Rol-tabanlı Erişim Denetimi İçin Bir Uml Profili

Abstract

Erişim denetiminin yapılacağı bir sistem oluşturulurken domen isterleri genellikle güvenlik isterlerinden ayrı olarak tasarlanır. Bu ayrımın başlıca sebebi güvenlik tasarım modelleri, ilke dosyaları gibi yapılandırılmış metin olarak ifade edilirken domen isterlerinin birleştirilmiş modelleme dili (UML) modelleri gibi grafiksel modellerle görselleştirilmeleridir. Bu ayrım güvenlik modellemesi ve sistem tasarım modellemesi arasında bir boşluk oluşmasına sebep olur. Güvenlik modellemesi, geliştirmenin erken safhalarında biçimlendirilse bile güvenlik mekanizmalarının sisteme dâhil edilmesi geliştirmenin son safhalarında yapılır. Buda geliştirmenin ara safhalarında başka bir boşluğun oluşmasına sebep olur. Bahsedilen bu boşluklar ortaya çıkan sistemin güvenliğini ve bakım kolaylığını kötü yönde etkiler. Bu çalışmada, bahsedilen boşlukların doldurulabilmesi için model güdümlü mimari (MDA) yaklaşımıyla, Rol-Tabanlı Erişim Denetimi (RBAC) için bir UML Profili geliştirilerek çözüm önerisi getirilmiştir. Bu UML Profili, tasarım aşamasının başında erişim denetim isterlerinin domen isterleriyle birlikte grafiksel olarak modellenebilmesini sağlayarak güvenlik entegrasyonunun geliştirme sürecinin tamamına yayılacak şekilde yapılabilmesine olanak sağlar. Bu çalışmanın başlıca katkısı, erişim denetimi isterlerini geliştirme sürecine en başından itibaren dâhil edebilmek; dönüşüm fonksiyonlarının otomatik olarak ilgili platforma özel model (PSM) veya direkt kod üretebilmesi için iyi tanımlanmış bir platform bağımsız model (PIM) oluşturabilmek; dönüşüm fonksiyonlarının teknolojiye özel detayları kotarabilmesi sayesinde teknoloji bağımsızlığı ve tekrar kullanabilirliği sağlayabilmek; geliştiricilerin işlerini kolaylaştırabilmek; kolaylıkla değiş tokuş edilebilir ve hafif sıklet bir UML genişletme mekanizması kullanarak çok sayıda ticari ve ticari olmayan bilgisayar destekli sistem mühendisliği (CASE) aracının desteğinden faydalanabilmek amacıyla RBAC için bir UML Profili ortaya çıkarmaktır. Ayrıca statik görevler ayrılığı (SSD) ve dinamik görevler ayrılığı (DSD) gibi önemli RBAC kısıtlarını profile dâhil etmek ve RBAC'a dayalı modellerin biçimsel (sentaktik) ve anlamsal (semantik) olarak iyi durumda olup olmadığının denetiminin yapılabilmesi için nesne kısıt dilinin (OCL) nasıl kullanıldığını tanıtmak diğer katkılarıdır.

When building an access control aware system, domain specifications are designed typically separate from security specifications. Main reason of this separation is representing security design models as structured text like policy files on the other hand visualizing domain specifications by graphical models like Unified Modeling Language (UML) models. This causes a gap between security modeling and system design modeling. Even if security modeling is structured at the early phases of development, security mechanisms are placed in to the system at the final phases, this causes another gap in the middle. These gaps affect security and maintainability of the resulting system in a bad way. This study presents a solution that uses Model Driven Architecture (MDA) approach for bridging these gaps. A UML Profile for Role-Based Access Control (RBAC) is proposed. With this UML Profile, access control specifications can be modeled graphically together with problem domain specifications from the beginning of the design phase, making it possible to extend security integration over the entire development process. Major contribution of this study is introducing a UML Profile for RBAC, to integrate security specifications of access control into the development process from the beginning; to form a well-defined Platform Independent Model (PIM) that can be used to automatically generate the corresponding Platform Specific Model (PSM) or generate code directly by transformation functions; to maintain technology independence and reusability, transformation functions handle technology-specific details; to simplify the work of developers; to benefit from the advantage of wide-range of commercial and non-commercial Computer-Aided Software Engineering (CASE) tools support by using easily interchangeable and lightweight UML extension mechanism. Additional contributions are employing significant RBAC constraints like Static Separation of Duty (SSD) and Dynamic Separation of Duty (DSD) into the profile, and introducing how Object Constraint Language (OCL) is used to validate well-formedness (syntax) and meaning (semantics) of information models against the RBAC.