1 HOME

2 VERBUND

3 PROJEKT

4 EVENTS

5 PUBLIKATIONEN

6 SITEMAP & IMPRESSUM

3.1 ORGANISATION

3.2 RECHT

3.3 IT-LÖSUNG

3.4 SZENARIEN

3.5 DEMO

 

3.5 Szenarien

In VERTRAG wurden zwei übergeordnete, praxisrelevante Szenarien definiert, welche auf der zuvor eingeführten IT-Architektur beruhen. Ein hinreichendes Verständnis der dort eingeführten Begrifflichkeiten wird an dieser Stelle vorausgesetzt.

1. Die Zweigstelle

In dem ersten Szenario „Zweigstelle“ wird ein zu schützendes Dokument erstellt. Dafür werden die drei Komponenten TVD, SkIDentity und ERM verbunden. Es basiert auf den Trusted Desktops mit Security Kernel und einer TVD für die Firmen A und B. Im Security Kernel sind bereits die zwei Erweiterungen  SkIDentity – und ERM Endpoint vorhanden. Die Erweiterungen dienen dazu, einen dedizierten und abgesicherten Kanal zu den entsprechenden Komponenten (SkIDentity und ERM) aufzubauen.  Die  Erweiterungen stellen dem Betriebssystem einfache API Funktionen zur Verfügung, welche von den installierten Client Anwendungen verwendet werden können.

1.       Ein Nutzer möchte ein Dokument schützen.  Er setzt die individuellen und/oder allgemeinen Rechte  für das Dokument, über eine  in Word installierte ERM Erweiterung ein.

2.       Die Erweiterung bereitet das Dokument vor und sendet über den ERM Endpoint eine Anfrage  an  den ERM Server. Die Anfrage passiert zuerst den TOM  und wird dort ausgewertet.

3.       Stimmt der TOM der Kommunikation mit dem ERM Server zu, wird die Anfrage an diesen weitergeleitet und  dort ausgewertet.

4.       Sollte noch keine Authentifizierung durchgeführt worden sein, wird die Word Erweiterung gebeten, sich beim Active Directory Server der Firma oder beim SkiDentity zu authentifizieren und den Token (?) an den ERM Server weiter zu leiten, damit dieser den Token auswerten kann. Dazu stellt die Erweiterung eine Anfrage an den SkiDentity Endpoint.

5.       Der TOM stimmt dem Kommunikationswunsch zum AD zu und die Client Erweiterung authentifiziert sich beim AD Server.

6.       Interaktion mit dem SkiDentity Server, falls notwendig. Die angefragten Informationen werden nach erfolgreicher Authentifizierung an die ERM Erweiterung zurück gesendet.

2. Der Auftragnehmer

Im vorigen Szenario „Zweigstelle“ haben wir gezeigt wir ein geschütztes Dokument erstellt wird. Im Folgenden Szenario „Auftragnehmer“ zeigen wir das Konsumieren (Öffnen) eines solchen Dokuments. Es wird davon ausgegangen, dass das geschützte Dokument an Firma B übermittelt wurde (Fileserver, E-Mail, etc.).

1.       Ein Nutzer aus Firma B möchte ein geschütztes Dokument öffnen. Die Word ERM Erweiterung liest die separat geschützten Abschnitte ein und bereit das Erfragen der Dechiffrierungsschlüssel beim ERM Endpoint vor. Gleichzeitig muss sich der Nutzer gegenüber des firmen internen AD Servers (SkiDentity) authentifizieren. Sollte dies nicht bereits geschehen sein.

2.       Der SkiDentity Endpoint im Security Kernel sendet die Authentifizierungsanfrage an den TOM

3.       Gestattet der TOM die Anfrage, wird diese an den AD Server weitergeleitet.

4.       Benötigt der AD Server Informationen vom SkiDentity Server, wir dieser ebenfalls kontaktiert. Nach Abschluss der Authentifizierung wird ein Token ausgestellt und an die Word ERM Erweiterung geschickt.

5.       Der Authentifizierungstoken, aus dem vorherigen Schritt, wird in die Anfrage an den ERM Server integriert und dem ERM Endpoint übergeben. Dieser übermittelt die Anfrage an den ERM Server. Dabei passiert sie vorher den TOM, welcher die Legitimität der Anfrage überprüft und diese gewährt oder unterbindet.

6.       Stimmt der TOM der Kommunikation mit dem ERM Server zu, wird die Anfrage an diesen weitergeleitet und  dort ausgewertet. Mit der Auswertung erhält der Client eine Antwort mit den entsprechenden Dechiffrierungsschlüsseln und den eingeräumten Zugangsrechten. Diese Informationen werden von der ERM Erweiterung verwendet um das zu schützende Dokument anzuzeigen.

Der Trusted Desktop stellt mittels der TVD sicher, dass nur die erlaubten Anwendungen auf den Client Betriebssystemen installiert sind. Dies gewährleistet, dass das Dokument nicht wie bei Microsofts RMS einfach entschützt werden kann.

Durch die ERM Erweiterung wird darüber hinaus der feingranulare Schutz von Dokumenten ermöglicht.

 

BMBFLogo