Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

27. Juni 2003 Jan Drewnak – Institut für Geoinformatik, Münster Zugriffskontrolle in Geodateninfrastrukturen Web Authentication Service (WAS) und Web Security.

Veröffentlicht von:Siegbert Genter Geändert vor über 10 Jahren

Ähnliche Präsentationen

Präsentation zum Thema: "27. Juni 2003 Jan Drewnak – Institut für Geoinformatik, Münster Zugriffskontrolle in Geodateninfrastrukturen Web Authentication Service (WAS) und Web Security."—  Präsentation transkript:

1 27. Juni 2003 Jan Drewnak – Institut für Geoinformatik, Münster Zugriffskontrolle in Geodateninfrastrukturen Web Authentication Service (WAS) und Web Security Service (WSS)

2 Jan DrewnakZugriffskontrolle in Geodateninfrastrukturen 2 Agenda Wozu Zugriffskontrolle? Zentrale Konzepte Zugriffskontrolle in der GDI NRW Dienstspezifikationen und -architektur Status Quo Fazit

3 Jan DrewnakZugriffskontrolle in Geodateninfrastrukturen 3 Wo ist das Problem? GDIs wurden u.a. geschaffen, um den Austausch von Geoinformationen über GI-Dienste zu erleichtern. GI-Dienste beschreiben ihre Fähigkeiten GI-Dienste sind über standardisierte Schnittstellen zugreifbar GI-Dienste sind über das Internet zugreifbar Nutzung/Zugriff durch jedermann kommerzielle / vertrauliche Geodaten?

4 Jan DrewnakZugriffskontrolle in Geodateninfrastrukturen 4 Szenario Forsteinrichtungskarte(WMS) Forsteinrichtungsdaten(WFS) Forstamt Umweltbehörde Höhere Forstbehörde GDI

5 Jan DrewnakZugriffskontrolle in Geodateninfrastrukturen 5 Zugriffskontrolle SubjektObjekt Zugriffskontrolle Nutzer Client Dienst... Datei Dienst... 1.Authentifizierung 2.Autorisierung 3.Accounting "Triple A"

6 Jan DrewnakZugriffskontrolle in Geodateninfrastrukturen 6 Zugriffskontrolle 1.Authentifizierung = Feststellen der Identität eines Subjekts Unterschiedliche Authentifizierungsverfahren: Kennung/Passwort, digitale Signatur, Biometrie,... 2.Autorisierung = Festellen der Rechte eines Subjekts gegenüber einem Objekt Voraussetzung: authentifiziertes Subjekt Beispiele: - Welche Layer sind für das Subjekt sichtbar? - Für welche Features besitzt das Subjekt Schreibrechte?

7 Jan DrewnakZugriffskontrolle in Geodateninfrastrukturen 7 Authentifizierung und Autorisierung in der GDI NRW Schwerpunkt des GDI NRW Testbed II (2002) Ziele: Entwickeln von Service-Spezifikationen für ein Authentifizierungs- und Autorisierungssystem (AA-System) Implementieren von Prototypen Harmonisierung mit Web Pricing & Ordering Service (WPOS) Hauptverantwortlich: Fraunhofer ISST, Dortmund Institut für Geoinformatik, Münster Präsentation der Ergebnisse auf der Intergeo 2002 Verabschiedung als offizielle GDI NRW Spezifikationen in 2003

8 Jan DrewnakZugriffskontrolle in Geodateninfrastrukturen 8 Spezifikationen Vorgaben: 1.Orientierung an Basic Services Model des OpenGIS Consortiums 2.Ermöglichen von Single Sign-On Security Assertions Markup Language (SAML) 3.Vorhanden Spezifikationen von GI-Diensten müssen nicht angepasst werden Protokollschachtelung

9 Jan DrewnakZugriffskontrolle in Geodateninfrastrukturen 9 Basic Services Model Framework für internetbasierte GI-Dienste des OpenGIS Consortiums Verwenden des HTTP-Protokolls für Requests und Responses Selbstbeschreibung über GetCapabilities-Schnittstelle

10 Jan DrewnakZugriffskontrolle in Geodateninfrastrukturen 10 Security Assertion Markup Language (SAML) XML-Format zum Austausch von Sicherheitsinformationen Entwickelt vom OASIS Konsortium Assertions: Angaben über ein Subjekt, z.B. - bzgl. stattgefundener Authentifizierungen - bzgl. getroffener Autorisierungsentscheidungen Assertions werden von Authentifizierungs- bzw. Autorisierungskomponenten ausgestellt...... und von zugriffskontrollierten Diensten ausgewertet

11 Jan DrewnakZugriffskontrolle in Geodateninfrastrukturen 11 Security Assertion Markup Language (SAML) Beispiel: Authentication Assertion (gekürzt)

12 Jan DrewnakZugriffskontrolle in Geodateninfrastrukturen 12 Protokollschachtelung Welche Möglichkeiten gibt es, GI-Dienste um Security-Funktionen zu erweitern?

13 Jan DrewnakZugriffskontrolle in Geodateninfrastrukturen 13 Service Spezifikationen Web Authentication Service (WAS): Authentifizierung von Nutzern und Ausstellen von Tickets Web Security Service (WSS): Prüfen und Weiterleiten von Requests an OGC Web Service (~Gateway) Sessionkonzept Vermeiden wiederholter Übertragung von Sicherheitsinformationen

14 Jan DrewnakZugriffskontrolle in Geodateninfrastrukturen 14 Web Authentication Service (WAS) GetCapabilities GetSession GetSAMLResponse CloseSession Standard Service Description Unterstützte Authentifizierungsverfahren Kennung/Passwort, Zertifikat,... SessionXML (Dauer, SessionID) SessionID, Zielserver Ticket (Identität, Zielserver, Gültigkeit) SessionID SessionXML

15 Jan DrewnakZugriffskontrolle in Geodateninfrastrukturen 15 Web Security Service (WSS) GetCapabilities GetSession DoService CloseSession Standard Service Description Akzeptierte WASs (inkl. Versionen und Authentifizierungsverfahren) Ticket SessionXML (Dauer, SessionID) SessionID, Service Request (z.B. GetMap ) Service Response SessionID SessionXML

16 Jan DrewnakZugriffskontrolle in Geodateninfrastrukturen 16 Szenario Forsteinrichtungskarte(WMS) Forsteinrichtungsdaten(WFS) Forstamt Umweltbehörde Höhere Forstbehörde GDI

17 Jan DrewnakZugriffskontrolle in Geodateninfrastrukturen 17 Beispiel-Architektur Forsteinrichtungskarte(WMS) Forsteinrichtungsdaten(WFS) Forstamt Umweltbehörde Höhere Forstbehörde GDI WSS WSS WAS

18 Jan DrewnakZugriffskontrolle in Geodateninfrastrukturen 18 Status Quo Existierende Implementierungen 2 WAS (passwortbasierte Authentifizierung) 1 WSS 1 WAS/WSS Client Autorisierung implizit im WSS: Authentifizierter Nutzer darf Dienst (vollständig) nutzen Sicherheit des prototypischen AA-Systems Kommunikation per SSL verschlüsselt Keine Signierung des Tickets Keine Verschlüsselung innerhalb der Nutzerdatenbank Keine "low-level" Sicherheitsmechanismen (Firewalls etc.)

19 Jan DrewnakZugriffskontrolle in Geodateninfrastrukturen 19 Fazit & Ausblick Erster Ansatz zur Umsetzung einer Zugriffskontrolle GI-Dienste müssen nicht angepasst werden Sicherheit auf Dienstebene, nicht auf Clientebene Derzeit: Review der Spezifikationen in der GDI NRW "AG Security" Evaluieren realer Sicherheitsanforderungen Nächster (möglicher) Schritt: Erarbeiten eines Autorisierungskonzepts Vielen Dank für Ihre Aufmerksamkeit!

20 Jan DrewnakZugriffskontrolle in Geodateninfrastrukturen 20

21 Jan DrewnakZugriffskontrolle in Geodateninfrastrukturen 21

22 Jan DrewnakZugriffskontrolle in Geodateninfrastrukturen 22

23 Jan DrewnakZugriffskontrolle in Geodateninfrastrukturen 23

24 Jan DrewnakZugriffskontrolle in Geodateninfrastrukturen 24

25 Jan DrewnakZugriffskontrolle in Geodateninfrastrukturen 25

26 Jan DrewnakZugriffskontrolle in Geodateninfrastrukturen 26

27 Jan DrewnakZugriffskontrolle in Geodateninfrastrukturen 27

28 Jan DrewnakZugriffskontrolle in Geodateninfrastrukturen 28 Ende

Herunterladen ppt "27. Juni 2003 Jan Drewnak – Institut für Geoinformatik, Münster Zugriffskontrolle in Geodateninfrastrukturen Web Authentication Service (WAS) und Web Security."

Ähnliche Präsentationen

Software Architektur Service­orientierte Architektur und Sicherheit

Software Architektur Service­orientierte Architektur und Sicherheit
Was gibt´s neues im Bereich Sicherheit

Was gibt´s neues im Bereich Sicherheit
Basis-Architekturen für Web-Anwendungen

Basis-Architekturen für Web-Anwendungen
Geodaten im Internet ( II )

Geodaten im Internet ( II )
1 Allgemeine Fragestellung Suche nach wissenschaftlicher Information im Internet Quelle wird gefunden, aber… …Zugang nur gegen Passwort oder Zahlung Wiss.

1 Allgemeine Fragestellung Suche nach wissenschaftlicher Information im Internet Quelle wird gefunden, aber… …Zugang nur gegen Passwort oder Zahlung Wiss.
Bernd Oberknapp, UB Freiburg

Bernd Oberknapp, UB Freiburg
Authentifizierung, Autorisierung und Rechteverwaltung Einsatz und Funktion des Rechteservers 2. Shibboleth-Workshop Freiburg, 23. März 2006 Gerald Schupfner,

Authentifizierung, Autorisierung und Rechteverwaltung Einsatz und Funktion des Rechteservers 2. Shibboleth-Workshop Freiburg, 23. März 2006 Gerald Schupfner,
Einführung in den Identity Provider

Einführung in den Identity Provider
Datenbankzugriff im WWW (Kommerzielle Systeme)

Datenbankzugriff im WWW (Kommerzielle Systeme)
Erweiterung B2B Usermanagement / LDAP-Anbindung

Erweiterung B2B Usermanagement / LDAP-Anbindung
Sicherheit und Personalisierung Internet Portal der Universität München.

Sicherheit und Personalisierung Internet Portal der Universität München.
Stefanie Selzer - Pascal Busch - Michael Kropiwoda

Stefanie Selzer - Pascal Busch - Michael Kropiwoda
IMS Universität Stuttgart 1 Einführung in XML Hannah Kermes HS: Elektronische Wörterbücher Do, 18.11.2004.

IMS Universität Stuttgart 1 Einführung in XML Hannah Kermes HS: Elektronische Wörterbücher Do,
Web 3.0 – Programmierung – Semantic Web / CIDOC CRM

Web 3.0 – Programmierung – Semantic Web / CIDOC CRM
GDI NRW Testbed 1 Überblick

GDI NRW Testbed 1 Überblick
Einführungssitzung 21.10.2002Architekturen interoperabler Systeme für raumzeitliche Prozesse Einführungssitzung 21.10.2002 Lars Bernard, Udo Einspanier,

Einführungssitzung Architekturen interoperabler Systeme für raumzeitliche Prozesse Einführungssitzung Lars Bernard, Udo Einspanier,
Information und Technik Nordrhein-Westfalen Single Sign On mit CAS Düsseldorf, 30.10.2009 1 Single Sign On für Webanwendungen am Beispiel von CAS.

Information und Technik Nordrhein-Westfalen Single Sign On mit CAS Düsseldorf, Single Sign On für Webanwendungen am Beispiel von CAS.
Universität Heidelberg Rechenzentrum Hartmuth Heldt Sicherheitskonzept - Netzwerk 1.

Universität Heidelberg Rechenzentrum Hartmuth Heldt Sicherheitskonzept - Netzwerk 1.
Inhalte und Maßnahmen eingegeben haben,

Inhalte und Maßnahmen eingegeben haben,
Grundschutztools 23.02.2003.

Grundschutztools

Ähnliche Präsentationen

Google-Anzeigen