The main question addressed in this work is how the specification, deployment and management of application-oriented access control policies in distributed object systems can be supported in a way that increases the overall security. The first chapters of this thesis examine the problems that need to be addressed and identify a number of requirements for manageable access control. The overall management task is analyzed and structured into subtasks that are performed by potentially separate managers: principals or credentials management, object and domain management, and policy management. Also, the tasks of policy deployment and development are examined. As a result, we identify the requirements for documentation, support for communication between the involved parties, and for suitable management abstractions. It is concluded that an integrated approach to secure software development and management is required and that it can best be supported by the definition of a declarative policy language. Looking at the current technology for CORBA security reveals conceptual scalability problems and lack of structured support for policy design.
Therefore, this thesis proposes a new view-based access model and a declarative specification language called view policy language (VPL). The abstractions of this language are designed to support deployment and development as well as management of application policies. The central concepts of VPL are views as a first-class concept for the type-safe aggregation of access rights, roles as a task-oriented abstraction of callers, and schemas as a means of specifying triggered dynamic changes in the protection state. To prove the practical relevance of these concepts, a comprehensive case study is analyzed and implemented. The technical feasibility of view-based access control is shown through an implementation of the required security infrastructure, which includes an interceptor-based access control mechanism, a language compiler, view and role repositories, and graphical management tools.
Das zentrale Thema dieser Arbeit ist eine geeignete Unterstützung für die Spezifikation, die Installation und das Management von Zugriffsschutzpolitiken. Eine solche Unterstützung erhöht die Gesamtsicherheit eines verteilten Objektsystems, indem zum einen der flexible Ausdruck von Sicherheitsanforderungen erleichtert und zum anderen gleichzeitig eine grosse Zahl möglicher Fehlerquellen ausgeschlossen wird. Die Arbeit untersucht zunächst Anforderungen an handhabbaren Zugriffsschutz. Die Aufgabe des Zugriffsschutzmanagements wird analysiert und in Unteraufgaben gegliedert, die von verschiedenen, möglicherweise getrennten Managern wahrgenommen werden, nämlich die Verwaltung von Principals und Zertifikaten, von Objekten und Domänen, sowie die Politikverwaltung selbst. Darüberhinaus wurden auch die Aufgaben der Politikinstallation und -entwicklung betrachtet. Aus der Analyse der Anforderungen an die Dokumentation, die Unterstützung der Kommunikation zwischen den Beteiligten und die benötigten Sprachkonzepte ergibt sich, dass ein integrierter Ansatz für die Entwicklung und das Management von Zugriffsschutzpolitiken am besten durch die Definition einer deklarativen Politiksprache unterstützt werden kann.
Der Beitrag dieser Arbeit besteht in einem neuen, sichtenbasierten Zugriffsschutzmodell und einer deklarative Politiksprache namens View Policy Language (VPL), das den genannten Anforderungen genügt. Die Abstraktionen dieser Sprache wurden speziell für die Unterstützung sowohl des Entwurfs wie der Installation und des Managements von Politiken entworfen. Die zentralen Sprachkonzepte von VPL sind Sichten als ein first-class Konzept für die typsichere Aggregation von Zugriffsrechten, Rollen als aufgabenorientierte Abstraktion von Aufrufern, sowie Schemata als Mittel zur Spezifikation automatisch ausgelöster, dynamischer Änderungen des Schutzzustandes.
Die praktische Relevanz dieser Konzepte wurde durch die Implementierung einer realistischen Fallstudie gezeigt. Das Beispiel zeigt die Verwendung von Rollen, Sichten, Schemata, negativen Rechten und bedingten Sichten im Kontext eines Systems zur Begutachtung eingereichter Konferenzbeiträge. Die technische Machbarkeit sichtenbasierten Zugriffsschutzes wurde durch die Implementierung der erforderlichen Sicherheitsinfrastruktur nachgewiesen, die einen Interceptor-basierten Zugriffsschutzmechanismus, einen VPL-Übersetzer, Sichten- und Rollenrepositories sowie graphische Managementwerkzeuge umfasst.