home *** CD-ROM | disk | FTP | other *** search

---

/ Internet Standards / CD2.mdf / ccitt / 1992 / z / z331_a1.asc

< prev

next >

Wrap

Text File  |  1991-12-31  |  13KB  |  493 lines

---

1.  
2.  
3.  
4.  
5.  
6.  
7.  
8.  
9.                            APPENDIX 1
10.                                 
11.                     (to Recommendation Z.331)
12.                                 User-system access control 
13. administration
14.  
15.  
16. I.1    General
17.  
18.        This appendix has been  developed  in  accordance  to  the
19. methodology defined in Recommendations Z.332 and Z.333.
20.  
21.        The main part of this appendix deals with the model of User- 
22. System Access Control Administration. A glossary of the terms used 
23. is also included.
24.  
25.        The list of functions to be controlled and the list of jobs 
26. are contained in Annex A.
27.  
28.        For each function to be controlled by means of MML, one or 
29. more functions can be derived and each of them can  be  described
30. using the metalanguage defined in Recommendation Z.333 in order to 
31. detail the relevant information structure.
32.  
33.        Annex B contains a list of MML functions  and  information
34. structure diagrams associated to each  of  them  to  be  used  as
35. guidelines.
36.  
37. I.2    Introduction
38.  
39.        User-system access control (here and after access control) is 
40. provided within a system to restrict the input allowed to be entered 
41. in order to prevent unauthorized system modification and or viewing 
42. of information.
43.  
44.        Access control is the system function which  performs  the
45. control of the access to systems and their functions by the users.
46.  
47.        Access  control   administration   is   defined   as   the
48. administration of the access rights of the users.
49.  
50.        This Recommendation mainly covers human beings as users.
51.  
52.        Machine to machine access control  administration  is  not
53. covered by this appendix.  
54.  
55.        It is therefore recognized that this appendix will require 
56. further study within a wider scenario including the various aspects 
57. of access control (man-machine, machine-machine, etc.).
58.  
59. I.3    Access control model
60.  
61. I.3.1  Introduction
62.  
63.        Access criteria are defined  to  be  the  attributes  that
64. characterize the access to the system.
65.  
66.  
67.  
68.  
69.  
70.  
71.  
72.  
73.  
74.  
75.  
76.  
77.        Permissions are defined to be the rights granted to the user.
78.  
79.        Authority is defined to be the  relationship  between  the
80. access criteria and the permissions.
81.  
82.        The inputs submitted are accepted by the system,  provided
83. that the system has verified the authority to enter them.
84.  
85. I.3.2  Model
86.  
87.        The main attributes (see Figure I-1/Z.331) which have been 
88. adopted to identify  access  criteria  and  permissions  are  the
89. following (other attributes of the two categories can be  adopted
90. depending on the administration's needs):
91.  
92.        a)   for access criteria
93.  
94.             -    user identity
95.  
96.             -    terminal identity
97.  
98.             -    time interval
99.  
100.        b)   for permissions
101.  
102.             -    command class
103.  
104.             -    command parameters
105.  
106.             -    system identity
107.  
108.             -    time interval
109.  
110.        Some of the attributes listed above may not be implemented 
111. according to administration requirements.
112.  
113.        In order to facilitate access control administration, groups 
114. may be formed in terms of single access control attributes  (e.g.
115. group of user identities can form a maintenance group). 
116.  
117.        An example of implementation is represented  n  Figure  I-
118. 2/Z.331.
119.  
120.  
121.  
122.  
123.  
124.  
125.  
126.  
127.  
128.  
129.  
130.  
131.  
132.  
133.  
134.  
135.  
136.  
137.  
138.  
139.  
140.  
141.  
142.  
143.  
144.  
145.  
146.  
147.  
148.  
149.  
150.  
151.  
152.  
153.  
154.  
155.  
156.  
157.  
158.  
159.  
160.  
161.  
162.  
163.  
164.  
165.  
166.  
167.  
168.  
169.  
170.  
171.  
172.  
173.  
174.  
175.  
176.  
177.  
178.  
179.  
180.  
181.  
182.  
183.  
184.  
185. ┌─────────────────────────────────────────────────────────────────── 
186. ───────────┐ 
187. │                                                       Authority
188.            │ 
189. ├──────────────────────────────────────┬──────────────────────────── 
190. ───────────┤ 
191. │                                                          Access
192. criteria             │               Permissions                │
193. ├────────────┬────────────┬────────────┼────────────┬────────────┬── 
194. ───────────┤ 
195. │   User     │  Terminal  │    Time    │   System   │   Command  │ 
196.  Command                                                        │
197. │ identity   │  identity  │  interval  │  identity  │    class   │ p 
198. arameters                                                       │
199. ├────────────┼────────────┼────────────┼────────────┼────────────┼── 
200. ───────────┤ 
201.  
202.  
203.  
204.  
205.  
206.  
207.  
208.  
209.  
210.  
211.  
212. │                                                            User
213. 1   │  Terminal  │     Any    │     Any    │     Any    │     Any 
214.   │  │             │      1       │              │              │
215. │                                                               │
216. ├────────────┼────────────┼────────────┼────────────┼────────────┼── 
217. ───────────┤ 
218. │    User  1    │    Terminal    │     8   -   17h    │    System
219. 1       │       Subscrib.      │        Direct          │       │
220. │     2      │   Monday   │            │ Administr. │    numb.    │ 
221. │              │              │     through     │               │
222. │    81000  -    │  │             │             │    Friday     │
223. │                        │                82000                 │
224. ├────────────┼────────────┼────────────┼────────────┼────────────┼── 
225. ───────────┤ 
226. │    User  2    │    Terminal    │     20   -   8h    │    System
227. 1  │  Junction  │   Junction    │  │             │      3       │
228.  │             │  maintenance│   identity    │   │              │
229. │             │              │              │    1A23   1800    │
230. ├────────────┼────────────┼────────────┼────────────┼────────────┼── 
231. ───────────┤ 
232. │    User  3    │      Any       │     8   -   17h    │    System
233. 2  │  Subscrib.  │    Direct     │  │             │             │
234.  │             │  maintenance│     numb.     │   │              │
235. │             │             │             │    73000  -     │   │
236. │            │            │            │            │    87000    │ 
237. ├────────────┼────────────┼────────────┼────────────┼────────────┼── 
238. ───────────┤ 
239. │         Any          │       Terminal       │         8       -
240. 17h    │       Any      │    Subscrib.   │       -         │    │
241. │     4      │            │            │  administr.│             │ 
242. ├────────────┼────────────┼────────────┼────────────┼────────────┼── 
243. ───────────┤ 
244. │     -      │     -       │      -       │      -       │      -
245.       │     -       │ │             │             │             │
246.     │                            │                              │
247. └────────────┴────────────┴────────────┴────────────┴────────────┴── 
248. ───────────┘ 
249.  
250.                         FIGURE I-2/Z.331
251.                                 
252.                      Example of application
253.                                 
254.  
255.  
256. I.3.3  Attributes of access control
257.  
258.        In the following the meaning of the main attributes which are 
259. likely to be  used  in  the  access  control  administration,  is
260. described.
261.  
262.        a)   User identity
263.  
264.                         The user identity results from the identification 
265.             procedure (see  Recommendation  Z.317)  and  uniquely
266.             identifies the user to the system.
267.  
268.                         In the identification procedure usually the identity of 
269.             the individual user is used.
270.  
271.  
272.  
273.  
274.  
275.  
276.  
277.        b)   Terminal identity
278.  
279.                         The terminal identity is the identity of the I/O device 
280.             as known to the system, via its hardware  or  logical
281.             connection.
282.  
283.        c)   Time interval
284.  
285.                         The access control may depend on the time when the 
286.             input is entered and/or executed.
287.  
288.        d)   Command class
289.  
290.                         A command class can be either a single command code 
291.             (see Recommendation Z.315) or an identifiable set  of
292.             command codes.
293.  
294.        e)   System identity
295.  
296.                         System identity is the identity of the system or an 
297.             application in which the command  is  allowed  to  be
298.             performed. In a centralized support system, individual 
299.             systems connected to it may  have  their  own  access
300.             control. Alternatively, centralized control may be used 
301.             based on the identity of the system addressed.
302.  
303.        f)   Command parameters
304.  
305.                         Access control may depend on a parameter (see 
306.                         Recommendation Z.315) or a combination of parameters. 
307.             The control may be based on either the parameter name 
308.             or the parameter name and its values.
309.  
310.                         If a parameter is considered, it may be desirable to 
311.             limit such use to major objects in the system relevant 
312.             to specific 
313.                         O&M Administration needs.
314.  
315. I.4    Glossary of terms
316.  
317. Access criteria
318.  
319.        The set of attributes that characterize the access to  the
320. system. Example attributes are user identity and terminal identity.
321.  
322. Permissions
323.  
324.        The rights granted to the user.
325.  
326. Authority
327.  
328.        The relationship between access criteria and permissions.
329.  
330. Terminal identity
331.  
332.        Identifies a physical terminal, a channel or a port to  an
333. SPC system.
334.  
335. I.5    List of functions and jobs
336.  
337.  
338.  
339.  
340.  
341.  
342.  
343.  
344.  
345.  
346.  
347.  
348. I.5.1  List of system independent Class B functions
349.  
350. I.5.1.1Administering authority
351.  
352. I.5.1.2Retrieving authority information
353.  
354.  
355. I.5.2  List of jobs
356.  
357. I.5.2.1To create/change authority
358.  
359.        -    the purpose of the job is to create/change a specific 
360.             authority by means of managing the relevant attributes;
361.  
362.        -    the system is supposed to record the data  and  check
363.             their correctness;
364.  
365.        -    the operator is supposed to input all needed data;
366.  
367.        -    the complexity of the job may be high depending on the 
368.             amount of the data to be input;
369.  
370.        -    the frequency of the job is low.
371.  
372. I.5.2.2To delete a specific authority
373.  
374.        -    the purpose of the job is  to  delete  all  the  data
375.             related to the specific authority;
376.  
377.        -    the system is supposed to delete the data related  to
378.             the authority;
379.  
380.        -    the operator is supposed to input the identity of the 
381.             authority to be deleted;
382.  
383.        -    the complexity of the job is low;
384.  
385.        -    the frequency of the job is low.
386.  
387. I.5.2.3To interrogate the authority information
388.  
389.        -    the purpose of  the  job  is  to  retrieve  authority
390.             information;
391.  
392.        -    the  system  is  supposed  to  output  the  requested
393.             information on the selected device;
394.  
395.        -    the operator is supposed to input the identity of the 
396.             access control attributes;
397.  
398.        -    the complexity of the job is low;
399.  
400.        -    the frequency of the job is low.
401.  
402. I.5.2.4To activate/deactivate an authority
403.  
404.        -    the purpose of the  job  is  to  activate/deactive  a
405.             specific authority previously created/changed; this job 
406.  
407.  
408.  
409.  
410.  
411.  
412. may be implied in the creation/changing job;
413.  
414.        -    the system is  supposed  to  activate/deactivate  the
415.             authority;
416.  
417.        -    the operator is supposed to input the date and the time 
418.             for the activation/deactivation and the identity of the 
419.             authority;
420.  
421.        -    the complexity of the job may be medium;
422.  
423.        -    the frequency of the job is low.
424. I.6    Guidelines for the list of MML  Functions  and  associated
425. information
426.        structure diagrams
427.  
428. I.6.1  Introduction
429.  
430.        This section contains  guidelines  for  the  list  of  MML
431. functions and associated structure diagrams related to the access 
432. control  administration  model  defined  in  section  3  of  this
433. Recommendation.
434.  
435. I.6.2  List of MML functions
436.  
437.        This list contains possible MML functions for  the  Access
438. Control Administration.
439.  
440.        This list is not  mandatory  nor  complete;  it  may  vary
441. according to administration needs, telecommunication network levels, 
442. regulatory needs, etc.
443.  
444. I.6.2.1Creation
445.  
446.        -    create authority
447.  
448. I.6.2.2Changing
449.  
450.        -    change authority
451.  
452. I.6.2.3Deletion
453.  
454.        -    delete authority
455.  
456. I.6.2.4Interrogation
457.  
458.        -    interrogate authority
459.  
460. I.6.2.5Activation/deactivate
461.  
462.        -    activate/deactive authority
463.  
464. I.6.3  Information structure diagrams
465.  
466.        (to be developed)
467.  
468.  
469.  
470.  
471.  
472.  
473.  
474.  
475.  
476.  
477.  
478.  
479.  
480.  
481.  
482.  
483.  
484.  
485.  
486.  
487.  
488.  
489.  
490.  
491.  
492.  
493.