Logo DOAB
  • Search
  • Publisher login
    • Support
    • Language 
      • English
      • français
    • Deposit
    • For Researchers
    • For Librarians
    • For Publishers
    • Our Supporters
    • Resources
    • DOAB
    • For Researchers
    • For Librarians
    • For Publishers
    • Our Supporters
    • Resources
    • DOAB
    View Item 
    •   DOAB Home
    • View Item
    •   DOAB Home
    • View Item
    JavaScript is disabled for your browser. Some features of this site may not work without it.

    Zertifikatsbasierte Zugriffskontrolle in verteilten Informationssytemen

    Thumbnail
    Download Url(s)
    https://www.ksp.kit.edu/3937300309
    Author(s)
    Nochta, Zoltán
    Language
    German
    Show full item record
    Abstract
    Bekannte Techniken für die Verwaltung und Überprüfung von Zertifikaten wurden zur Unterstützung von PKIs entwickelt. Aufgrund verschiedener Defizite dieser Techniken bezüglich Performanz und Sicherheit wird ein eigener Ansatz vorgestellt. Dieser Ansatz greift auf Vorgängerarbeiten zurück, im Wesentlichen auf Arbeiten von Ralph Charles Merkle, Irene Gassko et. al und Ahto Buldas. Einen wichtigen Baustein des vorgestellten Ansatzes bildet die Datenstruktur mit der Bezeichnung Improved Certification Verification Tree (I-CVT). Diese ermöglicht die kosteneffiziente und sichere Verwaltung und Überprüfung von Attributszertifikaten und kann die Basis einer sogenannten Privilege Management Infrastructure bilden. Basierend auf der I-CVT-Technik können die mit Attributszertifikaten verbundenen Verwaltungskosten niedrig gehalten werden. Wichtiger noch, dass mit Hilfe von I-CVTs die Überprüfung sowohl einzelner als auch gleichzeitig mehrerer Attributszertifikate einer Zertifizierungsstelle effizient und sicher durchführbar ist. Anhand von I-CVTs lassen sich so genannte Vollständigkeitsbeweise generieren. Diese verhindern die unbemerkte Zurückhaltung von auf eine Anfrage passenden Attributszertifikaten durch die diese speichernde Datenbank. Angenommen wird dabei, dass der Anfragende die Anzahl jener Attributszertifikate im Voraus nicht kennt. Einen Spezialfall für Vollständigkeitsbeweise bilden Anfragen, welche höchstens einen Treffer haben können. In solchen Fällen können so genannte Existenz-Beweise beziehungsweise Nicht-Existenz-Beweise generiert und vom Anfragenden ausgewertet werden, je nach Erfolg der jeweiligen Suche. Die Möglichkeit, solche Beweise zu generieren macht den Einsatz von I-CVTs neben der gewünschten sicheren Zugriffskontrolle auch für zahlreiche andere Szenarien attraktiv, die auf Datenbankanfragen basieren. Aus Sicht der performanten Überprüfung während der Zugriffskontrolle haben Attributszertifikate, welche durch Delegierung entstanden, eine Sonderstellung. Bei der zertifikatsbasierten Rechtedelegierung entstehen so genannte Delegierungsnetzwerke, die in den einfachsten Fällen eine Delegierungskette (engl. Delegation Chain) bilden. Ein solches Netzwerk besteht aus Zertifikaten, die von verschiedenen Stellen ausgestellt wurden. Den vertrauten Ursprung solcher Netzwerke, falls es überhaupt einen gibt, während der Zugriffskontrolle zu finden, kann lange Wartezeiten im System verursachen. Ein Vorschlag von Tuomas Aura den hiermit verbundenen Aufwand zu reduzieren, war die Reduktion derartiger Netzwerke auf Attributszertifikate, welche direkt von vertrauten Instanzen ausgestellt werden. Dies hat eine wesentliche Vereinfachung der Ursprungsprüfung delegierter Berechtigungen zur Folge. Einen sicheren Dienst für diesen Zweck innerhalb einer PMI zu konstruieren wirft aber etliche Probleme auf, welche diskutiert werden. In dieser Arbeit wird deshalb neben anderen Konzepten die Technik der so genannten Offline-Delegierung vorgeschlagen. Sie bietet eine einfache Lösung des Problems, indem die gleiche Nutzfunktionalität - sprich die Weitergabe von Berechtigungen - ganz ohne das Entstehen von Delegierungsnetzwerken geschieht. Dies macht die Ursprungsprüfung der Delegierungen einfacher sowie eine nachträgliche Reduzierung von Delegierungsnetzwerken unnötig. Die kombinierte Verwendung von I-CVTs und der Offline-Delegierung bildet das theoretische Fundament eines prototypisch implementierten Systems mit der Kurzbezeichnung PAMINA (Privilege Administration and Management INfrAstructure). Die den jeweiligen Bedürfnissen anpassbare und erweiterbare Komponenten des Systems PAMINA Administration Server, Privilege Database und Certificate Verifier ermöglichen eine flexible Einführung in eine Betriebsumgebung. Die Tragfähigkeit von PAMINA wurde bei der Absicherung eines an der Universität Karlsruhe entwickelten internetbasierten Lernsystems mit der Bezeichnung ed.tec demonstriert.
    URI
    https://directory.doabooks.org/handle/20.500.12854/62918
    Keywords
    Datensicherung; Elektronische Unterschrift; Zugriffskontrolle; Zugriffsrelation; Zertifikat; Computersicherheit; Zertifizierungsstelle
    DOI
    10.5445/KSP/1000001172
    ISBN
    3937300309
    Publisher
    KIT Scientific Publishing
    Publisher website
    http://www.ksp.kit.edu/
    Publication date and place
    2005
    Pages
    178 p.
    Review type
    Full text
    Anonymity
    All identities known
    Reviewer type
    Internal editor; External peer reviewer
    Review stage
    Pre-publication
    Open review
    No
    Publish responsibility
    Scientific or Editorial Board
    • Imported or submitted locally

    Browse

    All of DOABSubjectsPublishersLanguagesCollections

    My Account

    LoginRegister

    Export

    Repository metadata
    Doabooks

    • For Researchers
    • For Librarians
    • For Publishers
    • Our Supporters
    • Resources
    • DOAB

    Newsletter


    • subscribe to our newsletter
    • view our news archive

    Follow us on

    • Twitter

    License

    • If not noted otherwise all contents are available under Attribution 4.0 International (CC BY 4.0)

    donate


    • Donate
      Support DOAB and the OAPEN Library

    Credits


    • logo Investir l'avenirInvestir l'avenir
    • logo MESRIMESRI
    • logo EUEuropean Union
      This project received funding from the European Union’s Horizon 2020 research and innovation programme under grant agreement No 871069.

    Directory of Open Access Books is a joint service of OAPEN, OpenEdition, CNRS and Aix-Marseille Université, provided by DOAB Foundation.

    Websites:

    DOAB
    www.doabooks.org

    OAPEN Home
    www.oapen.org

    OAPEN OA Books Toolkit
    www.oabooks-toolkit.org

    Export search results

    The export option will allow you to export the current search results of the entered query to a file. Differen formats are available for download. To export the items, click on the button corresponding with the preferred download format.

    A logged-in user can export up to 15000 items. If you're not logged in, you can export no more than 500 items.

    To select a subset of the search results, click "Selective Export" button and make a selection of the items you want to export. The amount of items that can be exported at once is similarly restricted as the full export.

    After making a selection, click one of the export format buttons. The amount of items that will be exported is indicated in the bubble next to export format.