Zugriffskontrolle

Definition 3.1(Zugriffsrecht). Ein Zugriffsrecht (oder nur Recht) definiert, wie eine zugreifende Entität auf einen Datensatz zugreifen darf. Klassische Beispiele von Zugriffsrechten auf einen Datensatz sind LESEN,EINFÜGEN,VERÄNDERNundLÖSCHEN. Die letzten drei Rechte können auch zuSCHREIBEN

zusammengefügt werden.

Definition 3.2(Richtlinie). Eine Richtlinie (engl. „policy“) definiert Regeln, unter denen ein Zugriffs-recht gilt. Sie bindet Bedingungen an ein ZugriffsZugriffs-recht. Das Auswerten der Richtlinien führt unter den gegebenen Randbedingungen zu der Entscheidung, ob das enthaltene Zugriffsrecht gilt. Eine Richtlinie enthält somit das Zielobjekt, ein für das Objekt geltendes Zugriffsrecht und die Bedingungen, unter denen dieses gilt. Die Auswertung einer Richtlinie führt zur Entscheidung, ob der Zugriff gestattet oder verweigert wird. (Vgl.[105])

Ein Zugriffsrecht beschreibt, ob und wie Benutzer oder Dienste auf Programme, Dateien/Daten, Dru-cker, Dienste oder Netzwerke zugreifen dürfen. Richtlinien können dafür verwendet werden, Zugriffs-rechten Bedingungen zuzuweisen. Auf diese Weise kann ein Zugriffsrecht nur für eine zeitliche Peri-ode, spezielle Benutzer oder Benutzergruppen gelten. Es kann auch an andere Bedingungen gekoppelt

werden. Richtlinien müssen also zum Zugriffszeitpunkt ausgewertet und die Zugriffsentscheidung so-mit zeitnah getroffen werden. Nachfolgend wird beschrieben, wie bei einem Zugriffskontrollsystem die Richtlinienverarbeitung verteilt wird. Die anschließenden Definitionen beruhen auf denen des Swe-dish Insitute of Computer Science[93]. Weitere ähnliche Definitionen zu diesem Thema finden sich in [101, 105, 5].

Definition 3.3(PAP). Der PAP (engl. „Policy Administration Point“) ist der Dienst, der die Richtlinien semantisch erstellt. Er bestimmt inhaltlich, welche Regeln bezüglich welcher Dienste gelten. Der PAP ist für dieRichtlinienerstellungzuständig.

Definition 3.4 (PIP). Der PIP (engl. „Policy Information Point“) ist der Dienst, der die Richtlinien abspeichert. In der Regel handelt es sich dabei um einen datenbankbasierten Dienst.

Definition 3.5 (PDP). Der PDP (engl. „Policy Decision Point“) hat zwei Aufgaben, da er als ein-ziger mit dem PIP kommuniziert. Er wertet die Richtlinien aus und entscheidet, ob das enthaltene Zugriffsrecht zurzeit gültig ist – der PDP ist derRichtlinienentscheider. Seine zweite Aufgabe ist das Überprüfen neu eingereichter Richtlinien. Sind diese syntaktisch korrekt und ist es dem PAP erlaubt, diese einzureichen, fügt der PDP die neue Richtlinie in den PIP ein.

Definition 3.6 (PEP). Der PEP (engl. „Policy Enforcement Point“) ist der Dienst, der schlussend-lich die Zugriffsentscheidung vollstreckt. An ihn muss sich gewendet werden, wenn der Zugriff auf einen Datensatz gewünscht wird. Der PEP ermittelt den Zugreifenden und den Zugriffswunsch und übersendet dem PDP diese Daten. Der PDP wertet die Regeln aus und entscheidet, ob der Zugriff richtlinienkonform ist. Dies wird dem PEP mitgeteilt, der dieRichtlinienvollstreckungübernimmt.

Abbildung 3.1: Richtlinienverwaltung

3.1 Zugriffsstrategie

Abbildung 3.1 veranschaulicht wie die einzelnen Dienste untereinander kommunizieren. Der PIP ist ein einfacher Datenbankdienst, der lediglich wissen muss, wie die Richtlinien abgelegt werden. Der einzige Zugreifende ist der PDP. Dieser übermittelt Richtlinien, die der PIP abspeichert, oder fragt Richtlinien an. Die zu erstellenden oder zu ändernden Richtlinien werden vom PAP definiert. Dieser übermittelt die Richtlinien an den PDP, dessen Aufgabe die syntaktische Überprüfung ist. In speziellen Fällen können durch Richtlinien Bedingungen an das erlaubte Einreichen von Richtlinien des PAP gebunden werden.

In diesem Fall ist es die Aufgabe des PDP, dieses ebenfalls zu überprüfen. Läuft die Überprüfung erfolgreich ab, reicht der PDP die Richtlinien bei dem PIP ein. Der PEP (auch „Wächter“ genannt) ist schlussendlich die beim PDP anfragende Exekutive, ob ein Zugriffsversuch richtlinienkonform ist.

Schließlich vollstreckt der PEP die Entscheidung des Richtlinienentscheiders.

MASC-Zugriffskontrolle

In der MASC-Anwendung steht auf der einen Seite die Containereinheit, die batteriebetrieben eine möglichst große Lebensdauer haben soll. Die andere Seite bilden eine Vielzahl von Parteien, die sich Zugriff auf die Daten wünschen. Dabei soll aber zwischen den Rollen der Parteien beim Zugriff un-terschieden werden und der Shipper soll (über den Spediteur) die Möglichkeit erhalten, Einfluss auf die Zugriffsrechte zu nehmen. Hinzu kommt die Tatsache, dass die Parteien variabel sind und sich ge-mäß des Vertragsbaums (siehe 1.1.3) transitiv und dynamisch zusammensetzen. Der Spediteur ist dabei der Startpunkt. Die besondere Situation ist hier, dass der PAP für die Richtlinien eines Transports auf mehrere Parteien verteilt ist. Zunächst bekommt der Spediteur das Recht, als PAP zu agieren. Er kann dann die Zugriffsrechte für Shipper, Versicherer und seine Vertragspartner erstellen und die Richtlini-en dafür anlegRichtlini-en. Im FolgRichtlini-endRichtlini-en kann er seinRichtlini-en Vertragspartnern das Recht zusprechRichtlini-en, für bestimmte Zugriffsrechte selbst als PAP zu agieren. Auf diese Weise können alle Transportteilnehmer von ihrem Auftraggeber direkt berechtigt werden. Die Erstellung der benötigten Richtlinien folgt den Kanten des Vertragsbaums. Wie der PAP im Genauen aussieht, wird in Kapitel 5 beschrieben.

Es ist aus mehreren Gründen unklug, PEP, PDP und PIP in den Container zu verlagern. Erstens müsste bei jeder Richtlinienveränderung eine Kommunikation mit der MASC-Einheit aufgebaut werden. Jedes Verwenden der Sende-/Empfangseinheit kostet jedoch Energie und sollte auf ein Minimum reduziert werden. Zweitens müsste die Datenbanktabelle des PIP auch im Container gehalten werden. Exter-ner Flashspeicher müsste aufgerüstet werden, um dem zusätzlichen Speicherbedarf gerecht zu wer-den. Das erhöht die Kosten, wäre aber grundsätzlich machbar. Drittens ist der PDP der algorithmisch und kommunikativ aufwändigste Teil der Richtlinienverwaltung¹und benötigt seinerseits Arbeitsspei-cher, ProgrammspeiArbeitsspei-cher, Sende- und Rechenleistung. Ein Auslagern dieser Komponenten wäre eine Maßnahme, die die Containereinheit massiv entlastete. Das Auslagern von PDP und PIP würde das Zugreifen bei der Regelerstellung vermeiden und den Zugriff auf die Sensorabfragen beschränken.

1Der PDP ist der einzige, der mit allen anderen Teilnehmer kommuniziert, und nur er übernimmt die Überprüfungen der Rechtmäßigkeit.

Eine Grundvoraussetzung für das Auslagern von Diensten ist die Existenz einer Partei, der von allen Seiten (den Zugreifenden, den Containerbesitzern als Besitzer der MASC-Einheit und den Shippern, die ihre Regeln durchgesetzt bekommen möchten) dahingehend vertraut wird, dass sie die Aufgabe korrekt durchführt. Abschnitt 3.2 nimmt diesen Punkt auf und zeigt, dass diese vertrauenswürdigen Dritten im Transportwesen bereits existieren und eine Auslagerung der Dienste damit möglich ist.