Musterbasierte Analy... Forschungsprojekte Einsatz statistische...

Architekturgestützte Realisierung und Verifikation von Schutzzielen in komponentenbasierten Softwaresystemen

proSecCo - providing Security in Component-based Systems


Die Integrität von Daten (einschließlich Programmcode), die Vertraulichkeit von Information und die Verfügbarkeit von Diensten sind typische Schutzziele, die sehr häufig bei der Entwicklung und im Betrieb von Software zu berücksichtigen sind. Im Rahmen der ingenieurmäßigen Softwareentwicklung wird eine konsequente Umsetzung solcher Sicherheitsanforderungen in einen adäquaten Entwurf jedoch kaum unterstützt.

Ziel des proSecCo Projektes ist es, Vorgehensweisen und Werkzeuge (Vorgehenstechnik) zu entwickeln, die dem Ingenieur eine systematische und überprüfbare Verwirklichung der Schutzziele ermöglichen. Aufbauend auf den vorangegangen Arbeiten am Lehrstuhl (Projekt CITY) wird

Auf Ebene der Implementierung wird eine möglichst getrennte Betrachtung der notwendigen Sicherheitslogik und des eigentlichen funktionalen Codes erlaubt. Dadurch soll die Fehleranfälligkeit reduziert und die Wiederverwendung bewährter Sicherheitslogik erleichtert werden.

Teilprojekt: Authentifizierung

Zu den wichtigsten Schutzzielen der Informationstechnologie gehört die zuverlässige, zeitgerechte und vertrauliche Ermittlung der Identität von Systembenutzern. Hierfür steht bereits eine Reihe unterschiedlicher Strategien zur Authentifizierung zur Verfügung, die im Wesentlichen durch wissensbasierte, besitzbasierte bzw. biometrisch basierte Verfahren geprägt sind. Welche (eventuell kombinierte) Verfahren sich im Einzelfall eignen, hängt von den jeweiligen Anforderungen des vorgegebenen Anwendungsbereichs ab.

Dieses Teilprojekt befasst sich mit der Identifikation und der Untersuchung der Faktoren, von denen die Entscheidung hinsichtlich optimaler Authentifizierungsstrategien abhängt, darunter Anzahl und Rollen der zu authentifizierenden Benutzer, sowie die der betrachteten Anwendung zugrunde liegenden Anforderungen bezüglich Performance, Genauigkeit, Zuverlässigkeit und Skalierbarkeit.

Basierend auf den Ergebnissen werden für den allgemeinen Fall eines Datenerfassungssystems klassische Risikoanalysen, etwa Fehlerbaumverfahren, eingesetzt, um Fehlerszenarien und Problemfälle möglichst systematisch und vollständig zu ermitteln und effiziente Maßnahmen zu deren Beherrschung, eventuell durch Vorgabe adäquater Rückfallebenen und Ausnahmebehandlungsmechanismen, zu definieren. Die Ergebnisse werden abschließend beispielhaft in die Spezifikation, den Entwurf, die Implementierung und den Test eines konkreten Datenerfassungssystems aus der Dienstleistungsindustrie praktisch umgesetzt.

Publikationen

top