From RBAC to new access control models. The case of ABAC and UCON

With an increased need for more thorough Access Control Methods for Information Systems (IS), some alternatives to the already existing methods have been designed to better handle the distribution of the IS, the integrations with customers and suppliers, giving a finer-grained approach to the security requirements of firms while maintaining the information inside the system secure. This work aims to compare the administrative features of the standard Role-Based Access Control (RBAC) model, against the Attribute- Based Access Control (ABAC) and Usage Control (UCON) models. The models are developed to explore how would an RBAC implementation on a firm and its administrative model would change if the IS used ABAC or UCON as its Access Control Methods. Results show the impact that the change might have in a firm.

Con una maggiore necessità di metodi più accurati nel controllo di accesso per i Sistemi Informativi (SI), alcune alternative ai metodi già esistenti sono stati progettati per gestire meglio la distribuzione dei SI, le integrazioni con clienti e fornitori, dando un approccio più dettagliato per i requisiti di sicurezza delle imprese, mantenendo le informazioni all'interno del sistema sicure. Questo lavoro si propone di confrontare le caratteristiche amministrative del modello standard di controllo di accesso basato sui ruoli (Role-Based Access Control - RBAC), contro i modelli di controllo di accesso basato su gli attributi (Attribute-Based Access Control - ABAC) e il controllo d’uso (Usage Control - UCON). I modelli si sviluppano per esplorare come cambierebbe un'implementazione RBAC di un’azienda se vengono utilizzati ABAC o UCON come metodi di controllo di accesso. I risultati mostrano i possibili impatti che la modifica potrebbe avere in un’azienda.