Entwurf einer anwendungsunabhÃ¤ngigen Zugriffskontrolle mittels ...

Weitere Magazine

Empfehlungen

Info

Implementierung der Zugriffskontrolle 5 Implementierung der Zugriffskontrolle Das folgende Kapitel beschreibt die Implementierung der Zugriffskontrolllösung. Zuerst wird erläutert, wie die aspektorientierte Zugriffskontrolle im Allgemeinen realisiert wurde. Anschließend werden die verwendeten Technologien für die Speicherung, den Zugriff und die Verarbeitung der Zugriffsregeln der policy-basierten Zugriffskontrolle beschrieben. 5.1 Aspektorientierte Zugriffskontrolle Ziel dieser Arbeit ist es, eine möglichst anwendungsunabhängige Zugriffskontrolle zu realisieren. Dies soll mit Hilfe eines Aspektes „Autorisierung“ erreicht werden. Alle in diesem definierten Zugriffskontrollaufrufe werden, ohne dass ein Anwendungsprogrammierer dies programmieren muss, zur Übersetzungszeit automatisch in die Anwendungsklassen hineinübersetzt. 5.1.1 Der anwendungsspezifische Autorisierungsaspekt Die Beispielanwendung “Fahrtenbuch”, die in einer zweiten Diplomarbeit entwickelt wurde, soll nun mit Hilfe dieser Zugriffskontrolle geschützt werden. Um dies zu erreichen, ist ein Bindeglied in Form eines „Autorisierungs“-Aspektes zwischen der Fahrtenbuch-Anwendung und der Sicherheitslösung notwendig. Die folgende Abbildung stellt einen Ausschnitt aus diesem Aspekt dar. 1. public aspect AuthorizationAspect extends AbstractAuthorizationAspect{ 2. public pointcut Initialization() 3. : call(* *.main(..)); 4. 5. declare parents: Logbook..* implements SecuredClasses; 6. 7. public pointcut SecuredObjectsConstructors() 8. : execution(Ontology.BasicObject.DataSet.new(..)); 9. 10.public UserIdentification getUserId(Object object)… 11.public ObjectIdentification getObjectId(Object object)… 12.public ObjectGroupIdentification getObjectGroup(Object object) … Abbildung 25: Der Fahrtenbuch spezifische Autorisierungsaspekt Soll anstelle der Fahrtenbuch-Anwendung eine andere Anwendung geschützt werden, dann ist in der Datei in der Zeile 5 das Paket dieser Anwendung anzugeben. Die Zeichen „..*“ hinter „Logbook“ bedeuten, dass auch alle Unterpakete des Paketes 51
Implementierung der Zugriffskontrolle „Logbook“ berücksichtigt werden sollen. Alle eingebundenen Pakete bzw. Klassen implementieren damit die Schnittstelle „SecuredClasses“, die als Stellvertreterobjekt für diese Klassen fungiert. Ideal wäre, wenn Anwendungsprogrammierer überhaupt keinen Code ändern müssten und auf die Definition von neuen Paketen im Autorisierungsaspekt verzichten könnten. Um dies zu erreichen, könnte man anstelle von Zeile 5 auch folgendes definieren: declare parents: *..* implements SecuredClasses; Hierdurch werden alle Pakete, die der Compiler findet, eingebunden. Aus Leistungsgründen und aufgrund möglicher zirkulärer Beziehungen wird hierauf verzichtet. Trotzdem ist mittels dieses Vorgehens eine schnellere Einbindung einer Sicherheitslösung möglich, als wenn ein Sicherheits-Framework verwendet wird, da die Einbindung der Zugriffskontrolle fast ohne Programmieren erfolgen kann. Anpassungen können stattdessen durch einfaches Konfigurieren eingearbeitet werden. Falls doch programmiersprachliche Anpassungen notwendig werden, so sollten sie in dieser anwendungsspezifischen Aspektklasse erfolgen. Beim Fahrtenbuch waren folgende Änderungen notwendig. Das Fahrtenbuch kümmert sich selbst, um die Verwaltung seiner Benutzer und um die Authentifizierung. Um an die aktuelle Benutzeridentifikation zu gelangen, bietet der anwendungsspezifische Autorisierungsaspekt eine abstrakte Methode „getUserId“ an, die zu implementieren ist. In der Fahrtenbuch-Anwendung wird beispielsweise eine Sitzung bei jedem Methodenaufruf übergeben. Aus diesem Sitzungsobjekt wird mittels der Methode „getUserId“ die aktuelle Benutzeridentifikation extrahiert. 1. public UserIdentification getUserId(Object object){ 2. Session session = ((Session)object); 3. String id = session.getUserID(); 4. return new UserIdentification(id); 5. } Abbildung 26: Die Methode “getUserId” (eigene Abbildung) Weitere Anpassungen waren notwendig für die Ermittlung der Objektidentifikation, da die Objektidentifikation der Fahrtenbuch-Elemente verwendet werden sollte. Alternativ könnten auch die Objektreferenz als Objektidentifikator oder die Identifikationen der Ontologie „Complex Semantic Object“ verwendet werden. Des Weiteren wurde auch 52
Seite 1 und 2:
Technische Universität Darmstadt F
Seite 3 und 4:
Inhaltsverzeichnis Inhaltsverzeichn
Seite 5 und 6:
Abbildungsverzeichnis Abbildungsver
Seite 7 und 8:
Tabellenverzeichnis Tabellenverzeic
Seite 9 und 10: Abkürzungsverzeichnis NIST Nr. o.J
Seite 11 und 12: Einleitung 1.2 Problemstellung Dies
Seite 13 und 14: Sicherheitsanalyse: Fahrtenbuch-Sze
Seite 27 und 28: Zugriffskontrollverfahren und AOP 3
Seite 29 und 30: Zugriffskontrollverfahren und AOP 3
Seite 31 und 32: Zugriffskontrollverfahren und AOP E
Seite 33 und 34: Zugriffskontrollverfahren und AOP A
Seite 35 und 36: Zugriffskontrollverfahren und AOP B
Seite 37 und 38: Zugriffskontrollverfahren und AOP
Seite 39 und 40: Zugriffskontrollverfahren und AOP I
Seite 41 und 42: Zugriffskontrollverfahren und AOP -
Seite 43 und 44: Entwurf: Policy-basierte Zugriffsko
Seite 59: Entwurf: Policy-basierte Zugriffsko
Seite 63 und 64: Implementierung der Zugriffskontrol
Seite 73 und 74: Schnittstellen und Konfigurationen
Seite 81 und 82: Schlussbetrachtungen 7 Schlussbetra
Seite 83 und 84: Schlussbetrachtungen zum Signieren
Seite 85 und 86: Literaturverzeichnis [CSI01] Comput
Seite 87 und 88: Literaturverzeichnis [LMY01] [Mag01
Alle anzeigen

Entwurf einer anwendungsunabhÃ¤ngigen Zugriffskontrolle mittels ...

Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.

Template löschen?

Als Template speichern?