Entwicklung und Implementierung einer ... - GeoBranchen

Weitere Magazine

Empfehlungen

Info

70 4.2.2 Varianten zur Weiterleitung der globalen Zugriffsentscheidungsanfrage zu einer hierarchischen Ressource durch den Context Handler an den PDP Der Context Handler, der den vom PEP erzeugten globalen XACML Request Context entgegennimmt, kann die Zugriffsentscheidungsanfrage auf mehrere Arten an den PDP weiterleiten. Nachfolgend werden zwei sinnvolle Alternativen diskutiert. Variante A: Der Context Handler erzeugt auf Basis des globalen XACML Request Contexts für die durch resource-id und scope spezifizierten Knoten individuelle Zugriffsentscheidungsanfragen (eine je Knoten), die einzeln an den PDP geschickt werden. Der PDP kann durch das scope Attribut ermitteln, für welche Knoten eine individuelle Zugriffsanfrage erzeugt werden soll. Dies geschieht relativ zu dem Knoten, der durch das resource-id Attribut der globalen Zugriffsentscheidungsanfrage selektiert wird. Mögliche scope Werte sind descendants, entire hierarchie und children 25 . Bei descendants wird für jeden Knoten unterhalb des durch resource-id bestimmten Knotens eine individuelle Zugriffsentscheidungsanfrage an den PDP übergeben. Nach Behandlung der individuellen Zugriffsentscheidungsanfragen (diese beziehen sich auf genau einen Knoten) werden die individuellen Zugriffsentscheidungsantworten (entspricht der Zugriffsentscheidung für diesen Knoten) einzeln vom PDP an den Context Handler gesendet und unverändert an den PEP weitergeleitet. Bei entire hierarchie wird ebenfalls je Knoten eine individuelle Zugriffsentscheidungsanfrage an den PDP übergeben. Im Unterschied zum scope Wert descendants merkt sich der Context Handler die Ergebnisse der individuellen Zugriffsentscheidungsantworten und übergibt nur ein Gesamtergebnis für alle individuellen Knotenanfragen an den PEP. Dieses lautet nur dann permit, wenn alle Antworten auf die individuellen Request Contexts permit ergaben. Der entire hierarchie Attributwert impliziert eine Zugriffskontrolle nach dem „alles oder nichts“ Prinzip. Grundstein für eine Zugriffskontrolle nach dem „so viel wie geht“ Prinzip ist daher ein scope Wert von descendants, da dadurch je Knoten im angeforderten Dokument eine individuelle Zugriffsentscheidungsantwort generiert wird. Zu erwähnen ist, dass die Erzeugung individueller Zugriffsentscheidungsanfragen nicht im PEP geschehen sollte, da die PEPs und PDPs räumlich verteilt liegen können und diese Vorgehensweise daher zu einem enormen Mehraufwand an Kommunikation führen würde. Die 25 Der Wert children wird für die Ausführungen in dieser Arbeit nicht benötigt und wird daher nicht weiter erläutert, da alle Knoten des XML Dokumentes auf Zugriffsrechte überprüft werden müssen.
71 globale XACML Zugriffsentscheidungsanfrage wird daher immer erst vom Context Handler (es wird angenommen, dass dieser im selben lokalen System läuft wie der PDP) in individuelle Zugriffsentscheidungsanfragen transformiert. Abgesehen vom Wert des resource-id Attributes entspricht der Aufbau der individuellen Zugriffsentscheidungsanfrage dem des globalen XACML Request Contexts. Das resource-id Attribut in der individuellen Zugriffsentscheidungsanfrage stellt einen eindeutigen XPath-Ausdruck dar, der genau den Knoten kennzeichnet, auf den sich die individuelle Zugriffsentscheidungsanfrage bezieht. Das scope Attribut in der individuellen Zugriffsentscheidungsanfrage hat keine Bedeutung. Beispiel eines resource-id Attributes in einer individuellen Zugriffsentscheidungsanfrage: /Request/Resource/ResourceContent/wfs:FeatureCollection[1]/gml:Feature- Member[1]/gml:Gebäude[1] Variante B: Alternativ könnte der vom PEP abgesetzte globale XACML Request Context unverändert an den PDP weitergeleitet werden. Es wird demnach eine Zugriffsentscheidungsanfrage für alle Knoten an den PDP abgesetzt. In diesem Fall wird das XML Dokument nicht als eine hierarchische Ressource, sondern als eine strukturierte, individuelle Ressource angesehen. Dies bedeutet, dass der PDP auf eine Zugriffsentscheidungsanfrage die anwendbaren Regeln für das gesamte Dokument – d.h. für alle Knoten, betrachtet als ein atomares Ganzes – identifizieren und überprüfen muss. Nach der Auswertung der greifenden Regeln gibt der PDP dann für das gesamte XML Dokument nur eine Zugriffsentscheidungsantwort zurück. Das bedeutet, dass der Zugriff auf das angeforderte Dokument entweder gewährt oder abgelehnt wird, was einer Zugriffskontrolle nach dem „alles oder nichts“ Prinzip entspricht. Im PEP kann a priori nicht differenzierter bestimmt werden, welche Knotenmengen des XML Dokumentes zugriffsbeschränkt oder zugreifbar sind. Bei Variante A ist dies direkt möglich, da sich dort die Zugriffsentscheidungsantworten immer auf genau einen Knoten beziehen. Da das in dieser Arbeit entwickelte Zugriffskontrollsystem eine Zugriffskontrolle nach dem „so viel wie geht“ Prinzip unterstützen soll, muss daher – um Variante B dennoch verfolgen zu können – im Regelwerk ein zusätzlicher Mechanismus integriert werden, der den PEP mit Informationen zu den zugreifbaren und zugriffsbeschränkten Knotenmengen des XML Dokumentes beliefert. Die von XACML zur Verfügung gestellten Obligations können zur Realisierung dieses Mechanismuses – wenn auch vom XACML Komitee nicht für diese Funktionalität angedacht
Seite 1 und 2:
FAKULTÄT FÜR INFORMATIK DER TECHN
Seite 3 und 4:
3 Kurzreferat Bei der Nutzung eines
Seite 5 und 6:
5 gen auf Element- und Attributeben
Seite 7 und 8:
7 Inhalt Seite Verzeichnis der Abbi
Seite 9 und 10:
9 Verzeichnis der Abbildungen Abbil
Seite 11 und 12:
11 WSDL XACML XML XPath XSD XSL(T)
Seite 13 und 14:
13 Geo Web Service Ein Geo Web Serv
Seite 15 und 16:
15 XACML Request Context XACML-kodi
Seite 17 und 18:
17 inzwischen durch Verfahren und S
Seite 19 und 20: 19 schrieben und deren Eignung für
Seite 21 und 22: 21 Schemas stehen unterschiedlich m
Seite 23 und 24: 23 In dieser Arbeit wird davon ausg
Seite 25 und 26: 25 ... ... ... Linienzug: E
Seite 27 und 28: 27 2.3 Web Service Das World Wide W
Seite 29 und 30: 29 • die Kopplung der Geodaten an
Seite 31 und 32: 31 den WFS des Beispielszenarios ab
Seite 33 und 34: 33 3 Zugriffskontrolle Unter Zugrif
Seite 35 und 36: 35 die das entsprechende Subjekt au
Seite 37 und 38: 37 zierte Zugriffsrechte ausgedrüc
Seite 39 und 40: 39 Tritt bei der Auswertung einer R
Seite 41 und 42: 41 Aufgrund der Mächtigkeit regelb
Seite 43 und 44: 43 findet sich in Twig Queries 2002
Seite 45 und 46: 45 Die I/O Performance und die Spei
Seite 47 und 48: 47 In der Literatur zum Pre-Process
Seite 49 und 50: 49 R 1 = (+, /Objekt/Gebäude[Besit
Seite 51 und 52: 51 • evalQuery(Q, D) ∩ evalRule
Seite 53 und 54: 53 Entscheidend für den Einsatz is
Seite 55 und 56: 55 te (z.B. topologische Relationen
Seite 57 und 58: 57 Beide Ansätze nacheinander ausg
Seite 59 und 60: 59 3.3.4 Fazit Wie gezeigt wurde, h
Seite 61 und 62: 61 greift keine Regel zu dieser Anf
Seite 63 und 64: 63 • standardisiert ‣ Interoper
Seite 65 und 66: 65 oder XML-orientierte Sichtweise)
Seite 67 und 68: 67 Auszubildender -180.0,-
Seite 69: 69 4.2.1 Die vom PEP generierte glo
Seite 73 und 74: 73 ... Tom Grundschule an der E
Seite 75 und 76: 75 4.2.4 Modellierung rekursiven Re
Seite 77 und 78: 77 schaften eines Features beziehen
Seite 79 und 80: 79 Die in Beispiel 1 aufgeführte T
Seite 81 und 82: 81 /Besitzer Ein Voraussetzung
Seite 83 und 84: 83 aufgenommen werden. Konsequenz d
Seite 85 und 86: 85 5 Raumbezogene Zugriffskontrolle
Seite 87 und 88: 87 dieser Arbeit nicht betrachtet u
Seite 89 und 90: 89 intersects Abbildung 5.3 Zwei Ge
Seite 91 und 92: 91 C) Nicht kommutative topologisch
Seite 93 und 94: 93 führt und die endgültigen Rege
Seite 96 und 97: 96 5.3.2 Erweiterung der XACML Funk
Seite 98 und 99: 98 20,380 40,200 240,140 3
Seite 100 und 101: 100 /Geometrie/gml:Polygon
Seite 102 und 103: 102 Muenchner Rathaus 1901 Staat 5
Seite 104 und 105: 104 50,40 100,60 ... In den Zu
Seite 106 und 107: 106 deln sind - d.h. entweder die L
Seite 108 und 109: 108 /Request/Resource/ResourceConte
Seite 110 und 111: 110 Benötigt ein Programmierer wei
Seite 112 und 113: 112 }); public AttributeValue getIn
Seite 114 und 115: 114 Durch obigen Codeausschnitt wir
Seite 116 und 117: 116 2.0 Version die erwähnte Optim
Seite 118 und 119: 118 Nun kann der PDP über die PDPC
Seite 120 und 121:
120 6.3.4 Koordinatensystemüberpr
Seite 122 und 123:
122 zwei Zwischenschritte zur Unter
Seite 124 und 125:
124 Zur Modifikation des XML Dokume
Seite 126 und 127:
126 Geometrie 50,40 100,6
Seite 128 und 129:
128 7.2 Evaluierung und Ausblick Ne
Seite 130 und 131:
130 Literaturverzeichnis AC Mech 20
Seite 132 und 133:
132 Huber 2002 HUBER, U. W. (2002):
Seite 134 und 135:
134 Samarati 2000 SAMARATI, P.; DE
Seite 136 und 137:
136 Anhang A Anwendungsszenario - D
Seite 138 und 139:
138 Die unten abgebildete Karte in
Seite 140 und 141:
140 myns:Baujahr myns:Besitzer myns
Seite 142 und 143:
142 Regel 1: Ein Mitarbeiter der Ba
Seite 144 und 145:
144 Beispiel 5 In diesem Beispiel w
Seite 146 und 147:
146 touches point line polygon poin
Seite 148 und 149:
148 All diesen Überprüfungen ist
Seite 150 und 151:
150 Neben der baumartigen Strukturi
Seite 152 und 153:
152 C.3 Feinstruktur des Regelwerke
Seite 154 und 155:
154 Herausforderung eines mehrschic
Seite 156:
156 Möchte bzw. muss man zu einer
Alle anzeigen

Entwicklung und Implementierung einer ... - GeoBranchen

Erfolgreiche ePaper selbst erstellen

Template löschen?

Als Template speichern?