Semantics-based access control in business networks

Abstract

Kuvitellaan, että haluat jakaa internetissä kuvia lapsesi jalkapallo-ottelusta joukkueen jäsenille ja heidän perheilleen ilman, että kuvat tulevat yleisesti nähtäville. Kuvien jakelijan on tunnistettava, kuka on joukkueen jäsen, joukkuelaisen perheenjäsen jne. Joukkue pitää rekisteriä omista jäsenistään. Perhesuhteista puolestaan on omat rekisterinsä ja näitä yhdistelemällä on mahdollista määritellä, keillä on oikeus nähdä kuvat, ilman että kuvien ottaja tietää henkilötasolla kaikkien oikeutettujen nimiä tms. Liiketoiminnassa vastaavia ns. pääsynhallintakysymyksiä syntyy yhä enenevässä määrin.MSC, FM Anton Naumenko etsi väitöstutkimuksessaan ratkaisuja organisaatioiden välisten automatisoitujen liiketoimintaprosessien yhä monimutkaistuvaan pääsynhallintaan. Tämä tapahtui tarkastelemalla liiketoimintaverkostoja käsitteellisellä tasolla ja luomalla semanttisiin suhteisiin perustuvaa pääsynhallintaa (SBAC – Semantics-Based Access Control). Pääsynhallinnalla tarkoitetaan järjestelmän haltijan mahdollisuutta valvoa ja rajoittaa käyttäjien pääsyä järjestelmän tietoihin. – Yksityisyyden ja luottamuksen säilyttäminen on tärkeää liikeyritysten välisessä yhteistyössä. Välitettävien tietojen ja palvelujen luottamuksellisuus, eheys ja saatavuus edellyttävät tarkoituksenmukaisia pääsynhallintaratkaisuja, joiden tuella liiketoiminnallista yhteistyötä voidaan syventää ja saavuttaa näin kilpailuetuja, Naumenko kertoo.Tietotekniset ratkaisut tukevat yhä enemmän yritysrajat ylittäviä liiketoimintaprosesseja. Www-pohjaiset tietojärjestelmät ovat yhä monimutkaisempia, dynaamisempia, heterogeenisempia ja avoimempia. Perinteiset tietoturvaratkaisut eivät enää riitä uusien teknologioiden ja tietojärjestelmien tarpeisiin.Naumenko tarkasteli väitöstutkimuksessaan liiketoimintaverkostoja käsitteellisellä tasolla ja loi semanttisiin suhteisiin perustuvaa pääsynhallintaa (SBAC – Semantics-Based Access Control). – Esimerkki semanttisista suhteista on käyttäjän suhde organisaatioon tai paikkaan, jossa hän käyttää järjestelmiä tiettyinä aikoina. Jotta käyttäjän pääsyä järjestelmien sisältämiin tietoihin voitaisiin hallita, semanttisia suhteita hyödyntäen, SBAC käyttää Semanttisen Webin standardeja ja teknologioita. Semanttinen Web on webin seuraava sukupolvi, Naumenko selvittää. Naumenkon tutkimuksen päätulokset ovat SBAC:n käsitteellinen ja toiminnallinen semantiikka, prototyyppitoteutus SBAC–käytäntöä toteuttavista toiminnoista sekä hahmotelmat SBAC-lähestymistavan soveltamisesta erilaisiin teknologisiin ja liiketoimintaympäristöihin.Liiketoiminnan tarpeet sekä käytännön sovellukset ohjasivat Naumenkon teoreettista tutkimusta.– Tutkimusyhteistyökumppanit, ABB Oyj, Metso Automation, Metso Paper ja Trusteq Oy auttoivat löytämään liiketoiminnan tarpeet, joista nousivat liiketoimintaverkoston pääsynhallinnan sovellusten tutkimusongelmat, Naumenko kertoo. Kriittiset menestystekijät www-pohjaisissa tietojärjestelmissä ja liiketoiminnan tarpeet määrittivät tutkimuksen alueen ja painopisteet sekä tulokset koko SBAC-tutkimuksessa. Ensimmäisessä vaiheessa Naumenko toteutti tapaustutkimuksen tuotetiedon hallintajärjestelmästä sekä valvonta- ja kunnossapidon etäkäyttösovelluksesta paperiteollisuudessa yhteistyössä Metso Automationin ja Metso Paperin sekä Trusteq Oy:n kanssa. Tutkimuksen seuraavassa vaiheessa oli tutkimuskohteena jakelun automatisointi energiateollisuuden verkoissa ABB Oyj:n kanssa. Kolmas tapaustutkimus, yliopistojen kansallinen verkostohanke, Suomen virtuaaliyliopisto, tarjosi käytännöstä nousevia tutkimuskysymyksiä. Myös Jyväskylän yliopisto on Suomen virtuaaliyliopiston jäsen.

In business-to-business collaboration, one of the most important issues is privacy and trust. Adequate access control solutions may give a business and its partners the vital possibility to preserve confidentiality, integrity and availability of information and services. This is what businesses need in order to obtain or retain business advantages they derive from the trustful cooperation. Current and emerging information technologies support cooperative business processes across enterprise boundaries. Web-based information systems become more complex, dynamic, heterogeneous, pervasive, nomadic, and open. Conventional security measures fall short to serve both emerging technologies and innovative information systems. In response to the growing complexity of management of access control for inter-organizational automated business processes, this work aims at the policy-based management of access control in business networks on the abstract conceptual level with authorizations based on semantic relations between concepts, i.e., Semantics-Based Access Control (SBAC). The main contributions of this dissertation are the SBAC conceptual semantics, the SBAC functional semantics, a prototype implementation of the SBAC enforcement function, and initial attempts towards the adoption of SBAC for different technological profiles and in different business domains. Theoretical research results have been aligned with the business needs and critical success factors that are crucial for the applicability of SBAC in real-world settings. This dissertation covers the first full iterative cycle of research on SBAC. It starts chronologically with the case studies in order to derive real-world practical needs, follows with the conceptual-analytical research on the SBAC components, and ends with the qualitative and quantitative evaluation towards justification of initial research ideas. A research framework has been created to coordinate and guide our doctoral research towards SBAC. At the same time, this research framework can organize the future theoretical and practical research on SBAC along the extensible layers of conceptual semantics, functionality, technological profiles, and business domains.