Verteiltes Filtern mit Contags und Sicherheits-Labeln

Kabatnik, Matthias; Sailer, Reiner

doi:10.1007/978-3-642-56675-2_8

Matthias Kabatnik³ &
Reiner Sailer⁴

Part of the book series: Informatik aktuell ((INFORMAT))

88 Accesses

Abstract

Im Zuge der Globalisierung von Netzdiensten haben sich sehr heterogene Netzstrukturen entwickelt. Teilnetze unterschiedlicher Technologien und unterschiedlicher Verantwortlichkeiten werden zusammengeschaltet. Dabei sind ernstzunehmende Sicherheitsprobleme entstanden, deren Lösung bis heute zu erheblichen Einschränkungen des über Netzgrenzen gelenkten Verkehrs führt.

Dieser Beitrag stellt ein Zugriffskontrol-Verfahren vor, das die Übergänge zwischen Teilnetzen mit feinerer Granularität absichert. Unser Verfahren arbeitet auf Netzebene und erweitert das bislang verwendete Filtern sowohl um Filterkriterien, z.B. basierend auf Integritäts- und Vertraulichkeitsklassen, als auch Kontextinformation. Sicherheits-Label speichern Sicherheitsklassen für Daten im Datenpaket selbst. Sie bilden die Grundlage für ein Zugriffskontrolverfahren, das unabhaängig von Benutzen und Rechnerknoten arbeitet. Context-Tags (Contags) speichern Kontext-Informationen (Meta-Information) direkt im Datenpaket, z.B. ob das Datenpaket geschützt empfangen wurde (z.B. durch IPSec/IKE) oder über welchen Link Daten empfangen wurden (z.B. Incoming Linkset). Contags ermöglichen verteiltes Filtern, da sie die für das Filtern relevanten Meta-informationen erhalten (Historie). Das hier vorgestellte Zugriffskontrol-Verfahren implementiert eine verteilte und zustandslose Filterung. Wir wenden es auf IP-basierte Netze und auf Signalisiernetze an.

This is a preview of subscription content, log in via an institution to check access.

Access this chapter

Log in via an institution

Chapter: USD 29.95; Price excludes VAT (USA)

eBook: USD 44.99; Price excludes VAT (USA)

Softcover Book: USD 59.99; Price excludes VAT (USA)

Tax calculation will be finalised at checkout

Purchases are for personal use only

Institutional subscriptions

Preview

Unable to display preview. Download preview PDF.

Literatur

D. E. Denning: A Lattice Model of Secure Information Flow. Communications of the ACM, Vol. 19, No. 5, May 1976, pp. 236–243.
Article MathSciNet MATH Google Scholar
S. Kent: Security Options for the Internet Protocol. Nov 1991. RFC 1108.
Google Scholar
D. E. Bell, L. J. LaPadula: Computer Security Model Unified Exposition and Multics Interpretation, The MITRE Corp., ESD-TR-75-306, Ma., June 1975. (NTIS # AD A023588)
Google Scholar
C. Weissman: Security Controls in the ADEPT-50 Time Sharing System. 1969 Fall Joint Computer Conference, AFIPS, Vol 35, AFIPS Press, Montvale, N. J., 1969, pp. 119–133.
Google Scholar
P. A. Karger, V. R. Austel, D. C. Toll: Using a Mandatory Secrecy and Integrity Policy on Smart Cards and Mobile Devices. EUROSMART Security Conference, June 2000.
Google Scholar
K. J. Biba: Integrity Considerations for Secure Computer Systems. ESD-TR-76-732, HQ Electronic Systems Division, Hanscom AFB, Ma., April 1977.
Google Scholar
R. S. Sandhu: Lattice-Based Access Control Models. IEEE Computer, Vol. 26, No. 11, November 1993, pages 9–19.
Article Google Scholar
M. Kabalnik, R. Sailer: Modelling of Secure Interconnection. Communication Fraud Control Association, 1999 Spring International Conference in Ismaning/Gcrmany, May 1999.
Google Scholar
S. Bellovin: Distributed Firewalls. login, Nov 1999, pp. 37–39. URL: http://www.research.att.com/~smb/papers/distfw.pdf
Google Scholar
Sailer, R., Kühn, P.: Ein Domain-Konzept zur systematischen und wirtschaftlichen Integration von Sicherheit in Kommunikationsnetzen. Informationstechnik und Technische Informatik. Bd. 38 (1996) Heft 4, S. 30–33.
Google Scholar
K. Ward: The Impact of Network Interconnection on Network Integrity. British Telecommunications Engineering, Vol. 13, January, 1995.
Google Scholar
Sailer, R.: Security Services in an Open Service Environment. Proc. 14th ACSAC, Phoenix, Arizona, IEEE Computer Society, Los Alamitos, pp. 223–234.
Google Scholar
ITU-T Recommendation Q.704: Specification of Signalling System No. 7 — Message transfer part — Signalling network functions and messages; ITU, 1996.
Google Scholar

Download references

Author information

Authors and Affiliations

Institut für Nachrichtenvermittlung und Datenverarbeitung, Universität Stuttgart, Germany
Matthias Kabatnik
IBM Research, T. J. Watson Research Center, Yorktown Heights, NY, USA
Reiner Sailer

Authors

Matthias Kabatnik
View author publications
You can also search for this author in PubMed Google Scholar
Reiner Sailer
View author publications
You can also search for this author in PubMed Google Scholar

Editor information

Editors and Affiliations

Digitale Kommunikationssysteme, Technische Universität Hamburg-Harburg, Denickestr. 17, 21071, Hamburg, Germany
Ulrich Killat
FB Informatik/VSYS, Universität Hamburg, Vogt-Kölln-Str. 30, 22527, Hamburg, Germany
Winfried Lamersdorf

Rights and permissions

Reprints and permissions

Copyright information

About this paper

Cite this paper

Kabatnik, M., Sailer, R. (2001). Verteiltes Filtern mit Contags und Sicherheits-Labeln. In: Killat, U., Lamersdorf, W. (eds) Kommunikation in Verteilten Systemen (KiVS). Informatik aktuell. Springer, Berlin, Heidelberg. https://doi.org/10.1007/978-3-642-56675-2_8

Download citation

DOI: https://doi.org/10.1007/978-3-642-56675-2_8
Publisher Name: Springer, Berlin, Heidelberg
Print ISBN: 978-3-540-41645-6
Online ISBN: 978-3-642-56675-2
eBook Packages: Springer Book Archive

Publish with us

Policies and ethics