των υποκειμένων ή των ομάδων (group) στις οποίες αυτά
ανήκουν. Η χρήση του όρου «κατά διάκριση» οφείλεται στον αποκεντρωμένο χα-
ρακτήρα διαχείρισης των εξουσιοδοτήσεων έναντι του συγκεντρωτικού στο MAC,
καθώς ένα υποκείμενο Υ1 που δημιούργησε ένα αντικείμενο Α1 στον χώρο του
(π.χ. οικείο κατάλογο αρχείων)– σε αυτή την περίπτωση το υποκείμενο Υ1 λέγεται
ιδιοκτήτης του Α1 – μπορεί να εξουσιοδοτήσει, δηλαδή να εκχωρήσει ορισμένα
δικαιώματα πρόσβασης, π.χ. για ανάγνωση, σε ένα άλλο υποκείμενο Υ2 ώστε αυτό
να έχει πρόσβαση στο αντικείμενο Α1. Ακόμη, το υποκείμενο Υ2 μπορεί και να
μεταβιβάσει τις εξουσιοδοτήσεις του, δηλαδή να εκχωρήσει τα δικαιώματα πρό-
σβασης που του έχει εκχωρήσει το Υ1, σε τρίτα υποκείμενα, οπότε σε αυτή την
περίπτωση το υποκείμενο Υ2 λέγεται ελεγκτής του Α1. Φυσικά, κάθε ενέργεια εκ-
χώρησης (grant) μπορεί να συνοδεύεται από μια ενέργεια ανάκλησης (revoke) των
εξουσιοδοτήσεων.
Κατά συνέπεια, ο έλεγχος προσπέλασης αφήνεται στη διακριτική ευχέρεια του
ιδιοκτήτη (owner) του αντικειμένου και των πιθανών ελεγκτών (controller) του.
Αυτό το είδος διαχειριστικής μέριμνας παρέχει απεριόριστη ελευθερία στους ιδιο-
κτήτες, ενώ εισάγει πολυπλοκότητα στον έλεγχο των εξουσιοδοτήσεων-κανόνων
χωρίς να εξασφαλίζει την έγκυρη εφαρμογή μιας συγκεκριμένης πολιτικής ελέγχου
προσπέλασης του οργανισμού. Επιπλέον, παρέχει τις προϋποθέσεις για υψηλό
βαθμό λεπτομέρειας, τουλάχιστον σε ότι αφορά τα υποκείμενα. Όμως, οι απαιτή-
σεις για διαχείριση των ταυτοτήτων (identity management) σε μεγάλους οργανι-
122 Ασφάλεια Πληροφοριακών Συστημάτων

σμούς ή σε ομοσπονδίες οργανισμών παρουσιάζουν σημαντικά προβλήματα σε

ό,τι αφορά κυρίως τη δυνατότητα κλιμάκωσης.
Βασικό εννοιολογικό εργαλείο του DAC για την αποτύπωση μιας πολιτικής ε-
λέγχου προσπέλασης είναι ο πίνακας ελέγχου προσπέλασης, όπως ορίσθηκε από
τους Bell και LaPadula. Συμβολίζοντας με S το σύνολο υποκειμένων, με O το σύ-
νολο αντικειμένων και με A το σύνολο ενεργειών προσπέλασης, για κάθε ζεύγος
(s, o), όπου 𝑠 ∈ 𝑆 και 𝑜 ∈ 𝑂, ορίζεται ένα σύνολο εξουσιοδοτήσεων Mso (όπου
Mso ⊆ A) με τη μορφή εγγραφών, δηλαδή τιμών σε κελιά, στον πίνακα ελέγχου
προσπέλασης Μ.
Για παράδειγμα, για τα υποκείμενα ΥΚ, ΥΜ, ΥΡ, τα αντικείμενα ΑΗ, ΑΙ, ΑΤ και
τις λειτουργίες της ανάγνωσης (read – r), της εγγραφής (write – w) και της εκτέλε-
σης (execute – x), μπορούμε να ορίσουμε μια πολιτική ελέγχου προσπέλασης που
αποτυπώνεται στο ακόλουθο παράδειγμα πίνακα ελέγχου προσπέλασης Π (Πίνα-
κας 10.1).

Π … ΑΗ ... ... ΑΙ ... ΑΤ ...

...

ΥΚ rwx rx x

...

ΥΜ rwx rx r

...

ΥΡ rw r r

...

Πίνακας 10.1 - Παράδειγμα πίνακα ελέγχου προσπέλασης

Παρατηρώντας τον πίνακα ελέγχου προσπέλασης Π, διαπιστώνουμε ότι υπάρ-
χουν σημαντικά πρακτικά προβλήματα κλιμάκωσης σε ό,τι αφορά την υλοποίησή
του, καθώς όσο μεγαλώνει το πλήθος των υποκειμένων ή/και των αντικειμένων
δυσκολεύει πολλαπλασιαστικά η διαχείριση των εξουσιοδοτήσεων-κανόνων και ο
έλεγχος σωστής εφαρμογής της πολιτικής ελέγχου προσπέλασης. Επιπλέον, η δομή
Μηχανισμοί Ελέγχου Προσπέλασης 123

δεδομένων του πίνακα είναι εκ φύσεως δαπανηρή σε χώρο αποθήκευσης. Για αυ-
τό, η υλοποίηση του πίνακα ελέγχου προσπέλασης γίνεται είτε κατά γραμμή, δη-
λαδή ανά υποκείμενο, οπότε ονομάζεται Λίστα Ικανοτήτων (Capability List), είτε
κατά στήλη, δηλαδή ανά αντικείμενο, οπότε ονομάζεται Λίστα Ελέγχου Προσπέ-
λασης (Access Control List - ACL)
Μια Λίστα Ικανοτήτων αντιστοιχεί σε μια γραμμή του πίνακα ελέγχου προσπέ-
λασης, καθώς σε κάθε υποκείμενο παρέχεται μια ικανότητα (capability) με τον
καθορισμό των δικαιωμάτων πρόσβασής του, δηλαδή των επιτρεπτών λειτουργιών,
σε συγκεκριμένα αντικείμενα. Για παράδειγμα, η υλοποίηση του παραπάνω πίνακα
ελέγχου προσπέλασης Π με Λίστες Ικανοτήτων απεικονίζεται στην ακόλουθη Ει-
κόνα 10.3:

A /r , A /r , A /

A /r , A /r , A /r

A /r , A/r, A /r

Εικόνα 10.3 - Παραδείγματα Λιστών Ικανοτήτων

Μια Λίστα Ελέγχου Προσπέλασης αντιστοιχεί σε μια στήλη του πίνακα ελέγ-
χου προσπέλασης, καθώς για κάθε αντικείμενο καθορίζονται τα δικαιώματα πρό-
σβασης, δηλαδή οι επιτρεπτές λειτουργίες, συγκεκριμένων υποκειμένων. Για πα-
ράδειγμα, η υλοποίηση του παραπάνω πίνακα ελέγχου προσπέλασης Π με Λίστες
Ελέγχου Προσπέλασης απεικονίζεται στην ακόλουθη Εικόνα 10.4:

:r :r :

M :r M :r M :r

P :r P:r P:r

Εικόνα 10.4 – Παραδείγματα Λιστών Ελέγχου Προσπέλασης

Οι παραπάνω δυο υλοποιήσεις παρουσιάζουν προβλήματα διαχείρισης σε ό,τι
αφορά την αναζήτηση στις Λίστες Ικανοτήτων των υποκειμένων που διαθέτουν
πρόσβαση σε ένα συγκεκριμένο αντικείμενο, καθώς και την αναζήτηση στις Λί-
124 Ασφάλεια Πληροφοριακών Συστημάτων

στες Ελέγχου Προσπέλασης των αντικειμένων στα οποία διαθέτει πρόσβαση ένα
συγκεκριμένο υποκείμενο.
Σε ό,τι αφορά το πρόβλημα της διαχείρισης των εξουσιοδοτήσεων αυξανομέ-
νου του πλήθους των υποκειμένων, μια λύση είναι η ομαδοποίηση των υποκειμέ-
νων και η έμμεση εκχώρηση ή ανάκληση εξουσιοδοτήσεων δια μέσου των ομά-
δων. Φυσικά, κάθε υποκείμενο θα πρέπει να μπορεί να ανήκει σε περισσότερες
από μία ομάδες.

10.3.3. RBAC: Έλεγχος Προσπέλασης Βασισμένος σε Ρόλους

Το RBAC είναι μια από τις πιο διαδεδομένες ως σήμερα προσεγγίσεις για την
ανάπτυξη συστημάτων ελέγχου προσπέλασης. Το καινοτόμο στοιχείο, κατά τη δη-
μιουργία του, ήταν η εισαγωγή ενός αφαιρετικού στρώματος πρόσθετων μηχανι-
σμών μεταξύ των υποκειμένων και των αντικειμένων προκειμένου να δοθεί λύση
σε προβλήματα διαχείρισης εξουσιοδοτήσεων, με κυριότερα αυτά του διαχειριστι-
κού φόρτου και της κλιμάκωσης. Οι πρόσθετοι μηχανισμοί αφορούν τους ρόλους
ως εξέλιξη των ομάδων υποκειμένων του DAC, τις ιεραρχίες ρόλων και τους πε-
ριορισμούς. Επιπλέον, επιβάλλεται ο διαχωρισμός μεταξύ εκχώρησης (assignment)
και ενεργοποίησης (activation) εξουσιοδοτήσεων σε υποκείμενα. Το RBAC έχει
προτυποποιηθεί με την έκδοση του ANSI INCITS 359-2004 αρχικά και του IN-
CITS 359-2012 στη συνέχεια, όπου δεν συμπεριλαμβάνονται όλα τα γνωρίσματα
των πολλών και ποικίλων RBAC προσεγγίσεων που έχουν παρουσιαστεί στη βι-
βλιογραφία.
Το RBAC περιλαμβάνει τις βασικές οντότητες: χρήστης (user), ρόλος (role),
αντικείμενο (object) και λειτουργία (operation). Ο συνδυασμός των αντικειμένων
και των λειτουργιών ορίζει τις άδειες (permission) ως εγκρίσεις για την εκτέλεση
συγκεκριμένων λειτουργιών επί συγκεκριμένων αντικειμένων. Ένας ρόλος μπορεί
να αναπαριστά μια ονοματισμένη ομαδοποίηση αδειών που αποδίδουν σημασιολο-
γικά τις αρμοδιότητες που αποκτά ο χρήστης στον οποίο θα εκχωρηθεί ο ρόλος.
Ένας ρόλος, όμως, μπορεί να αναπαριστά μια ονοματισμένη ομάδα χρηστών, όπως
στο DAC, στους οποίους εκχωρούνται οι ίδιες άδειες διαμέσου του ρόλου. Για το
RBAC έχουν ορισθεί τα ακόλoυθα επιμέρους μοντέλα:
• Βασικό RBAC (Core RBAC)
• Ιεραρχικό RBAC (Hierarchical RBAC)
• RBAC με Περιορισμούς (Constrained RBAC)
Μηχανισμοί Ελέγχου Προσπέλασης 125

4.3.3.1 Βασικό RBAC

Κεντρική ιδέα στο Βασικό RBAC είναι ότι οι άδειες εκχωρούνται σε ρόλους
και κατόπιν οι ρόλοι εκχωρούνται σε χρήστες, με αποτέλεσμα οι χρήστες να απο-
κτούν άδειες μέσω των εκχωρημένων σε αυτούς ρόλους. Στον ίδιο χρήστη μπο-
ρούν να εκχωρηθούν πολλοί ρόλοι, ενώ ένας ρόλος μπορεί να έχει εκχωρηθεί σε
πολλούς χρήστες. Ομοίως, σε ότι αφορά τις εκχωρήσεις αδειών σε ρόλους. Ακόμη,
κάθε χρήστης μπορεί να ενεργοποιήσει πολλούς ρόλους μαζί στο πλαίσιο μιας συ-
νόδου (session), δηλαδή της σύνδεσής του ως αποδεκτής οντότητας στο σύστημα.
Τα συστατικά και οι σχέσεις του Βασικού RBAC φαίνονται στην Εικόνα 10.5:

Εκχώρηση Εκχώρηση
ρήστες Ρόλοι Ενέργειες Αντικείμενα
χρηστών αδειών

Άδειες

Σύνοδος χρήστη Ρόλοι συνόδου

Σύνοδοι

Εικόνα 10.5 - Βασικό RBAC

4.3.3.2 Ιεραρχικό RBAC

Το Ιεραρχικό RBAC, πέρα από τα συστατικά του Βασικού RBAC, υποστηρίζει
την ιεραρχία ρόλων (role hierarchy), ως αποτέλεσμα της δυνατότητας εκχώρησης
ρόλου σε ρόλο. Μια ιεραρχία ρόλων είναι μια διάταξη ρόλων, δηλαδή ένα μερικώς
ταξινομημένο σύνολο όπως στο δικτυωτό, που καθορίζει μια σχέση κληρονομιάς
(inheritance) μεταξύ τους. Στο πλαίσιο της ιεραρχίας αυτής, οι χρήστες που είναι
μέλη των ανώτερων (senior) ρόλων στην ιεραρχία αποκτούν εμμέσως και τις ά-
δειες των κατώτερων (junior) ρόλων, ενώ οι χρήστες που είναι μέλη των κατώτε-
ρων ρόλων αποκτούν την ιδιότητα μέλους (membership) των ανώτερων ρόλων
στην ιεραρχία. Το Ιεραρχικό RBAC παρουσιάζεται στην Εικόνα 10.6:
126 Ασφάλεια Πληροφοριακών Συστημάτων

Ιεραρχία ρόλων

Εκχώρηση Εκχώρηση
ρήστες Ρόλοι Ενέργειες Αντικείμενα
χρηστών αδειών

Άδειες

Σύνοδος χρήστη Ρόλοι συνόδου

Σύνοδοι

Εικόνα 10.6 - Ιεραρχικό RBAC

4.3.3.3 RBAC με Περιορισμούς

Το RBAC με Περιορισμούς περιλαμβάνει τα συστατικά του Ιεραρχικού RBAC,
καθώς και τους περιορισμούς διαχωρισμού των καθηκόντων. Πιο συγκεκριμένα,
στο RBAC με Περιορισμούς διακρίνουμε τις ακόλουθες περιπτώσεις:
• Στατικού Διαχωρισμού Καθηκόντων - ΣΔΚ, που χρησιμοποιούνται για να
επιβάλουν πολιτικές αντιμετώπισης της σύγκρουσης συμφερόντων (conflict
of interest) κατά την οικοδόμηση του συστήματος ελέγχου προσπέλασης
(built-time). Η σύγκρουση συμφερόντων για ένα RBAC σύστημα μπορεί να
προκύψει όταν ένας χρήστης έχει πρόσβαση σε άδειες που είναι εκχωρημέ-
νες σε συγκρουόμενους ρόλους, δηλαδή ρόλους των οποίων η εκχώρηση
στον ίδιο χρήστη μπορεί να προκαλέσει συνθήκες πρόκλησης επίθεσης, για
παράδειγμα οικονομικής απάτης.
• Δυναμικού Διαχωρισμού Καθηκόντων – ΔΔΚ, που περιορίζουν τις άδειες
που είναι διαθέσιμες σε έναν χρήστη κατά τη λειτουργία του συστήματος
ελέγχου προσπέλασης (run-time). Δηλαδή, ο ΔΔΚ διαφέρει από το ΣΔΚ σε
ότι αφορά τη χρονική περίοδο κατά την οποία επιβάλλεται ο περιορισμός.
Ο ΔΔΚ περιορίζει τη διαθεσιμότητα των αδειών, που πιθανώς έχουν εκχω-
ρηθεί σε συγκρουόμενους ρόλους, με την εισαγωγή περιορισμών στους ρό-
λους που μπορούν να ενεργοποιηθούν κατά τη διάρκεια της συνόδου ενός
χρήστη.
Το RBAC με Περιορισμούς παρουσιάζεται στην Εικόνα 10.7:
Μηχανισμοί Ελέγχου Προσπέλασης 127

ΣΔΚ

Ιεραρχία ρόλων

Εκχώρηση Εκχώρηση
ρήστες Ρόλοι Ενέργειες Αντικείμενα
χρηστών αδειών

Άδειες

Σύνοδος χρήστη Ρόλος συνόδου

Σύνοδοι

ΔΔΚ

Εικόνα 10.7 - RBAC με Περιορισμούς

4.4 Σύγχρονες Προσεγγίσεις Ελέγχου Προσπέλασης

Τα περισσότερα από τα παραδοσιακά μοντέλα ελέγχου προσπέλασης βασίζο-
νται στην ταυτότητα του υποκειμένου και στο όνομα του αντικειμένου, είτε άμεσα
είτε έμμεσα μέσω άλλων χαρακτηριστικών, όπως οι ρόλοι. Όμως, αυτή η τακτική
είναι ιδιαίτερα περιοριστική στην έκφραση πολιτικών σε σύγχρονα υπολογιστικά
περιβάλλοντα, όπου η πληθώρα υποκειμένων και αντικειμένων σε συνδυασμό με
ειδικές καταστάσεις επιβάλλει τον χειρισμό οντοτήτων που δεν είναι πάντα γνω-
στές εκ των προτέρων.

10.4.1. ABAC: Έλεγχος Προσπέλασης Βασισμένος σε Χαρακτηριστικά

Στο ABAC (Attribute-based Access Control), το αίτημα ενός υποκειμένου για
πρόσβαση σε ένα αντικείμενο εξετάζεται έναντι πολιτικών ελέγχου προσπέλασης
οι οποίες ορίζονται στη βάση χαρακτηριστικών (attribute) των οντοτήτων, όπως τα
υποκείμενα και τα αντικείμενα, καθώς και των συνθηκών περιβάλλοντος (πλαισίου
- context). Τα χαρακτηριστικά κάθε μιας οντότητας ορίζονται ως ένα σύνολο ζευ-
γών της μορφής {χαρακτηριστικό, τιμή}. Για παράδειγμα, χαρακτηριστικά ενός
υποκειμένου μπορεί να είναι η θέση του στην ιεραρχία (π.χ. ρόλος), το ύψος του ή
η ηλικία του. Αντίστοιχα, συνθήκες περιβάλλοντος μπορεί να θεωρούνται η θερ-
μοκρασία, ο χρόνος, κ.ά.
128 Ασφάλεια Πληροφοριακών Συστημάτων

Εικόνα 10.8 - Βασικό σενάριο ABAC

Πιο συγκεκριμένα, τα αριθμημένα βήματα του βασικού σεναρίου ABAC της
Εικόνας 10.8 έχουν ως εξής:
1. Ένα υποκείμενο αιτείται προσπέλαση σε ένα συγκεκριμένο αντικείμενο.
2. Το αίτημα προσπέλασης εξετάζεται από τον μηχανισμό ελέγχου προσπέλασης
με βάση:
α) Την πολιτική ελέγχου προσπέλασης
β) Τα χαρακτηριστικά του υποκειμένου
γ) Τα χαρακτηριστικά του αντικειμένου
δ) Τα χαρακτηριστικά περιβάλλοντος (πλαίσιο λειτουργίας)
3. Ο μηχανισμός ελέγχου προσπέλασης επιτρέπει ή αρνείται στο υποκείμενο την
αιτηθείσα πρόσβαση στο αντικείμενο.
Ο μηχανισμός ελέγχου προσπέλασης στο ABAC είναι κατανεμημένος και αποτε-
λείται από τα εξής σημεία (Εικόνα 10.9):
• Σημείο Απόφασης Πολιτικής (Policy Decision Point - PDP)
• Σημείο Επιβολής Πολιτικής (Policy Enforcement Point - PEP)
Μηχανισμοί Ελέγχου Προσπέλασης 129

• Σημείο Διαχείρισης Πολιτικής (Policy Administration Point - PAP)

• Σημείο Πληροφοριών Πολιτικής (Policy Information Point - PIP)

Υποκείμενο PEP Αντικείμενο

PDP

PAP Αποθήκη P P
πολιτικών

Αποθήκη
χαρακτηριστικών

Εικόνα 10.9 – Κατανεμημένος μηχανισμός ελέγχου προσπέλασης του ABAC

Ένα σημαντικό γνώρισμα του ABAC είναι η δυνατότητα λειτουργικού διαχω-
ρισμού του PDP από το PEP, με αποτέλεσμα η απαιτητική σε υπολογιστικούς πό-
ρους διεργασία της λήψης απόφασης να μπορεί να λαμβάνει χώρα σε έναν ισχυρό
κόμβο του δικτύου και οι αποφάσεις να μεταδίδονται προς επιβολή στα επιμέρους
PEP που μπορούν να βρίσκονται σε τερματικούς κόμβους χαμηλών υπολογιστικών
δυνατοτήτων. Ο διαχωρισμός αυτός επιτρέπει τη λειτουργία του ABAC σε συ-
σκευές με περιορισμένους πόρους, όπως οι κόμβοι ενός ασύρματου δικτύου αισθη-
τήρων (Wireless Sensor Network - WSN). Ακόμη, στο ABAC παρατηρείται σημα-
ντική ευελιξία στον ορισμό μιας πολιτικής ελέγχου προσπέλασης, καθώς για το
ίδιο υποκείμενο μπορεί να προκύψει διαφορετική απόφαση ελέγχου προσπέλασης
για ενέργεια στο ίδιο αντικείμενο αλλά σε ένα διαφορετικό πλαίσιο λειτουργίας.
Ως αποτέλεσμα, υπάρχει η δυνατότητα υλοποίησης πιο σύνθετων πολιτικών, προ-
σαρμοσμένων δυναμικά στις εκάστοτε συνθήκες λειτουργίας. Σημαντικό ακόμη
πλεονέκτημα του ABAC είναι πως η αυθεντικοποίηση του υποκειμένου μπορεί να
γίνει με βάση τις τιμές κάποιων χαρακτηριστικών του, αντί της ταυτότητάς του.

10.4.2. Πρότυπο XACML

Το πρότυπο eXtensible Access Control Markup Language (XACML) έχει προ-
ταθεί από τον οργανισμό OASIS, μια μη κερδοσκοπική κοινοπραξία που στοχεύει
130 Ασφάλεια Πληροφοριακών Συστημάτων

στην ανάπτυξη ανοικτών προτύπων σε τομείς όπως αυτοί της ασφάλειας, του In-
ternet of Things και της νεφοϋπολογιστικής (cloud computing). Το πρότυπο
XACML περιγράφει την υλοποίηση ενός συστήματος ABAC, καθορίζοντας με
σαφήνεια:
• Την αρχιτεκτονική του συστήματος ελέγχου προσπέλασης, δηλαδή τον
τρόπο δόμησης ενός συστήματος ABAC και τον τρόπο ανταλλαγής μηνυ-
μάτων μεταξύ των σημείων.
• Το σχήμα επικοινωνίας που καθορίζει τη μορφή και το περιεχόμενο των
ανταλλασσόμενων μηνυμάτων.
• Τη γλώσσα περιγραφής πολιτικών ελέγχου προσπέλασης που καθορίζει
πώς αυτές εκφράζονται ως προς τη δομή και την οργάνωσή τους.
Η τρέχουσα έκδοση 3 του προτύπου XACML περιγράφει τη λειτουργία ενός
συστήματος ABAC με το διάγραμμα ροής που φαίνεται στην Εικόνα 10.10, όπου
τα αριθμημένα βήματα περιγράφονται πιο αναλυτικά ως εξής:
1. Οι πολιτικές που έχουν καθοριστεί από τον διαχειριστή ελέγχου προσπέ-
λασης στο PAP κοινοποιούνται στο PDP.
2. Ένα υποκείμενο υποβάλει ένα αίτημα προσπέλασης σε ένα αντικείμενο
(πόρο - resource), το οποίο λαμβάνεται από το PEP.
3. To PEP προωθεί το αίτημα στον Διαχειριστή Πλαισίου (ΔΠ).
4. Ο ΔΠ προωθεί το αίτημα στο PDP για τη λήψη της απόφασης.
5. Αν απαιτείται, το PDP ζητά από το ΔΠ τα χαρακτηριστικά που αναφέρο-
νται στις σχετικές πολιτικές και είναι απαραίτητα για τη λήψη απόφασης.
6. Ο ΔΠ ζητά τα χαρακτηριστικά υποκειμένου, αντικειμένου και πλαισίου
από το PIP.
7. Το PIP συλλέγει τα χαρακτηριστικά
α) του υποκειμένου,
β) του πλαισίου (συνθήκες περιβάλλοντος),
γ) του αντικειμένου (πόρου).
8. Το PIP επιστρέφει τα χαρακτηριστικά στο ΔΠ.
9. Προαιρετικά, επιπλέον των χαρακτηριστικών του αντικειμένου, ο ΔΠ εν-
δέχεται να ανακτήσει και περιεχόμενα του αντικειμένου για το οποίο έχει
υποβληθεί το αίτημα προσπέλασης.
10. Ο ΔΠ μεταφέρει στο PDP τα χαρακτηριστικά.
Μηχανισμοί Ελέγχου Προσπέλασης 131

11. Το PDP λαμβάνει και επιστρέφει την απόφαση για αποδοχή ή απόρριψη
του αιτήματος προσπέλασης.
12. Ο ΔΠ επιστρέφει την απόφαση στο PEP προς επιβολή.
13. Αν η απόφαση περιέχει υποχρεώσεις (obligations), αυτές θα επιβληθούν
από την Υπηρεσία Υποχρεώσεων για να εκπληρωθούν πριν την προσπέ-
λαση στο αντικείμενο.

ΥΠΗΡΕΣΙΑ
ΑΙΤΩΝ (Υποκείμενο) 2. Αίτημα πρόσβασης PEP 13. Υποχρεώσεις
ΥΠΟ ΡΕΩΣΕΩΝ

3. Αίτημα 12. Απόφαση

. Μεταβίβαση αιτήματος
. Αίτημα για χαρακτηριστικά ΔΙΑ ΕΙΡΙΣΤΗΣ ΠΟΡΟΣ
PDP 9. Περιεχόμενα πόρου
10. αρακτηριστικά ΠΛΑΙΣΙΟΥ (Αντικείμενο)
11. Απόφαση

. Αίτημα . αρακτηριστικά
για ιδιοτητες

7β. αρακτηριστικά αντικειμένου

1. Καθορισμένες πολιτικές
PP
7γ. αρακτηριστικά πλαισίου

7α. αρακτηριστικά υποκειμένου

ΠΛΑΙΣΙΟ
PAP ΥΠΟΚΕΙΜΕΝΑ
(Περιβάλλον)

Εικόνα 10.10 - Λειτουργία συστήματος ABAC στο XACML

Εφόσον μετά την ολοκλήρωση των παραπάνω επιτρέπεται η προσπέλαση, το υπο-

κείμενο αποκτά πρόσβαση στο αντικείμενο.
Το πρότυπο XACML καθορίζει την επικοινωνία μεταξύ των δομικών στοιχείων
του συστήματος, όπου, για κάθε μετάβαση (π.χ. αιτήματος, απόκρισης, ανάκτησης
χαρακτηριστικών) στο διάγραμμα ροής, ανταλλάσσονται μηνύματα για τα οποία
υπάρχει καθορισμένη δομή και σαφής ονοματοδοσία. Ακόμη, οι πολιτικές αποτε-
λούνται από κανόνες και σχηματίζουν σύνολα πολιτικών. Ένα απλοποιημένο μο-
ντέλο ορισμού πολιτικής (Policy Domain Model), παρουσιάζεται στην Εικόνα
10.11.
132 Ασφάλεια Πληροφοριακών Συστημάτων

0..

1 Σύνολο
πολιτικών

Πολιτική 1 1.. Κανόνας

Εικόνα 10.11 – Μοντέλο ορισμού πολιτικής

Στην Εικόνα 10.11 γίνεται χρήση της σχέσης σύνθεσης (aggregation), καταδει-
κνύοντας πώς δεν είναι δυνατό να υπάρχει πολιτική (policy) εκτός συνόλου πολιτι-
κών (policy set), ούτε φυσικά κανόνας (rule) που δεν ανήκει σε μια πολιτική. Για
τη διαχείριση των πολιτικών και των συνόλων πολιτικών χρησιμοποιούνται αλγό-
ριθμοι που καθορίζουν τον τρόπο εφαρμογής κανόνων και πολιτικών, αντίστοιχα.
Ακόμη, το XACML εισάγει τη χρήση υποχρεώσεων (obligations) και συμβουλών
(advice) που εμπεριέχονται στις πολιτικές και στα σύνολα πολιτικών.

10.4.3. Πλαίσιο NGAC

Στην προσπάθεια προτυποποίησης του ABAC, το US National Institute of Stand-
ards and Technology (NIST) ανέπτυξε το εργαλείο λογισμικού Policy Machine
(PM), ως αποτέλεσμα ερευνητικών προσπαθειών για τον προσδιορισμό του πλαι-
σίου (framework) Next Generation Access Control (NGAC).
Τα βασικά συστατικά του NGAC είναι οι οντότητες (entity), οι περιέκτες (con-
tainer) και οι σχέσεις (relation). Σε αντίθεση με το XACML αλλά και τις περισσό-
τερες υλοποιήσεις ελέγχου προσπέλασης, όπου οι πολιτικές εκφράζονται με τη
χρήση κανόνων, στο NGAC οι πολιτικές αναπτύσσονται με τη χρήση των σχέσεων
που είναι τεσσάρων τύπων: εκχωρήσεις (assignment), συσχετίσεις (association),
απαγορεύσεις (prohibition) και υποχρεώσεις (obligation). Ακόμη, στο NGAC
χρησιμοποιούνται οι όροι χρήστης (user) και λειτουργία (operation), αντί των ό-
ρων υποκείμενο και ενέργεια του XACML, αντίστοιχα. Η έννοια των χαρακτηρι-
στικών του χρήστη και του αντικειμένου συνεχίζει να υπάρχει, με τη διαφορά ότι
στο NGAC τα χαρακτηριστικά και οι οντότητες κλάσης πολιτικής (policy class
Μηχανισμοί Ελέγχου Προσπέλασης 133

entity) σχηματίζουν περιέκτες με τους οποίους συσχετίζονται οι χρήστες και τα

αντικείμενα Οι οντότητες κλάσης πολιτικών είναι το σύνολο των στοιχείων που
καθορίζουν μια πολιτική, όπως οι χρήστες, τα χαρακτηριστικά χρηστών και τα χα-
ρακτηριστικά αντικειμένων, ενώ μπορούν να είναι αμοιβαία αποκλειόμενες ή να
επικαλύπτονται. Αντίστοιχα, οι περιέκτες κλάσεων οντοτήτων πολιτικών χαρακτη-
ρίζουν ένα σύνολο πολιτικών.
Οι περιέκτες είναι ιδιαίτερα σημαντικοί για τον καθορισμό και τη διαχείριση
των πολιτικών. Ένας περιέκτης είναι ένα σύνολο χαρακτηριστικών που χαρακτηρί-
ζει τους χρήστες ή τα αντικείμενα. Για παράδειγμα, αν για ένα σύνολο φοιτητών,
ένα χαρακτηριστικό τους μπορεί να είναι το εξάμηνο σπουδών, τότε υπάρχουν οι
περιέκτες «Εξάμηνο Α», «Εξάμηνο Β» κ.λπ. και ο χρήστης φοιτητής εκχωρείται
στον περιέκτη ή τους περιέκτες που περιέχει το αντίστοιχο χαρακτηριστικό μέσω
μιας εκχώρησης που απεικονίζεται με ένα ζεύγος (x, y), όπου το x περιέχεται στο y.
Τα σύνολα οντοτήτων που χρησιμοποιούνται στις εκχωρήσεις μπορεί να είναι ένας
χρήστης, χαρακτηριστικά χρηστών, χαρακτηριστικά αντικειμένων αλλά και κλά-
σεις πολιτικών.
Μια συσχέτιση αναπαρίσταται με μια τριάδα της μορφής (ua, ars, attr) όπου ua
είναι ένα χαρακτηριστικό χρήστη (user attribute), ars ένα σύνολο δικαιωμάτων
πρόσβασης (access rights set) και attr ένα χαρακτηριστικό χρήστη ή αντικειμένου.
Άρα η τριάδα (ua, ars, attr) δηλώνει ότι: «στους χρήστες που εκχωρούνται σε πε-
ριέκτη που περιέχει τα χαρακτηριστικά ua αποδίδονται τα προνόμια ars επί των
αντικειμένων που εκχωρούνται σε περιέκτη που περιέχει το χαρακτηριστικό attr».
Στην Εικόνα 10.12 φαίνεται ένα παράδειγμα μιας πολιτικής με τον τίτλο «Δη-
λώσεις Μαθημάτων» όπου οι εκχωρήσεις εμφανίζονται με βέλη και οι συσχετίσεις
με διακεκομμένες γραμμές.
134 Ασφάλεια Πληροφοριακών Συστημάτων

Εικόνα 10.12 - Παράδειγμα εκχωρήσεων και συσχετίσεων στο NGAC

Πιο συγκεκριμένα, οι χρήστες u1, u2, u3 εκχωρούνται στα χαρακτηριστικά
«Καθηγητής», «Προπτυχιακός» και «Μεταπτυχιακός», αντίστοιχα. Τα χαρακτηρι-
στικά «Προπτυχιακός» και «Μεταπτυχιακός» εκχωρούνται στο χαρακτηριστικό
φοιτητής. Οι συσχετίσεις καθορίζουν ότι:
• Οι χρήστες που εκχωρούνται στον περιέκτη «Καθηγητής» έχουν το προνό-
μιο ανάγνωσης και εγγραφής στα στοιχεία που εκχωρούνται στον περιέκτη
«Βαθμολογίες», άρα στο αντικείμενο ο1. Επίσης, έχουν το προνόμιο ανά-
γνωσης στα αντικείμενα που εκχωρούνται στον περιέκτη «Δηλωμένα μα-
θήματα» μέσω σχέσης εκχώρησης με άλλους περιέκτες («Προπτυχιακά μα-
θήματα» και «Μεταπτυχιακά μαθήματα»). Στο παράδειγμα τα αντικείμενα
αυτά είναι τα o2 και o3.
• Οι χρήστες που εκχωρούνται στον περιέκτη «Προπτυχιακός» έχουν το προ-
νόμιο ανάγνωσης και εγγραφής στα αντικείμενα που εκχωρούνται στον πε-
ριέκτη «Προπτυχιακά μαθήματα». Έτσι στο παράδειγμα ο χρήστης u3 έχει
δικαίωμα εγγραφής και ανάγνωσης στον αντικείμενο o3.
• Οι χρήστες που εκχωρούνται στον περιέκτη «Μεταπτυχιακός» έχουν το
προνόμιο ανάγνωσης και εγγραφής στα αντικείμενα που εκχωρούνται στον
περιέκτη «Μεταπτυχιακά μαθήματα». Έτσι στο παράδειγμα ο χρήστης u2
έχει δικαίωμα εγγραφής και ανάγνωσης στον αντικείμενο o2.
• Τέλος, όσοι χρήστες εκχωρούνται στον περιέκτη «Φοιτητής» έχουν το προ-
νόμιο ανάγνωσης στο αντικείμενο «Βαθμολογίες». Στο παράδειγμα δεν υ-
πάρχει χρήστης να εκχωρείται άμεσα στον περιέκτη αυτό αλλά παρατηρού-
με πως οι περιέκτες «Μεταπτυχιακός» και «Προπτυχιακός» εκχωρούνται
Μηχανισμοί Ελέγχου Προσπέλασης 135

στον περιέκτη «Φοιτητής». Έτσι οι χρήστες u2 και u3 που εκχωρούνται

στους περιέκτες «Μεταπτυχιακός» και «Προπτυχιακός» αντίστοιχα, έχουν
επίσης το προνόμιο ανάγνωσης στο αντικείμενο «Βαθμολογίες».
Το NGAC περιγράφει τρεις τύπους απαγορεύσεων: user-deny, user_attribute-deny
και process-deny. Οι απαγορεύσεις, γενικότερα, χρησιμοποιούνται για να δηλώ-
σουν μια άρνηση σε ένα προνόμιο. Για παράδειγμα, έστω η απαγόρευση ud(u-ars-
pe) τύπου user-deny, όπου pe είναι το στοιχείο πολιτικής (policy element). Η απα-
γόρευση user-deny(u-ars-pe) δηλώνει ότι από τον χρήστη u αφαιρείται η δυνατό-
τητα εξάσκησης των δικαιωμάτων πρόσβασης ars στον πόρο pe. Τα δύο πρώτα
είδη αρνήσεων μπορούν να καθοριστούν από διαχειριστικές οντότητες (όπως ο
διαχειριστής ενός συστήματος ελέγχου προσπέλασης), ενώ η τελευταία (process-
deny) μπορεί να προκύψει μόνο μέσω υποχρεώσεων. Οι υποχρεώσεις καθορίζουν
σε ποιές περιπτώσεις (event pattern - ep) θα συντελεστεί μια ενέργεια (response -
r) και εκφράζονται ως το ζεύγος (ep, r) που δηλώνει: ΟΤΑΝ ep ΤΟΤΕ r.
Η αρχιτεκτονική του NGAC καθορίζει τέσσερα επίπεδα. Το επίπεδο Επιβολής
(enforcement), το επίπεδο Απόφασης (decision), το επίπεδο Διαχείρισης (admin-
istration) και το επίπεδο Δεδομένων Ελέγχου Προσπέλασης (access control data).
Τα συστατικά του μηχανισμού ελέγχου προσπέλασης κατανέμονται στα επιμέρους
επίπεδα, όπως φαίνεται στην Εικόνα 10.13.
136 Ασφάλεια Πληροφοριακών Συστημάτων

Εικόνα 10.13 - Τα επίπεδα του NGAC

Σε σχέση με τα σημεία του XACML, το NGAC εισάγει δύο νέα: το Σημείο Ε-
λέγχου Πόρου (Resource Access Point - RAP) και το Σημείο Επεξεργασίας Συμβά-
ντος (Event Processing Point - EPP). Με το RAP υποστηρίζεται ο διαχωρισμός
της λήψης και διαβίβασης αιτημάτων από την εκτέλεση της απόφασης. Το EPP
παρέχει κυρίως την κεντρική καταγραφή συμβάντων. Συγκεκριμένα, κάθε αίτημα
προσπέλασης που γίνεται από έναν χρήστη μέσω μιας εφαρμογής φτάνει στο PEP
το οποίο μεταφέρει το αίτημα αυτό στο PDP. Το PDP αξιολογεί την κατάσταση
των εκχωρήσεων και των συσχετίσεων ώστε να καταλήξει σε μια απόφαση την
οποία επιστρέφει στο PEP μαζί με τη θέση του περιεχομένου του αντικειμένου. Το
PEP μεταβιβάζει την απόφαση στο RAP, το οποίο την εφαρμόζει στο περιεχόμενο
του αντικειμένου. Το αποτέλεσμα της εκτέλεσης επιστρέφεται στο PEP, το οποίο
στην περίπτωση επιτυχούς εκτέλεσης θα επικοινωνήσει το πλαίσιο της απόφασης
(π.χ. τύπος δεδομένων) στο EPP, το οποίο θα καταγράψει το αποτέλεσμα αλλά και
θα εξετάσει την ύπαρξη σχετικών υποχρεώσεων που ενδέχεται να επηρεάσουν τε-
λικά την απόφαση.
Μηχανισμοί Ελέγχου Προσπέλασης 137

10.5. Τρέχοντα και ανοιχτά ζητήματα ελέγχου προσπέλασης

Η ανάδειξη νέων εφαρμογών και περιβαλλόντων υπολογιστικής - π.χ. πανταχού
παρούσα υπολογιστική (ubiquitous computing), Διαδίκτυο των Πραγμάτων (Inter-
net of Things - IoT) κ.ά. - είχε ως αποτέλεσμα την ανάγκη προσαρμογής των προ-
σεγγίσεων ελέγχου προσπέλασης στις τρέχουσες απαιτήσεις. Σύμφωνα με τις απαι-
τήσεις αυτές, τα συστήματα ελέγχου προσπέλασης θα πρέπει να είναι ικανά να λει-
τουργούν:
• αποκεντρωμένα ώστε να αποφεύγονται τα μοναδικά σημεία αποτυχίας (sin-
gle point of failure)
• με μεγάλη σταθερότητα σε συσκευές με περιορισμένους πόρους ενέργειας,
επεξεργασίας και διάρκειας
• με εύκολα προσαρμόσιμο τρόπο σε ιδιαίτερα δυναμικά περιβάλλοντα (ό-
πως αυτά του Διαδικτύου του Πραγμάτων).
Μια διαφαινόμενη λύση για τις παραπάνω απαιτήσεις είναι η αξιοποίηση των τε-
χνολογιών blockchain, fog computing και Software Defined Networking (SDN),
είτε αποκλειστικά είτε συνδυαστικά.
Η αξιοποίηση των τεχνολογιών blockchain έχει προταθεί από αρκετούς ερευ-
νητές ως μια πολλά υποσχόμενη λύση αποκεντρωμένης αρχιτεκτονικής που μπορεί
να λειτουργήσει χωρίς να εξαρτάται από ένα κεντρικό σημείο ελέγχου, ενώ βασί-
ζεται στη συναίνεση (consensus) μεταξύ των συμμετεχόντων κόμβων. Υποστηρί-
ζεται έτσι η αποκεντρωμένη καταγραφή συναλλαγών, συμφωνιών, συμβολαίων
και γεγονότων, στη βάση μιας ασφαλούς βάσης δεδομένων που χαρακτηρίζεται
από μη μεταβλητότητα, διαφάνεια, ανιχνευσιμότητα και ελεγξιμότητα μεταξύ
κόμβων που λειτουργούν ισότιμα. Σημαντικό ενδιαφέρον συγκεντρώνουν οι προ-
σεγγίσεις υλοποίησης ABAC των Ding et al. (2019) όπου με αξιοποίηση τεχνολο-
γιών blockchain) γίνεται καταγραφή της κατανομής των χαρακτηριστικών ώστε να
αποφευχθούν προβλήματα αποτυχίας μοναδικού σημείου και παραποίησης δεδο-
μένων (data tampering), των Liu et al. (2020) όπου με βάση το Hyperledger Fabric
χρησιμοποιούνται τρία διαφορετικά είδη έξυπνων συμβολαίων (smart contract),
καθώς και των Islam et al. (2019) όπου με βάση πάλι το Hyperledger Fabric παρέ-
χεται από τη μια η δυνατότητα δημιουργίας πολιτικών ελέγχου προσπέλασης και
από την άλλη η λήψη αποφάσεων ελέγχου προσπέλασης με βάση την ομοφωνία
όλων των συμμετεχόντων.
Η Καθορισμένη από Λογισμικό Δικτύωση (Software Defined Networking -
SDN) είναι μια σύγχρονη αρχιτεκτονική δικτύων που αποσκοπεί στη διευκόλυνση
138 Ασφάλεια Πληροφοριακών Συστημάτων

των διαχειριστών, επιτρέποντάς τους την εύκολη ανταπόκριση στις όποιες αλλαγές
του δικτύου, την παροχή ολοκληρωμένων δυνατοτήτων προγραμματισμού δικτύου
και διαχείρισης φόρτου, την απλοποίηση των προβλημάτων πολύπλοκων και με-
γάλων δικτύων, καθώς και τη συγκέντρωση της νοημοσύνης του δικτύου ώστε να
επιτυγχάνεται αυξημένη ασφάλεια, αποδοτικότητα και ευελιξία. Ανάλογο ενδια-
φέρον παρουσιάζουν οι προσεγγίσεις υλοποίησης ABAC σε δίκτυα SDN των
Kammoun et al. (2020), όπου προτείνεται η ολοκλήρωση της αρχιτεκτονικής SDN
με διαχείριση εμπιστοσύνης (trust management) και ABAC, καθώς και η πρόταση
του Faizullah (2020) για μια λύση ελέγχου προσπέλασης με permissioned block-
chain πάνω σε SDN και παράλληλη αξιολόγηση της αποδοτικότητας, της επεκτα-
σιμότητας και της αποτελεσματικότητάς της.
H υπολογιστική ομίχλης (fog computing) τοποθετεί ένα σημαντικό τμήμα της
επικοινωνίας, του ελέγχου, της αποθήκευσης και της διαχείρισης στις άκρες ενός
δικτύου, αντί αυτό να εξαρτάται από τη σωστή λειτουργία αποκλειστικών κανα-
λιών σε μια συγκεντρωτική απομακρυσμένη υποδομή νεφοϋπολογιστικής. Με αυ-
τό τον τρόπο μειώνεται η αστάθεια (latency) των υπηρεσιών, βελτιώνεται η ποιό-
τητα των υπηρεσιών (Quality of Service - QoS), παρέχεται μια εξαιρετική εμπειρία
στους τελικούς χρήστες και διασφαλίζεται περισσότερο η ιδιωτικότητα. Ειδικά σε
ότι αφορά τον έλεγχο προσπέλασης, τα τελευταία χρόνια παρατηρείται μια ολοένα
αυξανόμενη μετακίνηση υπολογιστικής πολυπλοκότητας από τον πυρήνα προς τις
άκρες του δικτύου. Ενδιαφέρον παρουσιάζουν τα παραδείγματα ερευνητικών προ-
τάσεων των Kayes et al. (2020), όπου προτείνεται ο συνδυασμός των πλεονεκτη-
μάτων του fog computing με λύσεις που αξιοποιούν την πληροφορία πλαισίου για
δυναμικό έλεγχο προσπέλασης σε δεδομένα νεφοϋπολογιστικής, των Riabi et al.
(2017), όπου προτείνεται μια προσέγγιση ελέγχου προσπέλασης στο Διαδίκτυο
των Πραγμάτων που βασίζεται στον συνδυασμό fog computing και Distributed
Hash Table (DHT), καθώς και των Aggarwal et al. (2016) και των Molina et al.
(2019), όπου οι συγγραφείς αποδεικνύουν ότι ο συνδυασμός fog computing and
SDN καταλήγει σε βελτίωση της διαχείρισης δικτύου και της ασφάλειας των δεδο-
μένων.
Συμπερασματικά, σε πολλές σύγχρονες ερευνητικές εργασίες οι τεχνολογίες
blockchain, fog computing και SDN αποτελούν τα κύρια συστατικά για την κάλυ-
ψη των απαιτήσεων ελέγχου προσπέλασης στο IoT, συνήθως με υλοποιήσεις
ABAC.
Μηχανισμοί Ελέγχου Προσπέλασης 139

10.6. Σύνοψη
Η εξουσιοδότηση, ως κεντρική υποπεριοχή του ελέγχου προσπέλασης, αποτέλεσε
το κύριο θέμα μελέτης του παρόντος κεφαλαίου. Δόθηκαν οι απαραίτητοι ορισμοί
και παρουσιάστηκε ένα ενιαίο πλαίσιο μελέτης, ώστε να δημιουργηθούν οι προϋ-
ποθέσεις για μια σύντομη και κατανοητή παρουσίαση των κλασικών προσεγγίσεων
ελέγχου προσπέλασης (MAC, DAC και RBAC) και των σχετικών προτυποποιή-
σεών τους. Στη βάση των προηγούμενων, συζητήθηκε εκτενέστερα η σύγχρονη
προσέγγιση του ABAC, ως αποτέλεσμα, από τη μια της ώριμης προσπάθειας για
ολοκλήρωση των κλασικών προσεγγίσεων σε μια ενιαία δομή και από την άλλη
του καθορισμού του προτύπου XACML και του πλαισίου NGAC για την υποστή-
ριξη της υλοποίησης συστημάτων ελέγχου προσπέλασης που θα είναι κατάλληλα
προσαρμοσμένα στις ανάγκες σύγχρονων πληροφοριακών συστημάτων.

10.7. Βιβλιογραφικές Αναφορές

[1] C. Aggar al and . Srivastava, “Securing O devices using SDN and edge
computing,” in 2016 2nd International Conference on Next Generation Computing
Technologies (NGCT), Dehradun, India, Oct. 2016, pp. 877–882, doi:
10.1109/NGCT.2016.7877534.
[2] J. P. Anderson, “Computer security technology planning study,” ANDERSON
(JAMES P) AND CO FORT WASHINGTON PA FORT WASHINGTON, 1972.
[3] D. E. Bell and L. J. LaPadula, “Secure computer systems: Mathematical foun-
dations,” M RE CORP BEDFORD MA, 1973.
[4] H. F. Atlam, M. O. Alassafi, A. Alenezi, R. J. Walters, and G. B. Wills,
“XACML for Building Access Control Policies in nternet of hings:,” in Proceed-
ings of the 3rd International Conference on Internet of Things, Big Data and Secu-
rity, Funchal, Madeira, Portugal, 2018, pp. 253–260, doi:
10.5220/0006725102530260.
[5] M. Benantar, Access control systems: security, identity management and trust
models. New York: Springer Science+Business Media, 2006.
[6] . J. Biba, “ ntegrity considerations for secure computer systems,” M RE
CORP BEDFORD MA, 1977.
[7] F. Cai, N. Zhu, J. e, P. Mu, W. Li, and . u, “Survey of access control mod-
els and technologies for cloud computing,” Cluster Comput, vol. 22, no. S3, pp.
6111–6122, May 2019, doi: 10.1007/s10586-018-1850-7.
140 Ασφάλεια Πληροφοριακών Συστημάτων

[8] S. Ding, J. Cao, C. Li, . Fan, and . Li, “A Novel Attribute-Based Access
Control Scheme Using Blockchain for o ,” IEEE Access, vol. 7, pp. 38431–
38441, 2019, doi: 10.1109/ACCESS.2019.2905846.
[9] S. Faizullah, M. A. Khan, A. Alzahrani, and I. Khan, “Permissioned Block-
chain-Based Security for SDN in o Cloud Net orks,” arXiv:2002.00456 [cs],
Feb. 2020, Accessed: Sep. 20, 2020. [Online]. Available:
http://arxiv.org/abs/2002.00456.
[10] . Fan, Z. an, J. Liu, and . Zhao, “A Mandatory Access Control Model
ith Enhanced Fle ibility,” in 2009 International Conference on Multimedia In-
formation Networking and Security, Wuhan, China, 2009, pp. 120–124, doi:
10.1109/MINES.2009.267.
[11] D. Ferraiolo, R. Chandramouli, V. u, and R. uhn, “A comparison of attrib-
ute based access control (ABAC) standards for data service applications,” NIST
Special Publication, vol. 800, p. 178, 2016.
[12] D. Ferraiolo, R. Chandramouli, R. uhn, and V. u, “E tensible Access Con-
trol Markup Language (XACML) and Next Generation Access Control (NGAC),”
in Proceedings of the 2016 ACM International Workshop on Attribute Based Ac-
cess Control - ABAC ’16, New Orleans, Louisiana, USA, 2016, pp. 13–24, doi:
10.1145/2875491.2875496.
[13] D. Ferraiolo, J. Cugini, and D. R. uhn, “Role-based access control (RBAC):
Features and motivations,” in Proceedings of 11th annual computer security appli-
cation conference, 1995, pp. 241–48.
[14] D. Ferraiolo, D. R. Kuhn, and R. Chandramouli, Role-based access control.
Boston: Artech House, 2003.
[15] H. M. Gladney, “Access control for large collections,” ACM Trans. Inf. Syst.,
vol. 15, no. 2, pp. 154–194, Apr. 1997, doi: 10.1145/248625.248652.
[16] S. Godik and . Moses, “Oasis e tensible access control markup language
( acml),” OASIS Committee Secification cs-xacml-specification-1.0, 2002.
[17] M. A. arrison, W. L. Ruzzo, and J. D. Ullman, “Protection in operating sys-
tems,” Commun. ACM, vol. 19, no. 8, pp. 461–471, Aug. 1976, doi:
10.1145/360303.360333.
[18] V. C. Hu, D. Ferraiolo, and D. R. Kuhn, Assessment of access control systems.
US Department of Commerce, National Institute of Standards and Technology,
2006.
[19] V. C. Hu et al., “Guide to attribute based access control (abac) definition and
considerations (draft),” NIST special publication, vol. 800, no. 162, 2013.
Μηχανισμοί Ελέγχου Προσπέλασης 141

[20] V. C. Hu, D. F. Ferraiolo, R. Chandramouli, and R. D. Kuhn, Attribute-based

access control. Boston: Artech House, 2018.
[21] V. C. u, D. R. uhn, and D. F. Ferraiolo, “Attribute-Based Access Control,”
Computer, vol. 48, no. 2, pp. 85–88, Feb. 2015, doi: 10.1109/MC.2015.33.
[22] Md. A. slam and S. Madria, “A Permissioned Blockchain Based Access Con-
trol System for O ,” in 2019 IEEE International Conference on Blockchain
(Blockchain), Atlanta, GA, USA, Jul. 2019, pp. 469–476, doi:
10.1109/Blockchain.2019.00071.
[23] N. ammoun, R. Abassi, S. Guemara El Fatmi, and M. Mosbah, “A Ne
SDN Architecture Based on rust Management and Access Control for o ,” in
Web, Artificial Intelligence and Network Applications, vol. 1150, L. Barolli, F.
Amato, F. Moscato, T. Enokido, and M. Takizawa, Eds. Cham: Springer Interna-
tional Publishing, 2020, pp. 245–254.
[24] A. S. M. Kayes et al., “A Survey of Conte t-Aware Access Control Mecha-
nisms for Cloud and Fog Net orks: a onomy and Open Research ssues,” Sen-
sors, vol. 20, no. 9, p. 2464, Apr. 2020, doi: 10.3390/s20092464.
[25] T. Khalid et al., “A survey on privacy and access control schemes in fog com-
puting,” Int J Commun Syst, p. e4181, Oct. 2019, doi: 10.1002/dac.4181.
[26] B. W. Lampson, “Dynamic protection structures,” in Proceedings of the No-
vember 18-20, 1969, fall joint computer conference on - AFIPS ’69 (Fall), Las Ve-
gas, Nevada, 1969, p. 27, doi: 10.1145/1478559.1478563.
[27] H. Liu, D. Han, and D. Li, “Fabric-iot: A Blockchain-Based Access Control
System in o ,” IEEE Access, vol. 8, pp. 18207–18218, 2020, doi:
10.1109/ACCESS.2020.2968492.
[28] A. Molina Zarca, D. Garcia-Carrillo, J. Bernal Bernabe, J. Ortiz, R. Marin-
Perez, and A. Skarmeta, “Enabling Virtual AAA Management in SDN-Based IoT
Net orks †,” Sensors, vol. 19, no. 2, p. 295, Jan. 2019, doi: 10.3390/s19020295.
[29] . Punithasurya and S. J. Priya, “Analysis of different access control mecha-
nism in cloud,” International Journal of Applied Information Systems, vol. 4, no. 2,
pp. 34–39, 2012.
[30] I. Riabi, L. A. Saidane, and H. K.-B. Ayed, “A proposal of a distributed access
control over Fog computing: he S use case,” in 2017 International Conference
on Performance Evaluation and Modeling in Wired and Wireless Networks
(PEMWN), Paris, Nov. 2017, pp. 1–7, doi: 10.23919/PEMWN.2017.8308029.
[31] P. Samarati and S. C. de Vimercati, “Access Control: Policies, Models, and
Mechanisms,” in Foundations of Security Analysis and Design, vol. 2171, R. Fo-
142 Ασφάλεια Πληροφοριακών Συστημάτων

cardi and R. Gorrieri, Eds. Berlin, Heidelberg: Springer Berlin Heidelberg, 2001,
pp. 137–196.
[32] R. S. Sandhu and P. Samarati, “Access control: principle and practice,” IEEE
Communications Magazine, vol. 32, no. 9, pp. 40–48, 1994, doi:
10.1109/35.312842.
[33] R. S. Sandhu, “Lattice-based access control models,” Computer, vol. 26, no.
11, pp. 9–19, Nov. 1993, doi: 10.1109/2.241422.
[34] R. S. Sandhu, E. J. Coyne, . L. Feinstein, and C. E. ouman, “Role-based
access control models,” Computer, vol. 29, no. 2, pp. 38–47, Feb. 1996, doi:
10.1109/2.485845.
[35] D. Servos and S. L. Osborn, “Current Research and Open Problems in Attrib-
ute-Based Access Control,” ACM Comput. Surv., vol. 49, no. 4, pp. 1–45, Feb.
2017, doi: 10.1145/3007204.
[36] A. Ubale S apnaja, G. Modani Dattatray, and S. Apte Sulabha, “Analysis of
dac mac rbac access control based models for security,” International Journal of
Computer Applications, vol. 104, no. 5, pp. 6–13, 2014.
[37] E. uan and J. ong, “Attributed based access control (ABAC) for Web ser-
vices,” in IEEE International Conference on Web Services (ICWS’05), Orlando,
FL, USA, 2005, p. 1530847, doi: 10.1109/ICWS.2005.25.
[38] Γ. Πάγκαλος and Ι. Μαυρίδης, Ασφάλεια πληροφοριακών συστημάτων και δι-
κτύων. Ανικούλα, 2002.

4.8. Αντιστοίχιση ελληνικών – αγγλικών όρων

Authentication Αυθεντικοποίηση

*-property Ιδιότητα αστερίσκου

Access Control Matrix
Access Control Mechanism
Access Control Model
Access Control Policy
Access Control System
Πίνακας ελέγχου προσπέλασης
Μηχανισμός Ελέγχου Προσπέλα-
σης
Μοντέλο Ελέγχου Προσπέλασης
Πολιτική Ελέγχου Προσπέλασης
Σύστημα Ελέγχου Προσπέλασης
Μηχανισμοί Ελέγχου Προσπέλασης 143

Access right Δικαίωμα προσπέλασης

Accountability Λογοδοσία
Activation Ενεργοποίηση
Administration Διαχείριση
Assignment Εκχώρηση
Association Συσχέτιση
Attribute Χαρακτηριστικό
Authorization Εξουσιοδότηση
Capability Ικανότητα
Capability List Λίστα Ικανοτήτων
Clearance Αδειοδότηση
Cloud computing Nεφοϋπολογιστική
Εξουσιοδότηση χαμηλού βαθμού
Coarse-grained authorization
λεπτομέρειας
Compartment Διαμέρισμα
Consensus Συναίνεση
Constrained RBAC RBAC με Περιορισμούς
Container Περιέκτης
Context Πλαίσιο
Controller Ελεγκτής
Core RBAC Βασικό RBAC
Data Δεδομένα
Data tampering Παραποίηση δεδομένων
Έλεγχος Προσπέλασης Κατά Διά-
Discretionary Access Control
κριση
144 Ασφάλεια Πληροφοριακών Συστημάτων

Δυναμικός Διαχωρισμός Καθηκό-

Dynamic Separation of Duty
ντων
Enforcement Επιβολή
Entity Οντότητα
Εξουσιοδότηση υψηλού βαθμού
Fine-grained authorization
λεπτομέρειας
Fog computing Υπολογιστική ομίχλης
Hierarchical Role Based Access
Ιεραρχικό RBAC
Control (RBAC)
Identification Ταυτοποίηση
Identity management Διαχείριση ταυτότητας
Έλεγχος Προσπέλασης Βασισμένος
Identity-Based Access Control
σε Ταυτότητες
Inheritance Κληρονομιά
Integrity level Επίπεδο ακεραιότητας
Integrity label Ετικέτα ακεραιότητας
Internet of Things Διαδίκτυο των πραγμάτων
Lattice model Μοντέλο Δικτυώματος
Least Privilege Ελάχιστο Προνόμιο
Έλεγχος Προσπέλασης Κατ’ Απαί-
Mandatory Access Control
τηση
Πολυεπίπεδος Έλεγχος Προσπέλα-
Multi-level Access Control
σης
Need to Know Αναγκαία Γνώση

Next Generation Access Control Έλεγχος προσπέλασης νέας γενιάς

Μηχανισμοί Ελέγχου Προσπέλασης 145

Partially ordered set Μερικώς ταξινομημένο σύνολο

Policy Administration Point Σημείο Διαχείρισης Πολιτικής

Policy class entity Οντότητα κλάσης πολιτικής

Policy Decision Point Σημείο Απόφασης Πολιτικής
Policy Domain Model Μοντέλο Ορισμού Πολιτικής

Policy Enforcement Point Σημείο Επιβολής Πολιτικής

Policy Information Point Σημείο Πληροφοριών Πολιτικής

Principal Εντολέας
Process Διεργασία
Quality of Service (QoS) Ποιότητα της υπηρεσίας
Resource Πόρος
Revoke Ανακαλώ
Role Ρόλος
Role hierarchy Ιεραρχία ρόλων
Έλεγχος Προσπέλασης Βασισμένος
Role-Based Access Control
σε Ρόλους
Scalability Δυνατότητα κλιμάκωσης
Security label Ετικέτα ασφάλειας
Separation of Duties Διαχωρισμός Καθηκόντων

Simple integrity property Απλή ιδιότητα ακεραιότητας

Simple security property Απλή ιδιότητα ασφάλειας

Single point of failure Μοναδικό σημείο αστοχίας
146 Ασφάλεια Πληροφοριακών Συστημάτων

Smart contract Έξυπνο συμβόλαιο

Software Defined Networking Δικτύωση καθορισμένη από λογι-
(SDN) σμικό
Subject Υποκείμενο
Totally ordered set Πλήρως ταξινομημένο σύνολο
Transaction Συναλλαγή
Trust management Διαχείριση εμπιστοσύνης

Wireless Sensor Network (WSN) Ασύρματο δίκτυο αισθητήρων