XML-Sicherheitsdienste für das Global Biodiversity Information

XML-Sicherheitsdienste für das Netzwerk der
Global Biodiversity Information Facility GBIF
Dipl.-Inf. Lutz Suhrbier
Dipl.-Inf. Ekaterina Langer
Freie Universität Berlin
Institut für Informatik
Netzbasierte Informationssysteme
Email: [email protected]
WWW: http://nbi.inf.fu-berlin.de
[1] © Lutz Suhrbier, FU-Berlin
Prof. Dr.-Ing. Robert Tolksdorf
GBIF DE / SYNTHESYS
GBIF-Initiative:
y
y
y
ƒ
weltweite Vernetzung und Bereitstellung
vorhandener Daten zur biologischen
Vielfalt über das Internet
Steigerung der Effizienz der
Biodiversitätsforschung
Unterstützung der Prioritätensetzung
bei Forschungs- und Naturschutzvorhaben
SYNTHESYS goals:
y
y
To provide researchers based in Europe with access to earth and
life science collections, facilities and taxonomic expertises
To create a single „virtual museum“ service through networking
activities
[2] © Lutz Suhrbier, FU-Berlin
ƒ
[3] © Lutz Suhrbier, FU-Berlin
Informationssystem
[4] © Lutz Suhrbier, FU-Berlin
Informationssystem
[5] © Lutz Suhrbier, FU-Berlin
Informationssystem
[6] © Lutz Suhrbier, FU-Berlin
Informationssystem
Aktueller Zustand
Aktueller Zustand
y
y
Datenbanken (Unit Level DB) der Datenanbieter werden
gekapselt (Wrapper-Komponente)
XML-basiertes Protokoll zur Anfrage
Provider Domain
Wrapper
SQL
Configuration
Files
Unit
Level
DB
BioCase
XML Query
BioCase
XML Response
Client Domain
Client
[7] © Lutz Suhrbier, FU-Berlin
ƒ
Aufgabe XML Sicherheitsdienste
Erweiterung um XML-basierte Sicherheitsdienste:
y
y
y
Authentifizierung von Benutzern und Zugriffskontrolle auf die
Ressourcen anhand von rollenbasierten Politiken
Sichern der Kommunikation durch
y Vertraulichkeit und Integrität der übertragenen Daten
y Authentizität der Datenquellen
y Nicht-Abstreitbarkeit von Nachrichten
Kennzeichnung/Durchsetzung von Eigentumsrechten (IPR) durch
digitales Rechtemanagement
[8] © Lutz Suhrbier, FU-Berlin
ƒ
Architektur Sicherheitsdienste GBIF
Provider Domain
Client Domain
Login
Authentication
Access Control
Users
Roles
Access Rights
Restricted
BioCase
XML Query
BioCase
XML Response
Encrypted signed
XML Response
Enc/Dec
Sign/Vrfy
Wrapper
SQL
Configuration
Files
Unit
Level DB
[9] © Lutz Suhrbier, FU-Berlin
Policies:
Enc/Dec
Sign/Vrfy
Encrypted signed
XML Query
Client
Policy-Architektur
Project Root
Policies
Access
Rights
National Node 1
Policies
Access
Rights
Policies
Access
Rights
Policies
Access
Rights
National Node 2
Policies
Access
Rights
Policies
Access
Rights
Policies
Access
Rights
Provider 1
Policies
Access
Rights
Policies
Access
Rights
Regional Node
Policies
Policies
Access
Rights
Access
Rights
Provider 2
Policies
Access
Rights
Policies
Access
Rights
Provider 3
Policies
Access
Rights
Policies
Access
Rights
Policies
Access
Rights
[10] © Lutz Suhrbier, FU-Berlin
Host
XML Sicherheitsstandards
eXtensible Access Control Markup Language (XACML) [OASIS]
y
ƒ
Security Assertion Markup Language (SAML) [OASIS]
y
ƒ
Regelt den Austausch von Autorisierungs- und
Authentifizierungsinformationen (z.B. über XACML-Profile)
XML Key Management Specification (XKMS) [W3C]
y
ƒ
Definiert ein Basisschema inklusive eines Namensraums, um in XML
Autorisierungspolitiken (Zugriffskontrolle) gegenüber ebenfalls in XML
definierten Objekten zu beschreiben
Definiert zwei XML-basierte zur Verwaltung öffentlicher Schlüssel und
Zertifikate
y Registrierung öffentlicher und privater Schlüssel
y Verifikation öffentlicher Schlüssel bzw. Zertifikate.
eXtensible rights Markup Language (XrML) [OASIS]
y
Beschreibungen, wer welche Rechte unter welchen Bedingungen auf digitale
Resourcen (Software, Services, Hardware) ausüben darf
[11] © Lutz Suhrbier, FU-Berlin
ƒ
Sichern der Kommunikation
Web Services Security [OASIS]
y
ƒ
XML-Encryption [W3C]
y
y
y
ƒ
SOAP [W3C]-Erweiterung zum Aufbau sícherer Web Services durch
Implementierung von Nachrichtenintegrität und Vertraulichkeit
Vertraulichkeit von XML-Daten durch Verschlüsselung
Verschlüsselung ganzer XML-Dokumente oder fein abgestuft
y z.B. Elementgruppen, einzelne Elemente oder Elementinhalte
Unterschiedliche Schlüssel für verschiedene Teile eines Dokuments
y z.B. geheime Abschnitte des Dokuments nur für bestimmte Empfänger
lesbar
XML-Signature [W3C]
y
y
y
y
Integrität und Verbindlichkeit von XML-Daten durch Anwendung digitaler
Signaturen
Signieren ganzer XML-Dokumente oder von Dokumententeilen
Digitale Signaturen werden persistenter Bestandteil des Dokuments und somit
dauerhaft verifizierbar
Alle per URI referenzierbaren Datenobjekte flexibel mit verschiedenen
Optionen (enveloped, enveloping oder detached) signierbar
[12] © Lutz Suhrbier, FU-Berlin
ƒ
Aktueller Stand der Entwicklung
Konzeptphase abgeschlossen
Ö Entwurf Systemarchitektur
[13] © Lutz Suhrbier, FU-Berlin
ƒ
Aktueller Stand der Entwicklung
Problemstellungen
y
y
Anbindung Java – Python (Wrapper)
y Erfahrungswerte mit Jython, JPype ?
y evtl. Redirected Stand-alone Server ?
XML-basierte Client-Authentisierung
y Web-Services Security erscheint geeignet, aber
Projektanforderung: Einsatz leichtgewichtiger Techniken
y
y
y
Vermeidung von Servlet-Containern (Tomcat ->WSDP1.4)
Erfahrungswerte mit Apache Axis (WSS4J) ?
Andere freie WSS-API‘s ?
[14] © Lutz Suhrbier, FU-Berlin
ƒ