NIST 意見募集 NISTIR 8403（ドラフト）アクセス制御システムのためのブロックチェーン

こんにちは、丸山満彦です。

NISTが NISTIR 8403（ドラフト）アクセス制御システムのためのブロックチェーンを公表し、意見募集をしていますね。。。

● NIST - ITL

・2021.12.20 NISTIR 8403 (Draft) Blockchain for Access Control Systems

NISTIR 8403 (Draft) Blockchain for Access Control Systems	NISTIR 8403（ドラフト）アクセス制御システムのためのブロックチェーン
Announcement	発表内容
Protecting system resources against unauthorized access is the primary objective of an access control system. As information systems rapidly evolve, the need for advanced access control mechanisms that support decentralization, scalability, and trust–all major challenges for traditional mechanisms–has grown.	不正なアクセスからシステムリソースを保護することは、アクセス制御システムの主要な目的です。情報システムが急速に進化する中で、分散性、拡張性、信頼性をサポートする高度なアクセス制御メカニズムの必要性が高まっていますが、これは従来のメカニズムにとって大きな課題でした。
Blockchain technology offers high confidence and tamper resistance implemented in a distributed fashion without a central authority, which means that it can be a trustable alternative for enforcing access control policies. This document presents analyses of blockchain access control systems from the perspectives of properties, components, architectures, and model supports, as well as discussions on considerations for implementation.	ブロックチェーン技術は、中央機関を介さずに分散して実装され、高い信頼性と耐タンパ性を備えているため、アクセス制御ポリシーを実施するための信頼できる代替手段となり得ます。本報告書では、ブロックチェーンのアクセス制御システムについて、特性、コンポーネント、アーキテクチャ、モデルサポートの観点から分析を行い、実装上の考慮点についても考察しています。
Abstract	概要
The rapid development and wide application of distributed network systems have made network security – especially access control and data privacy – ever more important. Blockchain technology offers features such as decentralization, high confidence, and tamper-resistance, which are advantages to solving auditability, resource consumption, scalability, central authority, and trust issues – all of which are challenges for network access control by traditional mechanisms. This document presents general information for blockchain access control systems from the views of blockchain system properties, components, functions, and supports for access control policy models. Considerations for implementing blockchain AC systems are also included.	分散型ネットワークシステムの急速な発展と幅広い応用により、ネットワークセキュリティ、特にアクセス制御とデータプライバシーの重要性が高まっています。ブロックチェーン技術は、分散性、高い信頼性、耐タンパ性などの特徴を持ち、従来のメカニズムによるネットワークアクセス制御の課題である、監査可能性、リソース消費、拡張性、中央機関、信頼性の問題を解決する上で有利な技術です。本資料では、ブロックチェーンシステムの特性、コンポーネント、機能、アクセス制御ポリシーモデルのサポートなどの観点から、ブロックチェーンアクセス制御システムの一般的な情報を紹介しています。また、ブロックチェーンアクセス制御システムを実装する際の考慮点も記載しています。

 

・NISTIR 8403 (Draft)

Executive Summary	エグゼクティブ・サマリー
1. Introduction	1. 序文
2. Blockchain System Components and Advantages for Access Control Systems	2. ブロックチェーンシステムの構成要素とアクセス制御システムの利点
3. Access Control Functions of Blockchain AC Systems	3. ブロックチェーンアクセス制御システムのアクセス制御機能
4. Access Control Model Support	4. アクセス制御モデルのサポート
5. Considerations	5. 考察
6. Conclusion	6. 結論
References	参考文献
List of Figures	図の一覧
Figure 1 – XACML Architecture	図1 - XACMLアーキテクチャ
Figure 2 – Examples of access control function points implemented in blockchain systems	図2 - ブロックチェーンシステムに実装されているアクセス制御ファンクションポイントの例
Figure 3 – Examples of Figure 2d with attribute source options	図3 - 図2dの属性ソースオプションの例
List of Tables	表の一覧
Table 1 Comparison of IoT AC system capabilities for general access control requirements by blockchain and traditional mechanisms enforcing RBAC, ABAC, and CBAC policy models	表1 RBAC、ABAC、CBACのポリシーモデルを実施するブロックチェーンと従来のメカニズムによる一般的なアクセス制御要件に対するIoT アクセス制御システムの機能の比較

Executive Summary	エグゼクティブ・サマリー
Access control is concerned with determining the allowed activities of legitimate users and mediating every attempt by a user to access a resource in the system. The objectives of an access control system are often described in terms of protecting system resources against inappropriate or undesired user access. From a business perspective, this objective could just as well be described in terms of the optimal sharing of information. As current information systems evolve to be more lightweight, pervasive, and interactive network architectures such as Cloud and Internet of Things (IoT), there is need for an access control mechanism to support the requirements of decentralization, scalability, and trust for accessing objects, which is challenging for traditional mechanisms.	アクセス制御とは，正当なユーザの許可された活動を決定し，ユーザがシステム内のリソースにアクセスしようとするすべての試みを仲介することである．アクセス制御システムの目的は、不適切または望ましくないユーザーのアクセスからシステムリソースを保護するという観点から説明されることが多い。ビジネスの観点からは、この目的は、情報の最適な共有という観点からも説明できます。現在の情報システムが、クラウドやIoT（Internet of Things）のように、より軽量で、広汎で、インタラクティブなネットワーク・アーキテクチャに進化するにつれ、従来のメカニズムでは困難な、オブジェクトへのアクセスに対する分散化、拡張性、および信頼性の要件をサポートするアクセス制御メカニズムが必要とされています。
Blockchains are tamper evident and tamper resistant blocks (digital ledgers) implemented in a distributed fashion (i.e., without a central repository) and usually without a central authority (i.e., a bank, company, or government). It uses replicated, shared, and synchronized digital blocks between the users of a private or public distributed computer network located in different sites or organizations. Blockchain can be utilized for access control systems as a trustable alternative for a single entity/organization or a member of a large-scale system to enforce access control policies. The robust, distributed nature of blockchain technology can address issues in overcoming the limitations of traditional access control systems in a more decentralized and efficient way. It is supported by the following infrastructural properties that are not included in traditional access control mechanisms unless specifically implemented:	ブロックチェーンは、（中央のリポジトリを持たない）分散型で実装され、通常は中央機関（銀行、企業、政府など）を持たない、改ざん防止されたブロック（デジタル台帳）です。ブロックチェーンは、異なるサイトや組織にあるプライベートまたはパブリックの分散型コンピューターネットワークのユーザー間で、複製、共有、同期されたデジタルブロックを使用します。ブロックチェーンは、単一のエンティティ/組織または大規模システムのメンバーがアクセス制御ポリシーを実施するための信頼できる代替手段として、アクセス制御システムに活用することができます。ブロックチェーン技術の堅牢で分散された性質は、従来のアクセス制御システムの限界を克服する上での問題に、より分散された効率的な方法で対処することができます。これは、特別に実装されていない限り、従来のアクセス制御メカニズムには含まれていない以下のインフラ特性によって支えられています。
• Tamper evident and tamper resistant design prevents access control data (i.e., attributes, policy rules, environment conditions, and access request) and access control logs (i.e., request permissions, and previous access control data) from alternation and reduces the probability of frauds.	・不正開封の跡が明らかになる（Tamper evident）および不正開封に対抗しえる（Tamper resistant）設計により、アクセス制御データ（属性、ポリシールール、環境条件、アクセス要求など）とアクセス制御ログ（要求許可、過去のアクセス制御データなど）の改竄を防ぎ、不正の可能性を低減することができる。
• Decentralized control of authorization processing and the storage of access control data/logs has no single point of failure, thus providing more system tolerance and availability.	・認証処理とアクセス制御データ/ログの保存を分散制御することで単一障害点がないため、システムの耐性と可用性が向上する。
• The traceability of blocks allows access control data/logs and system states to be seen and tracked.	・ブロックのトレーサビリティーによりアクセスコントロールデータ/ログやシステムの状態を見て追跡することができる。
• The execution of arbitrary programs in smart contracts allows for controls on distributed access control data and authorization processes.	・スマートコントラクトで任意のプログラムを実行することにより、分散したアクセス制御データや認可プロセスの制御が可能になる。
• Consensus mechanisms and protocols regulate the participating access control entities/organizations jointly in determining policy rules through blocks or smart contracts.	・コンセンサス機構やコンセンサス・プロトコルはブロックやスマートコントラクトを通じてポリシー・ルールを決定する際に参加するアクセス・コントロール・エンティティ/組織を共同で規制する。