1 / 28

Zugriffskontrolle in Geodateninfrastrukturen

Zugriffskontrolle in Geodateninfrastrukturen. Web Authentication Service (WAS) und Web Security Service (WSS). Agenda. Wozu Zugriffskontrolle? Zentrale Konzepte Zugriffskontrolle in der GDI NRW Dienstspezifikationen und -architektur Status Quo Fazit. . . . Wo ist das Problem?.

temira
Download Presentation

Zugriffskontrolle in Geodateninfrastrukturen

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Zugriffskontrolle in Geodateninfrastrukturen Web Authentication Service (WAS) undWeb Security Service (WSS) Jan Drewnak – Institut für Geoinformatik, Münster

  2. Agenda • Wozu Zugriffskontrolle? • Zentrale Konzepte • Zugriffskontrolle in der GDI NRW • Dienstspezifikationen und -architektur • Status Quo • Fazit Zugriffskontrolle in Geodateninfrastrukturen

  3.   Wo ist das Problem? GDIs wurden u.a. geschaffen, um den Austausch von Geoinformationen über GI-Dienste zu erleichtern. • GI-Dienste beschreiben ihre Fähigkeiten • GI-Dienste sind über standardisierte Schnittstellen zugreifbar • GI-Dienste sind über das Internet zugreifbar  Nutzung/Zugriff durch jedermann  kommerzielle / vertrauliche Geodaten? Zugriffskontrolle in Geodateninfrastrukturen

  4. Umweltbehörde Forstamt Forsteinrichtungsdaten (WFS) Forsteinrichtungskarte (WMS) Szenario GDI Höhere Forstbehörde Zugriffskontrolle in Geodateninfrastrukturen

  5. "Triple A" • Authentifizierung • Autorisierung • Accounting • Nutzer • Client • Dienst • ... • Datei • Dienst • ... Zugriffskontrolle Zugriffskontrolle Subjekt Objekt Zugriffskontrolle in Geodateninfrastrukturen

  6. Zugriffskontrolle • Authentifizierung = Feststellen der Identität eines Subjekts • Unterschiedliche Authentifizierungsverfahren:Kennung/Passwort, digitale Signatur, Biometrie, ... • Autorisierung = Festellen der Rechte eines Subjekts gegenüber einem Objekt • Voraussetzung: authentifiziertes Subjekt • Beispiele: - Welche Layer sind für das Subjekt sichtbar? - Für welche Features besitzt das Subjekt Schreibrechte? Zugriffskontrolle in Geodateninfrastrukturen

  7. Authentifizierung und Autorisierung in der GDI NRW • Schwerpunkt des GDI NRW Testbed II (2002) • Ziele: • Entwickeln von Service-Spezifikationen für ein Authentifizierungs- und Autorisierungssystem (AA-System) • Implementieren von Prototypen • Harmonisierung mit Web Pricing & Ordering Service (WPOS) • Hauptverantwortlich: • Fraunhofer ISST, Dortmund • Institut für Geoinformatik, Münster • Präsentation der Ergebnisse auf der Intergeo 2002 • Verabschiedung als offizielle GDI NRW Spezifikationen in 2003 Zugriffskontrolle in Geodateninfrastrukturen

  8. Spezifikationen Vorgaben: • Orientierung an Basic Services Model des OpenGIS Consortiums • Ermöglichen von Single Sign-On Security Assertions Markup Language (SAML) • Vorhanden Spezifikationen von GI-Diensten müssen nicht angepasst werden Protokollschachtelung Zugriffskontrolle in Geodateninfrastrukturen

  9. Basic Services Model • Framework für internetbasierte GI-Dienste des OpenGIS Consortiums • Verwenden des HTTP-Protokolls für Requests und Responses • Selbstbeschreibung über GetCapabilities-Schnittstelle Zugriffskontrolle in Geodateninfrastrukturen

  10. Security Assertion Markup Language (SAML) • XML-Format zum Austausch von Sicherheitsinformationen • Entwickelt vom OASIS Konsortium • Assertions: • Angaben über ein Subjekt, z.B. - bzgl. stattgefundener Authentifizierungen - bzgl. getroffener Autorisierungsentscheidungen • Assertions werden von Authentifizierungs- bzw. Autorisierungskomponenten ausgestellt... • ... und von zugriffskontrollierten Diensten ausgewertet Zugriffskontrolle in Geodateninfrastrukturen

  11. Security Assertion Markup Language (SAML) Beispiel: Authentication Assertion (gekürzt) <saml:Assertion MajorVersion="1" MinorVersion="0" AssertionID="123.45.678.90.12345678" Issuer="Institute for Geoinformatics, Muenster" IssueInstant="2002-01-14T10:00:23Z"> <saml:Conditions NotBefore="2002-01-14T10:00:30Z" NotAfter="2002-01-14T10:15:00Z"/> <saml:AuthenticationStatement AuthenticationMethod="urn:oasis:­names:tc:SAML:1.0:am:password" AuthenticationInstant="2002-01-14T10:00:20Z"> <saml:Subject> <saml:NameIdentifier SecurityDomain="ifgi.de" Name="drewnak"/> </saml:Subject> </saml:AuthenticationStatement></saml:Assertion> Zugriffskontrolle in Geodateninfrastrukturen

  12. Protokollschachtelung Welche Möglichkeiten gibt es, GI-Dienste um Security-Funktionen zu erweitern? Zugriffskontrolle in Geodateninfrastrukturen

  13. Service Spezifikationen • Web Authentication Service (WAS):Authentifizierung von Nutzern und Ausstellen von Tickets • Web Security Service (WSS):Prüfen und Weiterleiten von Requests an OGC Web Service(~Gateway) • SessionkonzeptVermeiden wiederholter Übertragung von Sicherheitsinformationen Zugriffskontrolle in Geodateninfrastrukturen

  14. Web Authentication Service (WAS) • Standard Service Description • Unterstützte Authentifizierungsverfahren • Kennung/Passwort, Zertifikat, ... • SessionXML (Dauer, SessionID) • SessionID, Zielserver • Ticket (Identität, Zielserver, Gültigkeit) • SessionID • SessionXML • GetCapabilities • GetSession • GetSAMLResponse • CloseSession Zugriffskontrolle in Geodateninfrastrukturen

  15. Web Security Service (WSS) • Standard Service Description • Akzeptierte WASs (inkl. Versionen undAuthentifizierungsverfahren) • Ticket • SessionXML (Dauer, SessionID) • SessionID, Service Request (z.B. GetMap) • Service Response • SessionID • SessionXML • GetCapabilities • GetSession • DoService • CloseSession Zugriffskontrolle in Geodateninfrastrukturen

  16. Umweltbehörde Forstamt Forsteinrichtungsdaten (WFS) Forsteinrichtungskarte (WMS) Szenario GDI Höhere Forstbehörde Zugriffskontrolle in Geodateninfrastrukturen

  17. Umweltbehörde Forstamt Forsteinrichtungsdaten (WFS) Forsteinrichtungskarte (WMS) Beispiel-Architektur GDI Höhere Forstbehörde WSS WAS WSS Zugriffskontrolle in Geodateninfrastrukturen

  18. Status Quo • Existierende Implementierungen • 2 WAS (passwortbasierte Authentifizierung) • 1 WSS • 1 WAS/WSS Client • Autorisierung implizit im WSS: Authentifizierter Nutzer darf Dienst (vollständig) nutzen • Sicherheit des prototypischen AA-Systems • Kommunikation per SSL verschlüsselt • Keine Signierung des Tickets • Keine Verschlüsselung innerhalb der Nutzerdatenbank • Keine "low-level" Sicherheitsmechanismen (Firewalls etc.) Zugriffskontrolle in Geodateninfrastrukturen

  19. Fazit & Ausblick • Erster Ansatz zur Umsetzung einer Zugriffskontrolle • GI-Dienste müssen nicht angepasst werden • Sicherheit auf Dienstebene, nicht auf Clientebene • Derzeit: • Review der Spezifikationen in der GDI NRW "AG Security" • Evaluieren realer Sicherheitsanforderungen • Nächster (möglicher) Schritt: Erarbeiten eines Autorisierungskonzepts Vielen Dank für Ihre Aufmerksamkeit! Zugriffskontrolle in Geodateninfrastrukturen

  20. Zugriffskontrolle in Geodateninfrastrukturen

  21. Zugriffskontrolle in Geodateninfrastrukturen

  22. Zugriffskontrolle in Geodateninfrastrukturen

  23. Zugriffskontrolle in Geodateninfrastrukturen

  24. Zugriffskontrolle in Geodateninfrastrukturen

  25. Zugriffskontrolle in Geodateninfrastrukturen

  26. Zugriffskontrolle in Geodateninfrastrukturen

  27. Zugriffskontrolle in Geodateninfrastrukturen

  28. Ende Zugriffskontrolle in Geodateninfrastrukturen

More Related