RACCOON

Zugriffsschutzmanagement in verteilten Objektsystemen

Gerald Brose, Klaus-Peter LöhrInstitut für Informatik, Freie Universität Berlin

Auftakttreffen DFG-SPP, 6.12.1999, München

2 SPP-Treffen 6.12.1999

Fre

ie U

nive

rsität Berlin - R

acco

on

Überblick

1. Zugriffsschutz und Zugriffsschutzmanagement

2. Deklarative Politikbeschreibung

3. Anwendungsbeispiel

3 SPP-Treffen 6.12.1999

Fre

ie U

nive

rsität Berlin - R

acco

on

1. Zugriffsschutz

Politik: “welche Zugriffe sind erlaubt, welche verboten?”

• Regeln für Zugriffsentscheidungen

• Schutzanforderungen z.T. anwendungsspezifisch

Mechanismus: "wie werden unerlaubte Zugriffe verhindert?"

• Middleware verdeckt Heterogenität

4 SPP-Treffen 6.12.1999

Fre

ie U

nive

rsität Berlin - R

acco

on

"Zugriffsschutzmanagement"

Entwurf der Politik, kontextunabhängig, abstrakt, (statisch durch Entwickler)

Anpassung an konkrete Umgebung (initial, bei Installation)

Management: Überwachung und Anpassung an Kontextänderungen (dynamisch)

fehlerträchtig und sicherheitskritisch!

5 SPP-Treffen 6.12.1999

Fre

ie U

nive

rsität Berlin - R

acco

on

Projektziele

Werkzeugunterstützung für das Zugriffsschutzmanagement

• Politiksprache mit geeigneten Konzepten für alle drei Phasen

• rollenbasierte Authentisierung

• Verwaltung von Objektdomänen

– Gruppierung von Objekten mit gleicher Politik

Teilimplementierung des CORBA Security Service für JacORB

6 SPP-Treffen 6.12.1999

Fre

ie U

nive

rsität Berlin - R

acco

on

2. Deklarative Politikbeschreibung

mit VPL - View Policy Language

deklarative Sprache

objektorientiertes Schutzmodell

Basis für Werkzeuge

strukturiert, feinkörnig und skalierbar

dynamische Rechteänderungen beschreibbar

7 SPP-Treffen 6.12.1999

Fre

ie U

nive

rsität Berlin - R

acco

on

SichtenEine Sicht: enthält Rechte für Operationen eines

Objekts ist Exemplar eines Sichttyps für

Objektschnittstellenview type Resolver controls NamingContext

{allow

resolve;list;

denybind;

}

8 SPP-Treffen 6.12.1999

Fre

ie U

nive

rsität Berlin - R

acco

on

Vorteile

sprachliche Unterstützung:

• statische Typprüfung

• Dokumentation und Kommunikation

• Wiederverwendung

Objektorientierung:

• Abstraktionsgrad

• Bezug auf Anwendungs- und Systemobjekte

9 SPP-Treffen 6.12.1999

Fre

ie U

nive

rsität Berlin - R

acco

on

3. Anwendungsbeispiel

Unterstützung bei der Begutachtung von Konferenzbeiträgen (à la CyberChair):

1. Autoren reichen Beiträge ein

2. Gutachter reichen Gutachten ein

3. Gutachter lesen fremde Gutachten und ändern gegebenenfalls das eigene

10 SPP-Treffen 6.12.1999

Fre

ie U

nive

rsität Berlin - R

acco

on

interface Conference {void callForPapers();void deadlineReached();void makeDecision();void submitPaper(in string paper);void listPapers(out string list);Paper getPaper(in long paper);

};

interface Paper {void read(out string text);Review submitReview(in string rev,in long reviewer);void listReviews(out string list);Review getReview(in long reviewer);

};

interface Review {void read(out string text);void update(in string text);

};

Schnittstellen

11 SPP-Treffen 6.12.1999

Fre

ie U

nive

rsität Berlin - R

acco

on

Anwendungsspezifische Schutzpolitik

Politikentwurf als Teilproblem des Anwendungsentwurfs

Änderungen des Schutzstatus:

• Einsendeschluß erreicht: keine Papiere mehr einreichen

• eigenes Gutachten eingereicht: fremde Gutachten lesen, kein weiteres Gutachten einreichen eigenes Gutachten ändern

12 SPP-Treffen 6.12.1999

Fre

ie U

nive

rsität Berlin - R

acco

on

Schritte beim Politikentwurf

1. Identifikation von Benutzerrollen

2. Definition von Sichttypen für Objektzugriffe

(3.) Definition von Schemata für dynamische Rechteänderungen

4. Angabe initialer Berechtigungen

13 SPP-Treffen 6.12.1999

Fre

ie U

nive

rsität Berlin - R

acco

on

roles chair, member, author

role assertion

author implies not chairrole assertion

singleton( chair )

Benutzer und Rollen Benutzer statisch nicht bekannt, aber

logische Rollen

als Akteure in Use-Case-Modellen identifizierbar

14 SPP-Treffen 6.12.1999

Fre

ie U

nive

rsität Berlin - R

acco

on

view type Member controls Conference {allow listPapers;

getPaper;

}

view type Member controls Paper {allow read;

listReviews;

}

view type Chair: Conference.Member {allow callForPapers;

deadlineReached;makeDecision;

}

Sichttypen

15 SPP-Treffen 6.12.1999

Fre

ie U

nive

rsität Berlin - R

acco

on

interface Paper {Review submitReview(...);...

};

schema Paper { submitReview

grants result.update to caller; grants this.getReview to caller; revokes this.submitReview from

caller;};

Dynamische Rechteänderungen: Schemata

16 SPP-Treffen 6.12.1999

Fre

ie U

nive

rsität Berlin - R

acco

on

initial

chair holds Conference.Chair;

initialmember,chair holds

Paper.Member,

Review.read;

Initiale Berechtigungen

Optionale Angabe eines “Startzustands” der Zugriffsmatrix

17 SPP-Treffen 6.12.1999

Fre

ie U

nive

rsität Berlin - R

acco

on

http://www.inf.fu-berlin.de/inst/ag-ss/raccoon

G. Brose: A typed access model for CORBA, submitted for publication, November 1999.

G. Brose, K.-P. Löhr: VPL - Sprachunterstützung für den Entwurf von Zugriffsschutzpolitiken, Proc. VIS’99.

G. Brose: A view-based access model for CORBA, in: J. Vitek, C. Jensen (Hrsg.): Secure Internet Programming: Security Issues for Mobile and Distributed Objects, Springer LNCS, 1999.

G. Karjoth: Authorization in CORBA Security, Proc. ESORICS 1998.

Information