Rollbaserad åtkomstkontroll med geografisk avgränsning : En systematisk litteraturgenomgång av det befintliga kunskapstillståndet inom ämnesområdet

Andersson, Jerker

January 2015

Rollbaserad åtkomstkontroll är en standardiserad och väl etablerad modell för att hantera åtkomsträttigheter i informationssystem. Den vedertagna ANSI-standarden 359-2004 saknar dock stöd för att geografiskt avgränsa rollbehörigheter. Informationssystem som behandlar geografiska data och de senaste årens ökade spridning av mobila enheter påkallar ett behov av att sådana rumsliga aspekter diskuteras inom kontexten av rollbaserad åtkomstkontroll. Arbetet syftar till att bringa klarhet i hur det befintliga kunskapstillståndet inom ämnesområdet rollbaserad åtkomst kontroll med geografisk avgränsning ser ut, och vilka aspekter hos detta som står i behov av vidare utveckling. Genom de teoretiska referensramar som skapats vid inledande litteraturstudier har en efterföljande systematisk litteraturgenomgång möjliggjorts, där vetenskapligt material selekterats genom fördefinierade urvalskriterier. Sammanställningen och analysen av den systematiska litteraturgenomgångens resultat har i samverkan med de teoretiska referensramarna lett fram till arbetets huvudsakliga kunskapsbidrag: en områdesöversikt där ämnets state-of-the-art presenteras och en strukturerad lista över angelägna forsknings- och utvecklingsbehov inom området. / Role-based Access Control is a standardized and well established model in terms of handling access rights. However, the accepted ANSI standard 359-2004 lacks the support of geographically delimiting role authorizations. Information systems handling geographical data together with the increasing use of mobile devices call for a need to discuss such spatial aspects within the context of Role-Based Access Control. This thesis seeks to shed light on the current state of knowledge within the subject area as well as to identify aspects of it that are in need of further development. The theoretical framework conceived by the initial literature review has made the conduction of a systematic literature review possible, and the synthesis and analysis of the data together with the theoretical framework have led to the work’s contributions of knowledge: an overview of the subject where the state-of-the art in the area is presented and a structured list of desirous needs of research and development within the area of study.

Rollbaserad åtkomstkontroll

RBAC

geografisk avgränsning

spatial avgränsning

säkerhet

Information Systems

Role Mining With Hierarchical Clustering and Binary Similarity Measures / Role mining med hierarkisk klustring och binära likhetsmått

Olsson, Magnus

January 2023

Role engineering, a critical task in role-based access control systems, is the process of identifying a complete set of roles that accurately reflect the structure of an organization. Role mining, a data-driven approach, utilizes data mining techniques on user-permission assignments represented as binary data to automatically derive these roles. However, relying solely on data-driven methods often leads to the generation of a large set of roles lacking interpretability. To address this limitation, this thesis presents a role mining algorithm, whose results can be viewed as an initial step in the role engineering process, in order to streamline the task of defining semantically meaningful roles, where human analysis is an inevitable post-processing step. The algorithm is based on hierarchical clustering analysis, and its main objective is identifying a sufficiently small set of roles that cover as large a proportion of the user-permission assignments as possible. To evaluate the performance of the algorithm, multiple real-world data sets representing diverse access control scenarios are utilized. The evaluation focuses on comparing various binary similarity measures, with the goal of determining the most suitable characteristics of a binary similarity measure to be used for role mining. The evaluation of different binary similarity measures provides insights into their effectiveness in achieving accurate role definitions to be used as a foundation for constructing meaningful roles. Ultimately, this research contributes to the advancement of role mining methodologies, facilitating improved access control systems that align with organizational needs and enhance security and efficiency. / Role engineering går ut på att identifiera en komplett uppsättning roller som återspeglar strukturen i en organisation och är en viktig uppgift när organisationer övergår till rollbaserad åtkomstkontroll. Role mining är en datadriven metod som använder data mining-tekniker på användarnas behörighetstilldelningar för att automatiskt härleda dessa roller. Dessa tilldelningar kan representeras som binär data. Att enbart förlita sig på datadrivna metoder leder dock ofta till att en stor uppsättning svårtolkade roller genereras. För att adressera denna begränsning har en role mining-algoritm utvecklas i det här arbetet. Genom att applicera algoritmen på den binära tilldelningsdatan kan de erhållna resultaten betraktas som ett inledande steg i role engineering-processen. Syftet är att effektivisera arbetet med att definiera semantiskt meningsfulla roller, där mänsklig analys är en oundviklig fas. Algoritmen är baserad på hierarkisk klustring och har som huvudsyfte att identifiera en lagom stor uppsättning roller som täcker så stor del av behörighetstilldelningarna som möjligt. För att utvärdera algoritmens prestanda appliceras den på flertalet datamängder insamlade från varierande verkliga åtkomstkontrollsystem. Utvärderingen fokuserar på att jämföra olika binära likhetsmått med målet att bestämma de mest lämpliga egenskaperna för ett binärt likhetsmått som ska användas för role mining. Utvärderingen av olika binära likhetsmått ger insikter i deras effektivitet att uppnå korrekta rolldefinitioner som kan användas som grund för att konstruera meningsfulla roller. Denna forskning bidrar till framsteg inom role mining och syftar till att underlätta övergången till rollbaserad åtkomstkontroll samt förbättra metoderna för att identifiera roller som överensstämmer med organisationsbehov och förbättrar säkerhet och effektivitet.

Access Control

RBAC

Role Engineering

Role Mining

Unsupervised Machine Learning

Hierarchical Clustering

Binary Similarity Measures

IAM

Rollbaserad åtkomstkontroll

Rollgranskning

Maskininlärning

Hierarkisk klustring

binära likhetsmått

Other Mathematics

Annan matematik

Role Based Access Control (RBAC) in the context of Smart Grids : Implementing and Evaluating a Role Based Access Control System for Configuration Loading in a Substation from a Desktop / Rollbaserad åtkomstkontroll (RBAC) för smarta nät : Implementering och utvärdering av ett rollbaserat åtkomstkontrollsystem för konfigurationsinläsning i en transformatorstation från en datorapplikation.

Ducornaud, Gatien

January 2023

Access control is a crucial aspect of cybersecurity, and Role Based Access Control (RBAC) is a typical framework for controlling the access to specific resources. However, in the context of Smart Grids, the usual authentication solution of using a trusted identity provider might not be possible to provide authentication of a user, as systems cannot rely on external services. This, in addition to devices in a substation being usually strictly controlled, means that having an RBAC limited to a desktop application can be necessary. Moreover, the cost of adding additional layers of security needs to be considered too, as the cost of adding specific features can vary significantly. This thesis thus looks into the existing solutions for desktop applications in substations, explains their viability and implements an RBAC system using Group Nesting in Windows user management, in the context of a configuration loading application on a main computer in a substation. It is then used to evaluate the cost of this new solution, in terms of maintainability, usability and flexibility, compared to the gained security. This is done by using static analysis of both codebases, and evaluation of usability and security. It shows that security can be added for a reasonable cost using Group Nesting in Smart Grids if the focus is to delegate some tasks to the directory, improving on the security of the application and the system as a whole. / Åtkomstkontroll är en viktig aspekt av cybersäkerhet, och rollbaserad åtkomstkontroll (RBAC) är ett typiskt ramverk för att kontrollera åtkomsten till specifika resurser. I smarta nät kan det dock hända att den vanliga autentiseringslösningen med en betrodd identitetsleverantör inte är tillräcklig för att autentisera en användare, eftersom systemen inte kan förlita sig på externa tjänster. Detta, förutom att enheterna i en transformatorstation vanligtvis är strikt kontrollerade, innebär att det kan vara nödvändigt att ha en RBAC som är begränsad till en datorapplikation. Dessutom måste kostnaden för att lägga till ytterligare säkerhetslager också beaktas, eftersom kostnaden för att lägga till specifika funktioner kan variera avsevärt. Denna avhandling omfattar därför dels undersökning av de befintliga lösningarna för datorapplikation i transformatorstationer, dels redogörelse av genomförbarheten och dels implementeringen av ett RBAC-system. Implementationen använder funktionen Group Nesting i Windows-användarhantering och integrerades i en applikation för konfigurationsinläsning på en huvuddator i en transformatorstation. Därefter utvärderas kostnaden för denna nya lösning i fråga om underhållbarhet, användbarhet och flexibilitet i förhållande till den ökade säkerheten. Detta görs med hjälp av statisk analys av de båda mjukvarulösningarna och utvärdering av användbarhet och säkerhet. Det visar att säkerheten kan ökas till en rimlig kostnad med hjälp av Group Nesting i smarta nät, om fokus ligger på att delegera vissa uppgifter till en katalog, vilket förbättrar säkerheten i applikationen och systemet som helhet. / Le contrôle ’daccès est un aspect essentiel de la cybersécurité, et utiliser des rôles pour implémenter cela est souvent le modèle recommandé. Pour autant, dans le contexte des réseaux électriques intelligents, il ’nest pas toujours possible de posséder un parti tiers fiable qui puisse faire autorité car il ne faut pas dépendre de systèmes extérieurs. ’Cest particulièrement vrai dans une sous-station où les ordinateurs connectés ont un rôle strictement défini. Ainsi il peut être nécessaire ’davoir un système de contrôle ’daccès basé sur les rôles (RBAC, Role-Based Access Control) uniquement contenu sur un ordinateur. Il faut de plus pouvoir estimer le coût de cette sécurité supplémentaire. Ce rapport évalue les solutions existantes dans cette situation et leur viabilité, et implémente un RBAC grâce à ’limbrication de groupe ’dutilisateur Windows, pour une application desktop pour le chargement de configuration pour l´ordinateur central ’dune sous-station. Cette implémentation est ensuite utilisée pour estimer les coûts associés à ’lajout ’dun RBAC en termes de maintenabilité, ’dutilisabilité et de flexibilité par rapport aux gains de sécurité. Cela est fait à travers des outils ’danalyse statique sur le code avant et après implémentation et ’dautres techniques ’danalyse de la sécurité et de la maintenabilité. Cela permet de montrer que, avec ’limbrication de groupes, il est possible ’dobtenir un niveau de sécurité satisfaisant tout en limitant les coûts associés, grâce au fait de déléguer les fonctions de gestion ’dutilisateur à un système de directory (répertoire).

Role Based Access Control (RBAC)

Cybersecurity

Smart Grid

Substation

Desktop Applications

Cybersécurité

Réseau électrique intelligent

Sous-Station

Application Desktop

Rollbaserad åtkomstkontroll (RBAC)

Cybersäkerhet

Smarta nät

Transformatorstation

datorapplikation

Software Engineering

Programvaruteknik

Computer and Information Sciences

Data- och informationsvetenskap

Streamlining Certification Management with Automation and Certification Retrieval : System development using ABP Framework, Angular, and MongoDB / Effektivisering av certifikathantering med automatisering och certifikathämtning : Systemutveckling med ABP Framework, Angular och MongoDB

Hassan, Nour Al Dine

January 2024

This thesis examines the certification management challenge faced by Integrity360. The decentralized approach, characterized by manual processes and disparate data sources, leads to inefficient tracking of certification status and study progress. The main objective of this project was to construct a system that automates data retrieval, ensures a complete audit, and increases security and privacy.  Leveraging the ASP.NET Boilerplate (ABP) framework, Angular, and MongoDB, an efficient and scalable system was designed, developed, and built based on DDD (domain-driven design) principles for a modular and maintainable architecture. The implemented system automates data retrieval from the Credly API, tracks exam information, manages exam vouchers, and implements a credible authentication system with role-based access control.  With the time limitations behind the full-scale implementation of all the planned features, such as a dashboard with aggregated charts and automatic report generation, the platform significantly increases the efficiency and precision of employee certification management. Future work will include these advanced functionalities and integrations with external platforms to improve the system and increase its impact on operations in Integrity360.

Certification Management

Automation

Certification Retrieval

ABP Framework

Angular

MongoDB

Credly API

Exam Information

Exam Vouchers

Authentication

Role-Based Access Control

Data Retrieval

Audit

Security

Privacy

Efficiency

Accuracy

Scalability

Maintainability

Domain-Driven Design

Software Development

User Interface

Data Encryption

HTTPS

Input Validation

Identity Management

Audit Logging

Cybersecurity

Education

Training

Employee Certification

Study Progress

Centralized Platform

Data Integration

Consolidated View

Graphs

Bar Charts

Manual Data Entry

Information Silos

Decision Making

Compliance

Industry Standards

Partner Levels

Financial Penalties

Reputation Damage

Business Opportunities

NoSQL Database

Unstructured Data

Semi-structured Data

Software Architecture

Layered Architecture

Presentation Layer

Application Layer

Domain Layer

Entities

Value Objects

Aggregates

Repositories

Domain Services

Data Transfer Objects (DTOs)

Business Logic

Domain Semantics

Modern Web Applications

User Authentication

Authorization

Audit Logging

Dynamic Web Applications

Component-Based

TypeScript

Type Safety

Code Quality

Maintainability

Active Community

Charts

Graphs

Secure Submission

LeptonX Lite

Responsive Design

Navigation Sidebar

Menu Bar

Tabs

Table

Attributes

Properties

Buttons

Modal Dialogs

Profile Settings

System Admin Panel

Account Management

Permissions

System Settings

Certifikathantering

Automatisering

Certifikathämtning

ABP Framework

Angular

MongoDB

Credly API

Examinformation

Examenvouchers

Autentisering

Rollbaserad åtkomstkontroll

Datahämtning

Granskning

Säkerhet

Integritet

Effektivitet

Noggrannhet

Skalbarhet

Underhållbarhet

Domändriven design

Programvaruutveckling

Användargränssnitt

Datakryptering

HTTPS

Indata validering

Identitetshantering

Granskningsloggning

Cybersäkerhet

Utbildning

Träning

Medarbetarcertifiering

Studie Framsteg

Centraliserad plattform

Dataintegration

Konsoliderad vy

Grafer

Stapeldiagram

Manuell datainmatning

Informationssilos

Beslutsfattande

Efterlevnad

Branschstandarder

Partnernivåer

Ekonomiska påföljder

Ryktesskada

Affärsmöjligheter

NoSQL-databas

Ostrukturerad data

Semistrukturerad data

Programvaruarkitektur

Skiktad arkitektur

Presentationslager

Applikationslager

Domänlager

Entiteter

Värdeobjekt

Aggregat

Repositories

Domäntjänster

Dataöverföringsobjekt (DTO)

Affärslogik

Domänsemantik

Moderna webbapplikationer

Användarautentisering

Auktorisering

Granskningsloggning

Dynamiska webbapplikationer

Komponentbaserad

TypeScript

Typsäkerhet

Kodkvalitet

Underhållbarhet

Aktiv gemenskap

Diagram

Grafer

Säker inlämning

LeptonX Lite

Responsiv design

Navigering Sidofält

Menyrad

Flikar

Tabell

Attribut

Egenskaper

Knappar

Modala dialogrutor

Profilinställningar

Systemadministratörspanel

Kontohantering

Behörigheter

Systeminställningar

Software Engineering

Programvaruteknik