27. Juni 2003 Jan Drewnak – Institut für Geoinformatik, Münster Zugriffskontrolle in Geodateninfrastrukturen Web Authentication Service (WAS) und Web Security

•

27. Juni 2003 Jan Drewnak – Institut für Geoinformatik, Münster

Zugriffskontrolle in Geodateninfrastrukturen

Web Authentication Service (WAS) undWeb Security Service (WSS)

Jan Drewnak Zugriffskontrolle in Geodateninfrastrukturen 2

Agenda

Wozu Zugriffskontrolle?

Zentrale Konzepte

Zugriffskontrolle in der GDI NRW

Dienstspezifikationen und -architektur

Status Quo

Fazit


Wo ist das Problem?

GDIs wurden u.a. geschaffen, um den Austausch von Geoinformationen über GI-Dienste zu erleichtern.

GI-Dienste beschreiben ihre Fähigkeiten

GI-Dienste sind über standardisierte Schnittstellen zugreifbar

GI-Dienste sind über das Internet zugreifbar

Nutzung/Zugriff durch jedermann

kommerzielle / vertrauliche Geodaten?


Szenario

ForsteinrichtungskarteForsteinrichtungskarte(WMS)(WMS)

ForsteinrichtungsdatenForsteinrichtungsdaten(WFS)(WFS)

ForstamtForstamt UmweltbehördeUmweltbehörde

Höhere ForstbehördeHöhere Forstbehörde

GDI


Zugriffskontrolle

SubjektSubjekt ObjektObjekt

ZugriffskontrolleZugriffskontrolle

• Nutzer• Client• Dienst• ...

• Datei• Dienst• ...

1. Authentifizierung2. Autorisierung3. Accounting

"Triple A"


Zugriffskontrolle

1. Authentifizierung= Feststellen der Identität eines Subjekts

Unterschiedliche Authentifizierungsverfahren:Kennung/Passwort, digitale Signatur, Biometrie, ...

2. Autorisierung= Festellen der Rechte eines Subjekts gegenüber einem Objekt

Voraussetzung: authentifiziertes Subjekt

Beispiele:

- Welche Layer sind für das Subjekt sichtbar?

- Für welche Features besitzt das Subjekt Schreibrechte?


Authentifizierung und Autorisierung in der GDI NRW

Schwerpunkt des GDI NRW Testbed II (2002)

Ziele: Entwickeln von Service-Spezifikationen für ein

Authentifizierungs- und Autorisierungssystem (AA-System)

Implementieren von Prototypen

Harmonisierung mit Web Pricing & Ordering Service (WPOS)

Hauptverantwortlich: Fraunhofer ISST, Dortmund

Institut für Geoinformatik, Münster

Präsentation der Ergebnisse auf der Intergeo 2002

Verabschiedung als offizielle GDI NRW Spezifikationen in 2003


Spezifikationen

Vorgaben:

1. Orientierung an Basic Services Model des OpenGIS Consortiums

2. Ermöglichen von Single Sign-On Security Assertions Markup Language (SAML)

3. Vorhanden Spezifikationen von GI-Diensten müssen nicht angepasst werden Protokollschachtelung


Basic Services Model

Framework für internetbasierte GI-Dienste des OpenGIS Consortiums

Verwenden des HTTP-Protokolls für Requests und Responses

Selbstbeschreibung über GetCapabilities-Schnittstelle


Security Assertion Markup Language (SAML)

XML-Format zum Austausch von Sicherheitsinformationen

Entwickelt vom OASIS Konsortium

Assertions:

Angaben über ein Subjekt, z.B.

- bzgl. stattgefundener Authentifizierungen

- bzgl. getroffener Autorisierungsentscheidungen

Assertions werden von Authentifizierungs- bzw. Autorisierungskomponenten ausgestellt...

... und von zugriffskontrollierten Diensten ausgewertet


Security Assertion Markup Language (SAML)

Beispiel: Authentication Assertion (gekürzt)

<saml:Assertion

MajorVersion="1" MinorVersion="0"

AssertionID="123.45.678.90.12345678"

Issuer="Institute for Geoinformatics, Muenster"

IssueInstant="2002-01-14T10:00:23Z">

<saml:Conditions NotBefore="2002-01-14T10:00:30Z"

NotAfter="2002-01-14T10:15:00Z"/>

<saml:AuthenticationStatement

AuthenticationMethod="urn:oasis: names:tc:SAML:1.0:am:password"

AuthenticationInstant="2002-01-14T10:00:20Z">

<saml:Subject>

<saml:NameIdentifier SecurityDomain="ifgi.de" Name="drewnak"/>

</saml:Subject>

</saml:AuthenticationStatement>

</saml:Assertion>

<saml:Assertion

MajorVersion="1" MinorVersion="0"

AssertionID="123.45.678.90.12345678"

Issuer="Institute for Geoinformatics, Muenster"

IssueInstant="2002-01-14T10:00:23Z">

<saml:Conditions NotBefore="2002-01-14T10:00:30Z"

NotAfter="2002-01-14T10:15:00Z"/>

<saml:AuthenticationStatement

AuthenticationMethod="urn:oasis: names:tc:SAML:1.0:am:password"

AuthenticationInstant="2002-01-14T10:00:20Z">

<saml:Subject>

<saml:NameIdentifier SecurityDomain="ifgi.de" Name="drewnak"/>

</saml:Subject>

</saml:AuthenticationStatement>

</saml:Assertion>


Protokollschachtelung

Welche Möglichkeiten gibt es, GI-Dienste um Security-Funktionen zu erweitern?

GI-Client GI-DienstGI-Request

GI-Client GI-Dienst

Sec-Req

GI-Request

Sec-Client Sec-DienstGI-Request

GI-Request GI-Request

GI/Sec-Client GI-Dienst(Security enabled)

GI/Security-Request


Service Spezifikationen

Web Authentication Service (WAS):Authentifizierung von Nutzern und Ausstellen von Tickets

Authentifizierung

WAS

Kennung/Passwort,Zertifikat, ...

SAML Authentication Assertion:Identität, Zielserver, Gültigkeit

Ticket

Web Security Service (WSS):Prüfen und Weiterleiten von Requests an OGC Web Service(~Gateway)

Ticket + Service Request

WSS

Service ResponseOWS

ServiceRequest

ServiceResponse Sessionkonzept

Vermeiden wiederholter Übertragung von Sicherheitsinformationen


Web Authentication Service (WAS)

GetCapabilities

GetSession

GetSAMLResponse

CloseSession

Authentifizierung

WAS



Ticket

Standard Service Description

Unterstützte Authentifizierungsverfahren

Kennung/Passwort, Zertifikat, ...

SessionXML (Dauer, SessionID)

SessionID, Zielserver

Ticket (Identität, Zielserver, Gültigkeit)

SessionID

SessionXML


Web Security Service (WSS) GetCapabilities

GetSession

DoService

CloseSession


WSS

Service ResponseOWS

ServiceRequest

ServiceResponse

Standard Service Description

Akzeptierte WASs (inkl. Versionen undAuthentifizierungsverfahren)

Ticket

SessionXML (Dauer, SessionID)

SessionID, Service Request (z.B. GetMap)

Service Response

SessionID

SessionXML


Szenario





GDI


Beispiel-Architektur





GDI


WSS

Service ResponseOWS

ServiceRequest

ServiceResponse


WSS

Service ResponseOWS

ServiceRequest

ServiceResponse

WSSWSS WSSWSS

Authentifizierung

WAS



Ticket

WASWAS


Status Quo

Existierende Implementierungen

2 WAS (passwortbasierte Authentifizierung)

1 WSS

1 WAS/WSS Client

Autorisierung implizit im WSS:

Authentifizierter Nutzer darf Dienst (vollständig) nutzen

Sicherheit des prototypischen AA-Systems

Kommunikation per SSL verschlüsselt

Keine Signierung des Tickets

Keine Verschlüsselung innerhalb der Nutzerdatenbank

Keine "low-level" Sicherheitsmechanismen (Firewalls etc.)


Fazit & Ausblick

Erster Ansatz zur Umsetzung einer Zugriffskontrolle

GI-Dienste müssen nicht angepasst werden

Sicherheit auf Dienstebene, nicht auf Clientebene

Derzeit:

Review der Spezifikationen in der GDI NRW "AG Security"

Evaluieren realer Sicherheitsanforderungen

Nächster (möglicher) Schritt: Erarbeiten eines Autorisierungskonzepts

Vielen Dank für Ihre Vielen Dank für Ihre AufmerksamkeitAufmerksamkeit!!










Ende

Documents

27. Juni 2003 Jan Drewnak – Institut für Geoinformatik, Münster Zugriffskontrolle in Geodateninfrastrukturen Web Authentication Service (WAS) und Web Security