r accoon zugriffsschutzmanagement in verteilten objektsystemen gerald brose, klaus-peter löhr...
TRANSCRIPT
RACCOON
Zugriffsschutzmanagement in verteilten Objektsystemen
Gerald Brose, Klaus-Peter LöhrInstitut für Informatik, Freie Universität Berlin
Auftakttreffen DFG-SPP, 6.12.1999, München
2 SPP-Treffen 6.12.1999
Fre
ie U
nive
rsität Berlin - R
acco
on
Überblick
1. Zugriffsschutz und Zugriffsschutzmanagement
2. Deklarative Politikbeschreibung
3. Anwendungsbeispiel
3 SPP-Treffen 6.12.1999
Fre
ie U
nive
rsität Berlin - R
acco
on
1. Zugriffsschutz
Politik: “welche Zugriffe sind erlaubt, welche verboten?”
• Regeln für Zugriffsentscheidungen
• Schutzanforderungen z.T. anwendungsspezifisch
Mechanismus: "wie werden unerlaubte Zugriffe verhindert?"
• Middleware verdeckt Heterogenität
4 SPP-Treffen 6.12.1999
Fre
ie U
nive
rsität Berlin - R
acco
on
"Zugriffsschutzmanagement"
Entwurf der Politik, kontextunabhängig, abstrakt, (statisch durch Entwickler)
Anpassung an konkrete Umgebung (initial, bei Installation)
Management: Überwachung und Anpassung an Kontextänderungen (dynamisch)
fehlerträchtig und sicherheitskritisch!
5 SPP-Treffen 6.12.1999
Fre
ie U
nive
rsität Berlin - R
acco
on
Projektziele
Werkzeugunterstützung für das Zugriffsschutzmanagement
• Politiksprache mit geeigneten Konzepten für alle drei Phasen
• rollenbasierte Authentisierung
• Verwaltung von Objektdomänen
– Gruppierung von Objekten mit gleicher Politik
Teilimplementierung des CORBA Security Service für JacORB
6 SPP-Treffen 6.12.1999
Fre
ie U
nive
rsität Berlin - R
acco
on
2. Deklarative Politikbeschreibung
mit VPL - View Policy Language
deklarative Sprache
objektorientiertes Schutzmodell
Basis für Werkzeuge
strukturiert, feinkörnig und skalierbar
dynamische Rechteänderungen beschreibbar
7 SPP-Treffen 6.12.1999
Fre
ie U
nive
rsität Berlin - R
acco
on
SichtenEine Sicht: enthält Rechte für Operationen eines
Objekts ist Exemplar eines Sichttyps für
Objektschnittstellenview type Resolver controls NamingContext
{allow
resolve;list;
denybind;
}
8 SPP-Treffen 6.12.1999
Fre
ie U
nive
rsität Berlin - R
acco
on
Vorteile
sprachliche Unterstützung:
• statische Typprüfung
• Dokumentation und Kommunikation
• Wiederverwendung
Objektorientierung:
• Abstraktionsgrad
• Bezug auf Anwendungs- und Systemobjekte
9 SPP-Treffen 6.12.1999
Fre
ie U
nive
rsität Berlin - R
acco
on
3. Anwendungsbeispiel
Unterstützung bei der Begutachtung von Konferenzbeiträgen (à la CyberChair):
1. Autoren reichen Beiträge ein
2. Gutachter reichen Gutachten ein
3. Gutachter lesen fremde Gutachten und ändern gegebenenfalls das eigene
10 SPP-Treffen 6.12.1999
Fre
ie U
nive
rsität Berlin - R
acco
on
interface Conference {void callForPapers();void deadlineReached();void makeDecision();void submitPaper(in string paper);void listPapers(out string list);Paper getPaper(in long paper);
};
interface Paper {void read(out string text);Review submitReview(in string rev,in long reviewer);void listReviews(out string list);Review getReview(in long reviewer);
};
interface Review {void read(out string text);void update(in string text);
};
Schnittstellen
11 SPP-Treffen 6.12.1999
Fre
ie U
nive
rsität Berlin - R
acco
on
Anwendungsspezifische Schutzpolitik
Politikentwurf als Teilproblem des Anwendungsentwurfs
Änderungen des Schutzstatus:
• Einsendeschluß erreicht: keine Papiere mehr einreichen
• eigenes Gutachten eingereicht: fremde Gutachten lesen, kein weiteres Gutachten einreichen eigenes Gutachten ändern
12 SPP-Treffen 6.12.1999
Fre
ie U
nive
rsität Berlin - R
acco
on
Schritte beim Politikentwurf
1. Identifikation von Benutzerrollen
2. Definition von Sichttypen für Objektzugriffe
(3.) Definition von Schemata für dynamische Rechteänderungen
4. Angabe initialer Berechtigungen
13 SPP-Treffen 6.12.1999
Fre
ie U
nive
rsität Berlin - R
acco
on
roles chair, member, author
role assertion
author implies not chairrole assertion
singleton( chair )
Benutzer und Rollen Benutzer statisch nicht bekannt, aber
logische Rollen
als Akteure in Use-Case-Modellen identifizierbar
14 SPP-Treffen 6.12.1999
Fre
ie U
nive
rsität Berlin - R
acco
on
view type Member controls Conference {allow listPapers;
getPaper;
}
view type Member controls Paper {allow read;
listReviews;
}
view type Chair: Conference.Member {allow callForPapers;
deadlineReached;makeDecision;
}
Sichttypen
15 SPP-Treffen 6.12.1999
Fre
ie U
nive
rsität Berlin - R
acco
on
interface Paper {Review submitReview(...);...
};
schema Paper { submitReview
grants result.update to caller; grants this.getReview to caller; revokes this.submitReview from
caller;};
Dynamische Rechteänderungen: Schemata
16 SPP-Treffen 6.12.1999
Fre
ie U
nive
rsität Berlin - R
acco
on
initial
chair holds Conference.Chair;
initialmember,chair holds
Paper.Member,
Review.read;
Initiale Berechtigungen
Optionale Angabe eines “Startzustands” der Zugriffsmatrix
17 SPP-Treffen 6.12.1999
Fre
ie U
nive
rsität Berlin - R
acco
on
http://www.inf.fu-berlin.de/inst/ag-ss/raccoon
G. Brose: A typed access model for CORBA, submitted for publication, November 1999.
G. Brose, K.-P. Löhr: VPL - Sprachunterstützung für den Entwurf von Zugriffsschutzpolitiken, Proc. VIS’99.
G. Brose: A view-based access model for CORBA, in: J. Vitek, C. Jensen (Hrsg.): Secure Internet Programming: Security Issues for Mobile and Distributed Objects, Springer LNCS, 1999.
G. Karjoth: Authorization in CORBA Security, Proc. ESORICS 1998.
Information