A Framework for ProActive Caching in Business Process-driven Environments

Kohler, Mathias (2011)
A Framework for ProActive Caching in Business Process-driven Environments.
Technische Universität Darmstadt
Ph.D. Thesis, Primary publication

Preview

PhD Thesis - ProActive Caching - PDF
phd_thesis_mathias_kohler.pdf
Copyright Information: In Copyright.
Download (2MB) | Preview

Item Type:

Ph.D. Thesis

Type of entry:

Primary publication

Title:

A Framework for ProActive Caching in Business Process-driven Environments

Language:

English

Referees:

Eckert, Prof. Dr. Claudia ; Mühlhäuser, Prof. Dr. Max

Date:

10 November 2011

Place of Publication:

Darmstadt

Date of oral examination:

5 July 2011

Abstract:

System response times influence the satisfaction of users interacting with a system. Research shows that increasing response times lead to increasing dissatisfaction or complete refusal of using the system.

System analyses show that enforcing access control requirements significantly influence the system's performance experienced by end users. With increasing regulatory demands such as Basel II, Sarbanes Oxley, or data protection laws, modern complex and multi-layered enterprise systems require fine-grained and context sensitive enforcement of access control policies. Consequently, an efficient policy evaluation is getting more and more important to ensure a satisfactory system performance for interactive tasks.

Research in the area of performance optimizations of access control evaluations is well known, comprising replication of respective system components, structural optimizations of the security policy, as well as different caching strategies. All these approaches have in common that the presented optimization techniques try to optimize access control evaluations independently from the system context.

Modern enterprise systems are inherently based on models for process execution. These models provide a detailed view on the system context and, thus, enable new caching approaches. The dynamic nature of today’s process management systems and increasing demand for context sensitive security enforcement, however, challenge caching access control decisions as changing context strongly impacts on the continuous validity of stored access control decisions.

In this thesis, we propose ProActive Caching, a caching strategy specifically tailored to the dynamic properties of business process-driven environments. ProActive Caching aims at providing a significantly low response time for access control decisions, as well as allowing to cache access control decisions which are based on context sensitive security policies.

Moreover, we provide an accompanying caching architecture and a detailed performance analysis of different caching strategies for static and dynamic aspects of access control policies, showing that our strategy significantly improves the performance compared to other approaches for caching access control decisions.

Alternative Abstract:

Alternative Abstract

Language

Für prozessorientierte Industrielösungen bestehen die gegenläufigen Herausforderungen, die Reaktionszeiten des Systems für Benutzer optimal zu minimieren und gleichzeitig mittels Zugriffskontrollauswertungen, welche die Reaktionszeit signifikant erhöhen, unbefugte Interaktionen zu verhindern. Verzögerte Antwortzeiten führen zu Unzufriedenheit beim Benutzer und können zu vollständiger Ablehnung des Systems führen.

Für die Autorisierung von Interaktionen eines Benutzers mit in Unternehmen häufig eingesetzten prozessorientierten Industrielösungen, wie beispielsweise für Ressourcenpla-nung (ERP), müssen eine Vielzahl von Zugriffskontrollanfragen ausgewertet und die intendierte Aktion des Benutzers auf ihre Legitimität hinsichtlich der im System festgelegten "Security Policy" überprüft werden. Als Konsequenz werden die Reaktionszeiten auf Benutzereingaben durch die durchgeführten Autorisierungsabfragen signifikant beeinflusst.

Gerade zusätzliche, rechtliche Anforderungen durch beispielsweise Basel II, Sarbanes Oxley oder Datenschutzgesetze erfordern in modernen, mehrschichtigen Industrielösungen eine feingranulare als auch kontextabhängige Auswertung und Durchsetzung von Security Policies. Konsequenterweise ist es für die Zufriedenheit der Benutzer wichtig, eine auf Geschwindigkeit optimierte Evaluierung von Sicherheitsanfragen einzusetzen.

Zur Optimierung von Zugriffskontrollanfragen gibt es bereits verschiedene Ansätze. Hierzu gehört die Replikation von denjenigen Systemen, welche für die Auswertung von Zugriffskontrollanfragen genutzt werden oder die strukturelle Optimierung von Security Policies. Eine weitere Möglichkeit ist die Nutzung verschiedener Caching Strategien.

Die Literatur bietet eine Fülle von generischen als auch für Zugriffskontrollauswertungen optimierten Caching Verfahren. Die genannten Ansätze haben gemeinsam, dass die jeweilig dargestellten Strategien zwar eine Optimierung der Performance darstellen, diese jedoch den Einbezug des Anwendungskontextes - innerhalb dessen die jeweilige Strategie eingesetzt werden soll - nicht berücksichtigen.

Gerade der Einsatz von dynamischen Kontextinformationen erhöht die Komplexität von Zugriffskontrollauswertungen. Während bei der Auswertung von statischen Security Policies keine weiteren Informationen über das Anwendungssystem benötigt werden, müssen bei dynamischen Zugriffskontrollauswertungen Systeminformationen hinzugezogen werden. Diese werden benötigt, um beispielsweise Entscheidungen zur Einhaltung des Vier-Augen-Prinzips durchzusetzen; dies ist jedoch nur möglich, wenn bei der Auswertung bekannt ist, ob der jeweilige Benutzer zuvor bereits sich ausschließende Interaktionen am System oder einem Geschäftsobjekt durchgeführt hat.

Diese Einbeziehung von sich dynamisch veränderbaren Kontextinformationen erschwert den Einsatz von Caching Lösungen. Die Veränderung einer zur Zugriffkontrollauswertung genutzten Information führt unweigerlich dazu, dass zuvor ermittelte Zugriffskontrollentscheidungen ungültig werden können. In der Konsequenz können Zugriffskontrollentscheidungen nur in einem Cache gespeichert werden, wenn sichergestellt wird, dass ausschließlich gültige Einträge aus dem Cache abgerufen werden können.

Diese Doktorarbeit stellt die Caching Strategie „ProActive Caching“ vor, welche speziell für den Einsatz in prozessorientierten Industrielösungen entwickelt wurde. Diese Caching Strategie verfolgt dabei nachgenannte wesentlichen Ziele.

Das erste Ziel ist eine signifikante Reduktion für die Bereitstellung von Zugriffskontrollentscheidungen, welche durch ein prozessorientiertes System verarbeitet und durchgesetzt werden können.

Das zweite Ziel ist eine Cache-Management Strategie, welches auch die Speicherung von solchen Zugriffskontrollentscheidungen erlaubt, welche neben der Berücksichtigung der Security Policy mittels dynamisch veränderbaren Kontextinformationen ausgewertet wurden.

Darüber hinaus beschreibt diese Arbeit eine zugehörige, allgemein einsetzbare Caching Architektur sowie detaillierte empirische Performanceanalysen zum Einsatz von ProActive Caching in Geschäftsprozessumgebungen. Die empirischen Ergebnisse zeigen, dass ProActive Caching die Antwortzeiten für Zugriffskontrollanfragen gegenüber einer Nicht-Optimierung als auch im Vergleich zu alternativen Caching Strategien signifikant reduziert. Gerade im Umfeld von Geschäftsprozessen mit häufiger Interaktion der Anwender in IT-Systemen sind schnelle Reaktionen auf Benutzereingaben elementar. Mit ProActive Caching können Zugriffskontrollanfragen nahezu direkt beantwortet werden.

German

Alternative keywords: