27. Juni 2003 Jan Drewnak – Institut für Geoinformatik, Münster Zugriffskontrolle in...
-
Upload
siegbert-genter -
Category
Documents
-
view
107 -
download
0
Transcript of 27. Juni 2003 Jan Drewnak – Institut für Geoinformatik, Münster Zugriffskontrolle in...
•
27. Juni 2003 Jan Drewnak – Institut für Geoinformatik, Münster
Zugriffskontrolle in Geodateninfrastrukturen
Web Authentication Service (WAS) undWeb Security Service (WSS)
Jan Drewnak Zugriffskontrolle in Geodateninfrastrukturen 2
Agenda
Wozu Zugriffskontrolle?
Zentrale Konzepte
Zugriffskontrolle in der GDI NRW
Dienstspezifikationen und -architektur
Status Quo
Fazit
Jan Drewnak Zugriffskontrolle in Geodateninfrastrukturen 3
Wo ist das Problem?
GDIs wurden u.a. geschaffen, um den Austausch von Geoinformationen über GI-Dienste zu erleichtern.
GI-Dienste beschreiben ihre Fähigkeiten
GI-Dienste sind über standardisierte Schnittstellen zugreifbar
GI-Dienste sind über das Internet zugreifbar
Nutzung/Zugriff durch jedermann
kommerzielle / vertrauliche Geodaten?
Jan Drewnak Zugriffskontrolle in Geodateninfrastrukturen 4
Szenario
ForsteinrichtungskarteForsteinrichtungskarte(WMS)(WMS)
ForsteinrichtungsdatenForsteinrichtungsdaten(WFS)(WFS)
ForstamtForstamt UmweltbehördeUmweltbehörde
Höhere ForstbehördeHöhere Forstbehörde
GDI
Jan Drewnak Zugriffskontrolle in Geodateninfrastrukturen 5
Zugriffskontrolle
SubjektSubjekt ObjektObjekt
ZugriffskontrolleZugriffskontrolle
• Nutzer• Client• Dienst• ...
• Datei• Dienst• ...
1. Authentifizierung2. Autorisierung3. Accounting
"Triple A"
Jan Drewnak Zugriffskontrolle in Geodateninfrastrukturen 6
Zugriffskontrolle
1. Authentifizierung= Feststellen der Identität eines Subjekts
Unterschiedliche Authentifizierungsverfahren:Kennung/Passwort, digitale Signatur, Biometrie, ...
2. Autorisierung= Festellen der Rechte eines Subjekts gegenüber einem Objekt
Voraussetzung: authentifiziertes Subjekt
Beispiele:
- Welche Layer sind für das Subjekt sichtbar?
- Für welche Features besitzt das Subjekt Schreibrechte?
Jan Drewnak Zugriffskontrolle in Geodateninfrastrukturen 7
Authentifizierung und Autorisierung in der GDI NRW
Schwerpunkt des GDI NRW Testbed II (2002)
Ziele: Entwickeln von Service-Spezifikationen für ein
Authentifizierungs- und Autorisierungssystem (AA-System)
Implementieren von Prototypen
Harmonisierung mit Web Pricing & Ordering Service (WPOS)
Hauptverantwortlich: Fraunhofer ISST, Dortmund
Institut für Geoinformatik, Münster
Präsentation der Ergebnisse auf der Intergeo 2002
Verabschiedung als offizielle GDI NRW Spezifikationen in 2003
Jan Drewnak Zugriffskontrolle in Geodateninfrastrukturen 8
Spezifikationen
Vorgaben:
1. Orientierung an Basic Services Model des OpenGIS Consortiums
2. Ermöglichen von Single Sign-On Security Assertions Markup Language (SAML)
3. Vorhanden Spezifikationen von GI-Diensten müssen nicht angepasst werden Protokollschachtelung
Jan Drewnak Zugriffskontrolle in Geodateninfrastrukturen 9
Basic Services Model
Framework für internetbasierte GI-Dienste des OpenGIS Consortiums
Verwenden des HTTP-Protokolls für Requests und Responses
Selbstbeschreibung über GetCapabilities-Schnittstelle
Jan Drewnak Zugriffskontrolle in Geodateninfrastrukturen 10
Security Assertion Markup Language (SAML)
XML-Format zum Austausch von Sicherheitsinformationen
Entwickelt vom OASIS Konsortium
Assertions:
Angaben über ein Subjekt, z.B.
- bzgl. stattgefundener Authentifizierungen
- bzgl. getroffener Autorisierungsentscheidungen
Assertions werden von Authentifizierungs- bzw. Autorisierungskomponenten ausgestellt...
... und von zugriffskontrollierten Diensten ausgewertet
Jan Drewnak Zugriffskontrolle in Geodateninfrastrukturen 11
Security Assertion Markup Language (SAML)
Beispiel: Authentication Assertion (gekürzt)
<saml:Assertion
MajorVersion="1" MinorVersion="0"
AssertionID="123.45.678.90.12345678"
Issuer="Institute for Geoinformatics, Muenster"
IssueInstant="2002-01-14T10:00:23Z">
<saml:Conditions NotBefore="2002-01-14T10:00:30Z"
NotAfter="2002-01-14T10:15:00Z"/>
<saml:AuthenticationStatement
AuthenticationMethod="urn:oasis: names:tc:SAML:1.0:am:password"
AuthenticationInstant="2002-01-14T10:00:20Z">
<saml:Subject>
<saml:NameIdentifier SecurityDomain="ifgi.de" Name="drewnak"/>
</saml:Subject>
</saml:AuthenticationStatement>
</saml:Assertion>
<saml:Assertion
MajorVersion="1" MinorVersion="0"
AssertionID="123.45.678.90.12345678"
Issuer="Institute for Geoinformatics, Muenster"
IssueInstant="2002-01-14T10:00:23Z">
<saml:Conditions NotBefore="2002-01-14T10:00:30Z"
NotAfter="2002-01-14T10:15:00Z"/>
<saml:AuthenticationStatement
AuthenticationMethod="urn:oasis: names:tc:SAML:1.0:am:password"
AuthenticationInstant="2002-01-14T10:00:20Z">
<saml:Subject>
<saml:NameIdentifier SecurityDomain="ifgi.de" Name="drewnak"/>
</saml:Subject>
</saml:AuthenticationStatement>
</saml:Assertion>
Jan Drewnak Zugriffskontrolle in Geodateninfrastrukturen 12
Protokollschachtelung
Welche Möglichkeiten gibt es, GI-Dienste um Security-Funktionen zu erweitern?
GI-Client GI-DienstGI-Request
GI-Client GI-Dienst
Sec-Req
GI-Request
Sec-Client Sec-DienstGI-Request
GI-Request GI-Request
GI/Sec-Client GI-Dienst(Security enabled)
GI/Security-Request
Jan Drewnak Zugriffskontrolle in Geodateninfrastrukturen 13
Service Spezifikationen
Web Authentication Service (WAS):Authentifizierung von Nutzern und Ausstellen von Tickets
Authentifizierung
WAS
Kennung/Passwort,Zertifikat, ...
SAML Authentication Assertion:Identität, Zielserver, Gültigkeit
Ticket
Web Security Service (WSS):Prüfen und Weiterleiten von Requests an OGC Web Service(~Gateway)
Ticket + Service Request
WSS
Service ResponseOWS
ServiceRequest
ServiceResponse Sessionkonzept
Vermeiden wiederholter Übertragung von Sicherheitsinformationen
Jan Drewnak Zugriffskontrolle in Geodateninfrastrukturen 14
Web Authentication Service (WAS)
GetCapabilities
GetSession
GetSAMLResponse
CloseSession
Authentifizierung
WAS
Kennung/Passwort,Zertifikat, ...
SAML Authentication Assertion:Identität, Zielserver, Gültigkeit
Ticket
Standard Service Description
Unterstützte Authentifizierungsverfahren
Kennung/Passwort, Zertifikat, ...
SessionXML (Dauer, SessionID)
SessionID, Zielserver
Ticket (Identität, Zielserver, Gültigkeit)
SessionID
SessionXML
Jan Drewnak Zugriffskontrolle in Geodateninfrastrukturen 15
Web Security Service (WSS) GetCapabilities
GetSession
DoService
CloseSession
Ticket + Service Request
WSS
Service ResponseOWS
ServiceRequest
ServiceResponse
Standard Service Description
Akzeptierte WASs (inkl. Versionen undAuthentifizierungsverfahren)
Ticket
SessionXML (Dauer, SessionID)
SessionID, Service Request (z.B. GetMap)
Service Response
SessionID
SessionXML
Jan Drewnak Zugriffskontrolle in Geodateninfrastrukturen 16
Szenario
ForsteinrichtungskarteForsteinrichtungskarte(WMS)(WMS)
ForsteinrichtungsdatenForsteinrichtungsdaten(WFS)(WFS)
ForstamtForstamt UmweltbehördeUmweltbehörde
Höhere ForstbehördeHöhere Forstbehörde
GDI
Jan Drewnak Zugriffskontrolle in Geodateninfrastrukturen 17
Beispiel-Architektur
ForsteinrichtungskarteForsteinrichtungskarte(WMS)(WMS)
ForsteinrichtungsdatenForsteinrichtungsdaten(WFS)(WFS)
ForstamtForstamt UmweltbehördeUmweltbehörde
Höhere ForstbehördeHöhere Forstbehörde
GDI
Ticket + Service Request
WSS
Service ResponseOWS
ServiceRequest
ServiceResponse
Ticket + Service Request
WSS
Service ResponseOWS
ServiceRequest
ServiceResponse
WSSWSS WSSWSS
Authentifizierung
WAS
Kennung/Passwort,Zertifikat, ...
SAML Authentication Assertion:Identität, Zielserver, Gültigkeit
Ticket
WASWAS
Jan Drewnak Zugriffskontrolle in Geodateninfrastrukturen 18
Status Quo
Existierende Implementierungen
2 WAS (passwortbasierte Authentifizierung)
1 WSS
1 WAS/WSS Client
Autorisierung implizit im WSS:
Authentifizierter Nutzer darf Dienst (vollständig) nutzen
Sicherheit des prototypischen AA-Systems
Kommunikation per SSL verschlüsselt
Keine Signierung des Tickets
Keine Verschlüsselung innerhalb der Nutzerdatenbank
Keine "low-level" Sicherheitsmechanismen (Firewalls etc.)
Jan Drewnak Zugriffskontrolle in Geodateninfrastrukturen 19
Fazit & Ausblick
Erster Ansatz zur Umsetzung einer Zugriffskontrolle
GI-Dienste müssen nicht angepasst werden
Sicherheit auf Dienstebene, nicht auf Clientebene
Derzeit:
Review der Spezifikationen in der GDI NRW "AG Security"
Evaluieren realer Sicherheitsanforderungen
Nächster (möglicher) Schritt: Erarbeiten eines Autorisierungskonzepts
Vielen Dank für Ihre Vielen Dank für Ihre AufmerksamkeitAufmerksamkeit!!
Jan Drewnak Zugriffskontrolle in Geodateninfrastrukturen 20
Jan Drewnak Zugriffskontrolle in Geodateninfrastrukturen 21
Jan Drewnak Zugriffskontrolle in Geodateninfrastrukturen 22
Jan Drewnak Zugriffskontrolle in Geodateninfrastrukturen 23
Jan Drewnak Zugriffskontrolle in Geodateninfrastrukturen 24
Jan Drewnak Zugriffskontrolle in Geodateninfrastrukturen 25
Jan Drewnak Zugriffskontrolle in Geodateninfrastrukturen 26
Jan Drewnak Zugriffskontrolle in Geodateninfrastrukturen 27
Jan Drewnak Zugriffskontrolle in Geodateninfrastrukturen 28
Ende