Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

27. Juni 2003 Jan Drewnak – Institut für Geoinformatik, Münster Zugriffskontrolle in Geodateninfrastrukturen Web Authentication Service (WAS) und Web Security.

Ähnliche Präsentationen


Präsentation zum Thema: "27. Juni 2003 Jan Drewnak – Institut für Geoinformatik, Münster Zugriffskontrolle in Geodateninfrastrukturen Web Authentication Service (WAS) und Web Security."—  Präsentation transkript:

1 27. Juni 2003 Jan Drewnak – Institut für Geoinformatik, Münster Zugriffskontrolle in Geodateninfrastrukturen Web Authentication Service (WAS) und Web Security Service (WSS)

2 Jan DrewnakZugriffskontrolle in Geodateninfrastrukturen 2 Agenda Wozu Zugriffskontrolle? Zentrale Konzepte Zugriffskontrolle in der GDI NRW Dienstspezifikationen und -architektur Status Quo Fazit

3 Jan DrewnakZugriffskontrolle in Geodateninfrastrukturen 3 Wo ist das Problem? GDIs wurden u.a. geschaffen, um den Austausch von Geoinformationen über GI-Dienste zu erleichtern. GI-Dienste beschreiben ihre Fähigkeiten GI-Dienste sind über standardisierte Schnittstellen zugreifbar GI-Dienste sind über das Internet zugreifbar Nutzung/Zugriff durch jedermann kommerzielle / vertrauliche Geodaten?

4 Jan DrewnakZugriffskontrolle in Geodateninfrastrukturen 4 Szenario Forsteinrichtungskarte(WMS) Forsteinrichtungsdaten(WFS) Forstamt Umweltbehörde Höhere Forstbehörde GDI

5 Jan DrewnakZugriffskontrolle in Geodateninfrastrukturen 5 Zugriffskontrolle SubjektObjekt Zugriffskontrolle Nutzer Client Dienst... Datei Dienst... 1.Authentifizierung 2.Autorisierung 3.Accounting "Triple A"

6 Jan DrewnakZugriffskontrolle in Geodateninfrastrukturen 6 Zugriffskontrolle 1.Authentifizierung = Feststellen der Identität eines Subjekts Unterschiedliche Authentifizierungsverfahren: Kennung/Passwort, digitale Signatur, Biometrie,... 2.Autorisierung = Festellen der Rechte eines Subjekts gegenüber einem Objekt Voraussetzung: authentifiziertes Subjekt Beispiele: - Welche Layer sind für das Subjekt sichtbar? - Für welche Features besitzt das Subjekt Schreibrechte?

7 Jan DrewnakZugriffskontrolle in Geodateninfrastrukturen 7 Authentifizierung und Autorisierung in der GDI NRW Schwerpunkt des GDI NRW Testbed II (2002) Ziele: Entwickeln von Service-Spezifikationen für ein Authentifizierungs- und Autorisierungssystem (AA-System) Implementieren von Prototypen Harmonisierung mit Web Pricing & Ordering Service (WPOS) Hauptverantwortlich: Fraunhofer ISST, Dortmund Institut für Geoinformatik, Münster Präsentation der Ergebnisse auf der Intergeo 2002 Verabschiedung als offizielle GDI NRW Spezifikationen in 2003

8 Jan DrewnakZugriffskontrolle in Geodateninfrastrukturen 8 Spezifikationen Vorgaben: 1.Orientierung an Basic Services Model des OpenGIS Consortiums 2.Ermöglichen von Single Sign-On Security Assertions Markup Language (SAML) 3.Vorhanden Spezifikationen von GI-Diensten müssen nicht angepasst werden Protokollschachtelung

9 Jan DrewnakZugriffskontrolle in Geodateninfrastrukturen 9 Basic Services Model Framework für internetbasierte GI-Dienste des OpenGIS Consortiums Verwenden des HTTP-Protokolls für Requests und Responses Selbstbeschreibung über GetCapabilities-Schnittstelle

10 Jan DrewnakZugriffskontrolle in Geodateninfrastrukturen 10 Security Assertion Markup Language (SAML) XML-Format zum Austausch von Sicherheitsinformationen Entwickelt vom OASIS Konsortium Assertions: Angaben über ein Subjekt, z.B. - bzgl. stattgefundener Authentifizierungen - bzgl. getroffener Autorisierungsentscheidungen Assertions werden von Authentifizierungs- bzw. Autorisierungskomponenten ausgestellt und von zugriffskontrollierten Diensten ausgewertet

11 Jan DrewnakZugriffskontrolle in Geodateninfrastrukturen 11 Security Assertion Markup Language (SAML) Beispiel: Authentication Assertion (gekürzt)

12 Jan DrewnakZugriffskontrolle in Geodateninfrastrukturen 12 Protokollschachtelung Welche Möglichkeiten gibt es, GI-Dienste um Security-Funktionen zu erweitern?

13 Jan DrewnakZugriffskontrolle in Geodateninfrastrukturen 13 Service Spezifikationen Web Authentication Service (WAS): Authentifizierung von Nutzern und Ausstellen von Tickets Web Security Service (WSS): Prüfen und Weiterleiten von Requests an OGC Web Service (~Gateway) Sessionkonzept Vermeiden wiederholter Übertragung von Sicherheitsinformationen

14 Jan DrewnakZugriffskontrolle in Geodateninfrastrukturen 14 Web Authentication Service (WAS) GetCapabilities GetSession GetSAMLResponse CloseSession Standard Service Description Unterstützte Authentifizierungsverfahren Kennung/Passwort, Zertifikat,... SessionXML (Dauer, SessionID) SessionID, Zielserver Ticket (Identität, Zielserver, Gültigkeit) SessionID SessionXML

15 Jan DrewnakZugriffskontrolle in Geodateninfrastrukturen 15 Web Security Service (WSS) GetCapabilities GetSession DoService CloseSession Standard Service Description Akzeptierte WASs (inkl. Versionen und Authentifizierungsverfahren) Ticket SessionXML (Dauer, SessionID) SessionID, Service Request (z.B. GetMap ) Service Response SessionID SessionXML

16 Jan DrewnakZugriffskontrolle in Geodateninfrastrukturen 16 Szenario Forsteinrichtungskarte(WMS) Forsteinrichtungsdaten(WFS) Forstamt Umweltbehörde Höhere Forstbehörde GDI

17 Jan DrewnakZugriffskontrolle in Geodateninfrastrukturen 17 Beispiel-Architektur Forsteinrichtungskarte(WMS) Forsteinrichtungsdaten(WFS) Forstamt Umweltbehörde Höhere Forstbehörde GDI WSS WSS WAS

18 Jan DrewnakZugriffskontrolle in Geodateninfrastrukturen 18 Status Quo Existierende Implementierungen 2 WAS (passwortbasierte Authentifizierung) 1 WSS 1 WAS/WSS Client Autorisierung implizit im WSS: Authentifizierter Nutzer darf Dienst (vollständig) nutzen Sicherheit des prototypischen AA-Systems Kommunikation per SSL verschlüsselt Keine Signierung des Tickets Keine Verschlüsselung innerhalb der Nutzerdatenbank Keine "low-level" Sicherheitsmechanismen (Firewalls etc.)

19 Jan DrewnakZugriffskontrolle in Geodateninfrastrukturen 19 Fazit & Ausblick Erster Ansatz zur Umsetzung einer Zugriffskontrolle GI-Dienste müssen nicht angepasst werden Sicherheit auf Dienstebene, nicht auf Clientebene Derzeit: Review der Spezifikationen in der GDI NRW "AG Security" Evaluieren realer Sicherheitsanforderungen Nächster (möglicher) Schritt: Erarbeiten eines Autorisierungskonzepts Vielen Dank für Ihre Aufmerksamkeit!

20 Jan DrewnakZugriffskontrolle in Geodateninfrastrukturen 20

21 Jan DrewnakZugriffskontrolle in Geodateninfrastrukturen 21

22 Jan DrewnakZugriffskontrolle in Geodateninfrastrukturen 22

23 Jan DrewnakZugriffskontrolle in Geodateninfrastrukturen 23

24 Jan DrewnakZugriffskontrolle in Geodateninfrastrukturen 24

25 Jan DrewnakZugriffskontrolle in Geodateninfrastrukturen 25

26 Jan DrewnakZugriffskontrolle in Geodateninfrastrukturen 26

27 Jan DrewnakZugriffskontrolle in Geodateninfrastrukturen 27

28 Jan DrewnakZugriffskontrolle in Geodateninfrastrukturen 28 Ende


Herunterladen ppt "27. Juni 2003 Jan Drewnak – Institut für Geoinformatik, Münster Zugriffskontrolle in Geodateninfrastrukturen Web Authentication Service (WAS) und Web Security."

Ähnliche Präsentationen


Google-Anzeigen