DE10146361A1 - Vorrichtung und Verfahren zur Etablierung einer Sicherheitspolitik in einem verteilten System - Google Patents
Vorrichtung und Verfahren zur Etablierung einer Sicherheitspolitik in einem verteilten SystemInfo
- Publication number
- DE10146361A1 DE10146361A1 DE10146361A DE10146361A DE10146361A1 DE 10146361 A1 DE10146361 A1 DE 10146361A1 DE 10146361 A DE10146361 A DE 10146361A DE 10146361 A DE10146361 A DE 10146361A DE 10146361 A1 DE10146361 A1 DE 10146361A1
- Authority
- DE
- Germany
- Prior art keywords
- node
- nodes
- distributed system
- rules
- erm
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0893—Assignment of logical groups to network elements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Storage Device Security (AREA)
- Computer And Data Communications (AREA)
- Multi Processors (AREA)
Abstract
Beschrieben wird ein verteiltes System, bestehend aus einer Vielzahl über ein Netzwerk miteinander verbundener Rechnereinheiten, sogenannte Knoten, in denen jeweils zur Einprägung wenigstens einer den jeweiligen Knoten obliegenden Sicherheitspolitik eine lokale Überwachungseinheit vorgesehen ist, die mit wenigstens einer innerhalb des Netzwerkes externen Überwachungseinheit verbunden sind, in der jeweils die Sicherheitspolitiken aller Knoten oder wenigstens einer Gruppe von Knoten betreffende Regelwerke ablegbar sind. Ferner wird ein Verfahren zum Betreiben eines derartigen verteilten Systems beschrieben. DOLLAR A Die Erfindung zeichnet sich dadurch aus, dass die lokale Überwachungseinheit ein Reference Monitor (ECRM) ist, der auf Betriebssystemebene des jeweiligen Knotens sämtliche Operationen mit Objekten sowie Interaktionen zwischen Subjekten und Objekten innerhalb des Knotens unter Maßgabe des Regelwerks kontrolliert, das in den Reference Monitor (ECRM = Externally Controlled Reference Monitor) des jeweiligen Knotens wenigstens temporär implementiert ist.
Description
- Die Erfindung bezieht sich auf ein Verteiltes System bestehend aus einer Vielzahl über ein Netzwerk miteinander verbundener Rechnereinheiten, sogenannte Knoten, in denen jeweils zur Einprägung wenigstens einer den jeweiligen Knoten obliegenden Sicherheitspolitik eine lokale Überwachungseinheit vorgesehen ist, die mit wenigstens einer innerhalb des Netzwerkes externen Überwachungseinheit verbunden sind, in der jeweils die Sicherheitspolitiken aller Knoten oder wenigstens einer Gruppe von Knoten betreffende Regelwerke ablegbar sind. Ferner bezieht sich die Erfindung auf ein Verfahren zur Einprägung einer Sicherheitspolitik in eine Vielzahl über ein Netzwerk miteinander verbundener Rechnereinheiten.
- Die Entwicklung hin zu immer stärkerer Vernetzung von Rechnersystemen und fast jedem anderen elektronischen Gerät wird in der Regel kaum in Frage gestellt. Zusammen mit einer ständig wachsenden Abhängigkeit von derartigen verteilten Systemen bzw. Netzwerken sowie der zunehmenden Wichtigkeit und Sensibilität der Daten und Anwendungen, die in diesen Strukturen zum Einsatz kommen, ist der Bedarf nach Mechanismen zur Erzwingung von Richtlinien bezüglich Sicherheit und Integrität kaum von der Hand zu weisen.
- Es muß jedoch festgehalten werden, daß derzeit verfügbare und im Einsatz befindliche Systeme von Betriebssystemen bis hin zu Firewalls diesen Anforderungen nicht gerecht werden. Hinzu kommt, daß viele Anwendungsprogramme zwar in Bezug auf Unterstützung von Netzwerken entwickelt oder dahingehend erweitert werden, jedoch Überlegungen zur Sicherheit dieser Anwendung in der Regel nicht effektiv integriert werden.
- Was daher notwendig erscheint ist ein pragmatischer Mechanismus um diese Anforderungen zumindest partiell zu erfüllen und dabei gleichzeitig soweit als möglich die Kompatibilität zu bestehenden Systemen zu gewährleisten. Dies kann durch den nachträglichen Einbau notwendiger Mechanismen in konventionelle Betriebssysteme erreicht werden, wenn man dazu bereit ist, eine geringere Vertrauenswürdigkeitsstufe in Kauf zu nehmen, als dies bei einem von Grund auf realisierten System der Fall wäre.
- Die primäre Herausforderung hierbei besteht darin, daß ein derartiger Mechanismus über Knoten- und Systemgrenzen operieren muß, um einen umfassende Sicherheitslösung in einer heterogenen vernetzten Umgebung zu bieten, und daß dieser Sicherheitsmechanismus keine Änderungen an bestehenden Anwendungsprogrammen verursachen oder notwendig machen darf. Nicht zuletzt muß ein derartiger Mechanismus auch für Nutzer soweit als möglich unsichtbar bleiben, sofern diese sich innerhalb des von der gültigen Sicherheitspolitik gesteckten Rahmens bewegen.
- Ein weiteres Kriterium bei der Entwicklung eines derartigen Sicherheitssystems muß sein, daß es neutral bezüglich der durchzusetzenden Sicherheitspolitik (bzw. des Sicherheitsmodells) sein muß.
- Ein weitere Aspekt ist die Kommunikation unterschiedlicher Subjekte, d. h. Rechnereinheiten bzw. Knoten oder User, die alle über einen unterschiedlichen Sicherheitsstandard verfügen. Es muß davon ausgegangen werden, daß bspw. ein mobiles Gerät eventuell unter Bildung einer nicht antizipierten transitiven Vernetzung Kontakt zu schützenswerten Knoten aufnimmt. Ein ähnliches Szenario ergibt sich, wenn ein Nutzer eine Fernzugriffs-Verbindung zu einem geschützten Netzwerk aufbaut und zur gleichen Zeit eine weitere Netzwerk-Verbindung aufgebaut hat und somit - meist unbewußt - eine ungeschützte Verbindung zwischen dem öffentlichen Internet und einem prinzipiell geschützten Netzwerk aufgebaut hat und dabei sämtliche Schutz- und Protokollierungsmechanismen außer Kraft setzt.
- Trojanische Pferde verschiedener Komplexität bis hin zu vollständigen Fernwartungs-Werkzeugen stellen eine weitere als mobiler Programmcode zu klassifizierende Bedrohung dar. Da die Ausführung derartiger Programme häufig aufgrund sozialer Faktoren erfolgt, sind technische Mittel zum Schutz hiervor nicht hinreichend vorgesehen.
- Selbst eine einfache aktuelle www-Anwendung beinhaltet in der Regel eine komplexe Menge an Protokollen und Anwendungen von modernen HTML- Interpretern und Darstellungsverfahren, die bereits an sich verwundbar sein können und darüberhinaus implizite Operationen auf Seiten des empfangenden Knotens sowie die Ausführung von Code auf diesem verursachen. Nur sehr wenig hiervon wird von Nutzern bewußt wahrgenommen oder kann auch nur selektiv von diesem kontrolliert und deaktiviert werden.
- Ein die vorstehende Problematik jedoch auch nur in Teilaspekten lösendes System ist aus der US 6,202,257 zu entnehmen, in der ein verteiltes System beschrieben ist, das aus einer Vielzahl über ein Netzwerk verbundenen Rechnerknoten besteht, denen zur Durchführung bestimmter Anwenderprogramme auf den jeweiligen Knoten von einer übergeordneten, zentralen Autorisierungeinheit Sicherheitsregeln zur Verfügung gestellt werden, die einer übergeordneten Sicherheitspolitik entsprechen.
- Eine Sicherheitspolitik, die jedoch lediglich auf eine Anwendung bzw. ein Anwenderprogramm beschränkt ist, wie es in der vorstehenden Druckschrift der Fall ist, kann z. B. nicht verhindern, dass mit einer zweiten Anwendung eine semantisch äquivalente Operation durchgeführt wird, bspw. das Versenden einer email, die nicht der Sicherheitspolitik unterliegt.
- Ist zudem auf dem fraglichen Knoten bspw. ein trojanisches Pferd installiert worden, ist es für diese Programmroutine ein leichtes, Daten aus der "gesicherten" Anwendungsbereich, der der Sicherheitspoltitik unterliegt, zu entfernen, bspw. durch Auslesen des Speicherinhaltes oder von Dateien, die durch die "gesicherte" Anwendung genutzt werden.
- Zusammenfassend kann daher festgehalten werden, dass der Gewinn an Sicherheit durch das Absichern einer einzelnen oder auch einer Teilmenge aller Anwendungsprogramme äußerst unbefriedigend ist, da hierbei nur Angriffe auf Kommunikationskanäle zwischen gesicherten Anwendungen abgewehärt werden können. Angriffe von Innentätern, von Trojanischen Pferden, oder Angriffe auf den Knoten selbst bleiben mit den bekannten Hilfsmitteln Aussen vor.
- Es besteht die Aufgabe ein verteiltes System bestehend aus einer Vielzahl über ein Netzwerk miteinander verbundener Rechnereinheiten, sogenannte Knoten, in denen jeweils zur Einprägung wenigstens einer den jeweiligen Knoten obliegenden Sicherheitspolitik eine lokale Überwachungseinheit vorgesehen ist, die mit wenigstens einer innerhalb des Netzwerkes externen Überwachungseinheit verbunden sind, in der jeweils die Sicherheitspolitiken aller Knoten oder wenigstens einer Gruppe von Knoten betreffende Regelwerke ablegbar sind, derart weiterzubilden, dass die in einem Knoten vorhandenen Ressourcen vor unkontrollierten und nicht autorisiertes Zugriffen und Manipulationen geschützt sind. Unter Ressourcen sind sämtliche Dateien, wie ausführbare Dateien und Datendateien zu verstehen sowie auch Verzeichnisse, Verbindungen, virtuelle Verbindungen, Datagramme, Interprozesskommunikationsnachricht, Geräte, physische Verbindung sowie Speichersegment zu subsumieren.
- Die Lösung der der Erfindung zugrundeliegenden Aufgabe ist Gegenstand des Anspruches 1. Ein erfindungsgemäßes Verfahren ist Gegenstand des Anspruches 18. Den Erfindungsgedanken vorteilhaft weiterbildende Merkmale sind Gegenstand der Unteransprüche sowie der Beschreibung zu entnehmen.
- Erfindungsgemäß ist ein verteiltes System bestehend aus einer Vielzahl über ein Netzwerk miteinander verbundener Rechnereinheiten, sogenannte Knoten, in denen jeweils zur Einprägung wenigstens einer den jeweiligen Knoten obliegenden Sicherheitspolitik eine lokale Überwachungseinheit vorgesehen ist, die mit wenigstens einer innerhalb des Netzwerkes externen Überwachungseinheit verbunden sind, in der jeweils die Sicherheitspolitiken aller Knoten oder wenigstens einer Gruppe von Knoten betreffende Regelwerke ablegbar sind, derart ausgebildet, dass die lokale Überwachungseinheit ein Reference Monitor (ECRM) ist, der auf Betriebssystemebene des jeweiligen Knotens sämtliche Operationen mit Objekten sowie Interaktionen zwischen Subjekten und Objekten innerhalb des Knotens unter Massgabe des Regelwerks kontrolliert, das in den Reference Monitor (ECRM = External Controlled Reference Monitor) des jeweiligen Knotens wenigstens temporär implementiert ist.
- Der Begriff der Sicherheitspolitik sei hier beschränkt auf eine Definition, welche nur Regeln enthält, die mit technischen Mitteln realisierbar ist. Einzelaspekte, die von derartigen Regeln abgedeckt werden beinhalten sämtliche Operationen seitens Subjekten wie Nutzern, Anwendungsprogrammen die im Namen von Nutzern agieren, oder das Verhalten des Knoten-Betriebssystems selbst. Wo immer möglich muß ein Sicherheitsmechanismus versuchen, derartige Operationen an die semantisch höchstwertige erkennbare Instanz zu koppeln, d. h. im günstigsten Fall an einen spezifischen Nutzer.
- Der Begriff des Reference-Monitors-Konzepts enstammt dem Artikel von J. P. Anderson, "Computer Security Technology Planning Study, Tech. Rep. ESD-TR-73- 51, Air Force Electronic Systems Division (AFSC), L. G. Hanscom Field, Bedford, M. A. Oct. 1972, AD-758 206, ESD/AFSC, auf dessen Offenbarungsgehalt an dieser Stelle verwiesen und im weiteren Bezug genommen wird.
- Das mit dem vorstehenden Lösungsgedanken verfolgte Ziel ist die Durchsetzung der Mechanismen einer übergeordneten Sicherheitspolitik innerhalb jedes einzelnen Knotens in der Ebene des den Knoten bestimmenden Betriebssystems, das den Zugriff auf alle Objekte, d. h. auf allen den jeweiligen Knoten verfügbaren Ressourcen, durch beliebige Subjekte, bspw. durch den Nutzer selbst, kontrolliert. Durch die Vernetzung der einzelnen Knoten und die Zuverfügungsstellung einer oder meherer Sicherheitspolitiken für jeden einzelen Knoten oder Gruppen von Knoten durch wenigstens eine übergeordnete Überwachungseinheit, werden die Sicherheitspolitiken über die Bereichsgrenzen eines jeden einzelnen Knotens hinaus wirksam und bleiben letzlich für den Anwender sowie für die auf den einzelnen Knoten laufenden Anwendungsprgramme im Hintergrund ohne deren Bedienungskomfort oder Funktionalität im einzelnen zu beeinträchtigen.
- Ein wesentlicher Schlüssel zur Realisierung dieses Zieles ist eine Trennung der Entscheidungen bezüglich der Sicherheitspolitiken von deren Durchsetzung, sowohl auf Ebene des einzelnen betroffenen Knotens als auch zwischen Knoten, welche die Durchsetzung einer derartigen Sicherheitspolitik realisieren, und Knoten, welche die Sicherheitspolitik spezifizieren.
- Das Prinzip der Trennung der Sicherheitspolitik von ihrer Durchsetzung kann als allgemein akzeptiert angesehen werden (siehe O. Saydjari, S. Turner, D. Peele, J. Farrell, P. Loscocco, W. Kurtz, G. Bock: "Synergy: A distributed, microkernel-based security architecture". Bericht der U.S. National Security Agency, Fort George G. Meade, MD, November 1993). Obgleich dieses Prinzip ursprünglich für den Einsatz innerhalb eines einzelnen Knotens bestimmt war, wird erfindungsgemäß vorgeschlagen, dasselbe Prinzip auf ein verteiltes System anzuwenden. Die Durchsetzung der Sicherheitspolitik erfolgt dabei auf Ebene des jeweiligen Betriebssystems der einzelnen Knoten und aufgrund von Entscheidungen, die entweder direkt von einem eine Sicherheitspolitik verteilenden Knoten erhalten oder zeitweise von einem solchen Knoten lokal delegierten Sicherheitspolitik abgeleitet werden.
- Die so erreichte Trennung zwischen den Nutzer-Knoten, welche Sicherheitspolitiken durchsetzen und Knoten, welche die Sicherheitspolitiken kontrollieren, kann unter Verwendung extern gesteuerter Reference Monitors (Externally Controlled Reference Monitor, ECRM) realisiert werden. Durch eine geeignete Balancierung zwischen zentralisierten Entscheidungen und delegierten Elementen der Gesamt- Sicherheitspolitik kann die anfallende Netzwerk-Belastung - die in diesem Fall in erster Linie durch Latenzzeiten, nicht aber Bandbreite bestimmt ist - akzeptabel gehalten werden.
- Der ECRM-Mechanismus basiert auf der Trennung von Entscheidungen bezüglich der Sicherheitspolitik, von deren Umsetzung durch Auftrennung des Reference Monitor in lokale Komponenten, die in jedem Nutzer-Knoten enthalten sind (ECRM) sowie externen Verteilzentren für Sicherheitspolitiken, den Externen Reference Monitors (ERM). Sowohl die Kernfunktionalität des ERM als auch des ECRM können dabei in sichere Coprozessoren ausgelagert werden.
- Die ERM-Knoten enthalten dabei Informationen bezüglich Sicherheitspolitiken, für die sie entweder entscheidungsbefugt sind oder als temporärer Zwischenspeicher (Gache) agieren. Unter Verwendung eines geeigneten Mechanismus zur Auflösung von Konflikten in Sicherheitspolitiken kann dabei auch die Handhabung von Operationen, die Subjekte oder Objekte aus mehreren unterschiedlichen Verantwortungsbereichen von Sicherheitspolitiken stammen, geregelt werden. Die Kommunikation zwischen einem ECRM und einem ERM kann dabei sowohl Einzelentscheidungen, wie z. B. über den Zugriff auf ein Datenobjekt für genau einen Zugriff betreffen, als auch eine temporäre Delegierung in einer abgeleiteten Untermenge der aktiven Sicherheitspolitik betreffen. Dies ist unter anderem vom Typ der gewünschten Operation sowie von den Fähigkeiten des ECRM-Knotens abhängig.
- Als erfindungsgemäße Besonderheit wird dem ECRM, also dem lokalen Reference Monitor eine als Regelwerk dargestellte Sicherheitspolitik von Seiten des ERMs zu Verfügung gestellt, das sich der ECRM auf Betriebssystemebene zu Eigen macht und mit den Mittel der formalen Logik erster Ordnung zur Entscheidungsfindung bei Operationen zur Anwendung bringt. Durch die formale Logik erster Ordnung ist sichergestellt, dass zu trefende Enstcheidungen stets selbstkonsitent sind und sich auch im gesamten verteilten System nicht widersprechen.
- Neben der Durchsetzung einer einheitlichen Sicherheitspolitik auf allen verteilten Knoten, kann die Sicherheitspolitik auch hierachisch strukturiert sein. Hierfür gilt als Grundbedingung für die Aufrechterhaltung der Sicherheit innerhlab des verteilten Systems, daß nachgeordnete Politiken, also eingeschränktere Sicherheitspolitiken nur zusätzliche Restriktionen in ihrem Regelwerk enthalten dürfen.
- Sofern Subjekte, wie bspw. Nutzer, Prozesse, Anwendungsprogramme, Knoten, Netzwerke, Netzwerkanbindungen, Busanbindungen, und Objekte, bspw. Dateien, ausführbare Dateien, Datendateien, Verzeichnisse, Verbindungen, virtuelle Verbindungen, Datagramme, Interprozesskommunikationsnachrichten, Geräte, physische Verbindungen und Speichersegmente, mehrerer Organisationen, bspw. Firmen bezüglich Regeln überlappen, wird ein Auflösungsmechanismus für die korrekte Behandlung dieser Situation mit möglicherweise widersprüchlichen Regeln in den einzelnen betroffenen Sicherheitspolitiken notwendig. Dieser Mechanismus muß individuell für betroffene Organisationen durch die jeweiligen Sicherheitsadministratoren definiert werden. So ist es in diesem Fall erforderlich die Gesamtmenge aller aktiver Politiken konsistent über das gesamte verteilte System durchzusetzen. Sofern Politikregeln an semantisch höher stehende Subjekte gekoppelt sind bedingt dies, daß jeder Einheit, die derartige Entscheidungen trifft oder Operationen reguliert, diese konsolidierten Regeln bekannt sind.
- Ist man bereit, Verzögerungen zwischen Spezifikation und Anwendung von Regeln zu akzeptieren, so ist es zudem möglich, sowohl weitere ERM-Knoten zum Lastausgleich als Zwischenspeicher zu verwenden als auch lokal auf Seiten der ECRM Regeln zur Umsetzung temporär zwischenzuspeichern. Die Verzögerung dieser Umsetzung kann mittels der Spezifikation einer Lebensdauer einer Regel reguliert werden; nach Ablauf dieser Dauer muß der Ursprung der Regel wieder kontaktiert werden und die Anfrage, aufgrund derer die Regel erzeugt wurde, erneut gestellt werden.
- Ferner ist erfidnungsgemäß ein Verfahren zur Einprägung einer Sicherheitspolitik in eine Vielzahl über ein Netzwerk miteinander verbundener Knoten, in denen jeweils eine lokale Überwachungseinheit vorgesehen ist, die jeweils mit wenigstens einer innerhalb des Netzwerkes vorhandenen externen Überwachungseinheit verbunden sind, in der jeweils die Sicherheitspolitiken aller Knoten oder wenigstens einer Gruppe von Knoten betreffende Regelwerke abgelegt werden, derart weitergebildet, dass von der wenigstens einen externen Überwachungseinheit ein die Sicherheitspolitik bestimmendes Regelwerk abgerufen wird und innerhalb des Knotens wenigstens temporär derart abgespeichert und verarbeitet wird, dass dieses Regelwerk auf Betriebssystemebene des Knotens sämtliche Operationen mit Objekten sowie Interaktionen zwischen Subjekten und Objekten innerhalb des Knotens unter Massgabe des Regelwerks kontrolliert.
- Zusätzlich zu den bereits vorstehend mit Beispielen erhellten Begriffen Subjekte und Objekte sind im besonderen unter dem Begriff Operationen folgende innerhab einer Rechnereinheit ablaufenden Funktionen zu verstehen: Erzeugung einer Datei, Lesen einer Datei, Schreiben einer Datei, Überschreiben einer Datei, Anfügen einer Datei, Löschen einer Datei, Lesen von Metainformation einer Datei, Schreiben von Metainformation einer Datei, Lesen eines Verzeichnisses, Erzeugung eines Verzeichnisses, Suche in einem Verzeichnis, Löschen eines Verzeichnisses, Erzeugung eines Speichersegmentes, Lesen eines Speichersegmentes, Schreiben eines Speichersegmentes, Löschen eines Speichersegmentes, Öffnen eines Gerätes, Lesen von Daten von einem Gerät, Schreiben von Daten auf ein Gerät, Lesen von Metadaten von einem Gerät, Schreiben von Metadaten auf ein Gerät, Schliessen eines Gerätes, Senden von Interprozesskommunikations-Nachricht, Empfangen von Interprozesskommunikations-Nachricht, Senden eines Datagramms Empfangen eines Datagramms, Erzeugung einer virtuellen Verbindung, Senden von Daten über eine virtuelle Verbindung, Empfangen von Daten über eine virtuelle Verbindung, Abbau einer virtuellen Verbindung.
- Das erfindungsgemäße Verfahren sowie auch die vorstehende Vorrichtung soll im weiteren unter Bezugnahme auf ein konkretes Ausführungsbeispiel beschrieben werden:
- Die Erfindung wird nachstehend ohne Beschränkung des allgemeinen Erfindungsgedankens anhand eines Ausführungsbeispieles unter Bezugnahme auf die Zeichnung exemplarisch beschrieben. Es zeigt.
- Fig. 1 Extern kontrolliertes Reference Monitor-Modell
- Ein verteiltes System sollte zur Gewährleistung der Gesamtsicherheit homogen in Bezug auf die durchzusetzenden Sicherheitspolitiken und deren Realisierung sein. Hierzu sind folgende Bedingungen zu erfüllen:
- 1. Der durch den Reference Monitor bedingte Kontrollmechanismus sollte gegen Manipulation von außen gesichert sein.
- 2. Der durch den Reference Monitor bedingte Kontrollmechanismus sollte bei jeder Operation befragt werden.
- 3. Der durch den Reference Monitor bedingte Kontrollmechanismus sollte hinreichend klein sein, um einer Analyse und Überprüfungen unterworfen werden zu können, welche die Zusicherung der geforderten Eigenschaften verifizieren.
- Ein verteiltes System, das alle drei der vorstehenden Forderungen und insbesondere die Anforderung 2 erfüllt, wird im weiteren unter Bezugnahme auf Fig. 1 beschrieben.
- Die in Fig. 1 eingzeichnete Trennlinie T kennzeichnet die physikalische Trennung zwischen einem (End-) Knoten und einer externen Instanz (Server), die über eine Netzwerkverbindung oder eine alternative Verbindungstechnik miteinander in Komunikatuion stehen. Sowohl auf der Knoten als auch Server Seite sind stellvetretend für die einzelnenen Rechnereinheiten jeweils eine Vielzahl von externe Instanzen wie auch insbesondere Knoten hinzuzufügen, auf deren graphische Darstellung aus Übersichtlichkeitsgründen verzichtet wird.
- Der Knoten weist einen extern kontrollierten Reference Monitor auf (ECRM), der auf der Grundlage von Regeln, die die Sicherheitspolitik auf diesem Rechner bestimmen, Entscheidungen bezüglich auf diesem Knoten statttfindenen Operationen trifft, die bspw. durch Eingabe von Subjekten (Subject Identity) die Manipulation von Objekten (Object Identity) betreffen. Die getroffenen Entscheidungen werden über eine Ausgabeeinheit (Decision Implementation) dem Betriebssystem des Knotens zur entsprechenden Ausführung oder Unterlassung der jeweiligen Operation zugänglich gemacht.
- Die in Form eines Regelwerkes darstellbare Sicherheitspolitik kann in bestimmten Fällen, auf die noch gesondert eingegangen wird, in einen Zwischenspeicher (Delegated Authentication Database) zwischengespeichert werden. Zusätzlich enthält der Knoten eine Art Revisionssystem (Audit Subsystem), das Kommunikationen zwischen dem Knoten und der externen Instanz und/oder innerhalb des Knotens stattfindende Operationen zwischen Subjekten und/oder Objekten erfasst und aufzeichnet. Auch auf diesen Aspekt wird an einer späteren Stelle einzeln eingegangen.
- Demgegenüber sieht die externe Instanz einen externen Reference Monitor (ERM) vor, dem eine alle, an der externen Instanz angeschlossene Knoten betreffende Sicherheitspolitik in Form eines Regelwerks obliegt, die als Authenticication Database vorliegt. Gleichsam dem Knoten sieht auch der Server ein Audit Subsystem vor.
- Aus Sicherheitsgründen gegen Angriffe von Außen, d. h. durch unauthorisierten Eingriff Dritter in das verteilte System, sind sowohl der Knoten als die externe Instanz jeweils in einem gesicherten Coprozessor (Trusted Subsystem) integriert.
- Ein wesentlicher Aspekt zur Erfüllung der eingangs aufgestellten Anforderungen besteht darin, die "Authentication Database" außerhalb der einzelnen Knoten zu verlagern und die Reference Monitors der Knoten (ECRM) die notwendigen Informationen zur Entscheidung der Zulässigkeit von Operationen von zentralen Instanzen (Server) anfordern zu lassen. Auf diese Weise wird die Funktionalität des Reference Monitors in eine lokale und eine entfernte Komponente aufgepaltet, wobei die Kontrolle über das Verhalten der lokalen Instanz, und somit über sämtliche Ressourcen des betroffenen Knotens in der oder den entfernten Instanzen (ERM) liegt, wie in Fig. 1 dargestellt.
- Der einfache Ansatz, die externen Instanzen für jeden einzelnen Entscheidungsvorgang zu befragen ist jedoch in den häufigsten Fällen nicht praktikabel; statt dessen ist eine Kombination aus erfragten Entscheidungen der ERM und Sicherheitspolitiken, welche zwar von den ERM erzeugt und verteilt werden, deren Durchsetzung jedoch temporär für die Lebensdauer des entsprechenden Regelwerkes an die ECRM-Komponente delegiert wird.
- Operationen, die für die Sicherheit eines Knotens relevant sind, können auf einer Vielzahl von Objekten erfolgen, die von Dateien bis hin zu virtuellen Netzwerkverbindungen reichen; je nach verwendetem Abstraktionsgrad beinhaltet dies selbst individuelle Zugriffe auf Speicherzellen. All diese Zugriffe müssen einer oder einer Menge von Sicherheitspolitiken genügen.
- Um die kontrollierenden, externen Instanzen (ERM) nicht zu sehr zu überlasten, ist es vorteilhaft einen Teils der Durchsetzung von Sicherheitspolitiken zu delegieren. Speicherzugriffe sind ein Beispiel einer derartigen Delegierung für ECRMs; während der initiale Zugriff durch den ECRM kontrolliert wird, wird die weitere Durchsetzung der Sicherheitspolitik durch lokal in die vorliegende Hardware eingebettete Schutzmechanismen durchgeführt (im Fall einer Realisierung des ECRM in Software sind diese Hardware-Schutzmechanismen der einzige Schutz des ECRM selbst vor Manipulation durch andere Prozesse).
- Ein ähnlicher Mechanismus sollte verwendet werden, um die notwendige Kommunikation mit den kontrollierenden Instanzen (ERM) in ihrem Umfang zu beschränken. Die ERM-Knoten legen für die Entscheidungen bezüglich der Sicherheitspolitik eine Datenbank von Regeln zugunde.
- Für einige Klassen von Entscheidungen, die vergleichsweise selten vorkommen oder menschliche Interaktionen erfordern, ist eine direkte Involvierung des ERMs für jede einzelne Entscheidung gerechtfertigt; ein Beispiel für eine derartige Instanz ist die Anmeldung eines Nutzers an einem Knoten, der mittelbar unter der Kontrolle eines ERM steht.
- Für andere Klassen von Operationen ist eine zeitweilige Delegation der Entscheidungen im Einzelfall notwendig. In derartigen Fällen wird ein ECRM entweder periodisch oder aufgrund eines bestimmten Ereignisses die Regeln der Politiken anfordern, die als Grundlage der Entscheidungen zu gelten haben. Ein Beispiel hierfür sind Regeln über die Zulässigkeit und den Inhalt von Netzwerkverbindungen.
- Ein Ereignis, das zur Befragung eines oder mehrerer ERMs führt, ist die Verarbeitung einer Operation, die ein Objekt oder ein Subjekt involviert und bei der die temporär an den ECRM delegierten Regeln der Sicherheitspolitik direkt oder auch abgeleitet (indirekt) nicht zutreffen.
- Die Absicherung eines einzelnen Knotens ohne weitere Verbindungen außer zu einem oder mehreren ERMs stellt einen degenerierten Fall dar; dies läßt sich jedoch ebenfalls modellieren, indem die für den Knoten lokal zum Einsatz kommenden Sicherheitspolitiken auf Regeln der ERM abgebildet werden.
- Als Resultat hiervon ist die Anforderung 1 ("Der durch den Reference Monitor bedingte Kontrollmechanismus sollte gegen Manipulation von außen gesichert sein.") für ein verteiltes System erfüllt, da sich sowohl die Authentication Databse als auch das Revisionssystem (Audit Substystem) außerhalb der Kontrolle eines Angreifers befinden, sofern der Durchsetzungsmechanismus jeweils seinerseits gegen Manipulationen von außen gesichert ist. Die physikailische Sicherheit des ERM wird vorausgesetzt; die Realisierung der Regelwerke ist aufgrund der Verwendung formaler Logik erster Ordnung verifizierbar und auf die Erfüllung zugesicherter Eigenschaften hin evaluierbar und genügt mithin auch Anforderung 3.
- Anforderung 3 kann higegen auf Seiten der mittels ECRM kontrollierten Knoten nicht auf Grundlage nachträglich modifizierter Betriebssysteme erfültt werden. Der Hauptgrund hierfür liegt darin, daß aufgrund der Komplexität und unbekannter Fehlerbedingungen derartiger Betriebssysteme Anforderung 2 nicht vom gesamten System erfüllt werden kann; ein Angreifer kann verdeckt die Kontrolle über Daten oder die Funktionsweise von Betriebssystemkomponenten mit erhöhten Privilegien erlangen.
- Die Erfüllung von Anforderung 2 kann jedoch weitestgehend durch den Einsatz von kryptographischen Mechanismen für Daten-Objekte innerhalb des ECRM sowie die Verschiebung zumindest kritischer Ausführungspfade innerhalb des ECRM erfüllt werden.
- Sofern Schlüsselmaterial ausschließlich außerhalb des Kontrollbereiches von Nutzern sowie des umgebenden Betriebssystems vorgehalten wird, kann auf diese Weise sichergestellt werden, daß jeder Zugriff auf Objekte zwingend selbst nach Kompromittierung des umgebenden Betriebssystems vom ECRM und damit von den relevanten ECRM kontrolliert und beherrscht wird.
- Damit wird zugleich ein häufig vernachlässigtes Sicherheitsproblem gelöst, namentlich der Zugriff auf Speichermedien zu einem Zeitpunkt, zu dem der Sicherheitsmechanismus nicht aktiv ist, z. B. durch Zugriff auf ein Dateisystem von einem sekundären (nicht beherrschten) Betriebssystem aus. Um jedoch sicherzustellen, daß tatsächlich jede Operation kontrolliert wird, müssen solche Datenobjekte ausschließlich für eine gegebene Operation zum Zeitpunkt der Verwendung durch den ECRM entschlüsselt werden und zudem nie Schlüsselmaterial exponiert werden. Selbst wenn dabei Operationen partiell innerhalb des ECRM durchgeführt werden, so ändert dies jedoch nichts an der klaren Trennung zwischen Entscheidungen bezüglich der Politik, die ausschließlich durch die ERMs vorgegeben werden, und der Durchsetzung der Politik. Sofern ein kommerzielles oder sonstiges bestehendes Betriebssystem so modifiziert wird, um den hier genannten Forderungen zu entsprechen, erfordert dies die Integration von mehreren Durchsetzungsmodulen an Schlüsselstellen innerhalb des Betriebssystems. Die Anzahl und Ausprägung der Durchsetzungsmodule, die erforderlich ist, hängt dabei in erster Linie davon ab, inwiefern dieses Betriebssystem das Modell des Reference Monitor bereits lokal als Grundlage der Sicherheitsmechanismen verwendet.
- Ein verteiltes System exponiert prinzipbedingt die ihm angehörenden Knoten für Gegner sowohl in Bezug auf die zum Einsatz kommenden Programme, auf die zwischen den Knoten erfolgenden Netzwerkverbindungen, insbesondere aber jedoch in Bezug auf physikalische Kontrolle.
- Es muß daher berücksichtigt werden, daß ein Angreifer einen unter seiner physischen Herrschaft stehenden Knoten kompromittieren kann, und dies ungeachtet der dort lokal vorliegenden Sicherheitsmaßnahmen bei Vorhandensein hinreichender Ressourcen (z. B. Analyse von Schaltungsabläufen durch Logic Analyzer, Analyse von Speicherinhalten durch kryogenische Fixierung und anschließende Analyse mittels Rastertunnelmikroskopie).
- Diese Beurteilung führt zu der Hinzufügung einer weiteren vorteilhaften Randbedingung, namentlich der Beschränkung der maximal auf diesem Knoten an Unbefugte gelangenden Information, insbesondere jedoch von Schlüsselmaterial. Daher müssen Datenobjekte jeweils mit einem eigenen Schlüssel je Objekt verschlüsselt werden, der nur diesem Objekt zugeordent ist. Dieses Schlüsselmaterial muß seitens des die betreffende Entscheidung fällenden ERM erzeugt und zusammen mit den übrigen Attributen eines Objektes gespeichert und bei Bedarf an weitere ERM repliziert werden.
- Eine erfolgreich beantwortete Anfrage an einen ERM wird dabei in die Übertragung des Schlüsselmaterials an den ECRM über einen gesicherten Kanal erfolgen, welcher den Schlüssel zur Entschlüsselung des Datenmaterials für die angefragte Operation und genau diese Operation verwendet und das Schlüsselmaterial anschließend sofort verwirft, um die Exponierung sowohl von Klartextdaten als auch Schlüsselmaterial zu vermeiden.
- Zu diesem Zweck muß jedes Objekt mit einer Markierung bzw. einem Etikett versehen sein, welches das Objekt eindeutig mit einem Datensatz einer oder mehrerer EAD (External Authentication Database = Authentication Database innerhalb der externen Instanz) assoziiert.
- Für Datenobjekte beschränkter Länge kann diese Markierung zumindest partiell aus einem kryptographischen Hashwert bestehen, der damit auch die Konsolidierung mehrerer inhaltlich identischer Kopien eines Datenobjektes auf Grundlage eines Regelwerkes erlaubt, ungeachtet des Speicherortes oder der Replikation von Datenobjekten.
- Für andere Arten von Objekten ohne derartige Eigenschaften müssen Markierungen generiert werden, die als Anforderung minimal lediglich eindeutig sein müssen. Die Erzeugung und gegebenenfalls die Einordnung der Markierung innerhalb der Halbordnungen für Typ und Identität erfolgt dabei jeweils seitens eines ERMs.
- Eine wünschenswerte zusätzliche Information ist die sogenannte Revisionsinformation, die mit Hilfe des Audit Subsystem aufgenommen werden kann. Sie betrifft die Verfolgbarkeit von Datenobjekten sowie ihre Verteilwege. Sie umfasst ferner Informationen über Kanäle von einem Subjekt zu einem anderen, die für einen Datentransport benutzt worden sind; dies schließt auch den Fall ein, daß alle beteiligten Subjekte die notwendigen Berechtigungen aufweisen.
- Um diese Information zu erhalten, muß zumindest die Information über das als Vorgänger einer Übertragung oder Quelle der Replikation agierenden Subjekt vorhanden sein. In diesem Fall ist die so geartete Information als Bestandteil der Markierung eines Objektes vor Manipulation zu schützen. Wie leicht zu sehen ist, genügt es ein "Nonce" (d. h. ein zufälliger Wert, der genau für eine einzige Transaktion auftreten kann, jede Wiederholung eines Nonce ist mit der Erkennung einer Wiedereinspielung gleichzusetzen mit den Identitäten des Subjektes, das den Zugriff oder die Operation auf ein Objekt angefordert hat mit der Identität des zuletzt zugreifenden Subjektes zu verknüpfen und dies mittels einem nur dem oder den ERM bekannten Schlüssel zu verschlüsseln.
- Das Resultat dieser Schritte kann nun in die Objektmarkierung eingebracht werden sobald das Objekt kopiert oder anderweitig übertragen wird. Die resultierende Objektmarkierung muß als Teil der Regelanfrage seitens eines ECRMs für ein Objekt und eine Operation an den oder die ERM übertragen werden. Aufgrund des Vorhandenseins des Nonce können Wiedereinspielungen erkannt werden. Sonstige Kopierangriffe auf Komponenten der Objektmarkierung bleiben wirkungslos, da per Definition die Markierung jedes einzelnen Objektes eindeutig ist.
- Wie oben bereits beschrieben muß ein sicheres verteiltes System auch Anforderung 1 erfüllen, d. h. der durch den Reference Monitor bedingte Kontrollmechanismus sollte gegen Manipulation von außen gesichert sein. Diese Annahme wird in den meisten regulären Betriebssystemen, die ein konventionelles Reference Monitor Konzept verfolgen, als erfüllt unterstellt, da auf Grundlage der Hardware- Schutzmechanismen für die Speicherverwaltung im laufenden Betrieb gewährleistet ist, daß diese zumindest eine Aufteilung in einen regulären Nutzermodus und einen Supervisor-Modus realisieren, bei denen nur an wohldefinierten und vom Betriebssystemkern kontrollierten Punkten (Gates, Traps) ein Übergang zwischen den Modi möglich ist.
- Das Hauptproblem bei dieser Annahme liegt darin, daß die Kombination aus der so gearteten Hardwrae-Unterstützung und dem Betriebssystem nicht zwischen unterschiedlichen Ebenen der Schutzwürdigkeit und Vertraulichkeit im Supervisor- Modus unterscheidet und die Menge an Programmcode, der mit derart maximalen Privilegien operiert sehr groß ist, zumindest jedoch nicht wie gefordert verifiziert und validiert werden kann.
- Daher hat jedes Modul, das sich im Supervisor-Modus (auch Kernel Mode genannt) befindet, vollständigen und unkontrollierten Zugriff auf sämtliche lokalen Ressourcen eines Knotens, z. B. durch direkte Manipulation von Speicherbereichen, Geräten, Modifikation weiterer Komponenten des Betriebssystems, etc.) Offensichtlich betreffen solche Bedrohungen auch den Reference Monitor selbst. Die direkte Konsequenz aus dieser Entwurfsentscheidung ist die Erfordernis, sämtlichen Programmcode, der im Supervisor-Modus operiert der Verifikation und Validierung aus Anfoderung 3 zu unterwerfen.
- Obgleich wenige Betriebssystem einer Evaluierung gemäß Standards wie den Trusted Computer System Evaluation Criteria (TCSEC) oder den Common Criteria for Information Technology (ITSEC) unterzogen wurden, entspricht die Zusicherung der Funktionalität die dabei erhalten werden kann lediglich einer flüchtigen Betrachtung der Trusted Computing Base (TCB) Selbst wenn jedoch diese Anforderungen erfüllt wurden, bleibt das Problem der physischen Manipulation (z. B. durch die Modifikation von Betriebssystemkomponenten während das System selbst nicht in Betrieb ist) oder durch die Belauschung relevanter Vorgänge auf Ebene elektromagnetischer Signale (sog. In-Circuit Emulators).
- Vor diesem Hintergrund sind in den vergangenen Jahren erhebliche Anstregungen unternommen worden mit dem Ziel physische Manipulationen an Hardwarekomponenten zu vereiteln. Ergebnis dieser Anstrengungen sind sogenannte gesicherte Coprozessoren.
- Diese Geräte stellen hochintegrierte und in sich abgeschlossene Rechnersysteme dar, die eine autonome Zentraleinheit (CPU), Arbeitsspeicher, nichtflüchtige Speicher sowie ein vollständig autonomes, minimales Betriebssystem aufweisen. Im Fall kryptographischer Coprozessoren sind zudem kryptographische Algorithmen in Hardware implementiert sowie Zufallszahlengeneratoren aufgrund von physikalisch zufälligen Ereignissen und autonom operierende Uhrensysteme.
- Die für diese Darstellung relevanten Merkmale eines solchen Coprozessors sind innerhalb eines gegen Manipulation gesicherten Gehäuses angeordnet, welches Angriffe auf den Inhalt zumindest erschwert oder für nicht mit hinreichenden Ressourcen ausgestattete Angreifer unmöglich machen. Bei Erkennung eines Manipulationsversuches zerstören derartige Geräte sich selbst (zumeist realisiert durch das Löschen sämtlicher Speicherinhalte, die Identifikations- und Authentisierungsmerkmale oder Schlüsselmaterial enthalten könnten).
- Sichere Coprozessoren dürfen nur mittels einer schmalen und wohldefinierten Schnittstelle mit der Außenwelt, insbesondere auch mit ihrem Wirtssystem kommunizieren. Dies, in Kombination mit der geringen Komplexität eines Coprozessor-Systems und der Tatsache, daß kein administrativer Zugriff auf den Coprozessor nach außen erteilt werden muß erlaubt eine sorgfältige Verifikation und Validierung des Coprozessors, vorzugsweise unter Verwendung formaler Methoden, welche auch den Entwurf der eigentlichen Hardware berücksichtigen sollte.
- Setzt man einen derartigen sicheren Coprozessor als gegeben voraus, so kann die erforderliche Funktionalität eines ECRM vollständig innerhalb des sicheren Coprozessors realisiert werden; damit sind auch in einem verteilten System die Anforderungen 1 bis 3 erfüllt.
- Der gesicherte Kommunikationskanal zwischen ECRM und ERM ist beispielhaft mit Hilfe eines hybriden Verschlüsselungsschemas realisierbar; die Verwendung symmetrischer Verfahren mit äquivalenten kryptographischen Eigenschaften hängt von der Verfügbarkeit geeigneter Hardware zur Berechnung asymmetrischer kryptographischer Operationen ab.
- Es sei vorausgesetzt, daß zumindest das selbstsignierte digitale Signaturzertfikat einer oder mehrerer zum Einsatz der Identifikation und Authentisierung verwendeter Zertifizierungsstellen in einem gegen Manipulation gesicherten Bereich gespeichert sind. Der Coprozessor sollte zudem in der Lage sein, ein asymmetrisches Schlüsselpaar vollständig innerhalb des gegen Manipulation gesicherten Bereiches zu erzeugen und nur den öffentlichen Schlüssel zu exponieren während alle Operationen unter Verwendung des geheimen Schlüssels innerhalb des gegen Manipulation gesicherten Bereiches erfolgen.
- Die ECRM und ERM bzw. die ERM untereinander kommunizieren dabei nur dann miteinander, sofern ein Zertifikat oder eine Kette von Zertifikaten entsprechend der Hierarchie der umzusetzenden Politiken für die beteiligten Parteien der Kommunikation vorliegen und diese gültig sind.
- Da potentiell mehrere Parteien mit unterschiedlichen Interessen bei Einsatz in einem verteilten System beteiligt sein können, sollte die Integrität der Coprozessoren sowie der Zertifizierungsschlüssel der verwendeten Zertifizierungsstellen möglichst von Seiten einer vertrauenswürdigen dritten Instanz gewährleistet werden.
- Die Anfrage einer Regel oder einer Regelmenge seitens eines ECRM erfolgt mit Hilfe eines Policy Data Request Protocol (PRDP). Dieses versendet die Beschreibung der Operation sowie die Identitäten der beteiligten Subjekte und Objekte über eine gesicherte Verbindung, welche die Integrität, Vertraulichkeit, und wechselseitige Identifkation beinhaltet. Für letztere ist sogar eine aktive Verifikation gegen Widerrufsschemata zusätzlich vorgesehen.
- Die Antwort oder die Antworten des oder der ERM werden über einen Kanal mit den gleichen Eigenschaften übermittelt. Dabei können die Antworten eine Obermenge der gestellten Anfrage beantworten, welche anschließend von der ECRM nach Verifikation von Integrität und Authentizität der Antwort für die Lebensdauer der Antwort wiederverwendet werden kann.
- Sofern Datenmaterial aufgrund der gegebenen Regelantworten zu ver- oder entschlüsseln sind, entschlüsselt der ECRM die vom Wirtsbetriebssystem bereitgestellten Informationen und liefert die so erhaltenen Klartext- bzw. verschlüsselten Daten wieder an selbiges zurück. Wie bereits angesprochen läßt sich dieser Mechanismus für die Steuerung sämtlicher Entscheidungsprozesse bezüglich Operationen innerhalb eines Betriebssystemes verwenden.
- Soweit möglich sollten ECRM Revisionsdaten zunächst lokal vorhalten; dies kann innerhalb der gegen Manipulation gesicherten Bereiche erfolgen oder verschlüsselt seinerseits gegen Manipulation gesichert vom Wirtsbetriebssystem abgelegt werden. Diese Revisionsdaten können direkt an relevante ERM weitergeleitet werden oder aufgrund von Regeln, die seitens eines ERM erstellt werden vorverarbeitet und erst nach Vorverarbeitung (z. B. Zusammenfassung mehrerer gleichartiger Ereignisse) an die ERM weitergeleitet werden.
- Eine weitere Möglichkeit der Verwendung dieser Daten besteht in der Nutzung zur Erkennung von versuchten oder erfolgreichen Angriffen auf den Knoten oder das Netzwerk, in dem sich der Knoten befindet (Intrusion Detection System, IDS). Die notwendigen Heuristiken zur dezentralen Vorverarbeitung und Weiterleitung relevanter Ereignisse werden den ECRM ebenfalls als Regelwerk seitens der ERM mitgeteilt; diese Regeln können nur als Metaoperationen auf den Revisionsdaten operieren oder aktive Änderungen des Verhaltens des ECRM und damit des Knotens zur Folge haben.
- Das ECRM muß nicht notwendigerweise in Hardware bzw. als sicherer Coprozessor realisiert sein, allerdings ist bei einer Realisierung in in Form von Software das bereits genannte Gefahrenpotential der Manipulation hinzunehmen.
- Der hier beschriebene Mechanismus ist in der Lage jedes mit Hilfe einer automatisierten Rechenanlage beschreibbare Sicherheitsmodell bzw. daraus abgeleitete Sicherheitspolitiken darzustellen (ohne Beweis). Mehrere Sicherheitspolitiken lassen sich durch die Befragung mehrerer ERM in einer Hierarchie (sog. Policy Domain) bzw. durch die Befragung aller Hierarchien von ERMs, in deren Herrschaftsbereich Objekte befindlich sind, auf denen eine fragliche Operation erfolgen soll, kombinieren.
- Ein Beispiel hierfür ist rollenbasierte Zugriffskontrolle in Verbindung mit rollenbasierten Administrationsmechanismen sowie Informationsfluß- Sicherheitspolitiken.
- Das hier beschriebene System muß über Organisationsgrenzen hinweg verwendbar sein und somit auch über die Grenzen von Vertrauensgebieten hinweg. Dem Betreiber eines ERM ist nicht notwendig von Seiten der Betreiber anderer ERM oder auch von den Anwendern von ECRM zu vertrauen.
- Die Lösung hierfür ist analog zur o. g. Lösung für ECRM und erfordert sichere Coprozessoren. Alle sicherheitsrelevanten Verarbeitungsschritte wie die Auswertung von Regelwerken und Ableitung neuer Regeln, die Erzeugung und Verarbeitung von Protokolldaten für das PRDP, das Erzeugen und Auswerten von Revisionsdaten etc. sollten innerhalb des gesicherten Bereiches erfolgen. Dies setzt eine scharfe Obergrenze für die maximale Komplexität des Mechanismus zur Darstellung der Politik sowie des Umfangs der für Entscheidungen zugrunde zu legenden Daten und Regeln voraus. Auch hier kann jedoch eine kryptographisch gesicherte Speicherung durch das Wirtssystem erfolgen.
- Die Notwendigkeit, eine Verifikation und Validierung des gesamten Mechanismus durchführen zu können, setzt zudem eine weitere Obergrenze für die maximal zulässige Komplexität voraus.
- Der ERM muß die Vertraulichkeit und Integrität aller Politikentscheidungen sowie den Datenbestand der Grundlagen der Entscheidungen und die Revisionsinformationen sicherstellen, da all diese Daten in Datenbanken gesichert werden müssen, die außerhalb der vertrauenswürdigen Umgebung angesiedelt sein können und nicht der direkten Herrschaft des ERM unterworfen sind. Eine derartige Sicherung realisiert zudem eine Trennung zwischen der Möglichkeit des Zugrffs auf die Datenbestände aus operativer und administrativer Sicht (z. B. zum Zweck der Datensicherung). Die Nutzer eines ERM müssen dem Betreiber des ERM zumindest insofern vertrauen als daß dieser die Zuverlässigkeit und Verfügbarkeit des ERM sowie der Datenbestände in angemessener Weise gewährleistet; hinzu kommt, daß dem Betreiber des ERM nicht unterstellbar sein sollte, daß dieser mit erheblichem finanziellem Aufwand und krimineller Energie den gesicherten Bereich des Coprozessors zu unterwandern versucht.
- Innerhalb eines Wirtssystems ist es dabei möglich, mehrere Coprozessoren parallel zu betreiben; dies kann sowohl innerhalb eines Knotens oder in einem Cluster von Knoten der Fall sein. Diese Knoten müssen dann mit identischen Konfigurationen der ERM ausgestattet sein, um eine parallele Verwendung zu gestatten.
- Aufgrund der kritischen Abhängigkeit aller Knoten des geschützten verteilten Systems sowohl in Bezug auf die Verfügbarkeit als auch die Latenzzeiten bei der Kommunikation mit ERM ist die Zuverlässigkeit des ERM und der Kommunikationswege von Bedeutung.
- Die ERM können einerseits hierarchisch angeordnet sein, andererseits kann jeder Regelbestand seinerseits über beliebig viele ERM-Knoten repliziert sein. Sekundär dazu können getroffene Entscheidungen über Regeln von anderen ERM-Knoten als Zwischenspeicher vorgehalten werden. Kernbeobachtung hierbei ist die sogenannte "locality of reference", d. h. die Tatsache, daß ein beliebiger Prozeß zu einem gegebenen Zeitpunkt stets nur mit einer sehr kleinen Anzahl von Objekten operiert.
- Meist werden dabei die betreffenden Objekte einer bestimmten Organisationseinheit entstammen. Dieser kann ein eigener lokaler oder replizierter ERM zugeordnet werden. Sofern zur Lastbalancierung mehrere ERM-Knoten parallel eingesetzt werden, kann dabei der kryptographisch ausgelagerte Datenbankbestand von mehreren ERM-Knoten gemeinsam genutzt werden.
- Innerhalb einer Organisation selbst können dabei mehrere ERM existieren; diese können eine gemeinsame Politik verbreiten oder jeweils unterschiedliche Politiken verbreiten. Sofern derartige Kontrollbereiche kollidieren müssen für zwischen mehreren Teilorgansiationen gemeinsame Bereiche spezielle Politiken zum Ausgleich potentiell unterschiedlicher Regelungen definiert werden.
- Zugriffe auf Subjekte und Objekte, die anderen Kontrollbereichen entstammen müssen seitens der ECRM an die jeweils für diese Bereiche zuständigen ERM verwiesen werden. Die Zuordnung der Hierarchie erfolgt z. B. über die Einbettung der Identitäten der Subjekte und Typen in eine Halbordnung mit der Existenz einer größten unteren Schranke sowie einer kleinsten oberen Schranke für jedes Paar von Elementen der Halbordnung. Dadurch ist es möglich, innerhalb von Politiken auf Stufen innerhalb dieser Halbordnung Bezug zu nehmen.
- Die Halbordnung gibt zudem implizit die Identität des zugeordneteten lokalen ERM wieder. Eine mögliche Ausprägung besteht in der Realisierung eines separaten Routing-Netzwerkes mit lokalen und Weitverkehrsprotokollen, bei denen lokale Routen automatisch von den Routing-Algorithmen erzeugt werden und dadurch auch partielle Ausfälle abgefangen werden, Weitverkehrsverbindungen jedoch aus Effizienzgründen auf eine partielle manuelle Intervention für die Festlegung optimaler Strecken und Verbindungen angewiesen sind; letztere jedoch über längere Zeiträume als stabil zu betrachten sind.
- Eine weitere Ausprägung besteht in der Nutzung der durch das Domain Name System vorgegebenen Namens- und Routinghierarchie. Dies kann durch die Definition eigener Resource Records im Rahmen des Domain Name System Protokolls erfolgen oder durch eine Assoziation durch Konventionen außerhalb des Protokolls.
Claims (21)
1. Verteiltes System bestehend aus einer Vielzahl über ein Netzwerk miteinander
verbundener Rechnereinheiten, sogenannte Knoten, in denen jeweils zur Einprägung
wenigstens einer den jeweiligen Knoten obliegenden Sicherheitspolitik eine lokale
Überwachungseinheit vorgesehen ist, die mit wenigstens einer innerhalb des
Netzwerkes externen Überwachungseinheit verbunden sind, in der jeweils die
Sicherheitspolitiken aller Knoten oder wenigstens einer Gruppe von Knoten
betreffende Regelwerke ablegbar sind,
dadurch gekennzeichnet, dass die lokale Überwachungseinheit ein Reference
Monitor (ECRM) ist, der auf Betriebssystemebene des jeweiligen Knotens sämtliche
Operationen mit Objekten sowie Interaktionen zwischen Subjekten und Objekten
innerhalb des Knotens unter Massgabe des Regelwerks kontrolliert, das in den
Reference Monitor (ECRM = Externally Controlled Reference Monitor) des jeweiligen
Knotens wenigstens temporär implementiert ist.
2. Verteiltes System nach Anspruch 1,
dadurch gekennzeichnet, dass eine Vielzahl von externen Überwachungseinheiten
in Form External Reference Monitore (ERM) vorgesehen sind, die jeweils
unterschiedliche Sicherheitspolitiken enthalten, die von den ECRMs der einzelnen
Knoten abrufbar sind.
3. Verteiltes System nach Anspruch 1 oder 2,
dadurch gekennzeichnet, dass der Begriff Subjekte durch folgende nicht
abschließend aufgeführten Identifikationsmerkmale einzeln beschreibbar ist:
Nutzer, Prozess, Anwendungsprogramm, Knoten, Netzwerk, Netzwerkanbindung,
Busanbindung.
4. Verteiltes System nach Anspruch 1 oder 2,
dadurch gekennzeichnet, dass der Begriff Objekt durch folgende nicht abschließend
aufgeführten Identifikationsmerkmale einzeln beschreibbar ist:
Datei, Ausführbare Datei, Datendatei, Verzeichnis, Verbindung, Virtuelle Verbindung,
Datagramm, Interprozesskommunikationsnachricht, Gerät,
Physische Verbindung, Speichersegment.
5. Verteiltes System nach Anspruch 1 oder 2,
dadurch gekennzeichnet, dass der Begriff Operation durch folgende nicht
abschließend aufgeführten Identifikationsmerkmale einzeln beschreibbar ist:
Erzeugung einer Datei, Lesen einer Datei, Schreiben einer Datei, Überschreiben
einer Datei, Anfügen einer Datei, Löschen einer Datei, Lesen von Metainformation
einer Datei, Schreiben von Metainformation einer Datei, Lesen eines Verzeichnisses
Erzeugung eines Verzeichnisses, Suche in einem Verzeichnis, Löschen eines
Verzeichnisses, Erzeugung eines Speichersegmentes, Lesen eines
Speichersegmentes, Schreiben eines Speichersegmentes, Löschen eines
Speichersegmentes, Öffnen eines Gerätes, Lesen von Daten von einem Gerät
Schreiben von Daten auf ein Gerät, Lesen von Metadaten von einem Gerät
Schreiben von Metadaten auf ein Gerät, Schliessen eines Gerätes
Senden von Interprozesskommunikations-Nachricht, Empfangen von
Interprozesskommunikations-Nachricht, Senden eines Datagramms
Empfangen eines Datagramms, Erzeugung einer virtuellen Verbindung
Senden von Daten über eine virtuelle Verbindung, Empfangen von Daten über eine
virtuelle Verbindung, Abbau einer virtuellen Verbindung
6. Verteiltes System nach einem der Ansprüche 1 bis 5,
dadurch gekennzeichnet, dass alle einzelne Knoten betreffende Subjekte und
Objekte etikettiert bzw. initialisiert sind, so dass die Subjekte oder Objekte bei einem
Übergang von einem Knoten zu einem anderen Knoten unter Maßgabe der ihnen
obliegen Sicherheitspolitik identifizierbar sind.
7. Verteiltes System nach einem der Ansprüche 2 bis Anspruch 6,
dadurch gekennzeichnet, dass die Vielzahl übergeordneter Überwachungseinheiten
(ERM) innerhalb des verteilten Systems untereinander hierarchisch strukturiert ist.
8. Verteiltes System nach einem der Ansprüche 1 bis 7,
dadurch gekennzeichnet, dass zusätzlich zum innerhalb des ERMs abgelegten
Regelwerk Informationen über Authentifizierung (EAD) sowie Autorisierung für die
innerhalb jedes einzelnen Knotens stattfindenden Operationen zwischen einzelnen
Subjekten und/oder Objekten, im ERM ablegbar und zu jedem Knoten
kommunizierbar sind.
9. Verteiltes System nach Anspruch 8,
dadurch gekennzeichnet, dass wenigstens Teile des Regelwerks und/oder
wenigstens Teile die Informationen über die Authentifizierung (EAD) sowie
Autorisierung betreffend eine zeitlich begrenzte Gültigkeit aufweisen, und
dass innerhalb dieser Gültigkeitsdauer wenigstens Teile des Regelwerkes und/oder
wenigstens Teile der Informationen über die Authentifizierung (EAD) sowie
Autorisierung auf die lokale Überwachungseinheit abgelegt sind.
10. Verteiltes System nach einem der Ansprüche 1 bis 9,
dadurch gekennzeichnet, dass zusätzlich zum innerhalb des ERMs abgelegten
Regelwerk ein Audit Subsystem vorgesehen ist, das eine Kommunikation zwischen
den einzelnen Knoten und dem ERM und/oder innerhalb jedes einzelnen Knotens
stattfindende Operationen zwischen Subjekten und/oder Objekten erfasst und
aufzeichnet.
11. Verteiltes System nach Anspruch 10,
dadurch gekennzeichnet, dass die erfasste Kommunikation bestimmten für das
Audit Subsystem relevanten Regeln unterliegt.
12. Verteiltes System nach einem der Ansprüche 1 bis 11,
dadurch gekennzeichnet, dass in jedem Knoten und/oder in dem wenigstens einen
ERM eine kryptographische Einheit vorgesehen ist, die zumindest einen
Informationsaustausch zwischen jedem einzelnen Knoten und dem wenigstens einen
ERM unter Zugrundelegung eines Authentisierungsverfahren codiert.
13. Verteiltes System nach Anspruch 12,
dadurch gekennzeichnet, dass die kryptographische Einheit die Identität jeweils
miteinander kommunizierender Knoten sowie auch ERMs über ein kryptographisches
Verfahren von beiden Partnern verifiziert, bevor es zu eines Datenübertragung
kommt.
14. Verteiltes System nach einem der Ansprüche 1 bis 13,
dadurch gekennzeichnet, dass die übergeordnete Überwachungseinheit als
gesicherter Coprozessor ausgebildet ist.
15. Verteiltes System nach Anspruch 14,
dadurch gekennzeichnet, dass der gesicherte Coprozessor neben dem Regelwerk
auch eine Authentifizierungseinheit sowie ein Audit Subsystem umfaßt.
16. Verteiltes System nach Anspruch 14 oder 15,
dadurch gekennzeichnet, dass der gesicherte Coprozessor eine vom restlichen
Knoten isolierte Instanz ist, die in sich autonom, gegen Manipulation geschützt und in
der Lage ist, die eigene Integrität und aller Objekte und Subjekte des Knotens zu
verifizieren und sich selbst zu zerstören, sofern Manipulationen detektierbar sind, die
die Integrität verletzten.
17. Verteiltes System nach einem der Ansprüche 1 bis 16,
dadurch gekennzeichnet, dass das in dem ERM abglegbare, die Sicherheitspolitik
aller oder wenigstens einer Gruppe von Knoten bestimmende Regelwerk in Form
syntaktischer Elemente darstellbar ist und unter Massgabe der formalen Logik erster
Ordnung anwendbar ist, um stets in sich konsistente Aussagen und Ergebnisse zu
erzeugen.
18. Verfahren zur Einprägung einer Sicherheitspolitik in eine Vielzahl über ein
Netzwerk miteinander verbundener Rechnereinheiten, sogenannte Knoten, in denen
jeweils eine lokale Überwachungseinheit vorgesehen ist, die jeweils mit wenigstens
einer innerhalb des Netzwerkes vorhandenen externen Überwachungseinheit
verbunden sind, in der jeweils die Sicherheitspolitiken aller Knoten oder wenigstens
einer Gruppe von Knoten betreffende Regelwerke abgelegt werden,
dadurch gekennzeichnet, dass von der wenigstens einen externen
Überwachungseinheit ein die Sicherheitspolitik bestimmendes Regelwerk abgerufen
wird und innerhalb des Knotens wenigstens temporär derart abgespeichert und
verarbeitet wird, dass dieses Regelwerk auf Betriebssystemebene des Knotens
sämtliche Operationen mit Objekten sowie Interaktionen zwischen Subjekten und
Objekten innerhalb des Knotens unter Massgabe des Regelwerks kontrolliert.
19. Verfahren nach Anspruch 18,
dadurch gekennzeichnet, dass das von der externen Überwachungseinheit von
einem Knoten abgerufene Regelwerk in einem Reference Monitor (ECRM = External
Controlled Reference Monitor) abgelegt wird, der auf Ebene des Betriebsystems
innerhalb des Knotens arbeitet.
20. Verfahren nach Anspruch 18 oder 19,
dadurch gekennzeichnet, dass eine Vielzahl externer Überwachungseinheiten,
sogenannte Externer Reference Monitore (ERM) vorgesehen sind, in denen jeweils
unterschiedliche Sicherheitpolitiken abgelegt werden und die an
bestimmungsgemäße Knoten kommuniziert werden.
21. Verfahren nach einem der Ansprüche 18 bis 20,
dadurch gekennzeichnet, dass das Regelwerk als ein aus syntaktischen Elementen
aufgebauter Befehls- bzw. Entscheidungscode zusammengesetzt und dargestellt
wird und auf der Grundlage der Regeln der formalen Logik erster Ordnung
angewendet wird zum Erhalt selbstkonsistenter Entscheidungen.
Priority Applications (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE10146361A DE10146361B4 (de) | 2001-09-20 | 2001-09-20 | Verteiltes System |
PCT/EP2002/010437 WO2003025758A2 (de) | 2001-09-20 | 2002-09-17 | Vorrichtung und verfahren zur etablierung einer sicherheitspolitik in einem verteilten system |
US10/489,817 US20050038790A1 (en) | 2001-09-20 | 2002-09-17 | Device and method for establishing a security policy in a distributed system |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE10146361A DE10146361B4 (de) | 2001-09-20 | 2001-09-20 | Verteiltes System |
Publications (2)
Publication Number | Publication Date |
---|---|
DE10146361A1 true DE10146361A1 (de) | 2003-04-24 |
DE10146361B4 DE10146361B4 (de) | 2007-02-01 |
Family
ID=7699672
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
DE10146361A Expired - Fee Related DE10146361B4 (de) | 2001-09-20 | 2001-09-20 | Verteiltes System |
Country Status (3)
Country | Link |
---|---|
US (1) | US20050038790A1 (de) |
DE (1) | DE10146361B4 (de) |
WO (1) | WO2003025758A2 (de) |
Families Citing this family (14)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8386520B2 (en) * | 2005-03-30 | 2013-02-26 | Hewlett-Packard Development Company, L.P. | Database security structure |
US7958396B2 (en) * | 2006-05-19 | 2011-06-07 | Microsoft Corporation | Watchdog processors in multicore systems |
US8819763B1 (en) * | 2007-10-05 | 2014-08-26 | Xceedium, Inc. | Dynamic access policies |
US9589145B2 (en) | 2010-11-24 | 2017-03-07 | Oracle International Corporation | Attaching web service policies to a group of policy subjects |
US8650250B2 (en) | 2010-11-24 | 2014-02-11 | Oracle International Corporation | Identifying compatible web service policies |
CN102571476B (zh) * | 2010-12-27 | 2015-08-19 | 中国银联股份有限公司 | 一种实时监控终端命令行的方法和装置 |
US8560819B2 (en) | 2011-05-31 | 2013-10-15 | Oracle International Corporation | Software execution using multiple initialization modes |
US9043864B2 (en) * | 2011-09-30 | 2015-05-26 | Oracle International Corporation | Constraint definition for conditional policy attachments |
US8909930B2 (en) | 2011-10-31 | 2014-12-09 | L-3 Communications Corporation | External reference monitor |
US20150052616A1 (en) | 2013-08-14 | 2015-02-19 | L-3 Communications Corporation | Protected mode for securing computing devices |
US10762069B2 (en) * | 2015-09-30 | 2020-09-01 | Pure Storage, Inc. | Mechanism for a system where data and metadata are located closely together |
US10798128B2 (en) * | 2017-07-24 | 2020-10-06 | Blackberry Limited | Distributed authentication for service gating |
CN109862042A (zh) * | 2019-03-27 | 2019-06-07 | 泰萍科技(杭州)有限公司 | 一种同质异构的网络安全加固方法及装置 |
US11803641B2 (en) * | 2020-09-11 | 2023-10-31 | Zscaler, Inc. | Utilizing Machine Learning to detect malicious executable files efficiently and effectively |
Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2000025214A1 (en) * | 1998-10-28 | 2000-05-04 | Crosslogix, Inc. | Maintaining security in a distributed computer network |
Family Cites Families (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US5263157A (en) * | 1990-02-15 | 1993-11-16 | International Business Machines Corporation | Method and system for providing user access control within a distributed data processing system by the exchange of access control profiles |
FR2663238B1 (fr) * | 1990-06-18 | 1992-09-18 | Inst Francais Du Petrole | Procede et dispositif de separation entre une phase fluide continue et une phase dispersee, et application. |
FR2702671B1 (fr) * | 1993-03-15 | 1995-05-05 | Inst Francais Du Petrole | Dispositif et procédé de séparation de phases de densités et de conductivités différentes par électrocoalescence et centrifugation. |
US5565078A (en) * | 1994-04-06 | 1996-10-15 | National Tank Company | Apparatus for augmenting the coalescence of water in a water-in-oil emulsion |
US5765153A (en) * | 1996-01-03 | 1998-06-09 | International Business Machines Corporation | Information handling system, method, and article of manufacture including object system authorization and registration |
DE10080454D2 (de) * | 1999-02-26 | 2001-07-26 | Siemens Ag | Modifizierung der ITU-T recommendation X.741 für einen einheitlichen Zugriffsschutz auf Managed Objects und Dateien |
-
2001
- 2001-09-20 DE DE10146361A patent/DE10146361B4/de not_active Expired - Fee Related
-
2002
- 2002-09-17 WO PCT/EP2002/010437 patent/WO2003025758A2/de not_active Application Discontinuation
- 2002-09-17 US US10/489,817 patent/US20050038790A1/en not_active Abandoned
Patent Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2000025214A1 (en) * | 1998-10-28 | 2000-05-04 | Crosslogix, Inc. | Maintaining security in a distributed computer network |
Also Published As
Publication number | Publication date |
---|---|
DE10146361B4 (de) | 2007-02-01 |
US20050038790A1 (en) | 2005-02-17 |
WO2003025758A3 (de) | 2003-12-24 |
WO2003025758A2 (de) | 2003-03-27 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
DE60218615T2 (de) | Verfahren und Architektur zur durchdringenden Absicherung von digitalen Gütern | |
DE60200323T2 (de) | Verfahren zum Schutz der Integrität von Programmen | |
DE112019006367T5 (de) | Verfahren und System zur Sicherung von Cloud-Speichern und -Datenbanken vor Insider-Bedrohungen und zur Optimierung der Leistung | |
EP1290530B1 (de) | Verschlüsseln von abzuspeichernden daten in einem iv-system | |
DE69522460T2 (de) | System und verfahren zur erzeugung gesicherter internetzwerkdienste | |
DE19960978B4 (de) | Verfahren zum Steuern des Zugriffs auf in einem Datenarchivsystem gespeicherte elektronische Datendateien | |
DE112004000428B4 (de) | Verfahren und Systeme zum Verwalten von Sicherheitsrichtlinien | |
DE69530128T2 (de) | Sicherheit für rechnerbetriebsmittel | |
DE19960977A1 (de) | System für ein elektronisches Datenarchiv mit Erzwingung einer Zugriffskontrolle beim Datenabruf | |
CH709936A2 (de) | System und Verfahren für das kryptographische Suite-Management. | |
DE19741239C2 (de) | Verallgemeinertes Sicherheitspolitik-Management-System und Verfahren | |
DE102011077218B4 (de) | Zugriff auf in einer Cloud gespeicherte Daten | |
DE112012002741T5 (de) | Identitäts- und Berechtigungsprüfungsverfahren für die Sicherheit einer Cloud-Datenverarbeitungsplattform | |
DE10146361B4 (de) | Verteiltes System | |
DE112008002462T5 (de) | Datensicherheitsvorrichtung | |
DE112011103580T5 (de) | Verfahren, sichere Einheit, System und Computerprogrammprodukt für das sichere Verwalten des Benutzerzugriffs auf ein Dateisystem | |
DE112021005862T5 (de) | Selbstprüfende blockchain | |
DE102009054128A1 (de) | Verfahren und Vorrichtung zum Zugriff auf Dateien eines sicheren Fileservers | |
DE60305315T2 (de) | Originalitätsgesichertes herausnehmbares medium mit ausführbarem kode | |
DE112021005837T5 (de) | Dezentrale sendeverschlüsselung und schlüsselerzeugungseinrichtung | |
DE10024347B4 (de) | Sicherheitsservice-Schicht | |
DE102012208290B4 (de) | Netzübergangskomponente mit anfrage/antwort-zuordnung und überwachung | |
DE102021130811A1 (de) | Blockchain-selektive world-state-datenbank | |
LU500837B1 (de) | Verfahren und zugehörige Computersysteme zur Sicherung der Integrität von Daten | |
DE19645006B4 (de) | Verfahren zur Kommunikation zwischen Prozessen |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
OP8 | Request for examination as to paragraph 44 patent law | ||
8364 | No opposition during term of opposition | ||
R119 | Application deemed withdrawn, or ip right lapsed, due to non-payment of renewal fee |
Effective date: 20120403 |