home *** CD-ROM | disk | FTP | other *** search
/ Internet Info 1993 / Internet Info CD-ROM (Walnut Creek) (1993).iso / inet / ietf / 92jul / aac-minutes-92jul.txt < prev    next >
Encoding:
Text File  |  1993-02-17  |  12.3 KB  |  291 lines
  1. Editor's Note:  Minutes received 7/31
  2.  
  3. CURRENT_MEETING_REPORT_
  4.  
  5.  
  6. Reported by Clifford Neuman/ISI
  7.  
  8. Minutes of the Authorization and Access Control BOF (AAC)
  9.  
  10. The first meeting of a new BOF on Authorization and Access Control met
  11. at the July IETF. The purpose of the BOF was to discuss authorization
  12. and access control issues for the Internet.  The discussion centered
  13. around two problems:  first, the need for a uniform method for
  14. specifying access control information, and second on services and
  15. mechanisms for distributing authorization in the Internet.
  16.  
  17. Agenda
  18.  
  19.  
  20.    o Discussion of requirements for the specification of access control
  21.      information.
  22.  
  23.    o Discussion of existing and evolving distributed authorization
  24.      mechanisms including:  DCE, DSSA, ECMA, Sesame, and Proxies.
  25.  
  26.    o Discussion of the relationship between this Group and the Common
  27.      Authentication Technology Working Group.
  28.  
  29.    o Discussion of our goals.
  30.  
  31.  
  32. Discussion
  33.  
  34. The first two items were related and discussion flowed from one into the
  35. other and back again.  The need for a uniform method of specifying
  36. access control information for distributed applications was discussed.
  37.  
  38. One of the motivations for such an interface is to interact with the
  39. network authentication methods that are evolving.  Such methods identify
  40. the subject accessing a service, but service specific methods are then
  41. needed to decide whether the subject is authorized access.  Most
  42. existing applications do not presently maintain the information needed
  43. to make such decisions.
  44.  
  45. In the near future, application developers will have a common interface
  46. (the GSSAPI) that they can use to add strong authentication to their
  47. applications.  That solves only half the problem.  Ideally there would
  48. also be a common set of tools that they can use to decide whether the
  49. subject is authorized access.
  50.  
  51. The general consensus was that our work in this area should concentrate
  52. on access control lists as a conceptual model.  Some of the distributed
  53. authorization mechanisms (described later) enable that model to support
  54. a full spectrum of access control methods including capabilities.
  55.  
  56.                                    1
  57.  
  58.  
  59.  
  60.  
  61.  
  62. Support for these mechanisms should be considered for inclusion in the
  63. model.
  64.  
  65. It was mentioned that work has gone on in POSIX and elsewhere to specify
  66. access control list mechanism for Unix.  It was felt that we should
  67. consider such work, and build upon rather than replace it, but that we
  68. must support the needs of network applications.
  69.  
  70. An access control list (ACL) can be associated with objects to be
  71. protected.  The ACL contains entries that identify subjects, either as
  72. individuals, or as members of groups.  The entries specify the rights of
  73. the named subject to access the protected object.  One point of
  74. contention was whether each distinct right for an object (read, write,
  75. execute, etc.)  should be represented by a separate ACL (i.e., column in
  76. the access matrix), or an ACL should be associated with each object with
  77. the entries within the ACL specifying the rights.  The two are
  78. equivalent, and consensus was that a single ACL per object was the
  79. preferred choice.  It was also felt that in general the meaning of
  80. rights in an ACL entry would be application specific (interpreted by the
  81. server), but that the meaning of certain rights, in particular the
  82. ability to modify the ACL, should be common across all ACLs.
  83.  
  84. One extension to the ACL concept important for use on the Internet is
  85. that the identification of the subject should also identify the
  86. authentication method (or set of acceptable methods) to be used in
  87. identifying the subject.  This is important because of the varying
  88. strengths of alternative authentication methods, and perhaps more
  89. importantly because the methods might not share a common name space for
  90. principals.  There was very little discussion on this topic and any
  91. decisions here can await further work on the security model and access
  92. control abstractions.
  93.  
  94. A less straightforward extension is the addition of an optional field to
  95. each ACL entry that would allow restrictions of the authorization to be
  96. specified.  Examples of restrictions include time of use, the need for
  97. additional authentication or authorization (e.g., a co-signer), etc.
  98.  
  99. Steve Crocker pointed out that the mechanism and abstraction must be
  100. simple and easy to understand in the common case, a sentiment with which
  101. everyone agreed.  It was also felt, however, that in the ideal case the
  102. mechanism would also be flexible enough to support the needs of most
  103. applications, so that developers would not be forced to design their own
  104. mechanisms.
  105.  
  106. It was felt that our goals in this area should be to:
  107.  
  108.  
  109.   1. Identify the target applications from which to draw requirements
  110.      (e.g., Mailing lists, files, login, X windows).
  111.  
  112.   2. Identify the security models to be supported (e.g., We might
  113.      consider discretionary access control, mandatory access control,
  114.      capabilities, access control lists, etc.).
  115.  
  116.  
  117.                                    2
  118.  
  119.  
  120.  
  121.  
  122.  
  123.   3. Work out the appropriate access control abstractions.
  124.  
  125.   4. Consider an application programmer interface (API) to support those
  126.      abstractions (consider POSIX, DCE, our own, etc.).
  127.  
  128.  
  129. A final issue raised concerned whether our model needed to support the
  130. needs of licensing and accounting mechanisms.  It was felt that we
  131. should keep such mechanism in mind, but that it was premature to
  132. consider them as an integral part of our current work.
  133.  
  134. The second phase of the meeting concentrated on the evolving mechanisms
  135. and architectures for authorization in distributed systems.  This phase
  136. consisted of informal presentations of some of the mechanisms.
  137.  
  138. Joe Pato described the authorization mechanism used by OSF's Distributed
  139. Computing Environment.  Authorization in DCE is based on privilege
  140. attribute certificates issued by a privilege server.  These certificates
  141. are restricted Kerberos tickets (see restricted proxies described later)
  142. that specify the UID and groups to which a principal belongs.  The
  143. privilege attribute certificate is then used by the principal to assert
  144. its membership in groups, and its UID. The DCE also supports an
  145. extensible ACL model for distributed systems based on and extending that
  146. in the POSIX draft.  Authorization is a combination of privilege
  147. attributes and control attributes (e.g., ACLs).  Support for delegation
  148. is being considered, further exploiting the ability to construct
  149. restricted proxies.
  150.  
  151. John Linn then described the authorization mechanisms that are part of
  152. the Digital Distributed System Security Architecture (DSSA). One key
  153. aspect of the DSSA is that authorization credentials are pulled by the
  154. server, rather than pushed by the client, though the client provide's
  155. hints suggesting which credentials should be pulled.  A second aspect of
  156. the DSSA is that reduced authorization can be granted by establishing a
  157. new role, a new principals with reduced privileges.  The DSSA supports
  158. delegation with identifiable intermediaries, but delegation is of all
  159. rights possessed by a particular role.
  160.  
  161. Piers McMahon then outlined the main features of the ECMA TC32/TG9
  162. Security Architecture.  The ECMA model is that a trusted authentication
  163. service authenticates subjects using a suitable authentication method,
  164. and that a logically separate privilege attribute server (PAS) grants
  165. privileges (e.g., identity, role, group, capability, clearance) to that
  166. subject.  The privilege acquisition is constrained by the level to which
  167. the subject is authenticated - but is independent of the authentication
  168. method.  The privileges are cryptographically protected by the PAS and
  169. returned in a data element called a Privilege Attribute Certificate
  170. (PAC), and are sent (pushed) by the security subject to target systems
  171. to inform access control decisions.  Methods for protection of PACs,
  172. together with controls on their use and delegation are defined by
  173. current ECMA work.
  174.  
  175. Piers then described SESAME. Some background information was given to
  176.  
  177.  
  178.                                    3
  179.  
  180.  
  181.  
  182.  
  183.  
  184. explain that SESAME is a phased project based on ECMA TC32/TG9 work.
  185. Phase 1 produced a prototype which showed that the basic model was
  186. feasible.  Phase 2 is building on this to develop product-level
  187. distributed security infrastructure with support for dialogue protection
  188. and DCE-interworking.  An outline of the SESAME Phase 2 architecture was
  189. given to show how it built on the ECMA architecture, and a brief
  190. walkthrough of the privilege acquisition protocol was presented.  It was
  191. stated that SESAME Phase 2 supports a subset of the full ECMA privilege
  192. attributes (identity, role, group), and a profile of ECMA PAC protection
  193. and controls.
  194.  
  195. Next, Clifford Neuman described restricted proxies.  A restricted proxy
  196. can be implemented on top of an authentication mechanism by issuing
  197. authentication credentials authorizing a second party (the grantee) to
  198. act as the issuer for the purpose of performing a restricted set of
  199. operations, under specific conditions.  These restrictions are supported
  200. by Kerberos V5 in the authorization data field.  It was then described
  201. how restricted proxies can be used to implement a range of authorization
  202. mechanisms from capabilities, to authorization and group servers, and
  203. how restricted proxies might interact with the access control list
  204. mechanisms described earlier.
  205.  
  206. The next topic of discussion was how these mechanism might be used by
  207. applications.  In particular, might it be appropriate to develop a
  208. common API within which they might fit.  If so, might this API become
  209. part of the common authentication technology (GSSAPI) so that the
  210. programmer only need deal with one mechanism, instead of two.
  211.  
  212. Finally, we discussed the possibility of convergence of the various
  213. approaches.  Some of the approaches are still in their early stages, and
  214. it would be helpful if we could encourage, for example, a common
  215. certificate structure across mechanisms.  However, some of the
  216. mechanisms, in particular DCE, are further along, and significant
  217. changes would present problems.  In any event, where possible, we should
  218. try to promote fewer protocols and message formats.
  219.  
  220. It was felt that our immediate goals in the distributed authorization
  221. area should be:
  222.  
  223.  
  224.   1. To look for common characteristics among the mechanisms.
  225.   2. Decide on a course of action.  The range of possibilities include
  226.      encouraging the use of a common credential format, developing other
  227.      interoperability mechanism, defining a common API, and unifying the
  228.      protocols.
  229.  
  230.  
  231. Finally, It was felt that work is needed in the area of authorization
  232. and access control, and that the Group should continue to meet.  As a
  233. potential working group, we must:
  234.  
  235.  
  236.    o Decide what the product of the working group would be.
  237.    o Develop a set of goals and milestones.
  238.  
  239.                                    4
  240.  
  241.  
  242.  
  243.  
  244.  
  245.    o Write a Charter.
  246.  
  247.  
  248. It was felt that we should refine the Group's objectives through the
  249. mailing list.  If we can develop a Charter in time for the next IETF, we
  250. can form a working group.  If not, we should meet again as a second BOF,
  251. part of the purpose of which will be to agree on a Charter.
  252.  
  253. A mailing list has been set up, ietf-aac@ISI.EDU. Requests for addition
  254. or deletion should be sent to ietf-aac-request@ISI.EDU.
  255.  
  256. Attendees
  257.  
  258. Derek Atkins             warlord@thumper.bellcore.com
  259. Tony Ballardie           a.ballardie@cs.ucl.ac.uk
  260. Doug Barlow              barlow@decwet.dec.com
  261. Mark Baushke             mdb@cisco.com
  262. David Borman             dab@cray.com
  263. Geetha Brown             geetha@decvax.dec.com
  264. Stephen Crocker          crocker@tis.com
  265. Tom Farinelli            tcf@tyco.ncsc.mil
  266. Barbara Fraser           byf@cert.org
  267. Maria Gallagher          maria@nsipo.nasa.gov
  268. Neil Haller              nmh@thumper.bellcore.com
  269. John Linn                linn@erlang.enet.dec.com
  270. Ellen McDermott          emcd@osf.org
  271. P.V. McMahon             p.v.mcmahon@rea0803.wins.icl.co.uk
  272. Cyndi Mills              cmills@nnsc.nsf.net
  273. Clifford Neuman          bcn@isi.edu
  274. Brad Passwaters          bjp@sura.net
  275. Allan Rubens             acr@merit.edu
  276. Gregory Ruth             gruth@bbn.com
  277. Paul Sangster            sangster@ans.net
  278. Jeffrey Schiller         jis@mit.edu
  279. Robert Shirey            shirey@mitre.org
  280. Jeremy Siegel            jzs@nsd.3com.com
  281. Sam Sjogren              sjogren@tgv.com
  282. Simon Spero              ses@cmns.think.com
  283. Theodore Ts'o            tytso@mit.edu
  284. John Vollbrecht          jrv@merit.edu
  285. Jesse Walker             walker@eider.lkg.dec.com
  286. Peter Williams           p.williams@uk.ac.ucl.cs
  287.  
  288.  
  289.  
  290.                                    5
  291.