Formale Modellierung von Authentifizierungs- und Autorisierungsinfrastrukturen (eBook)
XV, 139 Seiten
Deutscher Universitätsverlag
978-3-8350-9338-6 (ISBN)
Dr. Thomas Wölfl arbeitet am Institut für Wirtschaftsinformatik der Universität Regensburg.
Dr. Thomas Wölfl arbeitet am Institut für Wirtschaftsinformatik der Universität Regensburg.
Geleitwort 6
Danksagung 9
Inhaltsverzeichnis 10
Abbildungsverzeichnis 14
Tabellenverzeichnis 16
1 Einleitung 17
2 Public-Key-Infrastrukturen 21
2.1 Public-Key-Kryptographie 21
2.2 Aufgabe einer Public-Key-Infrastruktur 24
2.3 Public-Key-Zertifikate 25
2.4 Rückruf von Public-Key-Zertifikaten 26
2.5 Public-Key- Zertifikationsketten 27
2.6 Akteure und Aufgabenverteilung in einer PKI 28
2.7 PKI Vertrauensmodelle 29
2.8 ITU-T Recommendation X.509 36
3 Privilege-Management-Infrastrukturen 45
3.1 PKI-Konzepte zur Autorisierung 45
3.2 Aufgabe einer Privilege-Management-Infrastruktur 46
3.3 Attribut-Zertifikate 47
3.4 Akteure und Aufgabenverteilung in einer PMI 47
3.5 Attribute 48
3.6 Einsatz deskriptiver Attribute zur Benutzerauthentifikation 49
3.7 Delegation von Privilegien 50
3.8 ITU-T Recommendation X.509 53
3.9 Realisierung klassischer Autorisierungsmodelle auf Basis einer PMI 54
4 Rückruf von Zertifikaten 59
4.1 Certificate Revocation List (CRL) 59
4.2 Delta Certificate Revocation List (DCRL) 61
4.3 Online Certificate Status Protocol (OCSP) 62
4.4 Standard Certificate Validation Protocol (SCVP) 63
4.5 Certificate Revocation System (CRS) 64
4.6 Certificate Revocation Tree (CRT) 65
4.7 Rückrufschema von Naor und Nissim 67
4.8 Ergebnisse für die AAI-Modellierung 71
5 Gültigkeitsmodelle 73
5.1 Schalenmodell 73
5.2 Modifiziertes Schalenmodell 73
5.3 Kettenmodell 75
5.4 Schwäche des Kettenmodells 75
5.5 Ergebnisse für die AAI-Modellierung 79
6 Zertifikations- und Delegationsketten 81
6.1 Zertifikation von Attributen 81
6.2 Delegationsketten und Vertrauen 81
6.3 Vertrauen als Privileg 82
6.4 Zusammenspiel von Zertifikations- und Delegationsketten 83
7 Formales AAI-Modell 87
7.1 Temporale Logik 87
7.2 Begriffe der Prädikatenlogik und der Logikprogrammierung 88
7.3 AAI-Modell 95
7.4 Alices Sicht der AAI 100
7.5 Annahme der Weltabgeschlossenheit 100
7.6 Annahme eindeutiger Namen 103
7.7 Authentifizierung von Attributen 104
7.8 Vergleich zu Maurers PKI-Modell 105
7.9 Zertifikationsgraph 105
7.10 Widerspruchsfreiheit 107
8 PROLOG-Programm 113
8.1 PROLOG-Notation 113
8.2 Quellcode 114
8.3 Bedienung des Programms 115
8.4 Abhängigkeitsgraph 117
8.5 Erklärung des Programms 119
8.6 Termination 128
8.7 Korrektheit der SLDNF-Ableitung 128
8.8 Vervollständigung des Programms 129
8.9 Korrektheit des Programms 132
8.10 Safeness und Occurs Check 133
9 Beispiele 135
9.1 PKI-Beispiele 135
9.2 Beispiele mit Rückruf und Gültigkeitsdauer 140
9.3 Zertifikation von Attributen 146
Literaturverzeichnis 151
4 Rückruf von Zertifikaten (S. 43-44)
Public-Key-Zertifikate und Attribut-Zertifikate tragen eine Gültigkeitsdauer. Während dieser Zeitspanne ist die durch das Zertifikat bescheinigte Bindung eines 5ffentlichen Schlüssels oder eines Attributs an das Subjekt des Zertifikats gültig. Vor dem Ablauf der Gültigkeitsdauer kann aber ein unerwartetes Ereignis eintreten, das erfordert, dass die im Zertifikat bescheinigte Bindung gelöst wird. Dieses Kapitel gibt einen 0berblick fiber Zertifikat-Rückruftechniken aus Theorie und Praxis. Am Ende das Kapitels werden die Eigenschaften von Zertifikat-Rückrufen zusammengefasst. Die Zusammenfassung ist eine Grundlage für die Modellierung von Rückrufen.
4.1 Certificate Revocation List (CRL)
Eine CRL ist eine Datenstruktur, die eine Liste von eindeutigen Referenzen auf zurück- gerufene Zertifikate enthält. Ein Eintrag für ein bestimmtes Zertifikat in der CRL zeigt an, dass das angeführte Zertifikat zurückgerufen wurde. Die CRL wird von der Rückrufstelle ausgestellt und digital signiert (Schutz der Authentizität und Integrität). Die Rückrufstelle legt in regelmgt3igen Zeitabständen Aktualisierungen der CRL im Verzeichnis ab.
Die aktuelle CRL kann von den Benutzern abgerufen werden. Damit ein Benutzer einen Rückrufeintrag einer CRL akzeptiert, muss er die Rückrufstelle für berechtigt ansehen, das durch den Rückrufeintrag bezeichnete Zertifikat zurückzurufen. Häufig übernimmt die Zertifizierungsstelle auch die Aufgaben der Rückrufstelle. In einem solchen Fall ist der Aussteller der Zertifikate ebenfalls der Aussteller der CRL.
In Abbildung 4.1 ist eine CRL nach der X.509 Standardisierungsempfehlung (20) dargestellt. Diese standardisierte Rückrufliste besteht aus folgenden Datenfeldern: Version: Die Versionsnummer (1 oder 2) der vorliegenden CRL. Die hier beschriebene CRL entspricht der Version 2. Signaturalgorithmus: Bezeichnet das Public-Key-Verfahren, das zur Erzeugung der digitalen Signatur der CRL verwendet wurde. Aussteller:
Der Name der Rückrufstelle (vgl. Namenskonventionen in Abschnitt 2.8.4). Dieses Update: Der Zeitpunkt, an dem die vorliegende CRL ausgestellt wurde. Die Zeit wird genauso wie die Gültigkeitszeiträume von Zertifikaten entweder in Koordinierter Weltzeit (UTC) oder in Generalized Time dargestellt (vgl. Abschnitt 2.8.2). Nächstes Update (optional): Der Zeitpunkt, an dem die nächste CRL spätestens aus- gestellt wird. Es ist möglich, dass bereits vor diesem Zeitpunkt eine neue CRL ausgestellt wird.
Erscheint lt. Verlag | 20.11.2007 |
---|---|
Vorwort | Prof. Dr. Peter Lory |
Zusatzinfo | XV, 139 S. |
Verlagsort | Wiesbaden |
Sprache | deutsch |
Themenwelt | Informatik ► Netzwerke ► Sicherheit / Firewall |
Schlagworte | Authentifizierung • Autorisierung • Formales Modell • Gültigkeitsdauer • Management • Modellierung • Rückruf von Zertifikaten • Zertifikatenrückruf |
ISBN-10 | 3-8350-9338-X / 383509338X |
ISBN-13 | 978-3-8350-9338-6 / 9783835093386 |
Haben Sie eine Frage zum Produkt? |
Größe: 7,8 MB
DRM: Digitales Wasserzeichen
Dieses eBook enthält ein digitales Wasserzeichen und ist damit für Sie personalisiert. Bei einer missbräuchlichen Weitergabe des eBooks an Dritte ist eine Rückverfolgung an die Quelle möglich.
Dateiformat: PDF (Portable Document Format)
Mit einem festen Seitenlayout eignet sich die PDF besonders für Fachbücher mit Spalten, Tabellen und Abbildungen. Eine PDF kann auf fast allen Geräten angezeigt werden, ist aber für kleine Displays (Smartphone, eReader) nur eingeschränkt geeignet.
Systemvoraussetzungen:
PC/Mac: Mit einem PC oder Mac können Sie dieses eBook lesen. Sie benötigen dafür einen PDF-Viewer - z.B. den Adobe Reader oder Adobe Digital Editions.
eReader: Dieses eBook kann mit (fast) allen eBook-Readern gelesen werden. Mit dem amazon-Kindle ist es aber nicht kompatibel.
Smartphone/Tablet: Egal ob Apple oder Android, dieses eBook können Sie lesen. Sie benötigen dafür einen PDF-Viewer - z.B. die kostenlose Adobe Digital Editions-App.
Zusätzliches Feature: Online Lesen
Dieses eBook können Sie zusätzlich zum Download auch online im Webbrowser lesen.
Buying eBooks from abroad
For tax law reasons we can sell eBooks just within Germany and Switzerland. Regrettably we cannot fulfill eBook-orders from other countries.
aus dem Bereich