XML-Sicherheitsdienste für das Netzwerk der Global Biodiversity Information Facility GBIF Dipl.-Inf. Lutz Suhrbier Prof. Dr.-Ing. Robert Tolksdorf Dipl.-Inf. Ekaterina Langer Freie Universität Berlin Institut für Informatik Netzbasierte Informationssysteme Email: suhrbier@inf.fu-berlin.de WWW: http://nbi.inf.fu-berlin.de [1] Lutz Suhrbier, FU-Berlin
GBIF DE / SYNTHESYS GBIF-Initiative: y y y weltweite Vernetzung und Bereitstellung vorhandener Daten zur biologischen Vielfalt über das Internet Steigerung der Effizienz der Biodiversitätsforschung Unterstützung der Prioritätensetzung bei Forschungs- und Naturschutzvorhaben SYNTHESYS goals: y y To provide researchers based in Europe with access to earth and life science collections, facilities and taxonomic expertises To create a single virtual museum service through networking activities [2] Lutz Suhrbier, FU-Berlin
Informationssystem [3] Lutz Suhrbier, FU-Berlin
Informationssystem [4] Lutz Suhrbier, FU-Berlin
Informationssystem [5] Lutz Suhrbier, FU-Berlin
Informationssystem [6] Lutz Suhrbier, FU-Berlin
Aktueller Zustand Aktueller Zustand Datenbanken (Unit Level DB) der Datenanbieter werden gekapselt (Wrapper-Komponente) XML-basiertes Protokoll zur Anfrage Configuration Files Provider Domain Wrapper SQL Unit Level DB BioCase XML Query BioCase XML Response Client Domain Client [7] Lutz Suhrbier, FU-Berlin
Aufgabe XML Sicherheitsdienste Erweiterung um XML-basierte Sicherheitsdienste: Authentifizierung von Benutzern und Zugriffskontrolle auf die Ressourcen anhand von rollenbasierten Politiken Sichern der Kommunikation durch Vertraulichkeit und Integrität der übertragenen Daten Authentizität der Datenquellen Nicht-Abstreitbarkeit von Nachrichten Kennzeichnung/Durchsetzung von Eigentumsrechten (IPR) durch digitales Rechtemanagement [8] Lutz Suhrbier, FU-Berlin
Architektur Sicherheitsdienste GBIF Provider Domain Client Domain : Users Roles Authentication Control Restricted BioCase XML Query Wrapper BioCase XML Response Enc/Dec Sign/Vrfy Login Encrypted signed XML Query Encrypted signed XML Response Client Enc/Dec Sign/Vrfy SQL Configuration Files Unit Level DB [9] Lutz Suhrbier, FU-Berlin
Policy-Architektur Project Root National Node 1 National Node 2 Host Regional Node Provider 1 Provider 2 Provider 3 [10] Lutz Suhrbier, FU-Berlin
XML Sicherheitsstandards extensible Control Markup Language (XACML) [OASIS] Definiert ein Basisschema inklusive eines Namensraums, um in XML Autorisierungspolitiken (Zugriffskontrolle) gegenüber ebenfalls in XML definierten Objekten zu beschreiben Security Assertion Markup Language (SAML) [OASIS] Regelt den Austausch von Autorisierungs- und Authentifizierungsinformationen (z.b. über XACML-Profile) XML Key Management Specification (XKMS) [W3C] Definiert zwei XML-basierte zur Verwaltung öffentlicher Schlüssel und Zertifikate Registrierung öffentlicher und privater Schlüssel Verifikation öffentlicher Schlüssel bzw. Zertifikate. extensible rights Markup Language (XrML) [OASIS] Beschreibungen, wer welche Rechte unter welchen Bedingungen auf digitale Resourcen (Software, Services, Hardware) ausüben darf [11] Lutz Suhrbier, FU-Berlin
Sichern der Kommunikation Web Services Security [OASIS] SOAP [W3C]-Erweiterung zum Aufbau sícherer Web Services durch Implementierung von Nachrichtenintegrität und Vertraulichkeit XML-Encryption [W3C] Vertraulichkeit von XML-Daten durch Verschlüsselung Verschlüsselung ganzer XML-Dokumente oder fein abgestuft z.b. Elementgruppen, einzelne Elemente oder Elementinhalte Unterschiedliche Schlüssel für verschiedene Teile eines Dokuments z.b. geheime Abschnitte des Dokuments nur für bestimmte Empfänger lesbar XML-Signature [W3C] Integrität und Verbindlichkeit von XML-Daten durch Anwendung digitaler Signaturen Signieren ganzer XML-Dokumente oder von Dokumententeilen Digitale Signaturen werden persistenter Bestandteil des Dokuments und somit dauerhaft verifizierbar Alle per URI referenzierbaren Datenobjekte flexibel mit verschiedenen Optionen (enveloped, enveloping oder detached) signierbar [12] Lutz Suhrbier, FU-Berlin
Konzeptphase abgeschlossen Entwurf Systemarchitektur Aktueller Stand der Entwicklung [13] Lutz Suhrbier, FU-Berlin
Problemstellungen Aktueller Stand der Entwicklung Anbindung Java Python (Wrapper) Erfahrungswerte mit Jython, JPype? evtl. Redirected Stand-alone Server? XML-basierte Client-Authentisierung Web-Services Security erscheint geeignet, aber Projektanforderung: Einsatz leichtgewichtiger Techniken Vermeidung von Servlet-Containern (Tomcat ->WSDP1.4) Erfahrungswerte mit Apache Axis (WSS4J)? Andere freie WSS-API s? [14] Lutz Suhrbier, FU-Berlin