[go: up one dir, main page]
More Web Proxy on the site http://driver.im/

WO2003025758A2 - Vorrichtung und verfahren zur etablierung einer sicherheitspolitik in einem verteilten system - Google Patents

Vorrichtung und verfahren zur etablierung einer sicherheitspolitik in einem verteilten system Download PDF

Info

Publication number
WO2003025758A2
WO2003025758A2 PCT/EP2002/010437 EP0210437W WO03025758A2 WO 2003025758 A2 WO2003025758 A2 WO 2003025758A2 EP 0210437 W EP0210437 W EP 0210437W WO 03025758 A2 WO03025758 A2 WO 03025758A2
Authority
WO
WIPO (PCT)
Prior art keywords
node
nodes
rules
distributed system
erm
Prior art date
Application number
PCT/EP2002/010437
Other languages
English (en)
French (fr)
Other versions
WO2003025758A3 (de
Inventor
Stephen Wolthusen
Original Assignee
Fraunhofer Gesellschaft zur Förderung der angewandten Forschung e.V.
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fraunhofer Gesellschaft zur Förderung der angewandten Forschung e.V. filed Critical Fraunhofer Gesellschaft zur Förderung der angewandten Forschung e.V.
Priority to US10/489,817 priority Critical patent/US20050038790A1/en
Publication of WO2003025758A2 publication Critical patent/WO2003025758A2/de
Publication of WO2003025758A3 publication Critical patent/WO2003025758A3/de

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/08Configuration management of networks or network elements
    • H04L41/0893Assignment of logical groups to network elements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Definitions

  • the invention relates to a distributed system consisting of a plurality of computer units connected to one another via a network, so-called nodes, in each of which a local monitoring unit is provided for impressing at least one security policy which is the responsibility of the respective nodes and which is connected to at least one monitoring unit external to the network are in which the security policies of all nodes or at least one group of nodes relating to regulations can be stored.
  • the invention further relates to a method for impressing a security policy into a plurality of computer units connected to one another via a network.
  • a further criterion in the development of such a security system must be that it must be neutral with regard to the security policy (or the security model) to be enforced.
  • Another aspect is the communication of different subjects, ie computer units or nodes or users, all of which have a different security standard. It must be assumed that, for example, a mobile device may make contact with nodes worthy of protection, forming an anticipated transitive network.
  • a similar scenario arises if a user establishes a remote access connection to a protected network and at the same time has established another network connection and thus - mostly unconsciously - has established an unprotected connection between the public Internet and a principally protected network and thereby overrides all protection and logging mechanisms.
  • Trojan horses of various complexity up to complete maintenance tools represent a further threat that can be classified as mobile program code. Since the execution of such programs often takes place on the basis of social factors, technical means for protection against this are not adequately provided.
  • a security policy which is only restricted to an application or a user program, as is the case in the above publication, can e.g. do not prevent a semantically equivalent operation from being carried out with a second application, e.g. sending an email that is not subject to security policy.
  • nodes which are connected to one another via a network, in which a local monitoring unit is provided to impress at least one security policy which is the responsibility of the respective nodes and which is connected to at least one monitoring unit external to the network , in which the security policies of all nodes or at least one group of nodes relating to regulations can be stored in such a way that the resources available in a node are protected against uncontrolled and unauthorized access and manipulation.
  • Resources are to be understood to mean all files, such as executable files and data files, as well as directories, connections, virtual connections, datagrams, interprocess communication messages, devices, physical connections and memory segments.
  • a distributed system consists of a multiplicity of computer units connected to one another via a network, so-called nodes, in each of which at least one is responsible for impressing the respective nodes
  • the ECRM only serves to enforce the security policy, which is stamped externally and does not have to be fully available within the ECRM. If the ECRM is confronted with a situation for which there are no temporarily registered rules, the ECRM must implicitly query the applicable rules automatically.
  • security policy is limited here to a definition that only contains rules that can be implemented using technical means. Individual aspects that are covered by such rules include all operations on the part of subjects such as users, application programs which act on behalf of users, or the behavior of the node operating system itself. Wherever possible, a security mechanism must attempt to forward such operations to the semantically most significant recognizable entity couple, ie at best to a specific user.
  • the aim pursued with the above solution is to enforce the mechanisms of an overarching security policy within each individual Node at the level of the operating system determining the node, which controls access to all objects, ie to all resources available to the respective node, by any subject, for example by the user himself.
  • the security policies become effective beyond the area boundaries of each individual node and ultimately remain for the user and for those on the individual application programs running in the background without impairing their ease of use or functionality in detail.
  • An essential key to achieving this goal is to separate the decisions regarding security policies from their enforcement, both at the level of the individual node concerned and between nodes that implement such a security policy and nodes that specify the security policy.
  • the ECRM mechanism is based on the separation of decisions regarding security policy, their implementation by separating the reference monitor into local components that are contained in each user node (ECRM) and external distribution centers for security policies, the external reference monitors (ERM). , Both the core functionality of the ERM and the ECRM can be outsourced to secure coprocessors in order to increase trustworthiness and protection against manipulation.
  • the ERM nodes contain information regarding security policies for which they are either authorized to make decisions or act as a temporary cache. Using a suitable mechanism for resolving conflicts in security policies, the handling of operations originating from subjects or objects from several different areas of responsibility of security policies can also be regulated. Communication between an ECRM and an ERM can involve individual decisions such as relate to access to a data object for exactly one access, as well as to a temporary delegation in a derived subset of the active security policy. This depends, among other things, on the type of surgery desired and the capabilities of the ECRM node.
  • the ECRM that is to say the local reference monitor, is provided with a security policy represented by the ERM as a set of rules, which the ECRM makes its own at the operating system level and which uses formal first-order logic to assist in decision-making Operations.
  • the formal logic of the first order ensures that decisions to be taken are always self-consistent and do not contradict each other in the entire distributed system.
  • the security policy can also be structured hierarchically.
  • the basic condition for maintaining security within the distributed system is that subordinate policies, i.e. more restricted security policies, may only contain additional restrictions in their regulations.
  • subjects such as users, processes, application programs, nodes, networks, network connections, bus connections, and objects, for example files, executable files, data files, directories, connections, virtual connections, datagrams, interprocess communication messages, devices, physical connections and memory segments
  • a resolution mechanism is necessary for the correct treatment of this situation with possibly conflicting rules in the individual security policies concerned. This mechanism must be defined individually for the organizations concerned by the respective security administrators. In this case it is necessary to enforce the total amount of all active policies consistently across the entire distributed system. If policy rules are linked to semantically higher-ranking subjects, this means that every unit that makes such decisions or regulates operations is aware of these consolidated rules.
  • ERM nodes for load balancing as a buffer as well as to temporarily store locally on the part of the ECRM rules for implementation.
  • the delay in this implementation can be regulated by specifying a rule's lifespan; after this period, the origin of the rule must again can be contacted and the request on the basis of which the rule was generated can be made again.
  • a method for impressing a security policy into a plurality of nodes connected to one another via a network in each of which a local monitoring unit is provided, each of which is connected to at least one external monitoring unit present within the network, in each of which the security policies of all nodes or at least one group of nodes relating to the rules are stored in such a way that a set of rules determining the security policy is called up by the at least one external monitoring unit and is stored and processed at least temporarily within the node in such a way that this set of rules performs all operations with objects at the node's operating system level and interactions between subjects and objects within the node are controlled in accordance with the rules.
  • the term operations in particular means the following functions that run within a computer unit: generation of a file, reading of a file, writing of a file, overwriting of a file, appending a file, deletion of a File, reading meta information of a file, writing meta information of a file, reading a directory, creating a directory, searching in a directory, deleting a directory, creating a memory segment, reading a memory segment, writing a memory segment, deleting a memory segment, opening a device , Reading data from a device, writing data to a device, reading metadata from a device, writing metadata to a device, closing a device, sending interprocess communication message, receiving interprocess communication message, sending e a datagram receiving a datagram, creating a virtual connection, sending data over a virtual connection, receiving data over a virtual connection, clearing down a virtual connection.
  • control mechanism caused by the reference monitor should be secured against manipulation from outside.
  • control mechanism caused by the reference monitor should be sufficiently small to be able to be subjected to an analysis and checks which verify the assurance of the required properties.
  • the dividing line T shown in FIG. 1 denotes the physical separation between an (end) node and an external entity (server), which are in communication with one another via a network connection or an alternative connection technology.
  • server external entity
  • the node has an externally controlled reference monitor (ECRM), which, based on rules that determine the security policy on this computer, makes decisions regarding operations that take place on this node, for example by entering subjects (manipulation) of objects (object identity).
  • ECRM externally controlled reference monitor
  • the decisions made are made available to the operating system of the node via an output unit (decision implementation) for the corresponding execution or omission of the respective operation.
  • the security policy which can be represented in the form of a set of rules, can be temporarily stored in a buffer (delegated authentication database) in certain cases, which will be dealt with separately.
  • the node contains a type of revision system (audit subsystem), which records and records communications between the node and the external entity and / or operations taking place within the node between subjects and / or objects. This aspect will also be dealt with individually at a later point.
  • the external entity provides an external reference monitor (ERM), which is responsible for a security policy affecting all nodes connected to the external entity in the form of a set of rules, which is available as an authentication database.
  • EEM external reference monitor
  • the server also provides an audit subsystem. For security reasons against attacks from outside, ie through unauthorized intervention by third parties in the distributed system, both the node and the external instance are each integrated in a secure coprocessor (trusted subsystem).
  • An essential aspect for fulfilling the requirements set out at the beginning is to relocate the "Authentication Database" outside the individual nodes and to have the reference monitors of the nodes (ECRM) request the necessary information for deciding the admissibility of operations from central instances (servers)
  • ECRM reference monitors of the nodes
  • the functionality of the reference monitor is split into a local and a remote component, with control over the behavior of the local instance, and thus over all resources of the node concerned, in the remote instance (s) (ERM), as in Figure 1 shown.
  • Operations relevant to a node's security can be performed on a variety of objects ranging from files to virtual network connections; depending on the level of abstraction used, this even includes individual access to memory cells. All of these accesses must meet one or a number of security policies.
  • ERM Controlling Entities
  • an ECRM will request, either periodically or due to a specific event, the rules of the policies to be used as the basis for the decisions.
  • rules on the permissibility and content of network connections are examples of this.
  • An event that leads to the questioning of one or more ERMs is the processing of an operation that involves an object or a subject and in which the rules of security policy temporarily delegated to the ECRM do not apply directly or derived (indirectly).
  • Requirement 3 on the other hand, cannot be met on the part of the nodes controlled by ECRM on the basis of subsequently modified operating systems.
  • the main reason for this is that due to the complexity and unknown error conditions of such operating systems, requirement 2 cannot be met by the entire system; an attacker can covertly gain control over data or the functioning of operating system components with increased privileges.
  • requirement 2 can largely be achieved by using cryptographic mechanisms for data objects within the ECRM and by shifting at least critical execution paths within the ECRM.
  • a distributed system exposes the nodes belonging to it to opponents both in relation to the programs used, to the network connections between the nodes, but in particular in relation to physical control.
  • a successfully answered request to an ERM will result in the transmission of the key material to the ECRM via a secure channel, which uses the key to decrypt the data material for the requested operation and precisely this operation and then immediately discards the key material to expose it to avoid plain text data as well as key material.
  • this marking can at least partially consist of a cryptographic hash value, which thus also enables the consolidation of several copies of a data object that are identical in content based on a set of rules, regardless of the storage location or the replication of data objects.
  • markings For other types of objects without such properties, markings must be generated which, as a requirement, only have to be minimally unique. The generation and, if necessary, the classification of the marking within the semi-orders for type and identity is carried out by an ERM.
  • revision information A desirable additional information is the so-called revision information, which can be recorded with the help of the audit subsystem. It affects the traceability of data objects and their distribution routes. It also includes information about channels from one subject to another that is for one Data transport has been used; this also includes the case that all subjects involved have the necessary authorizations.
  • a "nonce" is sufficient (ie a random value that can occur exactly for a single transaction, each repetition of a nonce is equivalent to the recognition of a replay with the identities of the subject who is accessing or operating request for an object to link with the identity of the last accessing subject and to encrypt this using a key known only to the ERM.
  • the result of these steps can now be inserted into the object marking as soon as the object is copied or otherwise transferred.
  • the resulting object marking must be transferred to the ERM as part of the rule request from an ECRM for an object and an operation. Due to the presence of the nonce, re-recordings can be recognized. Other copy attacks on components of the object marking remain ineffective since the marking of each individual object is unique by definition.
  • a secure distributed system must also meet requirement 1, ie the control mechanism caused by the reference monitor should be secured against manipulation from outside. This assumption is assumed to be fulfilled in most regular operating systems that follow a conventional reference monitor concept, since the hardware protection mechanisms for memory management during operation ensure that this is at least divided into a regular user mode and a supervisor.
  • supervisor mode also called kernel mode
  • access to all local resources of a node e.g. through direct manipulation of memory areas, devices, modification of other components of the operating system, etc.
  • Reference Monitor itself.
  • the direct consequence of this design decision is the requirement of all program code that operates in supervisor mode for verification and validation subject to requirement 3.
  • TCSEC Trusted Computer System Evaluation Criteria
  • ITSEC Common Criteria for Information Technology
  • Secure coprocessors are only allowed to communicate with the outside world, especially with their host system, using a narrow and well-defined interface. This, in combination with the low complexity of a coprocessor system and the fact that no administrative access to the coprocessor has to be granted to the outside, enables careful verification and validation of the coprocessor, preferably using formal methods, which also include the design of the actual hardware should take into account.
  • the secure communication channel between ECRM and ERM can be implemented using a hybrid encryption scheme, for example; the use of symmetric methods with equivalent cryptographic properties depends depends on the availability of suitable hardware for computing asymmetric cryptographic operations.
  • the coprocessor should also be able to generate an asymmetric key pair entirely within the tamper evident area and only expose the public key while all operations are performed using the secret key within the tamper evident area.
  • the ECRM and ERM or the ERM communicate with each other only if there is a certificate or a chain of certificates corresponding to the hierarchy of the policies to be implemented for the parties involved in communication and these are valid.
  • An ECRM requests a rule or a set of rules using a Policy Data Request Protocol (PRDP).
  • PRDP Policy Data Request Protocol
  • the ERM's response or responses are transmitted over a channel with the same properties.
  • the answers can answer a superset of the request, which is then submitted by the ECRM Verification of the integrity and authenticity of the response can be reused for the life of the response.
  • the ECRM decrypts the information provided by the host operating system and returns the plain text or encrypted data thus received to the same.
  • this mechanism can be used to control all decision-making processes relating to operations within an operating system.
  • ECRM should initially maintain revision data locally; this can take place within the areas protected against manipulation or, in turn, can be stored in encrypted form against manipulation by the host operating system.
  • This revision data can be forwarded directly to relevant ERMs or preprocessed based on rules created by an ERM and only forwarded to the ERM after preprocessing (e.g. combining several similar events).
  • IDS intrusion detection system
  • the ECRM does not necessarily have to be implemented in hardware or as a secure coprocessor, however, in the case of implementation in the form of software, the aforementioned risk of manipulation must be accepted.
  • the mechanism described here is able to represent any security model that can be described with the help of an automated computer system or security policies derived from it (without proof).
  • security policies can be combined by surveying several ERMs in a hierarchy (so-called Policy Domain) or by surveying all hierarchies of ERMs, in whose domain there are objects on which an operation in question is to take place.
  • the system described here must be usable across organizational boundaries and thus also across trust boundaries. It is not necessary for the operator of an ERM to be trusted by the operators of other ERMs or by the users of ECRM.
  • the need to be able to carry out verification and validation of the entire mechanism also requires a further upper limit for the maximum permissible complexity.
  • the ERM must ensure the confidentiality and integrity of all policy decisions, as well as the data base of the decisions and the revision information, since all this data must be saved in databases that can be located outside of the trustworthy environment and are not subject to the direct rule of the ERM.
  • Such a backup also realizes a separation between the possibility of accessing the databases from an operational and administrative point of view (e.g. for the purpose of data backup).
  • the users of an ERM must trust the operator of the ERM at least to the extent that the operator guarantees the reliability and availability of the ERM and the data stocks in an appropriate manner; In addition, the operator of the ERM should not be presumed to be trying to infiltrate the secure area of the coprocessor with considerable financial expenditure and criminal energy.
  • the ERM can be arranged hierarchically, on the other hand, each rule set can in turn be replicated via any number of ERM nodes. Secondarily, decisions about rules made by other ERM nodes can be held as a buffer.
  • the core observation here is the so-called "locality of reference”, i.e. the fact that any process at any given time only ever operates with a very small number of objects.
  • the objects in question come from a specific organizational unit. This can be assigned its own local or replicated ERM become. If several ERM nodes are used in parallel for load balancing, the cryptographically outsourced database can be shared by several ERM nodes.
  • ERMs can exist within an organization itself; these can spread a common policy or spread different policies. If such control areas collide, special policies to compensate for potentially different regulations must be defined for areas common to several sub-organizations.
  • the hierarchy is assigned e.g. on embedding the identities of the subjects and types in a semi-order with the existence of a largest lower bound and a smallest upper bound for each pair of elements of the semi-order. This makes it possible to refer to levels within this semi-order within policies.
  • the semi-order also implicitly reflects the identity of the assigned local ERM.
  • One possible form is the implementation of a separate routing network with local and long-distance traffic protocols, in which local routes are automatically generated by the routing algorithms and partial failures are thereby intercepted, but long-distance connections, for reasons of efficiency, require a partial manual intervention for the determination of optimal ones Routes and connections are instructed; the latter, however, are to be regarded as stable over longer periods.
  • Another characteristic is the use of the name and routing hierarchy specified by the Domain Name System. This can be done by defining your own resource records as part of the Domain Name System protocol or by an association through conventions outside the protocol.

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Storage Device Security (AREA)
  • Computer And Data Communications (AREA)
  • Multi Processors (AREA)

Abstract

Beschrieben wird ein verteiltes System, bestehend aus einer Vielzahl über ein Netzwerk miteinander verbundener Rechnereinheiten, sogenannte Knoten, in denen jeweils zur Einprägung wenigstens einer den jeweiligen Knoten obliegenden Sicherheitspolitik eine lokale Überwachungseinheit vorgesehen ist, die mit wenigstens einer innerhalb des Netzwerkes externen Überwachungseinheit verbunden sind, in der jeweils die Sicherheitspolitiken aller Knoten oder wenigstens einer Gruppe von Knoten betreffende Regelwerke ablegbar sind. Ferner wird ein Verfahren zum Betreiben eines derartigen verteilten Systems beschrieben. Die Erfindung zeichnet sich dadurch aus, dass die lokale Überwachungseinheit ein Reference Monitor (ECRM) ist, der auf Betriebssystemebene des jeweiligen Knotens sämtliche Operationen mit Objekten sowie Interaktionen zwischen Subjekten und Objekten innerhalb des Knotens unter Massgabe des Regelwerks kontrolliert, das in den Reference Monitor (ECRM=Externally Controlled Reference Monitor) des jeweiligen Knotens wenigstens temporär implementiert ist.

Description

Vorrichtung und Verfahren zur Etablierung einer Sicherheitspolitik in einem verteilten
System
Technisches Gebiet
Die Erfindung bezieht sich auf ein Verteiltes System bestehend aus einer Vielzahl über ein Netzwerk miteinander verbundener Rechnereinheiten, sogenannte Knoten, in denen jeweils zur Einprägung wenigstens einer den jeweiligen Knoten obliegenden Sicherheitspolitik eine lokale Überwachungseinheit vorgesehen ist, die mit wenigstens einer innerhalb des Netzwerkes externen Überwachungseinheit verbunden sind, in der jeweils die Sicherheitspolitiken aller Knoten oder wenigstens einer Gruppe von Knoten betreffende Regelwerke ablegbar sind. Ferner bezieht sich die Erfindung auf ein Verfahren zur Einprägung einer Sicherheitspolitik in eine Vielzahl über ein Netzwerk miteinander verbundener Rechnereinheiten.
Stand der Technik
Die Entwicklung hin zu immer stärkerer Vernetzung von Rechnersystemen und fast jedem anderen elektronischen Gerät wird in der Regel kaum in Frage gestellt. Zusammen mit einer ständig wachsenden Abhängigkeit von derartigen verteilten Systemen bzw. Netzwerken sowie der zunehmenden Wichtigkeit und Sensibilität der Daten und Anwendungen, die in diesen Strukturen zum Einsatz kommen, ist der Bedarf nach Mechanismen zur Erzwingung von Richtlinien bezüglich Sicherheit und Integrität kaum von der Hand zu weisen.
Es muß jedoch festgehalten werden, daß derzeit verfügbare und im Einsatz befindliche Systeme von Betriebssystemen bis hin zu Firewalls diesen Anforderungen nicht gerecht werden. Hinzu kommt, daß viele Anwendungsprogramme zwar in Bezug auf Unterstützung von Netzwerken entwickelt oder dahingehend erweitert werden, jedoch Überlegungen zur Sicherheit dieser Anwendung in der Regel nicht effektiv integriert werden. Was daher notwendig erscheint ist ein pragmatischer Mechanismus um diese Anforderungen zumindest partiell zu erfüllen und dabei gleichzeitig soweit als möglich die Kompatibilität zu bestehenden Systemen zu gewährleisten. Dies kann durch den nachträglichen Einbau notwendiger Mechanismen in konventionelle Betriebssysteme erreicht werden, wenn man dazu bereit ist, eine geringere Vertrauenswürdigkeitsstufe in Kauf zu nehmen, als dies bei einem von Grund auf realisierten System der Fall wäre.
Die primäre Herausforderung hierbei besteht darin, daß ein derartiger Mechanismus über Knoten- und Systemgrenzen operieren muß, um einen umfassende Sicherheitslösung in einer heterogenen vernetzten Umgebung zu bieten, und daß dieser Sicherheitsmechanismus keine Änderungen an bestehenden Anwendungsprogrammen verursachen oder notwendig machen darf. Nicht zuletzt muß ein derartiger Mechanismus auch für Nutzer soweit als möglich unsichtbar bleiben, sofern diese sich innerhalb des von der gültigen Sicherheitspolitik gesteckten Rahmens bewegen.
Ein weiteres Kriterium bei der Entwicklung eines derartigen Sicherheitssystems muß sein, daß es neutral bezüglich der durchzusetzenden Sicherheitspolitik (bzw. des Sicherheitsmodells) sein muß.
Ein weitere Aspekt ist die Kommunikation unterschiedlicher Subjekte, d.h. Rechnereinheiten bzw. Knoten oder User, die alle über einen untersch'iedlichen Sicherheitsstandard verfügen. Es muß davon ausgegangen werden, daß bspw.ein mobiles Gerät eventuell unter Bildung einer nicht antizipierten transitiven Vernetzung Kontakt zu schützenswerten Knoten aufnimmt. Ein ähnliches Szenario ergibt sich, wenn ein Nutzer eine Femzugriffs-Verbindung zu einem geschützten Netzwerk aufbaut und zur gleichen Zeit eine weitere Netzwerk-Verbindung aufgebaut hat und somit - meist unbewußt - eine ungeschützte Verbindung zwischen dem öffentlichen Internet und einem prinzipiell geschützten Netzwerk aufgebaut hat und dabei sämtliche Schutz- und Protokollierungsmechanismen außer Kraft setzt. Trojanische Pferde verschiedener Komplexität bis hin zu vollständigen Femwartungs-Werkzeugen stellen eine weitere als mobiler Programmcode zu klassifizierende Bedrohung dar. Da die Ausführung derartiger Programme häufig aufgrund sozialer Faktoren erfolgt, sind technische Mittel zum Schutz hiervor nicht hinreichend vorgesehen.
Selbst eine einfache aktuelle www-Anwendung beinhaltet in der Regel eine komplexe Menge an Protokollen und Anwendungen von modernen HTML- Interpretern und Darstellungsverfahren, die bereits an sich verwundbar sein können und darüberhinaus implizite Operationen auf Seiten des empfangenden Knotens sowie die Ausführung von Code auf diesem verursachen. Nur sehr wenig hiervon wird von Nutzern bewußt wahrgenommen oder kann auch nur selektiv von diesem kontrolliert und deaktiviert werden.
Ein die vorstehende Problematik jedoch auch nur in Teilaspekten lösendes System ist aus der US 6,202,257 zu entnehmen, in der ein verteiltes System beschrieben ist, das aus einer Vielzahl über ein Netzwerk verbundenen Rechnerknoten besteht, denen zur Durchführung bestimmter Anwenderprogramme auf den jeweiligen Knoten von einer übergeordneten, zentralen Autorisierungeinheit Sicherheitsregeln zur Verfügung gestellt werden, die einer übergeordneten Sicherheitspolitik entsprechen.
Eine Sicherheitspolitik, die jedoch lediglich auf eine Anwendung bzw. ein Anwenderprogramm beschränkt ist, wie es in der vorstehenden Druckschrift der Fall ist, kann z.B. nicht verhindern, dass mit einer zweiten Anwendung eine semantisch äquivalente Operation durchgeführt wird, bspw. das Versenden einer email, die nicht der Sicherheitspolitik unterliegt.
Ist zudem auf dem fraglichen Knoten bspw. ein trojanisches Pferd installiert worden, ist es für diese Programmroutine ein leichtes, Daten aus der "gesicherten" Anwendungsbereich, der der Sicherheitspoltitik unterliegt, zu entfernen, bspw. durch Auslesen des Speicherinhaltes oder von Dateien, die durch die "gesicherte" Anwendung genutzt werden. Zusammenfassend kann daher festgehalten werden, dass der Gewinn an Sicherheit durch das Absichern einer einzelnen oder auch einer Teilmenge aller Anwendungsprogramme äußerst unbefriedigend ist, da hierbei nur Angriffe auf Kommunikationskanäle zwischen gesicherten Anwendungen abgewehärt werden können. Angriffe von Innentätern, von Trojanischen Pferden, oder Angriffe auf den Knoten selbst bleiben mit den bekannten Hilfsmitteln Aussen vor.
Darstellung der Erfindung
Es besteht die Aufgabe ein verteiltes System bestehend aus einer Vielzahl über ein Netzwerk miteinander verbundener Rechnereinheiten, sogenannte Knoten, in denen jeweils zur Einprägung wenigstens einer den jeweiligen Knoten obliegenden Sicherheitspolitik eine lokale Überwachungseinheit vorgesehen ist, die mit wenigstens einer innerhalb des Netzwerkes externen Überwachungseinheit verbunden sind, in der jeweils die Sicherheitspolitiken aller Knoten oder wenigstens einer Gruppe von Knoten betreffende Regelwerke ablegbar sind, derart weiterzubilden, dass die in einem Knoten vorhandenen Ressourcen vor unkontrollierten und nicht autorisiertes Zugriffen und Manipulationen geschützt sind. Unter Ressourcen sind sämtliche Dateien, wie ausführbare Dateien und Datendateien zu verstehen sowie auch Verzeichnisse, Verbindungen, virtuelle Verbindungen, Datagramme, Interprozesskommunikationsnachricht, Geräte, physische Verbindung sowie Speichersegment zu subsumieren.
Die Lösung der der Erfindung zugrundeliegenden Aufgabe ist Gegenstand des Anspruches 1. Ein erfindungsgemäßes Verfahren ist Gegenstand des Anspruches 18. Den Erfindungsgedanken vorteilhaft weiterbildende Merkmale sind Gegenstand der Unteransprüche sowie der Beschreibung zu entnehmen.
Errindungsgemäß ist ein verteiltes System bestehend aus einer Vielzahl über ein Netzwerk miteinander verbundener Rechnereinheiten, sogenannte Knoten, in denen jeweils zur Einprägung wenigstens einer den jeweiligen Knoten obliegenden Sicherheitspolitik eine lokale Überwachungseinheit vorgesehen ist, die mit wenigstens einer innerhalb des Netzwerkes externen Überwachungseinheit verbunden sind, in der jeweils die Sicherheitspolitiken aller Knoten oder wenigstens einer Gruppe von Knoten betreffende Regelwerke ablegbar sind, derart ausgebildet, dass die lokale Überwachungseinheit ein Reference Monitor (ECRM) ist, der auf Betriebssystemebene des jeweiligen Knotens sämtliche Operationen mit Objekten sowie Interaktionen zwischen Subjekten und Objekten innerhalb des Knotens unter Massgabe des Regelwerks kontrolliert, das in den Reference Monitor (ECRM= External Controlled Reference Monitor) des jeweiligen Knotens wenigstens temporär implementiert ist; der ECRM dient dabei nur der Durchsetzung der Sicherheitspolitik, die extern eingeprägt ist und innerhalb des ECRM nicht vollständig vorliegen muß. Sofern der ECRM mit einer Situation konfrontiert ist, für die keine temporär eingerpägten Regeln vorliegen, muß der ECRM die anzuwendenden Regeln implizit automatisch erfragen.
Der Begriff der Sicherheitspolitik sei hier beschränkt auf eine Definition, welche nur Regeln enthält, die mit technischen Mitteln realisierbar ist. Einzelaspekte, die von derartigen Regeln abgedeckt werden beinhalten sämtliche Operationen seitens Subjekten wie Nutzern, Anwendungsprogrammen die im Namen von Nutzern agieren, oder das Verhalten des Knoten-Betriebssystems selbst. Wo immer möglich muß ein Sicherheitsmechanismus versuchen, derartige Operationen an die semantisch höchstwertige erkennbare Instanz zu koppeln, d.h. im günstigsten Fall an einen spezifischen Nutzer.
Der Begriff des Reference-Monitors-Konzepts enstammt dem Artikel von J.P. Anderson, "Computer Security Technology Planning Study, Tech. Rep. ESD-TR-73- 51, Air Force Electronic Systems Division (AFSC), L.G.Hanscom Field, Bedford, M.A. Oct. 1972, AD-758206, ESD/AFSC, auf dessen Offenbarungsgehalt an dieser Stelle verwiesen und im weiteren Bezug genommen wird.
Das mit dem vorstehenden Lösungsgedanken verfolgte Ziel ist die Durchsetzung der Mechanismen einer übergeordneten Sicherheitspolitik innerhalb jedes einzelnen Knotens in der Ebene des den Knoten bestimmenden Betriebssystems, das den Zugriff auf alle Objekte, d. h. auf allen den jeweiligen Knoten verfügbaren Ressourcen, durch beliebige Subjekte, bspw. durch den Nutzer selbst, kontrolliert. Durch die Vernetzung der einzelnen Knoten und die Zuverfügungsstellung einer oder meherer Sicherheitspolitiken für jeden einzelen Knoten oder Gruppen von Knoten durch wenigstens eine übergeordnete Überwachungseinheit, werden die Sicherheitspolitiken über die Bereichsgrenzen eines jeden einzelnen Knotens hinaus wirksam und bleiben letzlich für den Anwender sowie für die auf den einzelnen Knoten laufenden Anwendungsprgramme im Hintergrund ohne deren Bedienungskomfort oder Funktionalität im einzelnen zu beeinträchtigen.
Ein wesentlicher Schlüssel zur Realisierung dieses Zieles ist eine Trennung der Entscheidungen bezüglich der Sicherheitspolitiken von deren Durchsetzung, sowohl auf Ebene des einzelnen betroffenen Knotens als auch zwischen Knoten, welche die Durchsetzung einer derartigen Sicherheitspolitik realisieren, und Knoten, welche die Sicherheitspolitik spezifizieren.
Das Prinzip der Trennung der Sicherheitspolitik von ihrer Durchsetzung kann als allgemein akzeptiert angesehen werden (siehe O. Saydjari, S. Turner, D. Peele, J. Farrell, P. Loscocco, W. Kurtz, G. Bock: „Synergy: A distributed, microkernel-based security architecture". Bericht der U.S. National Security Agency, Fort George G. Meade, MD, November 1993). Obgleich dieses Prinzip ursprünglich für den Einsatz innerhalb eines einzelnen Knotens bestimmt war, wird erfindungsgemäß vorgeschlagen, dasselbe Prinzip auf ein verteiltes System anzuwenden. Die Durchsetzung der Sicherheitspolitik erfolgt dabei auf Ebene des jeweiligen Betriebssystems der einzelnen Knoten und aufgrund von Entscheidungen, die entweder direkt von einem eine Sicherheitspolitik verteilenden Knoten erhalten oder zeitweise von einem solchen Knoten lokal delegierten Sicherheitspolitik abgeleitet werden.
Die so erreichte Trennung zwischen den Nutzer-Knoten, welche Sicherheitspolitiken durchsetzen und Knoten, welche die Sicherheitspolitiken kontrollieren, kann unter Verwendung extern gesteuerter Reference Monitors (Externally Controlled Reference Monitor, ECRM) realisiert werden. Durch eine geeignete Balancierung zwischen zentralisierten Entscheidungen und delegierten Elementen der Gesamt- Sicherheitspolitik kann die anfallende Netzwerk-Belastung - die in diesem Fall in erster Linie durch Latenzzeiten, nicht aber Bandbreite bestimmt ist - akzeptabel gehalten werden.
Der ECRM-Mechanismus basiert auf der Trennung von Entscheidungen bezüglich der Sicherheitspolitik, von deren Umsetzung durch Auftrennung des Reference Monitor in lokale Komponenten, die in jedem Nutzer-Knoten enthalten sind (ECRM) sowie externen Verteilzentren für Sicherheitspolitiken, den Externen Reference Monitors (ERM). Sowohl die Kernfunktionalität des ERM als auch des ECRM können dabei in sichere Coprozessoren ausgelagert werden, um die Vetrauenswürdigkeit sowie den Schutz vor Manipulationen zu erhöhen.
Die ERM-Knoten enthalten dabei Informationen bezüglich Sicherheitspolitiken, für die sie entweder entscheidungsbefugt sind oder als temporärer Zwischenspeicher (Cache) agieren. Unter Verwendung eines geeigneten Mechanismus zur Auflösung von Konflikten in Sicherheitspolitiken kann dabei auch die Handhabung von Operationen, die Subjekte oder Objekte aus mehreren unterschiedlichen Verantwortungsbereichen von Sicherheitspolitiken stammen, geregelt werden. Die Kommunikation zwischen einem ECRM und einem ERM kann dabei sowohl Einzelentscheidungen, wie z.B. über den Zugriff auf ein Datenobjekt für genau einen Zugriff betreffen, als auch eine temporäre Delegierung in einer abgeleiteten Untermenge der aktiven Sicherheitspolitik betreffen. Dies ist unter anderem vom Typ der gewünschten Operation sowie von den Fähigkeiten des ECRM-Knotens abhängig.
Als erfindungsgemäße Besonderheit wird dem ECRM, also dem lokalen Reference Monitor eine als Regelwerk dargestellte Sicherheitspolitik von Seiten des ERMs zu Verfügung gestellt, das sich der ECRM auf Betriebssystemebene zu Eigen macht und mit den Mittel der formalen Logik erster Ordnung zur Entscheidungsfindung bei Operationen zur Anwendung bringt. Durch die formale Logik erster Ordnung ist sichergestellt, dass zu tretende Enstcheidungen stets selbstkonsitent sind und sich auch im gesamten verteilten System nicht widersprechen.
Neben der Durchsetzung einer einheitlichen Sicherheitspolitik auf allen verteilten Knoten, kann die Sicherheitspolitik auch hierachisch strukturiert sein. Hierfür gilt als Grundbedingung für die Aufrechterhaltung der Sicherheit innerhlab des verteilten Systems, daß nachgeordnete Politiken, also eingeschränktere Sicherheitspolitiken nur zusätzliche Restriktionen in ihrem Regelwerk enthalten dürfen.
Sofern Subjekte, wie bspw. Nutzer, Prozesse, Anwendungsprogramme, Knoten, Netzwerke, Netzwerkanbindungen, Busanbindungen, und Objekte, bspw. Dateien, ausführbare Dateien, Datendateien, Verzeichnisse, Verbindungen, virtuelle Verbindungen, Datagramme, Interprozesskommunikationsnachrichten, Geräte, physische Verbindungen und Speichersegmente, mehrerer Organisationen, bspw, Firmen bezüglich Regeln überlappen, wird ein Auflösungsmechanismus für die korrekte Behandlung dieser Situation mit möglicherweise widersprüchlichen Regeln in den einzelnen betroffenen Sicherheitspolitiken notwendig. Dieser Mechanismus muß individuell für betroffene Organisationen durch die jeweiligen Sicherheitsadministratoren definiert werden. So ist es in diesem Fall erforderlich die Gesamtmenge aller aktiver Politiken konsistent über das gesamte verteilte System durchzusetzen. Sofern Politikregeln an semantisch höher stehende Subjekte gekoppelt sind bedingt dies, daß jeder Einheit, die derartige Entscheidungen trifft oder Operationen reguliert, diese konsolidierten Regeln bekannt sind.
Ist man bereit, Verzögerungen zwischen Spezifikation und Anwendung von Regeln zu akzeptieren, so ist es zudem möglich, sowohl weitere ERM-Knoten zum Lastausgleich als Zwischenspeicher zu verwenden als auch lokal auf Seiten der ECRM Regeln zur Umsetzung temporär zwischenzuspeichem. Die Verzögerung dieser Umsetzung kann mittels der Spezifikation einer Lebensdauer einer Regel reguliert werden; nach Ablauf dieser Dauer muß der Ursprung der Regel wieder kontaktiert werden und die Anfrage, aufgrund derer die Regel erzeugt wurde, erneut gestellt werden.
Ferner ist erfidnungsgemäß ein Verfahren zur Einprägung einer Sicherheitspolitik in eine Vielzahl über ein Netzwerk miteinander verbundener Knoten, in denen jeweils eine lokale Überwachungseinheit vorgesehen ist, die jeweils mit wenigstens einer innerhalb des Netzwerkes vorhandenen externen Überwachungseinheit verbunden sind, in der jeweils die Sicherheitspolitiken aller Knoten oder wenigstens einer Gruppe von Knoten betreffende Regelwerke abgelegt werden, derart weitergebildet, dass von der wenigstens einen externen Überwachungseinheit ein die Sicherheitspolitik bestimmendes Regelwerk abgerufen wird und innerhalb des Knotens wenigstens temporär derart abgespeichert und verarbeitet wird, dass dieses Regelwerk auf Betriebssystemebene des Knotens sämtliche Operationen mit Objekten sowie Interaktionen zwischen Subjekten und Objekten innerhalb des Knotens unter Massgabe des Regelwerks kontrolliert.
Zusätzlich zu den bereits vorstehend mit Beispielen erhellten Begriffen Subjekte und Objekte sind im besonderen unter dem Begriff Operationen folgende innerhab einer Rechnereinheit ablaufenden Funktionen zu verstehen: Erzeugung einer Datei, Lesen einer Datei, Schreiben einer Datei, Überschreiben einer Datei, Anfügen einer Datei, Löschen einer Datei, Lesen von Metainformation einer Datei, Schreiben von Metainformation einer Datei, Lesen eines Verzeichnisses, Erzeugung eines Verzeichnisses, Suche in einem Verzeichnis, Löschen eines Verzeichnisses, Erzeugung eines Speichersegmentes, Lesen eines Speichersegmentes, Schreiben eines Speichersegmentes, Löschen eines Speichersegmentes, Öffnen eines Gerätes, Lesen von Daten von einem Gerät, Schreiben von Daten auf ein Gerät, Lesen von Metadaten von einem Gerät, Schreiben von Metadaten auf ein Gerät, Schliessen eines Gerätes, Senden von Interprozesskommunikations-Nachricht, Empfangen von Interprozesskommunikations-Nachricht, Senden eines Datagramms Empfangen eines Datagramms, Erzeugung einer virtuellen Verbindung, Senden von Daten über eine virtuelle Verbindung, Empfangen von Daten über eine virtuelle Verbindung, Abbau einer virtuellen Verbindung. Das erfindungsgemäße Verfahren sowie auch die vorstehende Vorrichtung soll im weiteren unter Bezugnahme auf ein konkretes Ausführungsbeispiel beschrieben werden:
Kurze Beschreibung der Erfindung
Die Erfindung wird nachstehend ohne Beschränkung des allgemeinen Erfindungsgedankens anhand eines Ausführungsbeispieles unter Bezugnahme auf die Zeichnung exemplarisch beschrieben. Es zeigt.
Fig. 1 Extern kontrolliertes Reference Monitor-Modell
Wege zur Ausführung der Erfindung, gewerbliche Verwendbarkeit
Ein verteiltes System sollte zur Gewährleistung der Gesamtsicherheit homogen in Bezug auf die durchzusetzenden Sicherheitspolitiken und deren Realisierung sein. Hierzu sind folgende Bedingungen zu erfüllen:
1. Der durch den Reference Monitor bedingte Kontrollmechanismus sollte gegen Manipulation von außen gesichert sein.
2. Der durch den Reference Monitor bedingte Kontrollmechanismus sollte bei jeder Operation befragt werden.
3. Der durch den Reference Monitor bedingte Kontrollmechanismus sollte hinreichend klein sein, um einer Analyse und Überprüfungen unterworfen werden zu können, welche die Zusicherung der geforderten Eigenschaften verifizieren.
Ein verteiltes System, das alle drei der vorstehenden Forderungen und insbesondere die Anforderung 2 erfüllt, wird im weiteren unter Bezugnahme auf Figur 1 beschrieben. Die in Figur 1 eingzeichnete Trennlinie T kennzeichnet die physikalische Trennung zwischen einem (End-) Knoten und einer externen Instanz (Server), die über eine Netzwerkverbindung oder eine alternative Verbindungstechnik miteinander in Komunikatuion stehen. Sowohl auf der Knoten als auch Server Seite sind stellvetretend für die einzelnenen Rechnereinheiten jeweils eine Vielzahl von externe Instanzen wie auch insbesondere Knoten hinzuzufügen, auf deren graphische Darstellung aus Übersichtlichkeitsgründen verzichtet wird.
Der Knoten weist einen extern kontrollierten Reference Monitor auf (ECRM), der auf der Grundlage von Regeln, die die Sicherheitspolitik auf diesem Rechner bestimmen, Entscheidungen bezüglich auf diesem Knoten statttfindenen Operationen trifft, die bspw. durch Eingabe von Subjekten (Subject Identity) die Manipulation von Objekten (Object Identity) betreffen. Die getroffenen Entscheidungen werden über eine Ausgabeeinheit (Decision Implementation) dem Betriebssystem des Knotens zur entsprechenden Ausführung oder Unterlassung der jeweiligen Operation zugänglich gemacht.
Die in Form eines Regelwerkes darstellbare Sicherheitspolitik kann in bestimmten Fällen, auf die noch gesondert eingegangen wird, in einen Zwischenspeicher (Delegated Authentication Database) zwischengespeichert werden. Zusätzlich enthält der Knoten eine Art Revisionssystem (Audit Subsystem), das Kommunikationen zwischen dem Knoten und der externen Instanz und/oder innerhalb des Knotens stattfindende Operationen zwischen Subjekten und/oder Objekten erfasst und aufzeichnet. Auch auf diesen Aspekt wird an einer späteren Stelle einzeln eingegangen.
Demgegenüber sieht die externe Instanz einen externen Reference Monitor (ERM) vor, dem eine alle, an der externen Instanz angeschlossene Knoten betreffende Sicherheitspolitik in Form eines Regelwerks obliegt, die als Authenticication Database vorliegt. Gleichsam dem Knoten sieht auch der Server ein Audit Subsystem vor. Aus Sicherheitsgründen gegen Angriffe von Außen, d.h. durch unautorisierten Eingriff Dritter in das verteilte System, sind sowohl der Knoten als die externe Instanz jeweils in einem gesicherten Coprozessor (Trusted Subsystem) integriert.
Ein wesentlicher Aspekt zur Erfüllung der eingangs aufgestellten Anforderungen besteht darin, die „Authentication Database" außerhalb der einzelnen Knoten zu verlagern und die Reference Monitors der Knoten (ECRM) die notwendigen Informationen zur Entscheidung der Zulässigkeit von Operationen von zentralen Instanzen (Server) anfordern zu lassen. Auf diese Weise wird die Funktionalität des Reference Monitors in eine lokale und eine entfernte Komponente aufgepaltet, wobei die Kontrolle über das Verhalten der lokalen Instanz, und somit über sämtliche Ressourcen des betroffenen Knotens in der oder den entfernten Instanzen (ERM) liegt, wie in Figur 1 dargestellt.
Der einfache Ansatz, die externen Instanzen für jeden einzelnen Entscheidungsvorgang zu befragen ist jedoch in den häufigsten Fällen nicht praktikabel; statt dessen ist eine Kombination aus erfragten Entscheidungen der ERM und Sicherheitspolitiken, welche zwar von den ERM erzeugt und verteilt werden, deren Durchsetzung jedoch temporär für die Lebensdauer des entsprechenden Regelwerkes an die ECRM-Komponente delegiert wird.
Operationen, die für die Sicherheit eines Knotens relevant sind, können auf einer Vielzahl von Objekten erfolgen, die von Dateien bis hin zu virtuellen Netzwerkverbindungen reichen; je nach verwendetem Abstraktionsgrad beinhaltet dies selbst individuelle Zugriffe auf Speicherzellen. All diese Zugriffe müssen einer oder einer Menge von Sicherheitspolitiken genügen.
Um die kontrollierenden, externen Instanzen (ERM) nicht zu sehr zu überlasten, ist es vorteilhaft einen Teils der Durchsetzung von Sicherheitspolitiken zu delegieren. Speicherzugriffe sind ein Beispiel einer derartigen Delegierung für ECRMs; während der initiale Zugriff durch den ECRM kontrolliert wird, wird die weitere Durchsetzung der Sicherheitspolitik durch lokal in die vorliegende Hardware eingebettete Schutzmechanismen durchgeführt (im Fall einer Realisierung des ECRM in Software sind diese Hardware-Schutzmechanismen der einzige Schutz des ECRM selbst vor Manipulation durch andere Prozesse).
Ein ähnlicher Mechanismus sollte verwendet werden, um die notwendige Kommunikation mit den kontrollierenden Instanzen (ERM) in ihrem Umfang zu beschränken. Die ERM-Knoten legen für die Entscheidungen bezüglich der Sicherheitspolitik eine Datenbank von Regeln zugunde.
Für einige Klassen von Entscheidungen, die vergleichsweise selten vorkommen oder menschliche Interaktionen erfordern, ist eine direkte Involvierung des ERMs für jede einzelne Entscheidung gerechtfertigt; ein Beispiel für eine derartige Instanz ist die Anmeldung eines Nutzers an einem Knoten, der mittelbar unter der Kontrolle eines ERM steht.
Für andere Klassen von Operationen ist eine zeitweilige Delegation der Entscheidungen im Einzelfall notwendig. In derartigen Fällen wird ein ECRM entweder periodisch oder aufgrund eines bestimmten Ereignisses die Regeln der Politiken anfordern, die als Grundlage der Entscheidungen zu gelten haben. Ein Beispiel hierfür sind Regeln über die Zulässigkeit und den Inhalt von Netzwerkverbindungen.
Ein Ereignis, das zur Befragung eines oder mehrerer ERMs führt, ist die Verarbeitung einer Operation, die ein Objekt oder ein Subjekt involviert und bei der die temporär an den ECRM delegierten Regeln der Sicherheitspolitik direkt oder auch abgeleitet (indirekt) nicht zutreffen.
Die Absicherung eines einzelnen Knotens ohne weitere Verbindungen außer zu einem oder mehreren ERMs stellt einen degenerierten Fall dar; dies läßt sich jedoch ebenfalls modellieren, indem die für den Knoten lokal zum Einsatz kommenden Sicherheitspolitiken auf Regeln der ERM abgebildet werden. Als Resultat hiervon ist die Anforderung 1 ("Der durch den Reference Monitor bedingte Kontrollmechanismus sollte gegen Manipulation von außen gesichert sein.") für ein verteiltes System erfüllt, da sich sowohl die Authentication Databse als auch das Revisionssystem (Audit Substystem) außerhalb der Kontrolle eines Angreifers befinden, sofern der Durchsetzungsmechanismus jeweils seinerseits gegen Manipulationen von außen gesichert ist. Die physikailische Sicherheit des ERM wird vorausgesetzt; die Realisierung der Regelwerke ist aufgrund der Verwendung formaler Logik erster Ordnung verifizierbar und auf die Erfüllung zugesicherter Eigenschaften hin evaluierbar und genügt mithin auch Anforderung 3.
Anforderung 3 kann higegen auf Seiten der mittels ECRM kontrollierten Knoten nicht auf Grundlage nachträglich modifizierter Betriebssysteme erfültt werden. Der Hauptgrund hierfür liegt darin, daß aufgrund der Komplexität und unbekannter Fehlerbedingungen derartiger Betriebssysteme Anforderung 2 nicht vom gesamten System erfüllt werden kann; ein Angreifer kann verdeckt die Kontrolle über Daten oder die Funktionsweise von Betriebssystemkomponenten mit erhöhten Privilegien erlangen.
Die Erfüllung von Anforderung 2 kann jedoch weitestgehend durch den Einsatz von kryptographischen Mechanismen für Daten-Objekte innerhalb des ECRM sowie die Verschiebung zumindest kritischer Ausführungspfade innerhalb des ECRM erfüllt werden.
Sofern Schlüsselmaterial ausschließlich außerhalb des Kontrollbereiches von Nutzern sowie des umgebenden Betriebssystems vorgehalten wird, kann auf diese Weise sichergestellt werden, daß jeder Zugriff auf Objekte zwingend selbst nach Kompromittierung des umgebenden Betriebssystems vom ECRM und damit von den relevanten ECRM kontrolliert und beherrscht wird.
Damit wird zugleich ein häufig vernachlässigtes Sicherheitsproblem gelöst, namentlich der Zugriff auf Speichermedien zu einem Zeitpunkt, zu dem der Sicherheitsmechanismus nicht aktiv ist, z.B. durch Zugriff auf ein Dateisystem von einem sekundären (nicht beherrschten) Betriebssystem aus. Um jedoch sicherzustellen, daß tatsächlich jede Operation kontrolliert wird, müssen solche Datenobjekte ausschließlich für eine gegebene Operation zum Zeitpunkt der Verwendung durch den ECRM entschlüsselt werden und zudem nie Schlüsselmaterial exponiert werden. Selbst wenn dabei Operationen partiell innerhalb des ECRM durchgeführt werden, so ändert dies jedoch nichts an der klaren Trennung zwischen Entscheidungen bezüglich der Politik, die ausschließlich durch die ERMs vorgegeben werden, und der Durchsetzung der Politik.Sofem ein kommerzielles oder sonstiges bestehendes Betriebssystem so modifiziert wird, um den hier genannten Forderungen zu entsprechen, erfordert dies die Integration von mehreren Durchsetzungsmodulen an Schlüsselstellen innerhalb des Betriebssystems. Die Anzahl und Ausprägung der Durchsetzungsmodule, die erforderlich ist, hängt dabei in erster Linie davon ab, inwiefern dieses Betriebssystem das Modell des Reference Monitor bereits lokal als Grundlage der Sicherheitsmechanismen verwendet.
Ein verteiltes System exponiert prinzipbedingt die ihm angehörenden Knoten für Gegner sowohl in Bezug auf die zum Einsatz kommenden Programme, auf die zwischen den Knoten erfolgenden Netzwerkverbindungen, insbesondere aber jedoch in Bezug auf physikalische Kontrolle.
Es muß daher berücksichtigt werden, daß ein Angreifer einen unter seiner physischen Herrschaft stehenden Knoten kompromittieren kann, und dies ungeachtet der dort lokal vorliegenden Sicherheitsmaßnahmen bei Vorhandensein hinreichender Ressourcen (z.B. Analyse von Schaltungsabläufen durch Logic Analyzer, Analyse von Speicherinhalten durch kryogenische Fixierung und anschließende Analyse mittels Rastertunnelmikroskopie).
Diese Beurteilung führt zu der Hinzufügung einer weiteren vorteilhaften Randbedingung, namentlich der Beschränkung der maximal auf diesem Knoten an Unbefugte gelangenden Information, insbesondere jedoch von Schlüsselmaterial. Daher müssen Datenobjekte jeweils mit einem eigenen Schlüssel je Objekt verschlüsselt werden, der nur diesem Objekt zugeordent ist. Dieses Schlüsselmaterial muß seitens des die betreffende Entscheidung fällenden ERM erzeugt und zusammen mit den übrigen Attributen eines Objektes gespeichert und bei Bedarf an weitere ERM repliziert werden.
Eine erfolgreich beantwortete Anfrage an einen ERM wird dabei in die Übertragung des Schlüsselmaterials an den ECRM über einen gesicherten Kanal erfolgen, welcher den Schlüssel zur Entschlüsselung des Datenmaterials für die angefragte Operation und genau diese Operation verwendet und das Schlüsselmaterial anschließend sofort verwirft, um die Exponierung sowohl von Klartextdaten als auch Schlüsselmaterial zu vermeiden.
Zu diesem Zweck muß jedes Objekt mit einer Markierung bzw. einem Etikett versehen sein, welches das Objekt eindeutig mit einem Datensatz einer oder mehrerer EAD (Extemal Authentication Database = Authentication Database innerhalb der externen Instanz) assoziiert.
Für Datenobjekte beschränkter Länge kann diese Markierung zumindest partiell aus einem kryptographischen Hashwert bestehen, der damit auch die Konsolidierung mehrerer inhaltlich identischer Kopien eines Datenobjektes auf Grundlage eines Regelwerkes erlaubt, ungeachtet des Speicherortes oder der Replikation von Datenobjekten.
Für andere Arten von Objekten ohne derartige Eigenschaften müssen Markierungen generiert werden, die als Anforderung minimal lediglich eindeutig sein müssen. Die Erzeugung und gegebenenfalls die Einordnung der Markierung innerhalb der Halbordnungen für Typ und Identität erfolgt dabei jeweils seitens eines ERMs.
Eine wünschenswerte zusätzliche Information ist die sogenannte Revisionsinformation, die mit Hilfe des Audit Subsystem aufgenommen werden kann. Sie betrifft die Verfolgbarkeit von Datenobjekten sowie ihre Verteilwege. Sie umfasst ferner Informationen über Kanäle von einem Subjekt zu einem anderen, die für einen Datentransport benutzt worden sind; dies schließt auch den Fall ein, daß alle beteiligten Subjekte die notwendigen Berechtigungen aufweisen.
Um diese Information zu erhalten, muß zumindest die Information über das als Vorgänger einer Übertragung oder Quelle der Replikation agierenden Subjekt vorhanden sein. In diesem Fall ist die so geartete Information als Bestandteil der Markierung eines Objektes vor Manipulation zu schützen. Wie leicht zu sehen ist, genügt es ein "Nonce" (d.h. ein zufälliger Wert, der genau für eine einzige Transaktion auftreten kann, jede Wiederholung eines Nonce ist mit der Erkennung einer Wiedereinspielung gleichzusetzen mit den Identitäten des Subjektes, das den Zugriff oder die Operation auf ein Objekt angefordert hat mit der Identität des zuletzt zugreifenden Subjektes zu verknüpfen und dies mittels einem nur dem oder den ERM bekannten Schlüssel zu verschlüsseln.
Das Resultat dieser Schritte kann nun in die Objektmarkierung eingebracht werden sobald das Objekt kopiert oder anderweitig übertragen wird. Die resultierende Objektmarkierung muß als Teil der Regelanfrage seitens eines ECRMs für ein Objekt und eine Operation an den oder die ERM übertragen werden. Aufgrund des Vorhandenseins des Nonce können Wiedereinspielungen erkannt werden. Sonstige Kopierangriffe auf Komponenten der Objektmarkierung bleiben wirkungslos, da per Definition die Markierung jedes einzelnen Objektes eindeutig ist. Wie oben bereits beschrieben muß ein sicheres verteiltes System auch Anforderung 1 erfüllen, d.h. der durch den Reference Monitor bedingte Kontrollmechanismus sollte gegen Manipulation von außen gesichert sein. Diese Annahme wird in den meisten regulären Betriebssystemen, die ein konventionelles Reference Monitor Konzept verfolgen, als erfüllt unterstellt, da auf Grundlage der Hardware- Schutzmechanismen für die Speicherverwaltung im laufenden Betrieb gewährleistet ist, daß diese zumindest eine Aufteilung in einen regulären Nutzermodus und einen Supervisor-Modus realisieren, bei denen nur an wohldefinierten und vom Betriebssystemkern kontrollierten Punkten (Gates, Traps) ein Übergang zwischen den Modi möglich ist. Das Hauptproblem bei dieser Annahme liegt darin, daß die Kombination aus der so gearteten Hardwrae-Unterstützung und dem Betriebssystem nicht zwischen unterschiedlichen Ebenen der Schutzwürdigkeit und Vertraulichkeit im Supervisor- Modus unterscheidet und die Menge an Programmcode, der mit derart maximalen Privilegien operiert sehr groß ist, zumindest jedoch nicht wie gefordert verifiziert und validiert werden kann.
Daher hat jedes Modul, das sich im Supervisor-Modus (auch Kernel Mode genannt) befindet, vollständigen und unkontrollierten Zugriff auf sämtliche lokalen Ressourcen eines Knotens, z.B. durch direkte Manipulation von Speicherbereichen, Geräten, Modifikation weiterer Komponenten des Betriebssystems, etc.) Offensichtlich betreffen solche Bedrohungen auch den Reference Monitor selbst. Die direkte Konsequenz aus dieser Entwurfsentscheidung ist die Erfordernis, sämtlichen Programmcode, der im Supervisor-Modus operiert der Verifikation und Validierung aus Anfoderung 3 zu unterwerfen.
Obgleich wenige Betriebssystem einer Evaluierung gemäß Standards wie den Trusted Computer System Evaluation Criteria (TCSEC) oder den Common Criteria for Information Technology (ITSEC) unterzogen wurden, entspricht die Zusicherung der Funktionalität die dabei erhalten werden kann lediglich einer flüchtigen Betrachtung der Trusted Computing Base (TCB)
Selbst wenn jedoch diese Anforderungen erfüllt wurden, bleibt das Problem der physischen Manipulation (z.B. durch die Modifikation von Betriebssystemkomponenten während das System selbst nicht in Betrieb ist) oder durch die Belauschung relevanter Vorgänge auf Ebene elektromagnetischer Signale (sog. In-Circuit Emulators).
Vor diesem Hintergrund sind in den vergangenen Jahren erhebliche Anstregungen unternommen worden mit dem Ziel physische Manipulationen an Hardwarekomponenten zu vereiteln. Ergebnis dieser Anstrengungen sind sogenannte gesicherte Coprozessoren. Diese Geräte stellen hochintegrierte und in sich abgeschlossene Rechnersysteme dar, die eine autonome Zentraleinheit (CPU), Arbeitsspeicher, nichtflüchtige Speicher sowie ein vollständig autonomes, minimales Betriebssystem aufweisen. Im Fall kryptographischer Coprozessoren sind zudem kryptographische Algorithmen in Hardware implementiert sowie Zufallszahlengeneratoren aufgrund von physikalisch zufälligen Ereignissen und autonom operierende Uhrensysteme.
Die für diese Darstellung relevanten Merkmale eines solchen Coprozessors sind innerhalb eines gegen Manipulation gesicherten Gehäuses angeordnet.welches Angriffe auf den Inhalt zumindest erschwert oder für nicht mit hinreichenden Ressourcen ausgestattete Angreifer unmöglich machen. Bei Erkennung eines Manipulationsversuches zerstören derartige Geräte sich selbst (zumeist realisiert durch das Löschen sämtlicher Speicherinhalte, die Identifikations- und Authentisierungsmerkmale oder Schlüsselmaterial enthalten könnten).
Sichere Coprozessoren dürfen nur mittels einer schmalen und wohldefinierten Schnittstelle mit der Außenwelt, insbesondere auch mit ihrem Wirtssystem kommunizieren. Dies, in Kombination mit der geringen Komplexität eines Coprozessor-Systems und der Tatsache, daß kein administrativer Zugriff auf den Coprozessor nach außen erteilt werden muß eriaiubt eine sorgfältige Verifikation und Validierung des Coprozessors, vorzugsweise unter Verwendung formaler Methoden, welche auch den Entwurf der eigentlichen Hardware berücksichtigen sollte.
Setzt man einen derartigen sicheren Coprozessor als gegeben voraus, so kann die erforderliche Funktionalität eines ECRM vollständig innerhalb des sicheren Coprozessors realisiert werden; damit sind auch in einem verteilten System die Anforderungen 1 bis 3 erfüllt.
Der gesicherte Kommunikationskanal zwischen ECRM und ERM ist beispielhaft mit Hilfe eines hybriden Verschlüsselungsschemas realisierbar; die Verwendung symmetrischer Verfahren mit äquivalenten kryptographischen Eigenschaften hängt von der Verfügbarkeit geeigneter Hardware zur Berechnung asymmetrischer kryptographischer Operationen ab.
Es sei vorausgesetzt, daß zumindest das selbstsignierte digitale Signaturzertfikat einer oder mehrerer zum Einsatz der Identifikation und Authentisierung verwendeter Zertifizierungsstellen in einem gegen Manipulation gesicherten Bereich gespeichert sind. Der Coprozessor sollte zudem in der Lage sein, ein asymmetrisches Schlüsselpaar vollständig innerhalb des gegen Manipulation gesicherten Bereiches zu erzeugen und nur den öffentlichen Schlüssel zu exponieren während alle Operationen unter Verwendung des geheimen Schlüssels innerhalb des gegen Manipulation gesicherten Bereiches erfolgen.
Die ECRM und ERM bzw. die ERM untereinander kommunizieren dabei nur dann miteinander, sofern ein Zertifikat oder eine Kette von Zertifikaten entsprechend der Hierarchie der umzusetzenden Politiken für die beteiligten Parteien der Kommunikation vorliegen und diese gültig sind.
Da potentiell mehrere Parteien mit unterschiedlichen Interessen bei Einsatz in einem verteilten System beteiligt sein können, sollte die Integrität der Coprozessoren sowie der Zertifizierungsschlüssel der verwendeten Zertifizierungsstellen möglichst von Seiten einer vertrauenswürdigen dritten Instanz gewährleistet werden. Die Anfrage einer Regel oder einer Regelmenge seitens eines ECRM erfolgt mit Hilfe eines Policy Data Request Protocol (PRDP). Dieses versendet die Beschreibung der Operation sowie die Identitäten der beteiligten Subjekte und Objekte über eine gesicherte Verbindung, welche die Integrität, Vertraulichkeit, und wechselseitige Identifkation beinhaltet. Für letztere ist sogar eine aktive Verifikation gegen Widerrufsschemata zusätzlich vorgesehen.
Die Antwort oder die Antworten des oder der ERM werden über einen Kanal mit den gleichen Eigenschaften übermittelt. Dabei können die Antworten eine Obermenge der gestellten Anfrage beantworten, welche anschließend von der ECRM nach Verifikation von Integrität und Authentizität der Antwort für die Lebensdauer der Antwort wiederverwendet werden kann.
Sofern Datenmaterial aufgrund der gegebenen Regelantworten zu ver- oder entschlüsseln sind, entschlüsselt der ECRM die vom Wirtsbetriebssystem bereitgestellten Informationen und liefert die so erhaltenen Klartext- bzw. verschlüsselten Daten wieder an selbiges zurück. Wie bereits angesprochen läßt sich dieser Mechanismus für die Steuerung sämtlicher Entscheidungsprozesse bezüglich Operationen innerhalb eines Betriebssystemes verwenden.
Soweit möglich sollten ECRM Revisionsdaten zunächst lokal vorhalten; dies kann innerhalb der gegen Manipulation gesicherten Bereiche erfolgen oder verschlüsselt seinerseits gegen Manipulation gesichert vom Wirtsbetriebssystem abgelegt werden. Diese Revisionsdaten können direkt an relevante ERM weitergeleitet werden oder aufgrund von Regeln, die seitens eines ERM erstellt werden vorverarbeitet und erst nach Vorverarbeitung (z.B. Zusammenfassung mehrerer gleichartiger Ereignisse) an die ERM weitergeleitet werden.
Eine weitere Möglichkeit der Verwendung dieser Daten besteht in der Nutzung zur Erkennung von versuchten oder erfolgreichen Angriffen auf den Knoten oder das Netzwerk, in dem sich der Knoten befindet (Intrusion Detection System, IDS). Die notwendigen Heuristiken zur dezentralen Vorverarbeitung und Weiterleitung relevanter Ereignisse werden den ECRM ebenfalls als Regelwerk seitens der ERM mitgeteilt; diese Regeln können nur als Metaoperationen auf den Revisionsdaten operieren oder aktive Änderungen des Verhaltens des ECRM und damit des Knotens zur Folge haben.
Das ECRM muß nicht notwendigerweise in Hardware bzw. als sicherer Coprozessor realisiert sein, allerdings ist bei einer Realisierung in in Form von Software das bereits genannte Gefahrenpotentiai der Manipulation hinzunehmen. Der hier beschriebene Mechanismus ist in der Lage jedes mit Hilfe einer automatisierten Rechenanlage beschreibbare Sicherheitsmodell bzw. daraus abgeleitete Sicherheitspolitiken darzustellen (ohne Beweis). Mehrere Sicherheitspolitiken lassen sich durch die Befragung mehrerer ERM in einer Hierarchie (sog. Policy Domain) bzw. durch die Befragung aller Hierarchien von ERMs, in deren Herrschaftsbereich Objekte befindlich sind, auf denen eine fragliche Operation erfolgen soll, kombinieren.
Ein Beispiel hierfür ist rollenbasierte Zugriffskontrolle in Verbindung mit rollenbasierten Administrationsmechanismen sowie Informationsfluß- Sicherheitspolitiken.
Das hier beschriebene System muß über Organisationsgrenzen hinweg verwendbar sein und somit auch über die Grenzen von Vertrauensgebieten hinweg. Dem Betreiber eines ERM ist nicht notwendig von Seiten der Betreiber anderer ERM oder auch von den Anwendern von ECRM zu vertrauen.
Die Lösung hierfür ist analog zur o.g. Lösung für ECRM und erfordert sichere Coprozessoren. Alle sicherheitsrelevanten Verarbeitungsschritte wie die Auswertung von Regelwerken und Ableitung neuer Regeln, die Erzeugung und Verarbeitung von Protokolldaten für das PRDP, das Erzeugen und Auswerten von Revisionsdaten etc. sollten innerhalb des gesicherten Bereiches erfolgen. Dies setzt eine scharfe Obergrenze für die maximale Komplexität des Mechanismus zur Darstellung der Politik sowie des Umfangs der für Entscheidungen zugrunde zu legenden Daten und Regeln voraus. Auch hier kann jedoch eine kryptographisch gesicherte Speicherung durch das Wirtssystem erfolgen.
Die Notwendigkeit, eine Verifikation und Validierung des gesamten Mechanismus durchführen zu können, setzt zudem eine weitere Obergrenze für die maximal zulässige Komplexität voraus. Der ERM muß die Vertraulichkeit und Integrität aller Politikentscheidungen sowie den Datenbestand der Grundlagen der Entscheidungen und die Revisionsinformationen sicherstellen, da all diese Daten in Datenbanken gesichert werden müssen, die außerhalb der vertrauenswürdigen Umgebung angesiedelt sein können und nicht der direkten Herrschaft des ERM unterworfen sind. Eine derartige Sicherung realisiert zudem eine Trennung zwischen der Möglichkeit des Zugrffs auf die Datenbestände aus operativer und administrativer Sicht (z.B. zum Zweck der Datensicherung). Die Nutzer eines ERM müssen dem Betreiber des ERM zumindest insofern vertrauen als daß dieser die Zuverlässigkeit und Verfügbarkeit des ERM sowie der Datenbestände in angemessener Weise gewährleistet; hinzu kommt, daß dem Betreiber des ERM nicht unterstellbar sein sollte, daß dieser mit erheblichem finanziellem Aufwand und krimineller Energie den gesicherten Bereich des Coprozessors zu unterwandern versucht.
Innerhalb eines Wirtssystems ist es dabei möglich, mehrere Coprozessoren parallel zu betreiben; dies kann sowohl innerhalb eines Knotens oder in einem Cluster von Knoten der Fall sein. Diese Knoten müssen dann mit identischen Konfigurationen der ERM ausgestattet sein, um eine parallele Verwendung zu gestatten.
Aufgrund der kritischen Abhängigkeit aller Knoten des geschützten verteilten Systems sowohl in Bezug auf die Verfügbarkeit als auch die Latenzzeiten bei der Kommunikation mit ERM ist die Zuverlässigkeit des ERM und der Kommunikationswege von Bedeutung.
Die ERM können einerseits hierarchisch angeordnet sein, andererseits kann jeder Regelbestand seinerseits über beliebig viele ERM-Knoten repliziert sein. Sekundär dazu können getroffene Entscheidungen über Regeln von anderen ERM-Knoten als Zwischenspeicher vorgehalten werden. Kernbeobachtung hierbei ist die sogenannte „locality of reference", d.h. die Tatsache, daß ein beliebiger Prozeß zu einem gegebenen Zeitpunkt stets nur mit einer sehr kleinen Anzahl von Objekten operiert.
Meist werden dabei die betreffenden Objekte einer bestimmten Organisationseinheit entstammen. Dieser kann ein eigener lokaler oder replizierter ERM zugeordnet werden. Sofern zur Lastbalancierung mehrere ERM-Knoten parallel eingesetzt werden, kann dabei der kryptographisch ausgelagerte Datenbankbestand von mehreren ERM-Knoten gemeinsam genutzt werden.
Innerhalb einer Organisation selbst können dabei mehrere ERM existieren; diese können eine gemeinsame Politik verbreiten oder jeweils unterschiedliche Politiken verbreiten. Sofern derartige Kontrollbereiche kollidieren müssen für zwischen mehreren Teilorgansiationen gemeinsame Bereiche spezielle Politiken zum Ausgleich potentiell unterschiedlicher Regelungen definiert werden.
Zugriffe auf Subjekte und Objekte, die anderen Kontrollbereichen entstammen müssen seitens der ECRM an die jeweils für diese Bereiche zuständigen ERM verwiesen werden. Die Zuordnung der Hierarchie erfolgt z.B. über die Einbettung der Identitäten der Subjekte und Typen in eine Halbordnung mit der Existenz einer größten unteren Schranke sowie einer kleinsten oberen Schranke für jedes Paar von Elementen der Halbordnung. Dadurch ist es möglich, innerhalb von Politiken auf Stufen innerhalb dieser Halbordnung Bezug zu nehmen.
Die Halbordnung gibt zudem implizit die Identität des zugeordneteten lokalen ERM wieder. Eine mögliche Ausprägung besteht in der Realisierung eines separaten Routing-Netzwerkes mit lokalen und Weitverkehrsprotokollen, bei denen lokale Routen automatisch von den Routing-Algorithmen erzeugt werden und dadurch auch partielle Ausfälle abgefangen werden, Weitverkehrsverbindungen jedoch aus Effizienzgründen auf eine partielle manuelle Intervention für die Festlegung optimaler Strecken und Verbindungen angewiesen sind; letztere jedoch über längere Zeiträume als stabil zu betrachten sind.
Eine weitere Ausprägung besteht in der Nutzung der durch das Domain Name System vorgegebenen Namens- und Routinghierarchie. Dies kann durch die Definition eigener Resource Records im Rahmen des Domain Name System Protokolls erfolgen oder durch eine Assoziation durch Konventionen außerhalb des Protokolls.

Claims

Patentansprüche
1. Verteiltes System bestehend aus einer Vielzahl über ein Netzwerk miteinander verbundener Rechnereinheiten, sogenannte Knoten, in denen jeweils zur Einprägung wenigstens einer den jeweiligen Knoten obliegenden Sicherheitspolitik eine lokale Überwachungseinheit vorgesehen ist, die mit wenigstens einer innerhalb des Netzwerkes externen Überwachungseinheit verbunden sind, in der jeweils die Sicherheitspolitiken aller Knoten oder wenigstens einer Gruppe von Knoten betreffende Regelwerke ablegbar sind, dadurch gekennzeichnet, dass die lokale Überwachungseinheit ein Reference Monitor (ECRM) ist, der auf Betriebssystemebene des jeweiligen Knotens sämtliche Operationen mit Objekten sowie Interaktionen zwischen Subjekten und Objekten innerhalb des Knotens unter Massgabe des Regelwerks kontrolliert, das in den Reference Monitor (ECRM= Externally Controlled Reference Monitor) des jeweiligen Knotens wenigstens temporär implementiert ist.
2. Verteiltes System nach Anspruch 1 , dadurch gekennzeichnet, dass eine Vielzahl von externen Überwachungseinheiten in Form Extemal Reference Monitore (ERM) vorgesehen sind, die jeweils unterschiedliche Sicherheitspolitiken enthalten, die von den ECRMs der einzelnen Knoten abrufbar sind.
3. Verteiltes System nach Anspruch 1 oder 2, dadurch gekennzeichnet, dass der Begriff Subjekte durch folgende nicht abschließend aufgeführten Identifikationsmerkmale einzeln beschreibbar ist: Nutzer, Prozess, Anwendungsprogramm, Knoten, Netzwerk, Netzwerkanbindung, Busanbindung.
4. Verteiltes System nach Anspruch 1 oder 2, dadurch gekennzeichnet, dass der Begriff Objekt durch folgende nicht abschließend aufgeführten Identifikationsmerkmale einzeln beschreibbar ist:
Datei, Ausführbare Datei, Datendatei, Verzeichnis, Verbindung, Virtuelle Verbindung,
Datagramm, Interprozesskommunikationsnachricht, Gerät,
Physische Verbindung, Speichersegment.
5. Verteiltes System nach Anspruch 1 oder 2, dadurch gekennzeichnet, dass der Begriff Operation durch folgende nicht abschließend aufgeführten Identifikationsmerkmale einzeln beschreibbar ist: Erzeugung einer Datei, Lesen einer Datei, Schreiben einer Datei, Überschreiben einer Datei, Anfügen einer Datei, Löschen einer Datei, Lesen von Metainformation einer Datei, Schreiben von Metainformation einer Datei, Lesen eines Verzeichnisses Erzeugung eines Verzeichnisses, Suche in einem Verzeichnis, Löschen eines Verzeichnisses, Erzeugung eines Speichersegmentes, Lesen eines Speichersegmentes, Schreiben eines Speichersegmentes, Löschen eines Speichersegmentes, Öffnen eines Gerätes, Lesen von Daten von einem Gerät Schreiben von Daten auf ein Gerät, Lesen von Metadaten von einem Gerät Schreiben von Metadaten auf ein Gerät, Schliessen eines Gerätes Senden von Interprozesskommunikations-Nachricht, Empfangen von Interprozesskommunikations-Nachricht, Senden eines Datagramms Empfangen eines Datagramms, Erzeugung einer virtuellen Verbindung Senden von Daten über eine virtuelle Verbindung, Empfangen von Daten über eine virtuelle Verbindung, Abbau einer virtuellen Verbindung
6. Verteiltes System nach einem der Ansprüche 1 bis 5, dadurch gekennzeichnet, dass alle einzelne Knoten betreffende Subjekte und Objekte etikettiert bzw. initialisiert sind, so dass die Subjekte oder Objekte bei einem Übergang von einem Knoten zu einem anderen Knoten unter Maßgabe der ihnen obliegen Sicherheitspolitik identifizierbar sind.
7. Verteiltes System nach einem der Ansprüche 2 bis Anspruch 6, dadurch gekennzeichnet, dass die Vielzahl übergeordneter Überwachungseinheiten (ERM) innerhalb des verteilten Systems untereinander hierarchisch strukturiert ist.
8. Verteiltes System nach einem der Ansprüche 1 bis 7, dadurch gekennzeichnet, dass zusätzlich zum innerhalb des ERMs abgelegten Regelwerk Informationen über Authentifizierung (EAD) sowie Autorisierung für die innerhalb jedes einzelnen Knotens stattfindenden Operationen zwischen einzelnen Subjekten und/oder Objekten, im ERM ablegbar und zu jedem Knoten kommunizierbar sind.
9. Verteiltes System nach Anspruch 8, dadurch gekennzeichnet, dass wenigstens Teile des Regelwerks und/oder wenigstens Teile die Informationen über die Authentifizierung (EAD) sowie Autorisierung betreffend eine zeitlich begrenzte Gültigkeit aufweisen, und dass innerhalb dieser Gültigkeitsdauer wenigstens Teile des Regelwerkes und/oder wenigstens Teile der Informationen über die Authentifizierung (EAD) sowie Autorisierung auf die lokale Überwachungseinheit abgelegt sind.
10. Verteiltes System nach einem der Ansprüche 1 bis 9, dadurch gekennzeichnet, dass zusätzlich zum innerhalb des ERMs abgelegten Regelwerk ein Audit Subsystem vorgesehen ist, das eine Kommunikation zwischen den einzelnen Knoten und dem ERM und/oder innerhalb jedes einzelnen Knotens stattfindende Operationen zwischen Subjekten und/oder Objekten erfasst und aufzeichnet.
11. Verteiltes System nach Anspruch 10, dadurch gekennzeichnet, dass die erfasste Kommunikation bestimmten für das Audit Subsystem relevanten Regeln unterliegt.
12. Verteiltes System nach einem der Ansprüche 1 bis 11 , dadurch gekennzeichnet, dass in jedem Knoten und/oder in dem wenigstens einen ERM eine kryptographische Einheit vorgesehen ist, die zumindest einen Informationsaustausch zwischen jedem einzelnen Knoten und dem wenigstens einen ERM unter Zugrundelegung eines Authentisierungsverfahren codiert.
13. Verteiltes System nach Anspruch 12, dadurch gekennzeichnet, dass die kryptographische Einheit die Identität jeweils miteinander kommunizierender Knoten sowie auch ERMs über ein kryptographisches Verfahren von beiden Partnern verifiziert, bevor es zu eines Datenübertragung kommt.
14. Verteiltes System nach einem der Ansprüche 1 bis 13, dadurch gekennzeichnet, dass die übergeordnete Überwachungseinheit als gesicherter Coprozessor ausgebildet ist.
15. Verteiltes System nach Anspruch 14, dadurch gekennzeichnet, dass der gesicherte Coprozessor neben dem Regelwerk auch eine Authentifizierungseinheit sowie ein Audit Subsystem umfaßt.
16. Verteiltes System nach Anspruch 14 oder 15, dadurch gekennzeichnet, dass der gesicherte Coprozessor eine vom restlichen Knoten isolierte Instanz ist, die in sich autonom, gegen Manipulation geschützt und in der Lage ist, die eigene Integrität und aller Objekte und Subjekte des Knotens zu verifizieren und sich selbst zu zerstören, sofern Manipulationen detektierbar sind, die die Integrität verletzten.
17. Verteiltes System nach einem der Ansprüche 1 bis 16, dadurch gekennzeichnet, dass das in dem ERM abglegbare, die Sicherheitspolitik aller oder wenigstens einer Gruppe von Knoten bestimmende Regelwerk in Form syntaktischer Elemente darstellbar ist und unter Massgabe der formalen Logik erster Ordnung anwendbar ist, um stets in sich konsistente Aussagen und Ergebnisse zu erzeugen.
18. Verfahren zur Einprägung einer Sicherheitspolitik in eine Vielzahl über ein Netzwerk miteinander verbundener Rechnereinheiten, sogenannte Knoten, in denen jeweils eine lokale Überwachungseinheit vorgesehen ist, die jeweils mit wenigstens einer innerhalb des Netzwerkes vorhandenen externen Überwachungseinheit verbunden sind, in der jeweils die Sicherheitspolitiken aller Knoten oder wenigstens einer Gruppe von Knoten betreffende Regelwerke abgelegt werden, dadurch gekennzeichnet, dass von der wenigstens einen externen Überwachungseinheit ein die Sicherheitspolitik bestimmendes Regelwerk abgerufen wird und innerhalb des Knotens wenigstens temporär derart abgespeichert und verarbeitet wird, dass dieses Regelwerk auf Betriebssystemebene des Knotens sämtliche Operationen mit Objekten sowie Interaktionen zwischen Subjekten und Objekten innerhalb des Knotens unter Massgabe des Regelwerks kontrolliert.
19. Verfahren nach Anspruch 18, dadurch gekennzeichnet, dass das von der externen Überwachungseinheit von einem Knoten abgerufene Regelwerk in einem Reference Monitor (ECRM= External Controlled Reference Monitor) abgelegt wird, der auf Ebene des Betriebsystems innerhalb des Knotens arbeitet.
20. Verfahren nach Anspruch 18 oder 19, dadurch gekennzeichnet, dass eine Vielzahl externer Überwachungseinheiten, sogenannte Externer Reference Monitore (ERM) vorgesehen sind, in denen jeweils unterschiedliche Sicherheitpolitiken abgelegt werden und die an bestimmungsgemäße Knoten kommuniziert werden.
21. Verfahren nach einem der Ansprüche 18 bis 20, dadurch gekennzeichnet, dass das Regelwerk als ein aus syntaktischen Elementen aufgebauter Befehls- bzw. Entscheidungscode zusammengesetzt und dargestellt wird und auf der Grundlage der Regeln der formalen Logik erster Ordnung angewendet wird zum Erhalt selbstkonsistenter Entscheidungen.
PCT/EP2002/010437 2001-09-20 2002-09-17 Vorrichtung und verfahren zur etablierung einer sicherheitspolitik in einem verteilten system WO2003025758A2 (de)

Priority Applications (1)

Application Number Priority Date Filing Date Title
US10/489,817 US20050038790A1 (en) 2001-09-20 2002-09-17 Device and method for establishing a security policy in a distributed system

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
DE10146361A DE10146361B4 (de) 2001-09-20 2001-09-20 Verteiltes System
DE10146361.8 2001-09-20

Publications (2)

Publication Number Publication Date
WO2003025758A2 true WO2003025758A2 (de) 2003-03-27
WO2003025758A3 WO2003025758A3 (de) 2003-12-24

Family

ID=7699672

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/EP2002/010437 WO2003025758A2 (de) 2001-09-20 2002-09-17 Vorrichtung und verfahren zur etablierung einer sicherheitspolitik in einem verteilten system

Country Status (3)

Country Link
US (1) US20050038790A1 (de)
DE (1) DE10146361B4 (de)
WO (1) WO2003025758A2 (de)

Families Citing this family (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8386520B2 (en) * 2005-03-30 2013-02-26 Hewlett-Packard Development Company, L.P. Database security structure
US7958396B2 (en) * 2006-05-19 2011-06-07 Microsoft Corporation Watchdog processors in multicore systems
US8819763B1 (en) * 2007-10-05 2014-08-26 Xceedium, Inc. Dynamic access policies
US8650250B2 (en) 2010-11-24 2014-02-11 Oracle International Corporation Identifying compatible web service policies
US9589145B2 (en) 2010-11-24 2017-03-07 Oracle International Corporation Attaching web service policies to a group of policy subjects
CN102571476B (zh) * 2010-12-27 2015-08-19 中国银联股份有限公司 一种实时监控终端命令行的方法和装置
US8560819B2 (en) 2011-05-31 2013-10-15 Oracle International Corporation Software execution using multiple initialization modes
US8914843B2 (en) 2011-09-30 2014-12-16 Oracle International Corporation Conflict resolution when identical policies are attached to a single policy subject
US8909930B2 (en) 2011-10-31 2014-12-09 L-3 Communications Corporation External reference monitor
US20150052616A1 (en) 2013-08-14 2015-02-19 L-3 Communications Corporation Protected mode for securing computing devices
US10762069B2 (en) * 2015-09-30 2020-09-01 Pure Storage, Inc. Mechanism for a system where data and metadata are located closely together
US10798128B2 (en) * 2017-07-24 2020-10-06 Blackberry Limited Distributed authentication for service gating
CN109862042A (zh) * 2019-03-27 2019-06-07 泰萍科技(杭州)有限公司 一种同质异构的网络安全加固方法及装置
US11803641B2 (en) * 2020-09-11 2023-10-31 Zscaler, Inc. Utilizing Machine Learning to detect malicious executable files efficiently and effectively

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP0442838A2 (de) * 1990-02-15 1991-08-21 International Business Machines Corporation Verfahren, das eine Anwenderzugriffskontrolle zu einem verteilten Datenverarbeitungssystem durch Auswechseln von Anwenderzugriffsprofilen zur Verfügung stellt
US6158010A (en) * 1998-10-28 2000-12-05 Crosslogix, Inc. System and method for maintaining security in a distributed computer network

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FR2663238B1 (fr) * 1990-06-18 1992-09-18 Inst Francais Du Petrole Procede et dispositif de separation entre une phase fluide continue et une phase dispersee, et application.
FR2702671B1 (fr) * 1993-03-15 1995-05-05 Inst Francais Du Petrole Dispositif et procédé de séparation de phases de densités et de conductivités différentes par électrocoalescence et centrifugation.
US5565078A (en) * 1994-04-06 1996-10-15 National Tank Company Apparatus for augmenting the coalescence of water in a water-in-oil emulsion
US5765153A (en) * 1996-01-03 1998-06-09 International Business Machines Corporation Information handling system, method, and article of manufacture including object system authorization and registration
DE10080454D2 (de) * 1999-02-26 2001-07-26 Siemens Ag Modifizierung der ITU-T recommendation X.741 für einen einheitlichen Zugriffsschutz auf Managed Objects und Dateien

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP0442838A2 (de) * 1990-02-15 1991-08-21 International Business Machines Corporation Verfahren, das eine Anwenderzugriffskontrolle zu einem verteilten Datenverarbeitungssystem durch Auswechseln von Anwenderzugriffsprofilen zur Verfügung stellt
US6158010A (en) * 1998-10-28 2000-12-05 Crosslogix, Inc. System and method for maintaining security in a distributed computer network

Non-Patent Citations (4)

* Cited by examiner, † Cited by third party
Title
PIETRO J A: "The security kernel: background and elements" INFORMATION AGE, JULY 1987, UK, Bd. 9, Nr. 3, Seiten 131-138, XP009010709 ISSN: 0261-4103 *
S. WOLTHUSEN: "Layered multipoint network defense and security policy enforcement" PROCEEDINGS FROM THE SECOND ANNUAL IEEE SMC INFORMATION ASSURANCE, Juni 2001 (2001-06), Seiten 100-108, XP002241105 *
SMITH S W ET AL: "Building a high-performance, programmable secure coprocessor" COMPUTER NETWORKS, ELSEVIER SCIENCE PUBLISHERS B.V., AMSTERDAM, NL, Bd. 31, Nr. 8, 23. April 1999 (1999-04-23), Seiten 831-860, XP004304521 ISSN: 1389-1286 *
WILLIAMS T C: "Usefulness of a network reference monitor" 13TH NATIONAL COMPUTER SECURITY CONFERENCE. PROCEEDINGS. INFORMATION SYSTEMS SECURITY. STANDARDS - THE KEY TO THE FUTURE, WASHINGTON, DC, USA, 1-4 OCT. 1990, Seiten 788-796 vol.2, XP001147935 1990, Gaithersburg, MD, USA, NIST, USA *

Also Published As

Publication number Publication date
US20050038790A1 (en) 2005-02-17
WO2003025758A3 (de) 2003-12-24
DE10146361A1 (de) 2003-04-24
DE10146361B4 (de) 2007-02-01

Similar Documents

Publication Publication Date Title
DE60218615T2 (de) Verfahren und Architektur zur durchdringenden Absicherung von digitalen Gütern
DE19960977B4 (de) System für ein elektronisches Datenarchiv mit Erzwingung einer Zugriffskontrolle beim Datenabruf
DE60123672T2 (de) Computersystemschutz
DE69522460T2 (de) System und verfahren zur erzeugung gesicherter internetzwerkdienste
DE19960978B4 (de) Verfahren zum Steuern des Zugriffs auf in einem Datenarchivsystem gespeicherte elektronische Datendateien
DE112004000428B4 (de) Verfahren und Systeme zum Verwalten von Sicherheitsrichtlinien
DE60200323T2 (de) Verfahren zum Schutz der Integrität von Programmen
EP1290530B1 (de) Verschlüsseln von abzuspeichernden daten in einem iv-system
DE112019006367T5 (de) Verfahren und System zur Sicherung von Cloud-Speichern und -Datenbanken vor Insider-Bedrohungen und zur Optimierung der Leistung
DE19741239C2 (de) Verallgemeinertes Sicherheitspolitik-Management-System und Verfahren
DE69232799T2 (de) Netzwerksicherheitsverfahren und-vorrichtung
DE102011077218B4 (de) Zugriff auf in einer Cloud gespeicherte Daten
DE10146361B4 (de) Verteiltes System
DE10249427A1 (de) System und Verfahren zum Definieren des Sicherheitszustands eines Computersystems
DE112008002462T5 (de) Datensicherheitsvorrichtung
DE112011103580B4 (de) Verfahren, sichere Einheit, System und Computerprogrammprodukt für das sichere Verwalten des Benutzerzugriffs auf ein Dateisystem
DE102013102229A1 (de) Verfahren zum Ausführen von Tasks auf einem Produktions-Computersystem sowie Datenverarbeitungssystem
WO2011061061A1 (de) Verfahren und vorrichtung zum zugriff auf dateien eines sicheren fileservers
DE112022000280T5 (de) Identitätsautorität
DE112021005862T5 (de) Selbstprüfende blockchain
DE60305315T2 (de) Originalitätsgesichertes herausnehmbares medium mit ausführbarem kode
EP1298529A2 (de) Proxy-Einheit und Verfahren zum rechnergestützten Schützen eines Applikations-Server-Programms
DE112022003368T5 (de) Verschlüsselungsüberwachungsregister und -system
DE102012208290B4 (de) Netzübergangskomponente mit anfrage/antwort-zuordnung und überwachung
LU500837B1 (de) Verfahren und zugehörige Computersysteme zur Sicherung der Integrität von Daten

Legal Events

Date Code Title Description
AK Designated states

Kind code of ref document: A2

Designated state(s): JP

AL Designated countries for regional patents

Kind code of ref document: A2

Designated state(s): AT BE BG CH CY CZ DE DK EE ES FR GB GR IE IT LU MC NL PT SE SK TR

DFPE Request for preliminary examination filed prior to expiration of 19th month from priority date (pct application filed before 20040101)
121 Ep: the epo has been informed by wipo that ep was designated in this application
WWE Wipo information: entry into national phase

Ref document number: 10489817

Country of ref document: US

122 Ep: pct application non-entry in european phase
NENP Non-entry into the national phase

Ref country code: JP

WWW Wipo information: withdrawn in national office

Country of ref document: JP