Im Rahmen des Proseminars wird, anhand eines Szenarios im realen Kontext, untersucht, welche Möglichkeiten bestehen in einem aus Informations-Chunks bestehenden Dokument, die einzelnen Rechte zu berücksichtigen. Dabei wird auf den Standard XrML, zur Beschreibung der Rechte eingegangen.
Role based access control & rights management (2003)
1. RBAC, XrML
Anwendungsspezifische
Vorstellung des Themas und Ablauf Informationssysteme
Thema:
Rollenbasierte Rechteverwaltung für in Chunks gegliederte Dokumente, auf Basis
der vererbten Rechte der Chunks, unter Verwendung von XrML, an einem
beispielhaftem Szenario.
Ablauf des Vortrages
– Vorstellung des Szenarios
– DRM — Digital Right Management DRM
(Darstellung der Rechteverwaltung auf Basis von Rollen)
– kurze Darstellung von RBAC, sowie MAC, DAC
– Aufbau der Rollen und deren Rechte
– Vorstellung XrML und Zusammenspiel von Rollen und XrML
– Definition von Chunks
– Darstellung des Auftretens von Chunks und Darstellung des Bedarfs die
Rechteverwaltung von Dokumenten auf die Chunks zu beziehen
(Lizenzrecht usw.)
– Darstellung der atomisierung der Rechte auf Chunks
– Ablauf der Rechtevergabe unter Berücksichtigung der geerbten Constraints
– Abschließende Betrachtung des DRM auf Basis von XrML und dessen
Vorteilen/ Schwächen in der Umsetzung
Axel Klarmann – Seminar: CWM, Ss 2oo3 1
3. Anwendungsspezifische
Das Problem Informationssysteme
Dieses Szenario ist idealisiert!
Utopie
– Basis-Assets (Bilder, Grafiken, Texte) werden innerhalb
des Verlages generiert und der Verlag besitzt sämtliche
Rechte zur Veröffentlichung
– der Verlag hat kein Bedürfniss zum Outsourcen
– generierte Inhalte, werden nur verlagsintern verarbeitet
(kein Content Syndication)
Realität
– Basis-Assets werden mit bestimmten Rechten eingekauft,
Verletzung dieser Rechte führt zu Strafen
– Layout, Druckvorbereitung usw. wird mittlerweile an
externe, spezialisierte Agenturen abgegeben (Outsourcing)
– jeder Verlag hat das Bedürfniss Assets weiter zu
verkaufen (z.B. Fotorechte, Artikel Syndication)
Axel Klarmann – Seminar: CWM, Ss 2oo3 3
4. Anwendungsspezifische
Grundlagen: DRM /1 Informationssysteme
DRM — Digital Rights Management:
– definiert Anworten auf die Frage:
„Wer darf, was, womit und wann mit einem Asset machen“
– jedes zugangsgeschützte System implementiert ein solches
Management (bspw. RBAC, MAC ...)
Möglichkeiten zur systemübergreifenden Definition von
Rechten:
– proprietärer Ansatz
– standardisierte Digital Rights Expression Languages:
– XrML — Extensible Right Markup Language
– ODRL — Open Digital Rights Language
...
Axel Klarmann – Seminar: CWM, Ss 2oo3 4
5. Anwendungsspezifische
Grundlagen: DRM /2 Informationssysteme
RBAC – Zugriffskontrollstrategie
bisher:
MAC – mandatory access control
Zugriffsschutz auf Basis von Personenbezogenen
Rechten (z.B. Zugriff auf strengvertrauliche bzw.
vertrauliche Informationen für ein Person; bspw.
Militär)
DAC – discretionary access control
Zugriffsschutz auf Basis von per Asset vergebenen
Rechten (z.B. Dateizugriffsbeschränkung unter
Unixsystemen (Owner, Group, All); bspw. gängige
Dateisysteme)
Axel Klarmann – Seminar: CWM, Ss 2oo3 5
6. Anwendungsspezifische
Grundlagen: DRM /3 Informationssysteme
RBAC – Zugriffskontrollstrategie
RBAC – role based access control
- Zusammenfassung von Personen zu Gruppen und deren
Rechte in Form von Rollen
- Zuordnung von Benutzern zu Rollen, s.d. Nutzer sich über
Rolle anmelden (bspw. Redakteur, Autor)
- Erlaubt genauere Rechtevergabe nach dem Prinzip
„Soviel wie nötig, so wenig wie möglich“ (Least Privilege)
Axel Klarmann – Seminar: CWM, Ss 2oo3 6
7. Anwendungsspezifische
Identifizierung der Rollen Informationssysteme
Grafiker, Fotograf, Autor/Texter
– besitzen das Recht Assets einzufügen und zu
editieren (Foto/Grafik DB; Text DB)
Redakteure
– besitzen das Recht Assets zu betrachten bzw. zu Pages zu
verknüpfen; Page-Assets zu erstellen
Satz&Layout
– besitzen das Recht Page-Assets, sowie Grafiken, Fotos, Texte zu
betrachten
– erstellen Layout-Assets, für Page-Assets (Gestaltung der
Ausgabe für verschiedene Medien)
Chefredakteure
– besitzen das Recht Page-, Layout-Assets zu bearbeiten,
freizugeben, bzw. im Workflow zurückzusetzen
(wiederholte Bearbeitung durch Redakteur oder Layouter)
Axel Klarmann – Seminar: CWM, Ss 2oo3 7
8. Anwendungsspezifische
Grundlagen: XrML /1 Informationssysteme
Was ist XrML?
– Digital Rights Expression Language auf Basis von XML
– offener, flexibler und erweiterbarer Standard
– definiert kein Digital Rights Management System
– unterteilt in 3 Teile (Core, Standard Extensions, Content spezifisch)
– basiert auf XML Schema
XrML Datenmodell
Axel Klarmann – Seminar: CWM, Ss 2oo3 8
9. Anwendungsspezifische
Grundlagen: XrML /2 Informationssysteme
Die vier Säulen
Principal:
– eine bestimmte Gruppe/Person
(keine allgemeinen Rechte möglich)
– identifiziert durch eindeutige Information zu dieser Gruppe/
Person
▪ identifizierung über PKI (Basis: XML DSIG)
▪ über Angabe von bestimmten Zugangsvorraussetzungen
▪ weitere, eigene Identifikationsmechanismen
Right:
– verbale Beschreibung des Rechtes für den Principal
– bestimmte Rechte vordefiniert
– Erweiterung möglich
Axel Klarmann – Seminar: CWM, Ss 2oo3 9
10. Anwendungsspezifische
Grundlagen: XrML /3 Informationssysteme
Die vier Säulen
Resource:
– Objekt für das bestimmte Rechte definiert werden
– bsp.:
- für digitalen Content über URI bestimmt
- für Service über UDDI oder WSDL
Condition:
– stellt dar unter welchen Bedingungen ein Recht gewährt wird
– direkte Angabe (bspw. Zeitintervall)
– indirekte Angabe (bspw. abhängig von anderen Rechten)
– Core definiert nur abstrakte und einfache Bedingungen
– Extensions definieren Conditions abhängig von Distribution
– wenn Bedingung nicht überprüfbar, dann immer nicht erfüllt
Axel Klarmann – Seminar: CWM, Ss 2oo3 10
11. Anwendungsspezifische
Grundlagen: XrML /4 Informationssysteme
Aufbau des XrML – Dokuments:
<license>
<grant>
<keyHolder>
<info>
<dsig:KeyValue>
<dsig:RSAKeyValue>
<dsig:Modulus>Fa7wo6NYf...</dsig:Modulus>
<dsig:Exponent>AQABAA==</dsig:Exponent>
</dsig:RSAKeyValue>
</dsig:KeyValue>
</info>
</keyHolder>
<cx:print/>
<cx:digitalWork>
<cx:locator>
<nonSecureIndirect URI="http://..."/>
</cx:locator>
</cx:digitalWork>
<validityInterval>
<notAfter>2003-06-23T23:59:59</notAfter> Principal
</validityInterval> Right
</grant> Resource
</license> Condition
Axel Klarmann – Seminar: CWM, Ss 2oo3 11
13. Anwendungsspezifische
Grundlagen: Chunks /1 Informationssysteme
Was sind Chunks?
eigene Def.: Kleinste, diskrete, wiederverwendbare, mit
sinnvollen Rechten versehbare Informationseinheit
eines Assets, in einem Content Management
System.
(diskret in Bedeutung von „in sich geschlossen “ bspw.
Absatz, Zusammenfassung, Kommentar)
Beispiel:
▪ Grafiken, Fotos
▪ Kommentare
▪ Absatz, Zusammenfassung, Inhaltsverzeichnis
▪ Seitenbeschreibung
Axel Klarmann – Seminar: CWM, Ss 2oo3 13
15. Anwendungsspezifische
Warum DRM auf Chunkbasis /1 Informationssysteme
Lizenz: weitergabe von Dokument (aus Chunks
bestehend) unterliegt den Lizenz-
bedingungen der Chunks !
(Bsp. Foto, gekauft für Printmedien, Dokument für Internet)
Sicherheit: teilweise müssen Teile von Dokumenten
geändert werden, während der Rest
unverändert belassen werden muß
(Bsp.: Dolmetscherbüro übesetzt Textteile)
Vertraulichkeit: der rollenbasierte Rechtemanagement-
ansatz läßt sich auf Chunkebene noch
definierter einsetzen
(bzw. es wurde festgestellt, das der großteil der Raubkopien von
Filmen durch externe Dienstleister erzeugt wurde)
Axel Klarmann – Seminar: CWM, Ss 2oo3 15
16. Anwendungsspezifische
Warum DRM auf Chunkbasis /2 Informationssysteme
Möglichkeiten:
- einfache Definition von Rollen für externe
Dienstleister
- einfache Content Syndication mit sicherer
Beachtung der eigenen Rechte
- sicherer Workflow, durch sicheres Handling
- siehe Unterschied fiktiv — real
- einheitliche Verwaltung von internem und
externem Content
Axel Klarmann – Seminar: CWM, Ss 2oo3 16
17. Anwendungsspezifische
Ablauf der Rechtevergabe Informationssysteme
Interne Chunks
– Vergabe von Metadaten bzw. der Rechte für den Chunk aufgrund der
Rolle des Autors
– Generierung der Lizenzinformation (Issuer = Firma)
Externe Chunks
– Generierung einer Rolle für die Quelle des externen Chunk
– Test der gelieferten XrML Daten und übernahme Lizenzinformation und
Content
Dokumente/ Content Syndication
– Zusammestellung der einzelnen Chunks zu Dokumenten und
dazugehöriger Lizenz => Packager
– Export von Chunk durchläuft nur den Packager
Axel Klarmann – Seminar: CWM, Ss 2oo3 17
18. Anwendungsspezifische
Vorteile Informationssysteme
– automatische Wahrung sämtlicher Rechte/Lizenzen der Chunks
mittels DRM-System
– Unternehmensübergreifende Rechtedefinition ermöglicht
einfachere und schnellere Kooperation von Unternehmen
– ganz neue Geschäftsmodelle können entstehen durch extrem
offene Architektur der Unternehmen
= Sicherheit, im gesamten Workflow
Axel Klarmann – Seminar: CWM, Ss 2oo3 18
19. Anwendungsspezifische
Nachteile Informationssysteme
- Nicht unerheblicher Verwaltungsaufwand/ Datenmenge für
XML Daten
- Problem der Addressierung der Chunks für Dokumente nicht
gelöst (Schnittstelle: XrML<=>Chunk)
- Aufwand für Rollendefinition der externen Dienstleister
- Im Moment keine Umsetzung aufgrund marginaler
Verbreitung von DRM-Systemen möglich
- Vertrauen in solch ein System ist nicht gegeben
Axel Klarmann – Seminar: CWM, Ss 2oo3 19
20. Anwendungsspezifische
Fazit Informationssysteme
Was wurde dargestellt:
– DRM und DRM-Strategien, im speziellen RBAC
– DREL und Vorstellung eines Anwärters (XrML) auf den
Standard-Thron
– Chunks und deren Möglichkeit die Basis für ein CWS zu sein
Was wurde vorgestellt:
Möglichkeit DREL-CWS-Chunks zusammenzubringen, um eine
äußerst offene, sichere Struktur von informationsbasierten
Unternehmen aufzubauen.
Dieses Modell kann nur Idee sein.
Axel Klarmann – Seminar: CWM, Ss 2oo3 20
21. Anwendungsspezifische
Literatur /1 Informationssysteme
Zugriffskontrollmechanismen/ Content Management und Workflow
Role-Based Access Control, Kurzübersicht/ 17.Juni.2003
kbs.cs.tu-berlin.de/teaching/sose2002/access/RBAC.pdf
MAC&DAC Brief / 17.Juni.2003
http://www.garrison.com/html/docmacdac.html
Zugriffseinschränkung für Root/ 17.Juni.2003
http://pvs.iwr.uni-heidelberg.de/Teaching/SKLU-0203/pansef.pdf
Rollenbasierende Zugangskontrolle/ 17.Juni.2003
http://www.networkcomputing.de/heft/solutions/sl-2002/sl_0702_24.htm
AN INTRODUCTION TO ROLE-BASED ACCESS CONTROL/ 17.Juni.2003
www.npowerny.org/rbac+intro.pdf
Integrating Content Management with Digital Rights Management/ 17.Juni.2003
http://www.xrml.org/reference/CM-DRMwhitepaper.pdf
Der Content Management Kernprozess/ 17.Juni.2003
http://www.contentmanager.de/magazin/artikel_61_der_content_management_kernprozess.html
Da tut sich etwas innerhalb eines CMS... – Workflows (1-3) / 17.Juni.2003
http://www.contentmanager.de/magazin/artikel_54_da_tut_sich_etwas_innerhalb_eines_cms_-.html
Axel Klarmann – Seminar: CWM, Ss 2oo3 21
22. Anwendungsspezifische
Literatur /2 Informationssysteme
Digital Rights Expression Language
Übersicht und Vergleich/ 17.Juni.2003
ltsc.ieee.org/meeting/200212/doc/DREL_White_paper.doc
XrML – Extensible Rights Markup Language/ 17.Juni.2003
www.xrml.org
ODRL – Open Digital Rights Language/ 17.Juni.2003
www.odrl.net
Information Chunks
"Chunking" information/ 17.Juni.2003
http://www.webstyleguide.com/site/chunk.html
Content as Services/ 17.Juni.2003
http://www.zapthink.com/flashes/01232003Flash.html
ALL ABOUT LEARNING OBJECTS/ 17.Juni.2003
http://www.eduworks.com/LOTT/tutorial/learningobjects.html
Axel Klarmann – Seminar: CWM, Ss 2oo3 22
23. Anwendungsspezifische
Literatur /3 Informationssysteme
XML spezifisch
XML DSig/ 18.Juni.2003
http://www.w3.org/Signature/#primers
XML Schema/ 18. Juni 2003
http://www.w3.org/XML/Schema
Axel Klarmann – Seminar: CWM, Ss 2oo3 23