TU Darmstadt / ULB / TUprints

Eine policybasierte Zugriffskontrollarchitektur für das Multi Service Internet

Rensing, Christoph (2003)
Eine policybasierte Zugriffskontrollarchitektur für das Multi Service Internet.
Technische Universität Darmstadt
Ph.D. Thesis, Primary publication

Copyright Information: In Copyright.

Download (2MB) | Preview
Item Type: Ph.D. Thesis
Type of entry: Primary publication
Title: Eine policybasierte Zugriffskontrollarchitektur für das Multi Service Internet
Language: German
Referees: Steinmetz, Prof. Dr. Ralf ; Stiller, Prof. Dr. Burkhard
Advisors: Steinmetz, Prof. Dr. Ralf
Date: 5 December 2003
Place of Publication: Darmstadt
Date of oral examination: 15 July 2003

Kommerzielle Anbieter von Internet-Diensten müssen in die Lage versetzt werden, über eine Anpassung ihrer Geschäftsmodelle unmittelbar auf Marktsituationen zu reagieren und schnell neue Dienste implementieren zu können. Dazu bedürfen sie u.a. eines flexibel konfigurierbaren generischen Systems, welches zur Kontrolle und Abrechnung verschiedenster Dienste genutzt werden kann. Die in der Arbeit entwickelte Ax-Architektur stellt die Grundlage für ein solches System dar. In der Arbeit wurde untersucht, welche Anforderungen sich aus der Gestaltung eines Geschäftsmodells als übergerordnete Policy eines Dienstanbieters an die Authentifizierung und Autorisierung als Teilfunktionen der Zugriffskontrolle ergeben. Dazu wurde ein Policy-Modell entwickelt, welches in einer systematischen und einer operativen Sichtweise die Beziehungen zwischen den Aspekten des Geschäftsmodells und den Funktionen der Zugriffskontrolle und Abrechnung beschreibt. Eine eigene Policy-Sprache dient zur Spezifikation der Policies, wie sie zur Konfiguration des Zugriffskontroll- und Abrechnungssystems innerhalb der Ax-Architektur verwendet werden. Beim Design der Architektur wurden drei existierende Konzepte miteinander kombiniert: (1) Zugriffskontrolle und Abrechnung werden als eigene Unterstützungsdienste angesehen und von den Endnutzerdiensten separiert. Sie werden von einem Ax-Server erbracht. Die generische Funktionsweise dieses Ax-Servers ist unabhängig von den zu kontrollierenden Diensten. Somit kann mittels eines Ax-Servers sowohl der Zugriff auf die Zugänge zum Internet als auch der Zugriff auf Inhalte und Anwendungen kontrolliert werden. (2) Der Dienstanbieter bestimmt über die Definition einer Policy, welche Form der Zugriffskontrolle und Abrechnung in Abhängigkeit vom Endnutzerdienst auszuführen ist. Im Zugriffskontrollsystem wird das Paradigma des policybasierten Managements umgesetzt und die Teilfunktionen der Zugriffskontrolle und Abrechnung modularisiert. (3) Die strikte Modularisierung erlaubt einen Austausch der sicherheitsgewährleistenden Verfahren. Verschiedene Organsiatonsmodelle beschreiben die Kontrolle des Zugriffs mobiler Dienstnutzer. Das durch die drei angewandten Konzepte bestimmte abstrakte Bild der Ax-Architektur und dessen Funktionalität wurde im Rahmen der Arbeit konkretisiert. Die einzelnen Komponenten der Architektur und ihre Funktionalität wurden definiert und die Realisierung der wichtigsten Komponenten detailliert betrachtet. Die Systemschnittstellen wurden analysiert und die zwischen den Systemen bzw. Systemkomponenten auszutauschenden Datenobjekte und Nachrichtentypen bestimmt. Eine genaue Beschreibung der Funktionsweise eines Ax-Systems erfolgte mit Hilfe von Nachrichtensequenzdiagrammen. Zur Beurteilung der Architektur wurden verschiedene representative Anwendungsfälle betrachtet und ihre Realisierung mittels eines Ax-Systems verglichen. Derzeit müssen zur Realisierung der Zugriffskontrolle und Abrechnung im Anwendungsszenario verschiedene Systeme realisiert werden. Sie lassen sich alle durch einheitliche Ax-Systeme ersetzen, wobei nur geringe Performanzeinbußen hinzunehmen sind. Auch die Kontrolle und Abrechnung neuer Dienste und die Berückichtigung verschiedenster Geschäftsmodelle ihrer Anbieter erlauben die Ax-Systeme.

Alternative Abstract:
Alternative AbstractLanguage

Commercial providers of Internet services must be able to adapt their business plans in order to react immediately to market changes and to quickly implement new services. They therefore require a flexibly configurable generic system that can be used for the controlling and for the billing/charging of various services. The AX called Access Control Architecture developed in this dissertation provides the basis for such a generic system. In this study, the requirements relating to authentication and authorization as sub-functions of access control have been investigated. Such requirements result from the design of a business plan as a provider's top-level policy. A policy model has been developed which describes the relationships between various aspects of the business plan and the functions of access control and billing/charging from both systematic and operative perspectives. A special policy language serves to specify the policies to be used for the configuration of both the access control and the billing/charging systems within the AX-architecture. Three existing concepts were combined to produce the architectural design: - Control of access and billing/charging were treated as unique support services and were separated from the end user services. The generic mode of operation of this Ax-server is independent of the services to be controlled. Thus, with the help of an Ax-server, it was possible to control both access to Internet logins as well as access to contents and Internet-based applications. - Via the definition of a policy, the service provider decides how the access control and billing/charging are to be executed relative to the end user service. The paradigm of policy-based management is implemented in the access control system. - The functions of access control and billing/charging are modularised and executed within the architecture by means of independent policy enforcement points. The stringent modularisation makes possible, amongst other things, an exchange of processes that guarantee safety. The three concepts that were employed specify the abstract representation of the AX-architecture and its overall functionality. The research reported here provides a more concrete representation. The individual components of the architecture, as well as their respective functions, were defined and the realization of the most important components was studied in detail. The system's interfaces and the data objects and categories of messages to be exchanged between the systems and/or components of the systems were defined. Message sequence diagrams were used to provide an exact description of the mode of operation of an Ax-system. Various organizational models that can be realized in the AX-architecture describe access control for mobile service users. In order to evaluate the architecture, various typical cases of application were analysed and, for each case, the deployment of an Ax-system was compared with the use of existing systems. At present, service providers who want to realize access control and billing/charging have to use some of those systems presented in realistic applications scenarios at the start of this paper. They can all be replaced by uniform Ax-systems, whereby only minimal losses of performance occur. The Ax-systems also allow access control and billing/charging for new services as well as consideration of the various business plans offered by their providers.

Uncontrolled Keywords: Authentifizierung, Autorisierung, Internet-Dienste
Alternative keywords:
Alternative keywordsLanguage
Authentifizierung, Autorisierung, Internet-DiensteGerman
Accounting, Internet ServicesEnglish
URN: urn:nbn:de:tuda-tuprints-3838
Classification DDC: 000 Generalities, computers, information > 004 Computer science
Divisions: 20 Department of Computer Science
Date Deposited: 17 Oct 2008 09:21
Last Modified: 07 Dec 2012 11:49
URI: https://tuprints.ulb.tu-darmstadt.de/id/eprint/383
Actions (login required)
View Item View Item