RACCOON Zugriffsschutzmanagement in verteilten Objektsystemen Gerald Brose, Klaus-Peter Löhr Institut für Informatik, Freie Universität Berlin Auftakttreffen DFG-SPP, 6.12.1999, München

Überblick 1. Zugriffsschutz und Zugriffsschutzmanagement 2. Deklarative Politikbeschreibung 3. Anwendungsbeispiel SPP-Treffen 6.12.1999

1. Zugriffsschutz Politik: “welche Zugriffe sind erlaubt, welche verboten?” Regeln für Zugriffsentscheidungen Schutzanforderungen z.T. anwendungsspezifisch Mechanismus: "wie werden unerlaubte Zugriffe verhindert?" Middleware verdeckt Heterogenität Zugriff = Objektzugriff = Objektaufruf SPP-Treffen 6.12.1999

"Zugriffsschutzmanagement" Entwurf der Politik, kontextunabhängig, abstrakt, (statisch durch Entwickler) Anpassung an konkrete Umgebung (initial, bei Installation) Management: Überwachung und Anpassung an Kontextänderungen (dynamisch) fehlerträchtig und sicherheitskritisch! SPP-Treffen 6.12.1999

Projektziele Werkzeugunterstützung für das Zugriffsschutzmanagement Politiksprache mit geeigneten Konzepten für alle drei Phasen rollenbasierte Authentisierung Verwaltung von Objektdomänen Gruppierung von Objekten mit gleicher Politik Teilimplementierung des CORBA Security Service für JacORB SPP-Treffen 6.12.1999

2. Deklarative Politikbeschreibung mit VPL - View Policy Language deklarative Sprache objektorientiertes Schutzmodell Basis für Werkzeuge strukturiert, feinkörnig und skalierbar dynamische Rechteänderungen beschreibbar SPP-Treffen 6.12.1999

Sichten Eine Sicht: enthält Rechte für Operationen eines Objekts ist Exemplar eines Sichttyps für Objektschnittstellen view type Resolver controls NamingContext { allow resolve; list; deny bind; } Sicht = Eintrag in der Zugriffsmatrix Capability? Ja, aber technisch nicht so realisert wg. Entziehbarkeit SPP-Treffen 6.12.1999

Vorteile sprachliche Unterstützung: Objektorientierung: statische Typprüfung Dokumentation und Kommunikation Wiederverwendung Objektorientierung: Abstraktionsgrad Bezug auf Anwendungs- und Systemobjekte SPP-Treffen 6.12.1999

3. Anwendungsbeispiel Unterstützung bei der Begutachtung von Konferenzbeiträgen (à la CyberChair): 1. Autoren reichen Beiträge ein 2. Gutachter reichen Gutachten ein 3. Gutachter lesen fremde Gutachten und ändern gegebenenfalls das eigene SPP-Treffen 6.12.1999

Schnittstellen interface Conference { void callForPapers(); void deadlineReached(); void makeDecision(); void submitPaper(in string paper); void listPapers(out string list); Paper getPaper(in long paper); }; interface Paper { void read(out string text); Review submitReview(in string rev,in long reviewer); void listReviews(out string list); Review getReview(in long reviewer); interface Review { void read(out string text); void update(in string text); SPP-Treffen 6.12.1999

Anwendungsspezifische Schutzpolitik Politikentwurf als Teilproblem des Anwendungsentwurfs Änderungen des Schutzstatus: Einsendeschluß erreicht: Ù keine Papiere mehr einreichen eigenes Gutachten eingereicht: Ù fremde Gutachten lesen, Ù kein weiteres Gutachten einreichen Ù eigenes Gutachten ändern SPP-Treffen 6.12.1999

Schritte beim Politikentwurf 1. Identifikation von Benutzerrollen 2. Definition von Sichttypen für Objektzugriffe (3.) Definition von Schemata für dynamische Rechteänderungen 4. Angabe initialer Berechtigungen SPP-Treffen 6.12.1999

Benutzer und Rollen Benutzer statisch nicht bekannt, aber logische Rollen als Akteure in Use-Case-Modellen identifizierbar roles chair, member, author role assertion author implies not chair role assertion singleton( chair ) Annahme: erweiterte Authentisierung für Rollenmitgliedschaft. Roles einfache Namen Role assertions Prädikate auf Mitgliedschaft SPP-Treffen 6.12.1999

Sichttypen view type Member controls Conference { allow listPapers; getPaper; } view type Member controls Paper { allow read; listReviews; view type Chair: Conference.Member { allow callForPapers; deadlineReached; makeDecision; Member: Auflisten, Zugriff Lesen, Auflisten eingereichter Gutachten Chair: Erweiterung von Conference.Member Wechsel der Bearbeitungphasen SPP-Treffen 6.12.1999

Dynamische Rechteänderungen: Schemata interface Paper { Review submitReview(...); ... }; schema Paper { submitReview grants result.update to caller; grants this.getReview to caller; revokes this.submitReview from caller; Vergabe/Entzug von Berechtigungen: implizit - durch das Schutzsystem Schema als Erweiterung eines Interfaces, nicht auf bestimmte Berechtigungen bezogen grants/revokes als Nachbedingungen/Effekte der Operation für den Schutzstatus. Rechtevergabe durch das Schutzsystem Syntax, reserved names: caller oder Rollenname: calling principal Durch das Typsystem ist garantiert, daß zur Laufzeit keine Widersprüche zwischen Erlaubnissen und Verboten auftreten können, nur auflösbare Konflikte! SPP-Treffen 6.12.1999

Initiale Berechtigungen Optionale Angabe eines “Startzustands” der Zugriffsmatrix initial chair holds Conference.Chair; member,chair holds Paper.Member, Review.read; “Members und Chair halten Berechtigungen: a) vom Typ Member für alle Paper-Objekte b) eines ad-hoc definierten, anonymen Typs mit einer Erlaubnis der Operation read für alle Reviews SPP-Treffen 6.12.1999

Information http://www.inf.fu-berlin.de/inst/ag-ss/raccoon G. Brose: A typed access model for CORBA, submitted for publication, November 1999. G. Brose, K.-P. Löhr: VPL - Sprachunterstützung für den Entwurf von Zugriffsschutzpolitiken, Proc. VIS’99. G. Brose: A view-based access model for CORBA, in: J. Vitek, C. Jensen (Hrsg.): Secure Internet Programming: Security Issues for Mobile and Distributed Objects, Springer LNCS, 1999. G. Karjoth: Authorization in CORBA Security, Proc. ESORICS 1998. SPP-Treffen 6.12.1999