XML: Mehr Sicherheit durch neue Standards

eXtensible Access Control Markup Language (XACML)
XACML ist eine Spezifikation von OASIS zur Zusammenführung der Bestrebungen mehrerer interessierter Parteien, wie IBM und der Universität von Mailand. Sie wird zusammen mit SAML (im Weiteren erklärt) eingesetzt und bietet die Möglichkeit standardisierter Parameter für die Zugangskontrolle bei XML-Dokumenten. XACML (auch XACL genannt) wird verwendet, um festzulegen, ob der angeforderte Zugang zu einer Ressource erlaubt wird, wobei diese ein vollständiges Dokument, mehrere Dokumente oder einen Teil eines Dokuments darstellen kann.

XACML empfängt dabei eine SAML-Anfrage, und muss nun anhand von durch den Provider erstellten Regeln oder Richtlinien feststellen, ob der Zugang zu einer Ressource gestattet werden soll. Anders als bei der XML-Verschlüsselung werden hier Zugangskontrolldaten an einem separaten Speicherplatz abgelegt, auf den im Falle einer Anfrage zugegriffen wird. In den Tags der XML-Ressource werden XPointer und XPaths festgelegt, die dem Parser mitteilen, dass er die XACML-Richtlinien prüfen soll und wo sich diese befinden.

Nach der Auswertung der Richtlinien und der Ausgabe eines Ja- oder Nein-Werts zur Gewährung oder Ablehnung des Zugangs wird die SAML-Anfrage zur Autorisierung beantwortet und entsprechend weiterverarbeitet.

Sitzungsprotokolle, Fallbeispiele und der neuste Konzeptentwurf vom 10. März 2002 sind unter OASIS XACML Committee zu finden.

Security Assertion Markup Language (SAML)
SAML, ebenfalls von OASIS verwaltet, ist das Gegenstück zu XACML, und handhabt den eigentlichen Austausch der Anfragen und Antworten zur Authentifizierung und Autorisierung. Eine SAML-Anfrage wird via SOAP über HTTP an ein System geschickt, das über geeignete Mittel zur Verarbeitung der Anfrage verfügt.

Eine SAML-Anfrage beinhaltet Informationen wie Benutzernamen und Passwörter oder andere Details über die Person, von der die Anfrage ausgeht. Diese Daten werden dann an eine Anwendung geschickt, die sie mit Hinblick auf die Nutzung von XACML für die Entscheidung über den Zugang zu einer XML-Ressource verarbeitet.

SAML verwendet ein von OASIS verwaltetes „Assertion Schema“. Es können drei allgemeine Arten von Assertion-Anweisungen verwendet werden: Authentifizierung, Autorisierung und Attribut. Diese drei Anweisungen werden an verschiedenen Stellen in der Anwendung benutzt, um festzustellen, wer die Anfrage stellt, was angefordert wird und ob die Anfrage genehmigt wurde oder nicht.

Die neueste Version dieser Spezifikation stammt vom 31. Mai 2002. Sie ist unter XML-Based Security Services TC (SSTC) auf der OASIS-Website zu finden.

XML-Sicherheit – ein kontinuierlicher Prozess
Obwohl noch keine dieser Spezifikationen vollständig verwirklicht und umgesetzt ist, arbeiten W3C und OASIS intensiv daran, Sicherheitsstandards für XML bereitzustellen. Einige erste Lösungen sind bereits verfügbar, wie zum Beispiel Phaos XML von Phaos Technology und alphaWorks von IBM. Die Nachfrage nach XML-Sicherheit wächst in dem Maße, wie sich die Nutzung von XML verbreitet. Herkömmliche Methoden zur Sicherung von Dokumenten beeinträchtigen die Benutzerfreundlichkeit von XML, doch machen die alternativen Standards hierzu enorme Fortschritte.