Zertifikatsbasierte Zugriffskontrolle in verteilten Informationssytemen
Bekannte Techniken für die Verwaltung und Überprüfung von Zertifikaten wurden zur Unterstützung von PKIs entwickelt. Aufgrund verschiedener Defizite dieser Techniken bezüglich Performanz und Sicherheit wird ein eigener Ansatz vorgestellt. Dieser Ansatz greift auf Vorgängerarbeiten zurück, im Wesentl...
Saved in:
| : | |
|---|---|
| Year of Publication: | 2005 |
| Language: | German |
| Physical Description: | 1 electronic resource (178 p. p.) |
| Tags: |
Add Tag
No Tags, Be the first to tag this record!
|
| id |
993562069804498 |
|---|---|
| ctrlnum |
(CKB)4920000000101797 (oapen)https://directory.doabooks.org/handle/20.500.12854/62918 (EXLCZ)994920000000101797 |
| collection |
bib_alma |
| record_format |
marc |
| spelling |
Nochta, Zoltán auth Zertifikatsbasierte Zugriffskontrolle in verteilten Informationssytemen KIT Scientific Publishing 2005 1 electronic resource (178 p. p.) text txt rdacontent computer c rdamedia online resource cr rdacarrier Bekannte Techniken für die Verwaltung und Überprüfung von Zertifikaten wurden zur Unterstützung von PKIs entwickelt. Aufgrund verschiedener Defizite dieser Techniken bezüglich Performanz und Sicherheit wird ein eigener Ansatz vorgestellt. Dieser Ansatz greift auf Vorgängerarbeiten zurück, im Wesentlichen auf Arbeiten von Ralph Charles Merkle, Irene Gassko et. al und Ahto Buldas. Einen wichtigen Baustein des vorgestellten Ansatzes bildet die Datenstruktur mit der Bezeichnung Improved Certification Verification Tree (I-CVT). Diese ermöglicht die kosteneffiziente und sichere Verwaltung und Überprüfung von Attributszertifikaten und kann die Basis einer sogenannten Privilege Management Infrastructure bilden. Basierend auf der I-CVT-Technik können die mit Attributszertifikaten verbundenen Verwaltungskosten niedrig gehalten werden. Wichtiger noch, dass mit Hilfe von I-CVTs die Überprüfung sowohl einzelner als auch gleichzeitig mehrerer Attributszertifikate einer Zertifizierungsstelle effizient und sicher durchführbar ist. Anhand von I-CVTs lassen sich so genannte Vollständigkeitsbeweise generieren. Diese verhindern die unbemerkte Zurückhaltung von auf eine Anfrage passenden Attributszertifikaten durch die diese speichernde Datenbank. Angenommen wird dabei, dass der Anfragende die Anzahl jener Attributszertifikate im Voraus nicht kennt. Einen Spezialfall für Vollständigkeitsbeweise bilden Anfragen, welche höchstens einen Treffer haben können. In solchen Fällen können so genannte Existenz-Beweise beziehungsweise Nicht-Existenz-Beweise generiert und vom Anfragenden ausgewertet werden, je nach Erfolg der jeweiligen Suche. Die Möglichkeit, solche Beweise zu generieren macht den Einsatz von I-CVTs neben der gewünschten sicheren Zugriffskontrolle auch für zahlreiche andere Szenarien attraktiv, die auf Datenbankanfragen basieren. Aus Sicht der performanten Überprüfung während der Zugriffskontrolle haben Attributszertifikate, welche durch Delegierung entstanden, eine Sonderstellung. Bei der zertifikatsbasierten Rechtedelegierung entstehen so genannte Delegierungsnetzwerke, die in den einfachsten Fällen eine Delegierungskette (engl. Delegation Chain) bilden. Ein solches Netzwerk besteht aus Zertifikaten, die von verschiedenen Stellen ausgestellt wurden. Den vertrauten Ursprung solcher Netzwerke, falls es überhaupt einen gibt, während der Zugriffskontrolle zu finden, kann lange Wartezeiten im System verursachen. Ein Vorschlag von Tuomas Aura den hiermit verbundenen Aufwand zu reduzieren, war die Reduktion derartiger Netzwerke auf Attributszertifikate, welche direkt von vertrauten Instanzen ausgestellt werden. Dies hat eine wesentliche Vereinfachung der Ursprungsprüfung delegierter Berechtigungen zur Folge. Einen sicheren Dienst für diesen Zweck innerhalb einer PMI zu konstruieren wirft aber etliche Probleme auf, welche diskutiert werden. In dieser Arbeit wird deshalb neben anderen Konzepten die Technik der so genannten Offline-Delegierung vorgeschlagen. Sie bietet eine einfache Lösung des Problems, indem die gleiche Nutzfunktionalität - sprich die Weitergabe von Berechtigungen - ganz ohne das Entstehen von Delegierungsnetzwerken geschieht. Dies macht die Ursprungsprüfung der Delegierungen einfacher sowie eine nachträgliche Reduzierung von Delegierungsnetzwerken unnötig. Die kombinierte Verwendung von I-CVTs und der Offline-Delegierung bildet das theoretische Fundament eines prototypisch implementierten Systems mit der Kurzbezeichnung PAMINA (Privilege Administration and Management INfrAstructure). Die den jeweiligen Bedürfnissen anpassbare und erweiterbare Komponenten des Systems PAMINA Administration Server, Privilege Database und Certificate Verifier ermöglichen eine flexible Einführung in eine Betriebsumgebung. Die Tragfähigkeit von PAMINA wurde bei der Absicherung eines an der Universität Karlsruhe entwickelten internetbasierten Lernsystems mit der Bezeichnung ed.tec demonstriert. German Datensicherung Elektronische Unterschrift Zugriffskontrolle Zugriffsrelation Zertifikat Computersicherheit Zertifizierungsstelle 3-937300-30-9 |
| language |
German |
| format |
eBook |
| author |
Nochta, Zoltán |
| spellingShingle |
Nochta, Zoltán Zertifikatsbasierte Zugriffskontrolle in verteilten Informationssytemen |
| author_facet |
Nochta, Zoltán |
| author_variant |
z n zn |
| author_sort |
Nochta, Zoltán |
| title |
Zertifikatsbasierte Zugriffskontrolle in verteilten Informationssytemen |
| title_full |
Zertifikatsbasierte Zugriffskontrolle in verteilten Informationssytemen |
| title_fullStr |
Zertifikatsbasierte Zugriffskontrolle in verteilten Informationssytemen |
| title_full_unstemmed |
Zertifikatsbasierte Zugriffskontrolle in verteilten Informationssytemen |
| title_auth |
Zertifikatsbasierte Zugriffskontrolle in verteilten Informationssytemen |
| title_new |
Zertifikatsbasierte Zugriffskontrolle in verteilten Informationssytemen |
| title_sort |
zertifikatsbasierte zugriffskontrolle in verteilten informationssytemen |
| publisher |
KIT Scientific Publishing |
| publishDate |
2005 |
| physical |
1 electronic resource (178 p. p.) |
| isbn |
3-937300-30-9 |
| illustrated |
Not Illustrated |
| work_keys_str_mv |
AT nochtazoltan zertifikatsbasiertezugriffskontrolleinverteilteninformationssytemen |
| status_str |
n |
| ids_txt_mv |
(CKB)4920000000101797 (oapen)https://directory.doabooks.org/handle/20.500.12854/62918 (EXLCZ)994920000000101797 |
| carrierType_str_mv |
cr |
| is_hierarchy_title |
Zertifikatsbasierte Zugriffskontrolle in verteilten Informationssytemen |
| _version_ |
1764991980939509760 |
| fullrecord |
<?xml version="1.0" encoding="UTF-8"?><collection xmlns="http://www.loc.gov/MARC21/slim"><record><leader>05033nam-a2200337z--4500</leader><controlfield tag="001">993562069804498</controlfield><controlfield tag="005">20230221124422.0</controlfield><controlfield tag="006">m o d </controlfield><controlfield tag="007">cr|mn|---annan</controlfield><controlfield tag="008">202102s2005 xx |||||o ||| geger d</controlfield><datafield tag="035" ind1=" " ind2=" "><subfield code="a">(CKB)4920000000101797</subfield></datafield><datafield tag="035" ind1=" " ind2=" "><subfield code="a">(oapen)https://directory.doabooks.org/handle/20.500.12854/62918</subfield></datafield><datafield tag="035" ind1=" " ind2=" "><subfield code="a">(EXLCZ)994920000000101797</subfield></datafield><datafield tag="041" ind1="0" ind2=" "><subfield code="a">deu</subfield></datafield><datafield tag="100" ind1="1" ind2=" "><subfield code="a">Nochta, Zoltán</subfield><subfield code="4">auth</subfield></datafield><datafield tag="245" ind1="1" ind2="0"><subfield code="a">Zertifikatsbasierte Zugriffskontrolle in verteilten Informationssytemen</subfield></datafield><datafield tag="260" ind1=" " ind2=" "><subfield code="b">KIT Scientific Publishing</subfield><subfield code="c">2005</subfield></datafield><datafield tag="300" ind1=" " ind2=" "><subfield code="a">1 electronic resource (178 p. p.)</subfield></datafield><datafield tag="336" ind1=" " ind2=" "><subfield code="a">text</subfield><subfield code="b">txt</subfield><subfield code="2">rdacontent</subfield></datafield><datafield tag="337" ind1=" " ind2=" "><subfield code="a">computer</subfield><subfield code="b">c</subfield><subfield code="2">rdamedia</subfield></datafield><datafield tag="338" ind1=" " ind2=" "><subfield code="a">online resource</subfield><subfield code="b">cr</subfield><subfield code="2">rdacarrier</subfield></datafield><datafield tag="520" ind1=" " ind2=" "><subfield code="a">Bekannte Techniken für die Verwaltung und Überprüfung von Zertifikaten wurden zur Unterstützung von PKIs entwickelt. Aufgrund verschiedener Defizite dieser Techniken bezüglich Performanz und Sicherheit wird ein eigener Ansatz vorgestellt. Dieser Ansatz greift auf Vorgängerarbeiten zurück, im Wesentlichen auf Arbeiten von Ralph Charles Merkle, Irene Gassko et. al und Ahto Buldas. Einen wichtigen Baustein des vorgestellten Ansatzes bildet die Datenstruktur mit der Bezeichnung Improved Certification Verification Tree (I-CVT). Diese ermöglicht die kosteneffiziente und sichere Verwaltung und Überprüfung von Attributszertifikaten und kann die Basis einer sogenannten Privilege Management Infrastructure bilden. Basierend auf der I-CVT-Technik können die mit Attributszertifikaten verbundenen Verwaltungskosten niedrig gehalten werden. Wichtiger noch, dass mit Hilfe von I-CVTs die Überprüfung sowohl einzelner als auch gleichzeitig mehrerer Attributszertifikate einer Zertifizierungsstelle effizient und sicher durchführbar ist. Anhand von I-CVTs lassen sich so genannte Vollständigkeitsbeweise generieren. Diese verhindern die unbemerkte Zurückhaltung von auf eine Anfrage passenden Attributszertifikaten durch die diese speichernde Datenbank. Angenommen wird dabei, dass der Anfragende die Anzahl jener Attributszertifikate im Voraus nicht kennt. Einen Spezialfall für Vollständigkeitsbeweise bilden Anfragen, welche höchstens einen Treffer haben können. In solchen Fällen können so genannte Existenz-Beweise beziehungsweise Nicht-Existenz-Beweise generiert und vom Anfragenden ausgewertet werden, je nach Erfolg der jeweiligen Suche. Die Möglichkeit, solche Beweise zu generieren macht den Einsatz von I-CVTs neben der gewünschten sicheren Zugriffskontrolle auch für zahlreiche andere Szenarien attraktiv, die auf Datenbankanfragen basieren. Aus Sicht der performanten Überprüfung während der Zugriffskontrolle haben Attributszertifikate, welche durch Delegierung entstanden, eine Sonderstellung. Bei der zertifikatsbasierten Rechtedelegierung entstehen so genannte Delegierungsnetzwerke, die in den einfachsten Fällen eine Delegierungskette (engl. Delegation Chain) bilden. Ein solches Netzwerk besteht aus Zertifikaten, die von verschiedenen Stellen ausgestellt wurden. Den vertrauten Ursprung solcher Netzwerke, falls es überhaupt einen gibt, während der Zugriffskontrolle zu finden, kann lange Wartezeiten im System verursachen. Ein Vorschlag von Tuomas Aura den hiermit verbundenen Aufwand zu reduzieren, war die Reduktion derartiger Netzwerke auf Attributszertifikate, welche direkt von vertrauten Instanzen ausgestellt werden. Dies hat eine wesentliche Vereinfachung der Ursprungsprüfung delegierter Berechtigungen zur Folge. Einen sicheren Dienst für diesen Zweck innerhalb einer PMI zu konstruieren wirft aber etliche Probleme auf, welche diskutiert werden. In dieser Arbeit wird deshalb neben anderen Konzepten die Technik der so genannten Offline-Delegierung vorgeschlagen. Sie bietet eine einfache Lösung des Problems, indem die gleiche Nutzfunktionalität - sprich die Weitergabe von Berechtigungen - ganz ohne das Entstehen von Delegierungsnetzwerken geschieht. Dies macht die Ursprungsprüfung der Delegierungen einfacher sowie eine nachträgliche Reduzierung von Delegierungsnetzwerken unnötig. Die kombinierte Verwendung von I-CVTs und der Offline-Delegierung bildet das theoretische Fundament eines prototypisch implementierten Systems mit der Kurzbezeichnung PAMINA (Privilege Administration and Management INfrAstructure). Die den jeweiligen Bedürfnissen anpassbare und erweiterbare Komponenten des Systems PAMINA Administration Server, Privilege Database und Certificate Verifier ermöglichen eine flexible Einführung in eine Betriebsumgebung. Die Tragfähigkeit von PAMINA wurde bei der Absicherung eines an der Universität Karlsruhe entwickelten internetbasierten Lernsystems mit der Bezeichnung ed.tec demonstriert.</subfield></datafield><datafield tag="546" ind1=" " ind2=" "><subfield code="a">German</subfield></datafield><datafield tag="653" ind1=" " ind2=" "><subfield code="a">Datensicherung</subfield></datafield><datafield tag="653" ind1=" " ind2=" "><subfield code="a">Elektronische Unterschrift</subfield></datafield><datafield tag="653" ind1=" " ind2=" "><subfield code="a">Zugriffskontrolle</subfield></datafield><datafield tag="653" ind1=" " ind2=" "><subfield code="a">Zugriffsrelation</subfield></datafield><datafield tag="653" ind1=" " ind2=" "><subfield code="a">Zertifikat</subfield></datafield><datafield tag="653" ind1=" " ind2=" "><subfield code="a">Computersicherheit</subfield></datafield><datafield tag="653" ind1=" " ind2=" "><subfield code="a">Zertifizierungsstelle</subfield></datafield><datafield tag="776" ind1=" " ind2=" "><subfield code="z">3-937300-30-9</subfield></datafield><datafield tag="906" ind1=" " ind2=" "><subfield code="a">BOOK</subfield></datafield><datafield tag="ADM" ind1=" " ind2=" "><subfield code="b">2023-03-03 03:50:04 Europe/Vienna</subfield><subfield code="f">system</subfield><subfield code="c">marc21</subfield><subfield code="a">2019-11-10 04:18:40 Europe/Vienna</subfield><subfield code="g">false</subfield></datafield><datafield tag="AVE" ind1=" " ind2=" "><subfield code="P">DOAB Directory of Open Access Books</subfield><subfield code="x">https://eu02.alma.exlibrisgroup.com/view/uresolver/43ACC_OEAW/openurl?u.ignore_date_coverage=true&portfolio_pid=5338717400004498&Force_direct=true</subfield><subfield code="Z">5338717400004498</subfield><subfield code="8">5338717400004498</subfield></datafield></record></collection> |