Viceroy

Viceroy [MNR02] implementiert ein f¨ur Netze mit hohem Datenaufkommen optimier-tes Overlay, in dem die Knoten wie bei Chord ringf¨ormig angeordnet sind. Zus¨atzlich existieren miteinander vernetzte Ebenen. Die entstehende Topologie wird als Butterfly-Topologie¹¹ bezeichnet [ACE96].

F¨ur alle Bezeichner gilt m= 128. Zus¨atzlich zu seiner NodeID besitzt jeder Knoten eine Ebene (Level) l, auf der er angesiedelt ist. F¨ur einen Bezeichner ist wie in Chord der direkte Nachfolger n_rhbi=succ(b) zust¨andig; auch die Distanzdefinition ist identisch.

Lookup. Jeder Knotenn_i speichert in seiner Routing-Tabelle maximal sieben Kontak-te:

• Direkter Vorg¨anger und Nachfolger auf dem Ring:

succ(n_i) undpred(n_i) (Ring Pointer)

• Vorg¨anger und Nachfolger auf gleicher Ebene l(n_i):

nextonlevel(n_i) und prevonlevel(n_i) (Level Ring Pointer)

• Zwei Knoten auf der n¨achsth¨oheren Ebene l(n_i) + 1, sofernl(n_i)6=max:

right(n_i) undlef t(n_i).

• Einen Knoten auf der n¨achstniedrigeren Ebenel(n_i)−1, sofernl(n_i)>1:

up(n_i).

Die Kontakteright(n_i),lef t(n_i) undup(n_i) werden Butterfly Links genannt. Ein Knoten h¨alt aber nicht nur die beschriebenen Kontakte, sondern verwaltet auch die eingehenden Zeiger anderer Knoten auf ihn selbst (Level Ring Pointer und Butterfly Links). Abbil-dung 2.11 zeigt die Vernetzung der Ebenen an einem kleinen Beispielnetz in Level- und Ringdarstellung¹².

Ein Lookup nach Bezeichner bwird in drei Phasen ausgef¨uhrt:

1. Proceed to Root: Mittels der Weiterleitung ¨uber up-Links wird die Nachricht an einen Knoten auf Level 1 transferiert.

2. Traverse Tree: Uber abw¨artsgerichtete Links (right¨ oder lef t) wird die Lookup-Nachricht in Richtung des Ziels weitergeleitet, wobeilef t(n_i) verwendet wird, wenn

∆(n_i, b)< 1 2^l(ni)

f¨ur den aktuellen Knotenn_i, ansonstenright(n_i). Diese Phase wird beendet, wenn der ben¨otigte abw¨artsgerichtete Link nicht existiert oder ¨uber das Ziel hinaus-schießt, d.h. eine NodeID> b besitzt.

3. Traverse Ring: Diese Phase wird rekursiv durchlaufen:

11In Anlehnung an die Bezeichnung

”Butterfly-Topologie“ wurde der Name Viceroy gew¨ahlt: Viceroy (Vizek¨onig) ist eine nordamerikanische Schmetterlingsart (Limenitis archippus).

12Die Abbildungen wurden mit dem Viceroy-Applet [VICAP] generiert.

(a) Level-Darstellung

(b) Ring-Darstellung

Abbildung 2.11: Beispiel: Butterfly Links in einem Viceroy-Netzwerk mit 32 Knoten

• Besitzt der aktuelle Knoten die NodeID n_i = succ(b), ist der Lookup erfolg-reich beendet und er sendet eine Antwort, dass er f¨urb zust¨andig ist.

• Ansonsten:

– Ist nextonlevel(n_i) ein Knoten im Adressraum zwischen n_i und b, wird die Lookup-Nachricht an diesen ¨ubertragen.

– Liegtprevonlevel(n_i) zwischenn_i undb, wird der Lookup an diesen ¨uber-mittelt.

– Ist beides nicht der Fall, wirdsucc(n_i) oderpred(n_i) kontaktiert, je nach-dem, welcher der beiden Knoten n¨aher anbliegt.

Es wird also zun¨achst auf dem gleichen Level vorangeschritten und erst in der N¨ahe des zust¨andigen Knotens f¨urb auf die Ring Pointer zur¨uckgegriffen.

Der Aufwand f¨ur einen Lookup ergibt sich zuO(log₂N), da jede Phase selbst den Aufwand O(log₂N) erzeugt.

Die Speicherung von Datens¨atzen erfolgt wie in Chord (|Nb|= 1).

Join. Beim Eintritt eines neuen Knotens in ein Viceroy-Netzwerk bestimmt dieser zun¨achst seine NodeID n_i. Dann startet er einen Lookup nach n_i und erh¨alt n_rhn_ii = succ(n_i). Von diesem bezieht er die Daten seines direkten Vorg¨angers und setzt seine Ring Pointersucc(n_i) undpred(n_i) =pred(succ(n_i)). Vorg¨anger und Nachfolger aktualisieren zugleich ihre eigenen Ring Pointer. Im n¨achsten Schritt ¨ubertr¨agtn_rhn_iialle Daten ann_i, f¨ur welche dieser nun verantwortlich ist. Der Levell(n_i) wird zuf¨allig gew¨ahlt, wobei die Anzahl der zur Verf¨ugung stehenden Ebenen von der gesch¨atzten Netzgr¨oße N abh¨angt.

Zuletzt ermittelt der neue Knoten noch seine Butterfly Links: lef t(n_i) ist der n¨achste

Knoten im Ring, der einen Level l(n_i) + 1 hat. right(n_i) ist der Knoten im Ring, der ausgehend vom Knoten

succ(n_i+ 1 2^l(ni))

der n¨achste auf Ebene l(n_i) + 1 ist.up(n_i) ist der n¨achste Peer im Ring, der auf Ebene l(n_i)−1 liegt. Der Aufwand f¨ur den Join istO(log₂ N).

Leave. Verl¨asst ein Knoten das Netzwerk, so informiert er alle Knoten, die ihn als Ring Pointer, Level Ring Pointer oder Butterfly Pointer referenzieren; diese aktualisieren daraufhin ihre Verweise. Dann ¨ubertr¨agt er alle bei ihm gespeicherten Daten an seinen Nachfolger. Der Aufwand istO(log₂ N).

Authentifizierungs- und

Autorisierungsinfrastrukturen

In diesem Kapitel werden zun¨achst die konzeptionellen Grundlagen von AAI vorgestellt, gefolgt von einer Kategorisierung und einer kurzen Einf¨uhrung in einige Beispielsysteme.

Abh¨angig von der Kategorie einer AAI bestehen spezielle Anforderungen an das zugrun-de liegenzugrun-de Datenverwaltungssystem, so dass verschiezugrun-dene AAI-Kategorien verschiezugrun-denen Paradigmen f¨ur die Datenverwaltung zuzuordnen sind. Auf Basis einer erweiterten Zer-tifikatnotation wird ein rollenbasiertes AAI-Modell hergeleitet, welches sp¨ater f¨ur die formale Modellierung (Kapitel 6) wieder aufgegriffen wird.

Die Vorstellung verschiedener AAI-Architekturen bildet einen weiteren Abschnitt. Ab-schließend wird die Status- bzw. R¨uckrufproblematik in AAI eingef¨uhrt und verschiedene Techniken zur Erzeugung von Status- oder R¨uckrufinformationen diskutiert.

3.1 Grundlagen und Definitionen

Definition 3.1 Authentifizierung

Authentifizierung ist ein Prozess, in welchem gepr¨uft wird, ob eine Entit¨at eine von ihr beanspruchte Identit¨at besitzt. Ihr Ergebnis ist die Sicherheit des Pr¨ufers dar¨uber, ob die angegebene Identit¨at authentisch der Entit¨at zugeordnet werden kann.

Ein Beispiel aus der Realit¨at ist die Authentifizierung einer nat¨urlichen Person mit Hilfe ihres Personalausweises. Die enthaltenen Personendaten und das Lichtbild erm¨oglichen einem Pr¨ufer den Abgleich zwischen der realen Person und der Identit¨at, die im Perso-nalausweis zertifiziert ist.

Die Entit¨at, deren Identit¨at gepr¨uft wird, muss nicht zwingend eine Person sein. Beispiels-weise kann sich auch ein Computersystem gegen¨uber einem anderen authentifizieren, z.B.

im Rahmen von IPSec oder SSL [AlS04]. Weiterhin kann sich die Authentifizierung auf ein Pseudonym beziehen, d.h. es muss nicht zwangsl¨aufig eine reale Identit¨at verwendet werden - auch frei w¨ahlbare Benutzernamen oder Rechnernamen sind m¨oglich, solange sie einer Entit¨at zweifelsfrei zuordenbar sind.

Definition 3.2 Autorisierung

Autorisierung ist ein Prozess, in welchem gepr¨uft wird, ¨uber welche Berechtigungen eine 37

Entit¨at im Rahmen einer definierten Umgebung verf¨ugt. Ihr Ergebnis ist die Sicherheit des Pr¨ufers dar¨uber, welche Aktionen eine Entit¨at ausf¨uhren darf.

Die Autorisierung dient dann als Entscheidungsgrundlage f¨ur den Pr¨ufer, ob die Anfrage der betreffenden Entit¨at nach Ausf¨uhrung einer Aktion (z.B. eines Online-Einkaufs) oder nach dem Zugriff auf bestimmte Daten (z.B. auf eine elektronische Zeitschriftenbiblio-thek) positiv beantwortet wird.

F¨ur die sichere Durchf¨uhrung der Autorisierung ist es unerl¨asslich, dass die zu autorisie-rende Entit¨at zuvor authentifiziert wurde. Ansonsten kann kein Abgleich zwischen dem Inhaber der beanspruchten Rechte und der Entit¨at selbst erfolgen.

Definition 3.3 Authentifizierungs- und Autorisierungsinfrastruktur (AAI):

Eine Authentifizierungs- und Autorisierungsinfrastruktur ist ein System von Protokollen, Regeln, Daten, technischen Gegebenheiten und Methoden, welches die Dienste Authen-tifizierung und Autorisierung (A&A) von Entit¨aten gegen¨uber Pr¨ufern, z.B. Ressour-cenanbietern, erm¨oglicht und die daf¨ur notwendigen Daten speichert, verwaltet und zur Verf¨ugung stellt.

Authentifizierungs- und Autorisierungsinfrastukturen sind ein junges Forschungsgebiet, das erst seit dem Jahr 2000 intensiv wissenschaftlich bearbeitet und weiterentwickelt wird.

Viele in diesem Rahmen entstandene Systeme sind bislang noch im Forschungs- und Entwicklungsstadium und nicht oder nur vereinzelt im praktischen Einsatz. AKENTI [AKENT] und PERMIS [PERMI] realisieren nur den Autorisierungs-Anteil der AAI in Form einer zertifikatbasierten Privilege-Management-Infrastruktur und verlangen die Kombination mit einem Authentifizierungssystem wie z.B. Kerberos [KERBE] oder FPKI [FPKI]. SDSI/SPKI [ACM02] [RiL96] hingegen bietet sowohl Authentifizierung als auch Autorisierung auf Basis von Zertifikaten.

SESAME [SESAM] ist ein europ¨aisches AAI-Forschungsprojekt, welches ein Framework f¨ur die Entwicklung konkreter AAI-Produkte bereitstellt, wie beispielsweise von der Fir-ma CoFir-march angeboten [COMAR]. Microsoft .NET Passport [PASSP] wird als Single-Sign-On-L¨osung f¨ur Authentifizierung und Autorisierung auf vielen Internetplattformen genutzt. Das schwerpunktm¨aßig f¨ur die Anwendung im Bildungsbereich entwickelte AAI-System Shibboleth [SHIBB] wird z.B. im Rahmen der InitiativeSwitch AAI als gemein-same AAI f¨ur alle Schweizer Universit¨aten [SWITC] und im Projekt AAR [AAR] der Universit¨atsbibliotheken Freiburg und Regensburg verwendet. AAR soll ab 2008 zur Kon-trolle von Zugriffsrechten auf elektronische Zeitschriften eingesetzt werden.

Aufgrund der allgemein zunehmenden Digitalisierung von Diensten in der Verwaltung wissenschaftlicher und ¨offentlicher Einrichtungen und auch in der Wirtschaft, z.B. im Bankensektor oder im E-Commerce, und der gestiegenen Sicherheitsanforderungen an solche Dienste ist mit einer zunehmenden Verwendung von AAI zur Realisierung von Zugriffs- und Berechtigungskontrollen zu rechnen.