Objektorientierter Zugriffsschutz in R ACCOON Manuel Koch FU Berlin.

Slides:

Advertisements

Ähnliche Präsentationen

Alexander Stuber & Partner

Advertisements

Cadastre for the 21st Century – The German Way

Service Oriented Architectures for Remote Instrumentation

Vernetzung von Repositorien : DRIVER Guidelines Dr Dale Peters, SUB Goettingen 4. Helmholtz Open Access Workshop Potsdam, 17 Juni 2008.

Finding the Pattern You Need: The Design Pattern Intent Ontology

Dynamische WEB-Applikationen

Automated IT Change Planning

H - A - M - L - E - IC T Teachers Acting Patterns while Teaching with New Media in the Subjects German, Mathematics and Computer Science Prof. S. Blömeke,

Management von Security Policies in CORBA

RACCOON Zugriffsschutzmanagement in verteilten Objektsystemen

Objektorientierter Zugriffsschutz in RACCOON

A CORBA Domain Management Service

Dominic Ziegler 12c Webprogrammierung.

DEUTSCHE INITIATIVE FÜR NETZWERKINFORMATION E.V. DINI Zertifikat 2007 Frank Scholze Universitätsbibliothek Stuttgart Erfahrungsaustausch DINI-zertifizierter.

Entwicklung und Einsatz von Smart Client-Anwendungen Jens Häupel Developer Evangelist Microsoft Deutschland GmbH Dirk Primbs.

Nano-World The interdisciplinary Virtual Laboratory on Nanoscience Ein Projekt des Virtuellen Campus T. Gyalog, M. Guggisberg, R. Schneider, Ch. Freiburghaus,

Fakultät für informatik informatik 12 technische universität dortmund Specifications Peter Marwedel TU Dortmund, Informatik 12 Graphics: © Alexandra Nolte,

Telling Time in German Deutsch 1 Part 1 Time in German There are two ways to tell time in German. There are two ways to tell time in German. Standard.

ATHOS Benutzertreffen 2007

Regional Support in the context of LCG/EGEE

Welcome DTD. Document Type Definition Graphic Services/Everything you already know about presentations Was ist eine DTD? DTD ist eine Schemasprache.

Installation des Add-In SOLVERSTAT

Desktop All Users \ Dokumente \ Eigene Bilder \ Beispielbilder Lokale Einstellungen \ Anwendung- sdaten \ Identities \ {B2E3E498-D8E7- 4EC FA }

Seite 1/21 Marcel Hoffmann 17. Mai 2001 Verteilte Kognitionen – Distributed Cognitions Systeme verteilter Kognitionen Schiffsnavigation,

Proxy Pattern Vorlesung Design Patterns Sieglinde Heinrich

Introduction to BOS Supplier Guidelines v6

Munz – IT/TG - Lörrach. Goals of this intensive lecture To learn: To learn: –What does it means programming in Java ? –What is JAVA good/bad for ? –Which.

SOMA Service-Oriented Mobile learning Architecture.

Was umfaßt die CORBA Core Spezifikation? Welche zusätzlichen Komponenten muß ein ORB Produkt beinhalten? Core: CORBA Objekt Modell CORBA Architektur OMG.

Microsoft Office Forms Server

Laurie Clarcq The purpose of language, used in communication, is to create a picture in the mind and/or the heart of another.

Sicherheitsmodelle Informationsfluss

Stellen Sie sich vor: .....kurz vor der Einführung, ein neues Produktes / eine neue Software.....

Institut AIFB, Universität Karlsruhe (TH) Forschungsuniversität gegründet 1825 Towards Automatic Composition of Processes based on Semantic.

| DC-IAP/SVC3 | © Bosch Rexroth Pneumatics GmbH This document, as well as the data, specifications and other information set forth in.

Centre for Public Administration Research E-Government for European Cities Thomas Prorok

BAS5SE | Fachhochschule Hagenberg | Daniel Khan | S SPR5 MVC Plugin Development SPR6P.

Projekt Alcatraz Java RMI / Spread - Gruppe A4.

© All rights reserved. Zend Technologies, Inc. Jan Burkl System Engineer, Zend Technologies Zend Server im Cluster.

| Basel Von der SharePoint Taskliste zum gemanagten Project in Project Server Luca Argentiero Solution Specialist Microsoft

The free XML Editor for Windows COOKTOP Semistrukturierte Daten 1 Vortrag Semistrukturierte Daten 1 COOKTOP The free XML-Editor for Windows

Frank Fischer + Bernhard Frank Microsoft Deutschland GmbH.

3/28/2017 8:11 PM Visual Studio Tools für Office { Rapid Application Development für Office } Jens Häupel Platform Strategy Manager Microsoft Deutschland.

You need to use your mouse to see this presentation.

You need to use your mouse to see this presentation.

Parallel Programming Thread Synchronization. Heute 1. Lösung zu Assignment 2 2. Erstellen und Starten von Threads in Java 3. Das synchronized Schlüsselwort.

Kap 4-1OHO Kap. 4.2 Das Orbix CORBA-System Kurzer überblick zu der CORBA-Implementierung Orbix Unser Fahrplan: IDL Verwendungsbeispiel Zoom-In: CORBA.

XML IV: Cocoon 2.

Template v5 October 12, Copyright © Infor. All Rights Reserved.

What is it? Why use it? the Accusative What does it sound like?

Einführung Bild und Erkenntnis Einige Probleme Fazit Eberhard Karls Universität Tübingen Philosophische Fakultät Institut für Medienwissenschaft Epistemic.

Ein Projekt des Technischen Jugendfreizeit- und Bildungsvereins (tjfbv) e.V. kommunizieren.de Blended Learning for people with disabilities.

Office Business Anwendungen mit SharePoint 2010 Fabian Moritz SharePoint MVP.

Digital Dashboard Toolkit 2001 SharePoint Portal Server released targeting portal market SharePoint Team Services (STS) released as free add-

3rd Review, Vienna, 16th of April 1999 SIT-MOON ESPRIT Project Nr Siemens AG Österreich Robotiker Technische Universität Wien Politecnico di Milano.

3rd Review, Vienna, 16th of April 1999 SIT-MOON ESPRIT Project Nr Siemens AG Österreich Robotiker Technische Universität Wien Politecnico di Milano.

Ciiema CITEM - Dr. Siegl VU Dr. Manfred Siegl ENTWURF, ERRICHTUNG, BETRIEB VON DATENNETZEN VU Dr. Manfred Siegl

KIT – die Kooperation von Forschungszentrum Karlsruhe GmbH und Universität Karlsruhe (TH) Vorlesung Knowledge Discovery - Institut AIFB Tempus fugit Towards.

1 1 Panda Managed Office Protection Switch from Antivirus to Security as a Service Sales training presentation.

Launch ON Global.vi System ID object name classname Services to suscribe Observer Control Ref vi-path Service name Step 1 : Objects register to the Global.vi´s,

1 Stevens Direct Scaling Methods and the Uniqueness Problem: Empirical Evaluation of an Axiom fundamental to Interval Scale Level.

Anmerkungen: Schriftgröße Überschriften immer einheiltich 32. Text bei HR Check Up Präsentation 33, bei Akademie 44. Textfarbe unterschiedliche Blautöne.

Technische Universität München 1 CADUI' June FUNDP Namur G B I The FUSE-System: an Integrated User Interface Design Environment Frank Lonczewski.

Instrumente und Unterhaltung End of Unit Assessment.

Structure of architecture documentation

Institut für Nachrichtentechnik U. Reimers Technische Universität Braunschweig The MultiMedia Home Platform (MHP): Hype or Reality ?

An Approach to standardize a Service Life Cycle Management

Ralf M. Schnell Technical Evangelist Microsoft Deutschland GmbH

Objektorientierter Zugriffsschutz in R ACCOON : Zusammenfassung und Ausblick Gerald Brose, Nicolas Noffke, Klaus-Peter Löhr Institut für Informatik Freie.

Metadata - Catalogues and Digitised works

Präsentation transkript:

Objektorientierter Zugriffsschutz in R ACCOON Manuel Koch FU Berlin

Gliederung Problem Zugriffsschutz Corba Standard-Zugriffschutzmodell View-Based Access Control Raccoon Infrastruktur

The worst problem with access control policy, especially in object systems, is that there's so much of it. [Blakley2000] Sicherheitsproblem Management Almost all security failures are in fact due to implementation and management errors. [Anderson1994] Erhöhte Handhabbarkeit führt direkt zu mehr Sicherheit!

Wo liegen die Probleme? Ursprünge von Komplexität: Heterogenität Größenordnung Verteilung auch bei Entwicklung und Management (Zugriffsschutz-) Modelle, Tools Definiere Abstraktionen [...] we all know that unmastered complexity is at the root of the Misery. [Dijkstra2001]

Manuel Koch, Freie Universität Berlin 5 CORBA Standard Zugriffschutzmodell Rechte-Familien s (set), g (get), u (use), m (manage) Kombinierbar (konjunktiv, disjunktiv) Neue Rechte können definiert werden Rechte bzgl. einzelner Operationen Required und Effective Rights Required: Zuordnung der generischen Rechte zu Operationen Effective: Zuordnung von Rechten zu Rollen, Gruppen,...

Manuel Koch, Freie Universität Berlin 6 Beispiel name service: interface NamingContext –resolve a name –list bindings –bind a name –bind a subcontext –unbind names, destroy contexts

Manuel Koch, Freie Universität Berlin 7 Effective vs. Required Rights

Manuel Koch, Freie Universität Berlin 8 Nachteile Beschränkte Rechtemenge, low- level(Object rwx) Alle Objekte eines Typs werden gleich behandelt Keine dynamischen Rechteänderungen Keine Verbote Politiksemantik geht leicht verloren

View-based Access Control View Policy Language Deklarative Politiksprache (VPL) Wiederverwendung, Dokumentation, Kommunikation Fixes Objektmodell (CORBA-IDL) erlaubt statische Konsistenzprüfung Feinkörniger Schutz Dynamische Rechteänderungen Skalierbarkeit durch Aggregation: Gruppen, Rollen, Views, Typen, Domains

Manuel Koch, Freie Universität Berlin 10 Views interface Document { view Reading controls Document { void read(out string s); allow read void write(in string s); } void append(in string s); view Writing: Reader void correct(in string s); restricted_to Author { }; allow write append } Sind higher-level authorizations gruppieren Rechte auf Operationen Constraints Beziehung zwischen Views

Manuel Koch, Freie Universität Berlin 11 Object n:NamingCtx o2:Paper o3:Review o4:T Role resolve Employee bind read bind_new_ctx. Secretary resolve append correct list read read resolve read read TechAuthor list, bind, write Access Matrix Model Resolving Binding view Resolving controls NamingContext { allow resolve; } view Binding : Resolving { allow bind; bind_new_context; }

Manuel Koch, Freie Universität Berlin 12 Rollen Verhaltensabstraktion hierarchische Strukturen, Constraints roles Examiner Head: Examiner // Head is senior to // examiner President: Head maxcard 1 Lecturer: Examiner Candidate excludes Examiner

Manuel Koch, Freie Universität Berlin 13 IDL: interface Paper { Review submitReview( in string text ); }; VPL: schema SubmitSchema observes Paper { submitReview assigns Modifying to caller assigns ReviewReading on this to caller removes ReviewSubmitting on this from caller } Schemas beschreiben dynamische Rechteänderungen

Manuel Koch, Freie Universität Berlin 14 Infrastruktur für VPL Development VPL Compiler Deployment Verifier + Repositories Management View/Role/Domain Server und Management Tools

Manuel Koch, Freie Universität Berlin 15 Development and Deployment Development VPL XML PrecompilerVerifier VR RR IR XML Deployment Verifier Policy Descriptor XML IR

Manuel Koch, Freie Universität Berlin 16 Server Laufzeitumgebung Target request() Client

Manuel Koch, Freie Universität Berlin 17 Server Laufzeitumgebung Target Access Decision request() Domain Server Domain Policy Server Policy Role Mgmt. Domain Mgmt.Policy Mgmt. Client Interceptor Roles Role Server

Manuel Koch, Freie Universität Berlin 18 Anwendungs- domäne 1 Anwendungs- domäne 1Domänenhierarchien Strukturierung und Generalisierung (Politiken gemäß Organisationsstruktur, Zuständigkeiten) Geltungsbereich der Elterndomäne umfasst Mitgliedsobjekte der Kinddomänen US Branch Europe Hype Inc. R&D Anwendungs- domäne 2 Anwendungs- domäne 2 Sales Anwendungs- domäne n Anwendungs- domäne n...

Manuel Koch, Freie Universität Berlin 19 Metapolitiken zur Konfliktauflösung Konflikte zwischen Politiken für ein Objekt Domänen hierarchisch angeordnet bzw. gemeinsame Mitglieder Auflösung semantikabhängig Metapolitiken spezifisch für Politiktypen Metapolitiken werden Domänen zugeordnet Keine Meta-Metapolitiken: Ordnung: erste anwendbare Metapolitik gilt (= Metapolitik passenden Typs in der nächsten gemeinsamen Elterndomäne)

Manuel Koch, Freie Universität Berlin 20 Role Management Client Role Server 1: Rollen- zertifikate? RR 2:Rollen für Benutzer? 3: Rollen Target Access Decision Interceptor 4:Rollenzertifikate 5:request() Server RZ Principal- Authentic ator

Manuel Koch, Freie Universität Berlin 21 Wens interessiert... Studentische Hilfskraft Aufgaben CORBA-Applikation Medizin Firewall Intrusion detection WebServices