Entwurf einer anwendungsunabhÃ¤ngigen Zugriffskontrolle mittels ...

Weitere Magazine

Empfehlungen

Info

Zugriffskontrollverfahren und AOP Zusätzlich müssen aber noch Policies für den Fall einer Zugriffsverletzung (z.B. mehrere fehlgeschlagene Login-Versuche) definiert werden. Diese beschreiben dann die Aktionen, die in einem solchen Fall auszuführen sind. 3.1.5.2 Policy-basierte Ansätze Man kann Policy-basierte Ansätze unterscheiden, je nachdem, ob sie dem Benutzer einen „discretionary access control“ (DAC) oder einen „mandatory access control“ (MAC) Zugriff erlauben. DAC Policies beschränken den Zugriff auf Objekte auf bestimmte Benutzer oder Benutzergruppen. Ferner gestatten sie einem Besitzer, Rechte weiterzugeben. Realisiert werden kann eine solche Policy z.B. mittels einer Zugriffskontrollmatrix bestehend aus Benutzer, Objekt und Aktion. Bei MAC Policies darf hingegen nur eine zentrale Autorität die Regeln festlegen. Dies wird erreicht, indem jedem Subjekt und jedem Objekt eine Sicherheitsklassifikation zugewiesen wird. Für die Spezifikation von Policies gibt es zahlreiche Ansätze. Bei Logik-basierten Sprachen, werden Policies mittels logischer Konstrukte wie Rekursion und Verneinung konstruiert. Ereignis gesteuerte Sprachen wie z.B. die „security policy language“, spezifizieren dagegen Ereignisse, die von einem „event monitor“ verarbeitet werden. Manche Ansätze verwenden XML zur Definition der Zugriffsregeln (vgl. [LMY01] S. 4). Beispielsweise kann man XACML (siehe [OAS03]) einsetzen, um den Zugriff auf XML Dokumente in Form von „(Subjekt, Ziel, Aktion)“ Regeln im XML Format zu reglementieren. Ferner kann man in XACML konditionale Zugriffsregeln für XML Dokumente definieren und externe Nachbedingungen zur Spezifikation von Aktionen, die vor der Freigabe eines Zugriffes ausgeführt werden müssen, festlegen. Siehe dazu das folgende Beispiel: 23
Zugriffskontrollverfahren und AOP Abbildung 6: Beispiel für eine XACML Policy (vgl. [DBS02] S. 11) XML hat den Vorteil, dass es ein weit verbreiteter Standard ist. Für den Benutzer ist aber eine graphische Eingabemaske notwendig, da für ihn eine XML Policy kaum lesbar ist. Da XACML nur XML Dokumentinhalte schützt und es keine Gruppierung von Policies unterstützt, ist es für das Fahrzeug-Portal nur bedingt geeignet. 3.1.5.3 Policies und Fahrtenbücher Große Systeme beinhalten Millionen von Benutzern und Ressourcen. Es ist unpraktisch, Policies für jedes einzelne Individuum oder gar für jede einzelne Ressource zu spezifizieren. Stattdessen muss es möglich sein, Policies auch bezüglich (verschachtelten) Gruppen festzulegen. Bei einem Fahrtenbuch genügt z.B. eine Vorgabe-Policy, die definiert, dass nur der Fahrer Änderungen vornehmen darf, nur Gruppenmitglieder lesenden Zugriff auf nicht private Daten erhalten und das Löschen von Fahrteinträgen generell nicht gestattet ist. Es muss dem Fahrer aber erlaubt sein, für eine Gruppe von Fahrteinträgen (Ressourcen) in einem festgelegten Rahmen Anpassungen vorzunehmen (z.B. weiteren Personen Lesezugriffe gewähren). Außerdem ist es nützlich, Policies, die Rechte einer Rolle (z.B. eines Finanzprüfers) festlegen, zu gruppieren (vgl. [DBS02] S. 3). 24
Seite 1 und 2: Technische Universität Darmstadt F
Seite 3 und 4: Inhaltsverzeichnis Inhaltsverzeichn
Seite 5 und 6: Abbildungsverzeichnis Abbildungsver
Seite 7 und 8: Tabellenverzeichnis Tabellenverzeic
Seite 9 und 10: Abkürzungsverzeichnis NIST Nr. o.J
Seite 11 und 12: Einleitung 1.2 Problemstellung Dies
Seite 13 und 14: Sicherheitsanalyse: Fahrtenbuch-Sze
Seite 27 und 28: Zugriffskontrollverfahren und AOP 3
Seite 29 und 30: Zugriffskontrollverfahren und AOP 3
Seite 31: Zugriffskontrollverfahren und AOP E
Seite 35 und 36: Zugriffskontrollverfahren und AOP B
Seite 37 und 38: Zugriffskontrollverfahren und AOP
Seite 39 und 40: Zugriffskontrollverfahren und AOP I
Seite 41 und 42: Zugriffskontrollverfahren und AOP -
Seite 43 und 44: Entwurf: Policy-basierte Zugriffsko
Seite 61 und 62: Implementierung der Zugriffskontrol
Seite 73 und 74: Schnittstellen und Konfigurationen
Seite 81 und 82: Schlussbetrachtungen 7 Schlussbetra
Seite 83 und 84:
Schlussbetrachtungen zum Signieren
Seite 85 und 86:
Literaturverzeichnis [CSI01] Comput
Seite 87 und 88:
Literaturverzeichnis [LMY01] [Mag01
Alle anzeigen

Entwurf einer anwendungsunabhÃ¤ngigen Zugriffskontrolle mittels ...

Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.

Template löschen?

Als Template speichern?