Logo DOAB
  • Publisher login
    • Support
    • Language 
      • English
      • français
    • Deposit
            View Item 
            •   DOAB Home
            • View Item
            •   DOAB Home
            • View Item
            JavaScript is disabled for your browser. Some features of this site may not work without it.

            Zertifikatsbasierte Zugriffskontrolle in verteilten Informationssytemen

            Thumbnail
            Download Url(s)
            https://www.ksp.kit.edu/3937300309
            Author(s)
            Nochta, Zoltán
            Language
            German
            Show full item record
            Abstract
            Bekannte Techniken für die Verwaltung und Überprüfung von Zertifikaten wurden zur Unterstützung von PKIs entwickelt. Aufgrund verschiedener Defizite dieser Techniken bezüglich Performanz und Sicherheit wird ein eigener Ansatz vorgestellt. Dieser Ansatz greift auf Vorgängerarbeiten zurück, im Wesentlichen auf Arbeiten von Ralph Charles Merkle, Irene Gassko et. al und Ahto Buldas. Einen wichtigen Baustein des vorgestellten Ansatzes bildet die Datenstruktur mit der Bezeichnung Improved Certification Verification Tree (I-CVT). Diese ermöglicht die kosteneffiziente und sichere Verwaltung und Überprüfung von Attributszertifikaten und kann die Basis einer sogenannten Privilege Management Infrastructure bilden. Basierend auf der I-CVT-Technik können die mit Attributszertifikaten verbundenen Verwaltungskosten niedrig gehalten werden. Wichtiger noch, dass mit Hilfe von I-CVTs die Überprüfung sowohl einzelner als auch gleichzeitig mehrerer Attributszertifikate einer Zertifizierungsstelle effizient und sicher durchführbar ist. Anhand von I-CVTs lassen sich so genannte Vollständigkeitsbeweise generieren. Diese verhindern die unbemerkte Zurückhaltung von auf eine Anfrage passenden Attributszertifikaten durch die diese speichernde Datenbank. Angenommen wird dabei, dass der Anfragende die Anzahl jener Attributszertifikate im Voraus nicht kennt. Einen Spezialfall für Vollständigkeitsbeweise bilden Anfragen, welche höchstens einen Treffer haben können. In solchen Fällen können so genannte Existenz-Beweise beziehungsweise Nicht-Existenz-Beweise generiert und vom Anfragenden ausgewertet werden, je nach Erfolg der jeweiligen Suche. Die Möglichkeit, solche Beweise zu generieren macht den Einsatz von I-CVTs neben der gewünschten sicheren Zugriffskontrolle auch für zahlreiche andere Szenarien attraktiv, die auf Datenbankanfragen basieren. Aus Sicht der performanten Überprüfung während der Zugriffskontrolle haben Attributszertifikate, welche durch Delegierung entstanden, eine Sonderstellung. Bei der zertifikatsbasierten Rechtedelegierung entstehen so genannte Delegierungsnetzwerke, die in den einfachsten Fällen eine Delegierungskette (engl. Delegation Chain) bilden. Ein solches Netzwerk besteht aus Zertifikaten, die von verschiedenen Stellen ausgestellt wurden. Den vertrauten Ursprung solcher Netzwerke, falls es überhaupt einen gibt, während der Zugriffskontrolle zu finden, kann lange Wartezeiten im System verursachen. Ein Vorschlag von Tuomas Aura den hiermit verbundenen Aufwand zu reduzieren, war die Reduktion derartiger Netzwerke auf Attributszertifikate, welche direkt von vertrauten Instanzen ausgestellt werden. Dies hat eine wesentliche Vereinfachung der Ursprungsprüfung delegierter Berechtigungen zur Folge. Einen sicheren Dienst für diesen Zweck innerhalb einer PMI zu konstruieren wirft aber etliche Probleme auf, welche diskutiert werden. In dieser Arbeit wird deshalb neben anderen Konzepten die Technik der so genannten Offline-Delegierung vorgeschlagen. Sie bietet eine einfache Lösung des Problems, indem die gleiche Nutzfunktionalität - sprich die Weitergabe von Berechtigungen - ganz ohne das Entstehen von Delegierungsnetzwerken geschieht. Dies macht die Ursprungsprüfung der Delegierungen einfacher sowie eine nachträgliche Reduzierung von Delegierungsnetzwerken unnötig. Die kombinierte Verwendung von I-CVTs und der Offline-Delegierung bildet das theoretische Fundament eines prototypisch implementierten Systems mit der Kurzbezeichnung PAMINA (Privilege Administration and Management INfrAstructure). Die den jeweiligen Bedürfnissen anpassbare und erweiterbare Komponenten des Systems PAMINA Administration Server, Privilege Database und Certificate Verifier ermöglichen eine flexible Einführung in eine Betriebsumgebung. Die Tragfähigkeit von PAMINA wurde bei der Absicherung eines an der Universität Karlsruhe entwickelten internetbasierten Lernsystems mit der Bezeichnung ed.tec demonstriert.
            URI
            https://directory.doabooks.org/handle/20.500.12854/62918
            Keywords
            Datensicherung; Elektronische Unterschrift; Zugriffskontrolle; Zugriffsrelation; Zertifikat; Computersicherheit; Zertifizierungsstelle
            DOI
            10.5445/KSP/1000001172
            ISBN
            3937300309
            Publisher
            KIT Scientific Publishing
            Publisher website
            http://www.ksp.kit.edu/
            Publication date and place
            2005
            Classification
            Computer science
            Pages
            178 p.
            Review type
            Full text
            Anonymity
            All identities known
            Reviewer type
            Internal editor; External peer reviewer
            Review stage
            Pre-publication
            Open review
            No
            Publish responsibility
            Scientific or Editorial Board
            • Imported or submitted locally

            Browse

            All of DOABSubjectsPublishersLanguagesCollections

            My Account

            LoginRegister

            Export

            Repository metadata
            Doabooks

            • For Researchers
            • For Librarians
            • For Publishers
            • Our Supporters
            • Resources
            • DOAB

            Newsletter


            • subscribe to our newsletter
            • view our news archive

            Follow us on

            • Twitter

            License

            • If not noted otherwise all contents are available under Attribution 4.0 International (CC BY 4.0)

            donate


            • Donate
              Support DOAB and the OAPEN Library

            Credits


            • logo Investir l'avenirInvestir l'avenir
            • logo MESRIMESRI
            • logo EUEuropean Union
              This project received funding from the European Union’s Horizon 2020 research and innovation programme under grant agreement No 871069.

            Directory of Open Access Books is a joint service of OAPEN, OpenEdition, CNRS and Aix-Marseille Université, provided by DOAB Foundation.

            Websites:

            DOAB
            www.doabooks.org

            OAPEN Home
            www.oapen.org

            OAPEN OA Books Toolkit
            www.oabooks-toolkit.org

            Export search results

            The export option will allow you to export the current search results of the entered query to a file. Differen formats are available for download. To export the items, click on the button corresponding with the preferred download format.

            A logged-in user can export up to 15000 items. If you're not logged in, you can export no more than 500 items.

            To select a subset of the search results, click "Selective Export" button and make a selection of the items you want to export. The amount of items that can be exported at once is similarly restricted as the full export.

            After making a selection, click one of the export format buttons. The amount of items that will be exported is indicated in the bubble next to export format.