Entwurf einer anwendungsunabhÃ¤ngigen Zugriffskontrolle mittels ...

Weitere Magazine

Empfehlungen

Info

Sicherheitsanalyse: Fahrtenbuch-Szenario 2.3.2.2 Authentifizierung des Fahrers Authentifizierung beweist, dass man tatsächlich die Person ist, die man vorgibt zu sein (vgl. [BHH01] S. 147). Folgende Verfahren ermöglichen eine Authentifizierung des Fahrers: Verfahren Manuelle Auswahl des Fahrernamens auf PDA Identifikation mittels Transponder Identifikation mittels Chipkarte Identifikation mittels SIM-Karte Identifikation mittels Fingerabdruck Erläuterung Eine einfache Lösung ist, dass der Fahrer seine Namen auswählt und hierzu einen Vorschlagswert erhält. Kombiniert werden kann dies mit einer PDA gestützten Lösung (vgl. [IfT02a] und [IfT02b]). Für eine Authentifikation des Fahrers ist aber auch die Eingabe eines Passworts notwendig. Eine andere sehr günstige Lösung ist der Einsatz von Transpondern ([vgl. Mag01]), wobei diese keine echte Authentifikation ermöglicht, da die Transponderdaten dupliziert werden könnten. Mehr Sicherheit verspricht der Einsatz von Chip-Karten (vgl. [IbNoJ]). Sinnvoll ist eine solche Lösung wegen der damit verbundenen höheren Kosten aber nur bei Flotten oder Car Sharing Gesellschaften. Zudem könnten Fahrtdaten direkt auf der Chipkarte sicher gespeichert werden. Kostengünstiger als Chipkarten ist der Einsatz von Twin SIM- Karten (vgl. [SysoJ]). Diese Lösung bietet sich an, wenn die Fahrer mit ihrer Twin SIM-Karte im Auto auch telefonieren oder andere Telematik-Dienste übers Internet nutzen möchten. Eine weitere Alternative wäre die Authentifikation mittels biometrischer Verfahren. Der Bordcomputer speichert dazu den Fingerabdruck des Daumens oder Zeigefingers. Um sich zu authentifizieren, muss sich der Fahrer mit diesem Finger auf dem Sensor identifizieren (vgl. [Non00]). Solche Lösungen haben sich bisher aber nicht durchsetzen können. Tabelle 6: Authentifizierung des Fahrers 13
Sicherheitsanalyse: Fahrtenbuch-Szenario 2.3.2.3 Fahrtdaten Ermittlung Nicht nur das Fahrzeug und der Fahrer müssen eindeutig identifiziert werden, sondern auch Fahrtdaten, wie gefahrene Kilometer, müssen authentisch und unverfälschbar sein. Folgende Daten sind laut Erlass des Bundesministerium für Finanzen für die Vorlage beim Finanzamt notwendig (vgl. [BfF95]): • Name des Fahrers (Alternativ könnte auch ein Pseudonym oder die Mitarbeiternummer eingetragen werden), • KFZ-Kennzeichen (oder Fahrzeugidentifikationsnummer), • Kilometerstand,Datum/Uhrzeit bei Fahrtbeginn und bei Fahrtende (werden automatisch vom Fahrzeug erfasst), • Abfahrts- und Zielort (mittels GPS-Positionsermittlung) und • Nutzungsart und Fahrtzweck (Der Fahrer muss auswählen, ob die Fahrt geschäftlich, privat oder eine Fahrt zur Arbeit ist. Außerdem ist der Fahrtzweck anzugeben, z.B. der aufgesuchte Geschäftspartner). Wenn der Fahrer zur Gruppe der Berufsgeheimnisträger, wie z.B. Ärzte, Rechtsanwälte und Steuerberater, gehört, dann muss er aufgrund des Auskunftsverweigerungsrechts keine Angaben über den Namen und die Anschrift des Mandanten machen. Für den Fahrtzweck reicht in diesem Fall die Eintragung „Mandantenbesuch“. Da aber das Finanzamt im Falle begründeten Zweifels genauere Informationen über den Fahrtzweck einfordern darf, müssen dennoch Angaben über den Mandanten gespeichert werden. Diese Daten sind vor unberechtigter Einsicht durch Dritte zu schützen (vgl. [Oat00]). 2.3.3 Vertraulichkeit der Datenübertragung Abbildung 4 zeigt ein Szenario für ein verteiltes Fahrtenbuch. Es wird ein PDA verwendet, der Daten mit dem Bordcomputer im Fahrzeug abgleichen kann. Der Bordrechner sowie der PDA können über ein Mobiltelefon über den Gateway mit dem Internet verbunden werden. Ein Fahrtenbuch-Server kommuniziert mit dem Gateway über das Internet, um die Fahrtdaten aus dem Auto abzurufen. In der Kette vom PDA bis hin zum Fahrtenbuch-Server gibt es zahlreiche Angriffspunkte. Angreifer könnten versuchen, die Datenübertragung zwischen PDA und Fahrzeug, Fahrzeug und Gateway sowie zwischen dem Gateway und dem 14
Seite 1 und 2: Technische Universität Darmstadt F
Seite 3 und 4: Inhaltsverzeichnis Inhaltsverzeichn
Seite 5 und 6: Abbildungsverzeichnis Abbildungsver
Seite 7 und 8: Tabellenverzeichnis Tabellenverzeic
Seite 9 und 10: Abkürzungsverzeichnis NIST Nr. o.J
Seite 11 und 12: Einleitung 1.2 Problemstellung Dies
Seite 13 und 14: Sicherheitsanalyse: Fahrtenbuch-Sze
Seite 21: Sicherheitsanalyse: Fahrtenbuch-Sze
Seite 27 und 28: Zugriffskontrollverfahren und AOP 3
Seite 29 und 30: Zugriffskontrollverfahren und AOP 3
Seite 31 und 32: Zugriffskontrollverfahren und AOP E
Seite 33 und 34: Zugriffskontrollverfahren und AOP A
Seite 35 und 36: Zugriffskontrollverfahren und AOP B
Seite 37 und 38: Zugriffskontrollverfahren und AOP
Seite 39 und 40: Zugriffskontrollverfahren und AOP I
Seite 41 und 42: Zugriffskontrollverfahren und AOP -
Seite 43 und 44: Entwurf: Policy-basierte Zugriffsko
Seite 61 und 62: Implementierung der Zugriffskontrol
Seite 73 und 74:
Schnittstellen und Konfigurationen
Seite 75 und 76:
Seite 77 und 78:
Seite 79 und 80:
Seite 81 und 82:
Schlussbetrachtungen 7 Schlussbetra
Seite 83 und 84:
Schlussbetrachtungen zum Signieren
Seite 85 und 86:
Literaturverzeichnis [CSI01] Comput
Seite 87 und 88:
Literaturverzeichnis [LMY01] [Mag01
Alle anzeigen

Entwurf einer anwendungsunabhÃ¤ngigen Zugriffskontrolle mittels ...

Erfolgreiche ePaper selbst erstellen

Template löschen?

Als Template speichern?