Um die Sicherheitsprobleme aufzeigen zu können, die mit einem System mobiler Agenten im Managementeinsatz einhergehen, wird das Beispiel einer Managementanwendung nach [HaRe 99] in Abb. 1.2 betrachtet.
Ein Automobilhersteller arbeitet mit einer (großen) Zahl weitverstreuter, unabhängiger Händler zusammen. Der Hersteller möchte nun seinen Händlern Dienste, die durch sein Firmennetz realisiert sind, zur Verfügung stellen, z.B. die Möglichkeit zur Online-Bestellung in seinem Bestell-Center.
Die Realisierung der hierfür notwendigen Vernetzung übernimmt ein Provider. Über das Netz des Providers, zu dem die Händler über Wählleitungen angeschlossen werden, wird die Verbindung zum Firmennetz des Herstellers realisiert. Im Netz des Providers, das gleichzeitig auch von anderen seiner Kunden genutzt wird, bilden Hersteller und Händler dann ein Virtual Private Network (VPNVPN!Virtual Private Network).
Mit dem Provider werden Vereinbarungen getroffen, welche die Güte der Netzverbindungen betreffen. Hierzu werden in einem sog. Service Level Agreement (SLASLA!Service Level Agreement) dezidierte Quality of Service (QoSQoS!Quality of Service) Parameter festgelegt, z.B. der Netzdurchsatz vom Händler zum Bestell-Center des Herstellers.
Um die Einhaltung der geforderten QoS-Parameter gewährleisten zu können, muß das Management-Center des Providers die Möglichkeit haben, die relevanten QoS-Parameter zu messen. Häufig ist das nur vom Händler aus sinnvoll möglich. So kann auch für das angegebene Beispiel der Durchsatz für die komplette Strecke vom Händler zum Bestell-Center am einfachsten direkt vom Händler aus gemessen werden. Weiterhin muß das Management Center flexibel auf Veränderungen reagieren können, wenn beispielsweise neue QoS-Parameter in die Vereinbarung aufgenommen werden.
Klassische Managementplattformen sind, wegen ihres statischen Ansatzes, zu unflexibel um völlig neue QoS-Parameter schnell und einfach handhaben zu können. Sie scheiden somit für die Realisierung aus. Mobile Agenten dagegen bieten genau die geforderten Möglichkeiten. Für die Durchsatzermittlung beispielsweise, kann das Management-Center des Providers einen mobilen Agenten aussenden, der händlerseitig die gewünschten Messungen durchführt. Sollen neue QoS-Parameter gemessen werden, wird einfach ein passender Agent zusätzlich zum Händler geschickt.
Anhand des geschilderten Szenarios lassen sich charakteristische Sicherheitsprobleme aufzeigen. Hierzu ist zunächst festzustellen, daß die Beteiligten für unterschiedliche Bereiche verantwortlich sind:
Korrespondierend zu diesen Veranwortlichkeiten gibt es entsprechende Personen:
Wird nun der Agent zur Durchsatzmessung durch einen Management-Administrator zu einem Händler geschickt (Abb. 1.3), so ``betritt'' damit eine Komponente den Verantwortungsbereich eines ``Fremden'': Der Durchsatz-Meß-Agent, der zum Provider gehört, betritt ein Endsystem des Händlers.
Hieraus resultieren potentielle Sicherheitskonflikte:
Zur Lösung dieser Konflikte müssen folgende typische Fragen beantwortet werden können:
Die grundsätzliche Ursache für alle genannten Fragen liegt in der Tatsache, daß die beteiligten Komponenten (Firmen, Personen, Agenten, Endsysteme) sich nicht bedingungslos vertrauen können. Um aber ein, zumindest partiell gültiges, Vertrauensverhältnis zwischen den beteiligten Komponenten herzustellen und somit die Fragen beantworten zu können, sind im wesentlichen die im Titel dieser Arbeit genannten Mechanismen notwendig:
Für das Management der Agenten selbst wiederum bedeutet diese Struktur, daß die durch Netztopologien bzw. die örtliche Anordnung der Komponenten (wie Endsystem beim Händler oder Host im Management-Center) gegebenen Domänen im Hinblick auf die Sicherheit unbrauchbar sind: Der Agent zur Durchsatzmessung befindet sich zwar zeitweise im LAN des Händlers und zeitweise im Firmennetz des Providers, dennoch gehört der Agent aus sicherheitstechnischer Sicht immer zum Provider. Somit ist ein Sicherheitsdomänenbegriff zu definieren, der sich an den Organisationsstrukturen der beteiligten Komponenten orientiert.
Mit der Entwicklung eines Sicherheitsmodells soll in dieser Arbeit für und durch das Agentensystem MASA eine sichere ``Umgebung'' geschaffen werden, in der die oben aufgeworfenen Fragen zuverlässig beantwortet werden können.