Lehrstuhl für Technische Informatik - Rechnernetze

Role Based Access Control concepts for services and infrastructure management

Das Problem der Steuerung von Zugriffsberechtigungen zu geschützten Daten oder zu Dienstleistungen ist eine zentrale Fragestellung für die Sicherheit von Computernetzen geworden. Hauptziel dieser Fragestellung ist es, abzusichern, dass nur Benutzer, die Mitglied einer berechtigten Benutzergruppe sind, auf Ressourcen der Domäne, in der sie angelegt sind, zugreifen und sie benutzen können. Ein traditionelleSystemsicherheitsansatz, um die Verarbeitung einer Zugriffsabfrage zu gewährleisten, behandelt die Sicherheitsfrage als Kombinatiovon Authentisierung und Autorisierung. Die Abwicklung der Autorisierung erfolgt meist nach einer erfolgreichen Authentifizierung, um Zugriffsrechte auf Daten und Dienste zuweisen und zur Laufzeit überprüfen zu können.

Role Based Access Control (RBAC) ist ein bekanntes Autorisierungsverfahren zur Zugriffsberechtigung auf Ressourcen (z.B. auf Verzeichnisse, Dateien, Applikationen, Storagebereiche, Netzsegmente), sowie zur Installation oder Benutzung von geschützten Anwendungen in verteilten Domänen bzw. durch Mandanten. Häufig werden jedoch solche Zugriffsrechte unbeschränkt zugelassen, weil keine ausgereifte RBAC-Modellinstanz existiert. In komplexen Umgebungen, in denen unterschiedliche Rollenkonzepte vorhanden sein müssen, ist es aber erforderlich, ein aggregiertes und feiner granuliertes Rollenmodell zu definieren, so dass je nach Rollenzuordnung des Benutzers und den damit verbundenen Gruppenzugehörigkeiten das System dann das Zugriffsrecht auf Ressourcen erteilt oder sperrt, und diese Rechtezuordnung automatisch auch aktualisiert werden kann.

Hauptziel dieser Diplomarbeit ist es, ein Rollenkonzept auf Basis von RBAC für die Zugriffsrechte auf komplexe Infrastruktureinrichtungen zu definieren und zu erstellen, das folgende zentrale Anforderungen berüksichtig:

• Welches sind die Konzepte und Schlüsselrollen einer solchen RBAC-Lösung für IT Infrastrukturen, die Server, Storage, Netzsegmente und Applikationen enthalten und mit unterschiedllichen Anforderungen und Rollen administriert werden müssen?
• Welche Verfahren / Prozessmodelle sind sinnvoll, um das Management und die dynamische Zuordnung sowie die Aktualisierung von neuen Benutzern zu jeweiligen Rollen zu ermöglichen?
• Wie sind diese mit den damit verbundenen Management Tools der verschiedenen Ressourcen zu verknüpfen?
• Welches sind die Vor-/Nachteile dieser unterschiedlichen Konzepte / Modellansätze?

Darüber hinaus sollen die Sicherheitsanforderungen basierend auf z.B. Basel II und SOX berüksichtigt werden und in der Umsetzung erhalten bleiben. Basierend auf den Ergebnissen dieser Analyse und Konzeption soll ein Prototyp eines role based user access auf Basis einer Fujitsu Siemens IT Infrastrukturlösung realisiert werden.

Diese Arbeit findet in Kooperation mit der Fujitsu Siemens Computers GmbH statt. Die notwendige Testumgebung wird von FSC vor Ort gestellt. Die Betreuung der Arbeit erfolgt sowohl bei FSC als auch am Leibniz-Rechenzentrum.

Aufgabensteller:
Prof. Dr. H.-G. Hegering

Anforderungen:
Hilfreich sind Vorkenntnisse in den Bereichen Identity Management, Role Based Access Control (RBAC) und IT-Sicherheit

Dauer der Diplomarbeit: 6 Monate

Anzahl Bearbeiter: 1

Betreuer:
Latifa Boursas, Boltzmannstr. 1, Raum I.1.111, Tel. 089 35831-7880
Wolfgang Hommel, Boltzmannstr. 1, Raum I.1.110, Tel. 089 35831-7821
Hans-Dieter Conrads (FSC)