Eine policybasierte Zugriffskontrollarchitektur für das Multi Service Internet

Kommerzielle Anbieter von Internet-Diensten müssen in die Lage versetzt werden, über eine Anpassung ihrer Geschäftsmodelle unmittelbar auf Marktsituationen zu reagieren und schnell neue Dienste implementieren zu können. Dazu bedürfen sie u.a. eines flexibel konfigurierbaren generischen Systems, welches zur Kontrolle und Abrechnung verschiedenster Dienste genutzt werden kann. Die in der Arbeit entwickelte Ax-Architektur stellt die Grundlage für ein solches System dar. In der Arbeit wurde untersucht, welche Anforderungen sich aus der Gestaltung eines Geschäftsmodells als übergerordnete Policy eines Dienstanbieters an die Authentifizierung und Autorisierung als Teilfunktionen der Zugriffskontrolle ergeben. Dazu wurde ein Policy-Modell entwickelt, welches in einer systematischen und einer operativen Sichtweise die Beziehungen zwischen den Aspekten des Geschäftsmodells und den Funktionen der Zugriffskontrolle und Abrechnung beschreibt. Eine eigene Policy-Sprache dient zur Spezifikation der Policies, wie sie zur Konfiguration des Zugriffskontroll- und Abrechnungssystems innerhalb der Ax-Architektur verwendet werden. Beim Design der Architektur wurden drei existierende Konzepte miteinander kombiniert: (1) Zugriffskontrolle und Abrechnung werden als eigene Unterstützungsdienste angesehen und von den Endnutzerdiensten separiert. Sie werden von einem Ax-Server erbracht. Die generische Funktionsweise dieses Ax-Servers ist unabhängig von den zu kontrollierenden Diensten. Somit kann mittels eines Ax-Servers sowohl der Zugriff auf die Zugänge zum Internet als auch der Zugriff auf Inhalte und Anwendungen kontrolliert werden. (2) Der Dienstanbieter bestimmt über die Definition einer Policy, welche Form der Zugriffskontrolle und Abrechnung in Abhängigkeit vom Endnutzerdienst auszuführen ist. Im Zugriffskontrollsystem wird das Paradigma des policybasierten Managements umgesetzt und die Teilfunktionen der Zugriffskontrolle und Abrechnung modularisiert. (3) Die strikte Modularisierung erlaubt einen Austausch der sicherheitsgewährleistenden Verfahren. Verschiedene Organsiatonsmodelle beschreiben die Kontrolle des Zugriffs mobiler Dienstnutzer. Das durch die drei angewandten Konzepte bestimmte abstrakte Bild der Ax-Architektur und dessen Funktionalität wurde im Rahmen der Arbeit konkretisiert. Die einzelnen Komponenten der Architektur und ihre Funktionalität wurden definiert und die Realisierung der wichtigsten Komponenten detailliert betrachtet. Die Systemschnittstellen wurden analysiert und die zwischen den Systemen bzw. Systemkomponenten auszutauschenden Datenobjekte und Nachrichtentypen bestimmt. Eine genaue Beschreibung der Funktionsweise eines Ax-Systems erfolgte mit Hilfe von Nachrichtensequenzdiagrammen. Zur Beurteilung der Architektur wurden verschiedene representative Anwendungsfälle betrachtet und ihre Realisierung mittels eines Ax-Systems verglichen. Derzeit müssen zur Realisierung der Zugriffskontrolle und Abrechnung im Anwendungsszenario verschiedene Systeme realisiert werden. Sie lassen sich alle durch einheitliche Ax-Systeme ersetzen, wobei nur geringe Performanzeinbußen hinzunehmen sind. Auch die Kontrolle und Abrechnung neuer Dienste und die Berückichtigung verschiedenster Geschäftsmodelle ihrer Anbieter erlauben die Ax-Systeme