Post on 21-Jun-2015
description
Axel Klarmann – Seminar: CWM, Ss 2oo3 1
Anwendungsspezifische Informationssysteme Vorstellung des Themas und Ablauf
Thema:Rollenbasierte Rechteverwaltung für in Chunks gegliederte Dokumente, auf Basis der vererbten Rechte der Chunks, unter Verwendung von XrML, an einem beispielhaftem Szenario.
Ablauf des Vortrages– Vorstellung des Szenarios– DRM — Digital Right Management DRM
(Darstellung der Rechteverwaltung auf Basis von Rollen)– kurze Darstellung von RBAC, sowie MAC, DAC– Aufbau der Rollen und deren Rechte– Vorstellung XrML und Zusammenspiel von Rollen und XrML– Definition von Chunks– Darstellung des Auftretens von Chunks und Darstellung des Bedarfs die Rechteverwaltung von Dokumenten auf die Chunks zu beziehen (Lizenzrecht usw.)– Darstellung der atomisierung der Rechte auf Chunks– Ablauf der Rechtevergabe unter Berücksichtigung der geerbten Constraints
– Abschließende Betrachtung des DRM auf Basis von XrML und dessen Vorteilen/ Schwächen in der Umsetzung
RBAC, XrML
Axel Klarmann – Seminar: CWM, Ss 2oo3 2
Anwendungsspezifische Informationssysteme Vorstellung des Szenarios
Axel Klarmann – Seminar: CWM, Ss 2oo3 3
Anwendungsspezifische Informationssysteme Das Problem
Dieses Szenario ist idealisiert!
Utopie– Basis-Assets (Bilder, Grafiken, Texte) werden innerhalb
des Verlages generiert und der Verlag besitzt sämtliche Rechte zur Veröffentlichung
– der Verlag hat kein Bedürfniss zum Outsourcen– generierte Inhalte, werden nur verlagsintern verarbeitet
(kein Content Syndication)
Realität– Basis-Assets werden mit bestimmten Rechten eingekauft,
Verletzung dieser Rechte führt zu Strafen– Layout, Druckvorbereitung usw. wird mittlerweile an externe, spezialisierte Agenturen abgegeben (Outsourcing)– jeder Verlag hat das Bedürfniss Assets weiter zu verkaufen (z.B. Fotorechte, Artikel Syndication)
Axel Klarmann – Seminar: CWM, Ss 2oo3 4
Anwendungsspezifische Informationssysteme Grundlagen: DRM /1
DRM — Digital Rights Management:
– definiert Anworten auf die Frage: „Wer darf, was, womit und wann mit einem Asset machen“– jedes zugangsgeschützte System implementiert ein solches Management (bspw. RBAC, MAC ...)
Möglichkeiten zur systemübergreifenden Definition von Rechten:
– proprietärer Ansatz– standardisierte Digital Rights Expression Languages:
– XrML — Extensible Right Markup Language– ODRL — Open Digital Rights Language...
Axel Klarmann – Seminar: CWM, Ss 2oo3 5
Anwendungsspezifische Informationssysteme Grundlagen: DRM /2
RBAC – Zugriffskontrollstrategie
bisher:
MAC – mandatory access controlZugriffsschutz auf Basis von Personenbezogenen Rechten (z.B. Zugriff auf strengvertrauliche bzw. vertrauliche Informationen für ein Person; bspw. Militär)
DAC – discretionary access controlZugriffsschutz auf Basis von per Asset vergebenen Rechten (z.B. Dateizugriffsbeschränkung unter Unixsystemen (Owner, Group, All); bspw. gängige Dateisysteme)
Axel Klarmann – Seminar: CWM, Ss 2oo3 6
Anwendungsspezifische Informationssysteme Grundlagen: DRM /3
RBAC – Zugriffskontrollstrategie
RBAC – role based access control
- Zusammenfassung von Personen zu Gruppen und deren Rechte in Form von Rollen
- Zuordnung von Benutzern zu Rollen, s.d. Nutzer sich über Rolle anmelden (bspw. Redakteur, Autor)
- Erlaubt genauere Rechtevergabe nach dem Prinzip„Soviel wie nötig, so wenig wie möglich“ (Least Privilege)
Axel Klarmann – Seminar: CWM, Ss 2oo3 7
Anwendungsspezifische Informationssysteme Identifizierung der Rollen
Grafiker, Fotograf, Autor/Texter– besitzen das Recht Assets einzufügen und zu
editieren (Foto/Grafik DB; Text DB)
Redakteure– besitzen das Recht Assets zu betrachten bzw. zu Pages zu verknüpfen; Page-Assets zu erstellen
Satz&Layout– besitzen das Recht Page-Assets, sowie Grafiken, Fotos, Texte zu
betrachten– erstellen Layout-Assets, für Page-Assets (Gestaltung der Ausgabe für verschiedene Medien)
Chefredakteure– besitzen das Recht Page-, Layout-Assets zu bearbeiten, freizugeben, bzw. im Workflow zurückzusetzen
(wiederholte Bearbeitung durch Redakteur oder Layouter)
Axel Klarmann – Seminar: CWM, Ss 2oo3 8
Anwendungsspezifische Informationssysteme Grundlagen: XrML /1
Was ist XrML?
– Digital Rights Expression Language auf Basis von XML– offener, flexibler und erweiterbarer Standard– definiert kein Digital Rights Management System– unterteilt in 3 Teile (Core, Standard Extensions, Content spezifisch)– basiert auf XML Schema
XrML Datenmodell
Axel Klarmann – Seminar: CWM, Ss 2oo3 9
Anwendungsspezifische Informationssysteme Grundlagen: XrML /2
Die vier Säulen
Principal:– eine bestimmte Gruppe/Person (keine allgemeinen Rechte möglich)– identifiziert durch eindeutige Information zu dieser Gruppe/ Person
▪ identifizierung über PKI (Basis: XML DSIG)
▪ über Angabe von bestimmten Zugangsvorraussetzungen
▪ weitere, eigene Identifikationsmechanismen
Right:– verbale Beschreibung des Rechtes für den Principal– bestimmte Rechte vordefiniert– Erweiterung möglich
Axel Klarmann – Seminar: CWM, Ss 2oo3 10
Anwendungsspezifische Informationssysteme Grundlagen: XrML /3
Die vier Säulen
Resource:– Objekt für das bestimmte Rechte definiert werden– bsp.:
- für digitalen Content über URI bestimmt- für Service über UDDI oder WSDL
Condition:– stellt dar unter welchen Bedingungen ein Recht gewährt wird– direkte Angabe (bspw. Zeitintervall)– indirekte Angabe (bspw. abhängig von anderen Rechten)– Core definiert nur abstrakte und einfache Bedingungen– Extensions definieren Conditions abhängig von Distribution– wenn Bedingung nicht überprüfbar, dann immer nicht erfüllt
Axel Klarmann – Seminar: CWM, Ss 2oo3 11
Anwendungsspezifische Informationssysteme Grundlagen: XrML /4
Aufbau des XrML – Dokuments:
<license> <grant> <keyHolder> <info> <dsig:KeyValue> <dsig:RSAKeyValue> <dsig:Modulus>Fa7wo6NYf...</dsig:Modulus> <dsig:Exponent>AQABAA==</dsig:Exponent> </dsig:RSAKeyValue> </dsig:KeyValue> </info> </keyHolder> <cx:print/> <cx:digitalWork> <cx:locator> <nonSecureIndirect URI="http://..."/> </cx:locator> </cx:digitalWork> <validityInterval> <notAfter>2003-06-23T23:59:59</notAfter> </validityInterval> </grant></license>
PrincipalRightResourceCondition
Axel Klarmann – Seminar: CWM, Ss 2oo3 12
Anwendungsspezifische Informationssysteme Grundlagen: XrML /5
Das Vertrauensmodell:
Axel Klarmann – Seminar: CWM, Ss 2oo3 13
Anwendungsspezifische Informationssysteme Grundlagen: Chunks /1
Was sind Chunks?
eigene Def.: Kleinste, diskrete, wiederverwendbare, mit sinnvollen Rechten versehbare Informationseinheit eines Assets, in einem Content Management System.(diskret in Bedeutung von „in sich geschlossen “ bspw.
Absatz, Zusammenfassung, Kommentar)
Beispiel:▪ Grafiken, Fotos
▪ Kommentare
▪ Absatz, Zusammenfassung, Inhaltsverzeichnis
▪ Seitenbeschreibung
Axel Klarmann – Seminar: CWM, Ss 2oo3 14
Anwendungsspezifische Informationssysteme Grundlagen: Chunks /2
Wo treten die Chunks im Szenario auf?
Axel Klarmann – Seminar: CWM, Ss 2oo3 15
Anwendungsspezifische Informationssysteme Warum DRM auf Chunkbasis /1
Lizenz: weitergabe von Dokument (aus Chunks bestehend) unterliegt den Lizenz-bedingungen der Chunks !(Bsp. Foto, gekauft für Printmedien, Dokument für Internet)
Sicherheit: teilweise müssen Teile von Dokumenten geändert werden, während der Rest unverändert belassen werden muß(Bsp.: Dolmetscherbüro übesetzt Textteile)
Vertraulichkeit: der rollenbasierte Rechtemanagement-ansatz läßt sich auf Chunkebene noch definierter einsetzen(bzw. es wurde festgestellt, das der großteil der Raubkopien von Filmen durch externe Dienstleister erzeugt wurde)
Axel Klarmann – Seminar: CWM, Ss 2oo3 16
Anwendungsspezifische Informationssysteme Warum DRM auf Chunkbasis /2
Möglichkeiten:- einfache Definition von Rollen für externe Dienstleister
- einfache Content Syndication mit sicherer Beachtung der eigenen Rechte
- sicherer Workflow, durch sicheres Handling
- siehe Unterschied fiktiv — real
- einheitliche Verwaltung von internem und externem Content
Axel Klarmann – Seminar: CWM, Ss 2oo3 17
Anwendungsspezifische Informationssysteme Ablauf der Rechtevergabe
Interne Chunks
– Vergabe von Metadaten bzw. der Rechte für den Chunk aufgrund der Rolle des Autors
– Generierung der Lizenzinformation (Issuer = Firma)
Externe Chunks
– Generierung einer Rolle für die Quelle des externen Chunk
– Test der gelieferten XrML Daten und übernahme Lizenzinformation und Content
Dokumente/ Content Syndication
– Zusammestellung der einzelnen Chunks zu Dokumenten und dazugehöriger Lizenz => Packager
– Export von Chunk durchläuft nur den Packager
Axel Klarmann – Seminar: CWM, Ss 2oo3 18
Anwendungsspezifische Informationssysteme Vorteile
– automatische Wahrung sämtlicher Rechte/Lizenzen der Chunks mittels DRM-System
– Unternehmensübergreifende Rechtedefinition ermöglicht einfachere und schnellere Kooperation von Unternehmen
– ganz neue Geschäftsmodelle können entstehen durch extrem offene Architektur der Unternehmen
= Sicherheit, im gesamten Workflow
Axel Klarmann – Seminar: CWM, Ss 2oo3 19
Anwendungsspezifische Informationssysteme Nachteile
- Nicht unerheblicher Verwaltungsaufwand/ Datenmenge für XML Daten
- Problem der Addressierung der Chunks für Dokumente nicht gelöst (Schnittstelle: XrML<=>Chunk)
- Aufwand für Rollendefinition der externen Dienstleister
- Im Moment keine Umsetzung aufgrund marginaler Verbreitung von DRM-Systemen möglich
- Vertrauen in solch ein System ist nicht gegeben
Axel Klarmann – Seminar: CWM, Ss 2oo3 20
Anwendungsspezifische Informationssysteme Fazit
Was wurde dargestellt:
– DRM und DRM-Strategien, im speziellen RBAC– DREL und Vorstellung eines Anwärters (XrML) auf den Standard-Thron– Chunks und deren Möglichkeit die Basis für ein CWS zu sein
Was wurde vorgestellt:
Möglichkeit DREL-CWS-Chunks zusammenzubringen, um eine äußerst offene, sichere Struktur von informationsbasierten Unternehmen aufzubauen.
Dieses Modell kann nur Idee sein.
Axel Klarmann – Seminar: CWM, Ss 2oo3 21
Anwendungsspezifische Informationssysteme Literatur /1
Zugriffskontrollmechanismen/ Content Management und Workflow
Role-Based Access Control, Kurzübersicht/ 17.Juni.2003kbs.cs.tu-berlin.de/teaching/sose2002/access/RBAC.pdf
MAC&DAC Brief / 17.Juni.2003http://www.garrison.com/html/docmacdac.html
Zugriffseinschränkung für Root/ 17.Juni.2003http://pvs.iwr.uni-heidelberg.de/Teaching/SKLU-0203/pansef.pdf
Rollenbasierende Zugangskontrolle/ 17.Juni.2003http://www.networkcomputing.de/heft/solutions/sl-2002/sl_0702_24.htm AN INTRODUCTION TO ROLE-BASED ACCESS CONTROL/ 17.Juni.2003www.npowerny.org/rbac+intro.pdf Integrating Content Management with Digital Rights Management/ 17.Juni.2003http://www.xrml.org/reference/CM-DRMwhitepaper.pdf Der Content Management Kernprozess/ 17.Juni.2003http://www.contentmanager.de/magazin/artikel_61_der_content_management_kernprozess.html
Da tut sich etwas innerhalb eines CMS... – Workflows (1-3) / 17.Juni.2003http://www.contentmanager.de/magazin/artikel_54_da_tut_sich_etwas_innerhalb_eines_cms_-.html
Axel Klarmann – Seminar: CWM, Ss 2oo3 22
Anwendungsspezifische Informationssysteme Literatur /2
Digital Rights Expression Language
Übersicht und Vergleich/ 17.Juni.2003
ltsc.ieee.org/meeting/200212/doc/DREL_White_paper.doc
XrML – Extensible Rights Markup Language/ 17.Juni.2003
www.xrml.org
ODRL – Open Digital Rights Language/ 17.Juni.2003
www.odrl.net
Information Chunks
"Chunking" information/ 17.Juni.2003http://www.webstyleguide.com/site/chunk.html
Content as Services/ 17.Juni.2003
http://www.zapthink.com/flashes/01232003Flash.html
ALL ABOUT LEARNING OBJECTS/ 17.Juni.2003
http://www.eduworks.com/LOTT/tutorial/learningobjects.html
Axel Klarmann – Seminar: CWM, Ss 2oo3 23
Anwendungsspezifische Informationssysteme Literatur /3
XML spezifisch
XML DSig/ 18.Juni.2003
http://www.w3.org/Signature/#primers
XML Schema/ 18. Juni 2003
http://www.w3.org/XML/Schema