Entwurf einer anwendungsunabhÃ¤ngigen Zugriffskontrolle mittels ...

Weitere Magazine

Empfehlungen

Info

Zugriffskontrollverfahren und AOP 3 Zugriffskontrollverfahren und AOP Zum Schutz der Fahrtenbuch-Daten können verschiedene Zugriffskontrollverfahren eingesetzt werden. Das folgende Kapitel diskutiert die wichtigsten Zugriffskontrollverfahren und erläutert warum diese nur bedingt für eine anwendungsunabhängige Zugriffskontrolle geeignet sind. Anschließend wird gezeigt, wie mittels aspektorientierter Programmierung diese Mängel behoben werden können. 3.1 Zugriffskontrolllösungen für den Schutz von Fahrtdaten Im Folgenden wird davon ausgegangen, dass sich die Fahrtdaten auf dem Fahrtenbuch- Server befinden und vor unberechtigten Zugriffen geschützt werden müssen. 3.1.1 Zugriff auf den Fahrtenbuch-Server Der Fahrtenbuchdienst soll als Teil eines Fahrzeugportals realisiert werden, welches am Fachgebiet Datenbanken und verteilte Systeme in Zusammenarbeit mit dem IT Transfer Office entwickelt wurde (siehe [CiH02]). Das Fahrzeugportal läuft auf einem J2EE Application Server und setzt Web-Services ein. Außerdem verwendet es ein semantisches Datenmodell (siehe [Bor98]) und legt Anwendungsdaten in einer XML Datenbank ab (siehe [CiH02]). Ziel ist es, die bereits bestehende Architektur, um eine Sicherheitslösung zu erweitern. Für deren Realisierung bietet sich eine aspektorientierte sowie auf einzelnen Diensten basierende Architektur an. Die Sicherheitslösung soll in Form von mehreren einzelnen Diensten realisiert werden (z.B. Zugriffskontrolle, Authentifikation und Auditing), so dass man diese ohne umfangreiche Anpassungen durch andere Implementierungen austauschen kann. Im Folgenden wird am Beispiel des Fahrtenbuch-Dienstes diskutiert, wie Anwendungen und Daten auf dem Portal vor unbefugten Zugriffen geschützt werden können. 17
Zugriffskontrollverfahren und AOP 3.1.2 Benutzerauthentifizierung Um auf die Fahrtenbuch-Daten zugreifen zu können, muss sich der Anwender authentisieren. Dabei können die in Kapitel 2.3.2.2 beschriebenen Verfahren (Passwörter, Chipkarten oder biometrische Verfahren), die Authentifizierung ermöglichen, in Verbindung mit Protokollen zur Verschlüsselung sowie dem Remote Procedure Call-Konzept (vgl. [Eck01] S. 354f.) zum Einsatz kommen. Die einfachste Form der Benutzerauthentifizierung ist eine Passwortabfrage. Das System verlangt die Identifikation/Kennung des Benutzers, z.B. durch ein Login- Prompt. Der Benutzer identifiziert sich durch seine Kennung und authentifiziert sich durch ein Passwort. Das System vergleicht das eingegebene Passwort mit dem in der Passwortdatei (vgl. [Eck01] S. 309). Passwortschutz wird häufig von kommerziellen Systemen eingesetzt (siehe [IbNoJ] und [SysoJ]). 3.1.3 Zugriffskontrolle durch das Dateisystem bzw. die Datenbank Die Fahrtenbuch-Daten können entweder im Dateisystem des Servers abgelegt werden oder in einer eigenen Datenbank aufbewahrt werden. In Unix werden Dateien und Verzeichnisse durch das Definieren so genannter Zugriffsbits geschützt. Die ersten drei Bits legen die Rechte des Besitzers fest, d.h. lesenden, schreibenden oder ausführenden Zugriff. Die nächsten drei Bits definieren die Zugriffsrechte für Gruppenmitglieder der Gruppe des Besitzers (bzw. der Datei) und die letzten drei Bits die Zugriffsrechte aller anderen Personen. Mittels des Kommandos „chmod“ können Bits verändert werden (vgl. [Tan95] S. 339). In der neuesten Version der XML-Datenbank eXist (siehe [Mei03]) wurde ein Unix ähnlicher Zugriffschutz eingeführt, der ebenfalls Schutzbits für den Benutzer, die Benutzergruppe und weitere definiert. Es werden wie in Unix drei Zugriffsrechte (Lesen, Schreiben und Ändern) unterstützt. Eine Zugriffskontrolle auf Dateisystem-Ebene ermöglicht jedoch keine anwendungsspezifischen Anpassungen der Zugriffskontrolle. Es lässt sich nicht definieren, welche Anwendungsmethoden geschützt werden sollen, und eine differenzierte Behandlung der Daten eines Dokumentes ist ebenfalls nicht möglich. Die Einteilung der Benutzer in die drei Gruppen Besitzer, Besitzergruppe und Sonstige spiegelt in der Regel nicht die Benutzerverwaltung einer Anwendung wieder. Der Vorteil einer solchen Lösung ist 18
Seite 1 und 2: Technische Universität Darmstadt F
Seite 3 und 4: Inhaltsverzeichnis Inhaltsverzeichn
Seite 5 und 6: Abbildungsverzeichnis Abbildungsver
Seite 7 und 8: Tabellenverzeichnis Tabellenverzeic
Seite 9 und 10: Abkürzungsverzeichnis NIST Nr. o.J
Seite 11 und 12: Einleitung 1.2 Problemstellung Dies
Seite 13 und 14: Sicherheitsanalyse: Fahrtenbuch-Sze
Seite 25: Sicherheitsanalyse: Fahrtenbuch-Sze
Seite 29 und 30: Zugriffskontrollverfahren und AOP 3
Seite 31 und 32: Zugriffskontrollverfahren und AOP E
Seite 33 und 34: Zugriffskontrollverfahren und AOP A
Seite 35 und 36: Zugriffskontrollverfahren und AOP B
Seite 37 und 38: Zugriffskontrollverfahren und AOP
Seite 39 und 40: Zugriffskontrollverfahren und AOP I
Seite 41 und 42: Zugriffskontrollverfahren und AOP -
Seite 43 und 44: Entwurf: Policy-basierte Zugriffsko
Seite 61 und 62: Implementierung der Zugriffskontrol
Seite 73 und 74: Schnittstellen und Konfigurationen
Seite 75 und 76: Schnittstellen und Konfigurationen
Seite 77 und 78:
Schnittstellen und Konfigurationen
Seite 79 und 80:
Schnittstellen und Konfigurationen
Seite 81 und 82:
Schlussbetrachtungen 7 Schlussbetra
Seite 83 und 84:
Schlussbetrachtungen zum Signieren
Seite 85 und 86:
Literaturverzeichnis [CSI01] Comput
Seite 87 und 88:
Literaturverzeichnis [LMY01] [Mag01
Alle anzeigen

Entwurf einer anwendungsunabhÃ¤ngigen Zugriffskontrolle mittels ...

Erfolgreiche ePaper selbst erstellen

Template löschen?

Als Template speichern?