Upload
belinda-heimerl
View
110
Download
0
Embed Size (px)
Citation preview
Objektorientierter Objektorientierter Zugriffsschutz Zugriffsschutz in in RRACCOONACCOON
Roman Kober, Manuel Koch, Cristian OanceaRoman Kober, Manuel Koch, Cristian Oancea
FU BerlinFU Berlin
GliederungGliederung
Problem Zugriffsschutz
Corba Standard-Zugriffschutzmodell
View-Based Access Control
Raccoon Infrastruktur
Raccoon Fallstudien
The worst problem with access control policy, especially in object systems, is that there's so much of it. [Blakley2000]
Sicherheitsproblem Sicherheitsproblem ManagementManagement
Almost all security failures are in fact due to implementation and management errors.
[Anderson1994]
Erhöhte Handhabbarkeit führt direkt zu mehr Sicherheit!
Wo liegen die Probleme?Wo liegen die Probleme?
Ursprünge von Komplexität:
• Heterogenität
• Größenordnung
• Verteilung auch bei Entwicklung und Management
(Zugriffsschutz-) Modelle, Tools
• Definiere Abstraktionen
[...] we all know that unmastered complexity is at the root of the Misery. [Dijkstra2001]
Manuel Koch, Freie Universität Berlin 5
CORBA Standard CORBA Standard ZugriffschutzmodellZugriffschutzmodell
Rechte-Familien• s (set), g (get), u (use), m (manage)
• Kombinierbar (konjunktiv, disjunktiv)
• Neue Rechte können definiert werden
Rechte bzgl. einzelner Operationen
Required und Effective Rights• Required: Zuordnung der generischen Rechte
zu Operationen
• Effective: Zuordnung von Rechten zu Rollen, Gruppen, ...
Manuel Koch, Freie Universität Berlin 6
BeispielBeispiel
name service:
• interface NamingContext
– resolve a name – list bindings– bind a name– bind a subcontext– unbind names, destroy contexts
Manuel Koch, Freie Universität Berlin 7
required rights
operation interface
corba:--u-
resolve
corba:g-u-
list
corba:gsu-
bind
corba:gsum
new_context, bind_new_context
corba:gsum
unbind, rebind, destroy
Naming-Context
required rights
operation interface
corba:--u-
resolve
corba:g-u-
list
corba:gsu-
bind
corba:gsum
new_context, bind_new_context
corba:gsum
unbind, rebind, destroy
Naming-Context
Effective vs. Required Effective vs. Required RightsRights
effective rights
id:alice corba:g-u-
group:admin corba:gsum
group:programmers corba:gsu-
effective rights
id:alice corba:g-u-
group:admin corba:gsum
group:programmers corba:gsu-
Manuel Koch, Freie Universität Berlin 8
NachteileNachteile
Beschränkte Rechtemenge, low-level(“Object rwx”)
Alle Objekte eines Typs werden gleich behandelt
Keine dynamischen Rechteänderungen
Keine Verbote
Politiksemantik geht leicht verloren
View-based Access ControlView-based Access Control View Policy View Policy LanguageLanguage
Deklarative Politiksprache (VPL)• Wiederverwendung, Dokumentation,
Kommunikation
• Fixes Objektmodell (CORBA-IDL) erlaubt statische Konsistenzprüfung
• Feinkörniger Schutz
• Dynamische Rechteänderungen
Skalierbarkeit durch Aggregation:• Gruppen, Rollen, Views, Typen, Domains
Manuel Koch, Freie Universität Berlin 10
ViewsViews
interface Document { view Reading controls Document {void read(out string s); allow readvoid write(in string s); }void append(in string s); view Writing: Reading void correct(in string s); restricted_to Author {
}; allow writeappend
}
Sind “higher-level authorizations” gruppieren Rechte auf Operationen Constraints Beziehung zwischen Views
Manuel Koch, Freie Universität Berlin 11
Object NamingCtx o2:Paper o3:Review o4:T Role
resolve Employee bind read bind_new_ctx.
Secretary resolve append correct list read read
resolve read readTechAuthor list, bind, write
Access Matrix ModelAccess Matrix Model
ResolvingBinding
view Resolving controls NamingContext { allow
resolve;}view Binding : Resolving { allow bind; bind_new_context;}
Manuel Koch, Freie Universität Berlin 12
RollenRollen Verhaltensabstraktion
hierarchische Strukturen, Constraints
roles
Examiner
Head: Examiner // Head is senior to// examiner
President: Head maxcard 1
Lecturer: Examiner
Candidate excludes Examiner
Manuel Koch, Freie Universität Berlin 13
IDL:
interface Paper { Review submitReview( in string text );};
VPL: schema SubmitSchema observes Paper {
submitReview assigns Modifying on result to caller assigns ReviewReading on this to caller removes ReviewSubmitting on this from caller
}
SchemasSchemas
beschreiben dynamische Rechteänderungen
Manuel Koch, Freie Universität Berlin 14
Infrastruktur für VPLInfrastruktur für VPL
Development
• VPL Compiler
Deployment
• Verifier + Repositories
Management
• View/Role/Domain Server und Management Tools
Manuel Koch, Freie Universität Berlin 15
Development and Development and DeploymentDeployment
Development
VPLVPL XMLXMLPrecompiler Verifier
VRVR
RRRR
IRIR
XMLXML
Deployment
Verifier
Policy Descriptor
XMLXML
IRIR
Manuel Koch, Freie Universität Berlin 16
Server
LaufzeitumgebungLaufzeitumgebung
Target Access Decision
request()
Domain Server
DomainDomain
Policy Server
PolicyPolicy
Role Mgmt. Domain Mgmt. Policy Mgmt.
Client Interceptor
Roles
Role Server
Manuel Koch, Freie Universität Berlin 17
Rollen-ManagementRollen-Management
Client
Role Server
1: Rollen-zertifikate?
RRRR
2:Rollen für Benutzer?
3: Rollen
Target Access Decision
Interceptor
Interceptor
4:Rollenzertifikate
5:request()
Server
RZRZ
Manuel Koch, Freie Universität Berlin 18
Anwendungs-domäne 1
Anwendungs-domäne 1
DomänenhierarchienDomänenhierarchien Strukturierung und Generalisierung (Politiken
gemäß Organisationsstruktur, Zuständigkeiten)
Geltungsbereich der Elterndomäne umfasst Mitgliedsobjekte der Kinddomänen
US Branch US Branch EuropeEurope
Hype Inc.
R&DR&D
Anwendungs-domäne 2
Anwendungs-domäne 2
SalesSales
Anwendungs-domäne n
Anwendungs-domäne n. . .
Manuel Koch, Freie Universität Berlin 19
Metapolitiken zur Metapolitiken zur KonfliktauflösungKonfliktauflösung
Konflikte zwischen Politiken für ein Objekt
• Domänen hierarchisch angeordnet bzw. gemeinsame Mitglieder
Auflösung semantikabhängig Metapolitiken spezifisch für Politiktypen
Metapolitiken werden Domänen zugeordnet
Keine Meta-Metapolitiken:
• Ordnung: erste anwendbare Metapolitik gilt (= Metapolitik passenden Typs in der nächsten gemeinsamen Elterndomäne)
Manuel Koch, Freie Universität Berlin 20
Related WorkRelated Work
Views als Gruppierungskonzept• Verteilte Objektsysteme [Hagimont94]
• Zugriffserlaubnisse im Bereich Datenbanken [Baldwin90, Scholl et al. 91]
Ponder• Sicherheits- und Managementpolitiken
• Allgemeiner als VPL
• Keine zugehörige Infrastruktur
Manuel Koch, Freie Universität Berlin 21
Raccoon FallstudienRaccoon Fallstudien
Zugriffsschutz im Krankenhaus
Zugriffsschutz in der Bank