Zum Entwurf eines Sicherheitsmodells stellt sich zu Beginn die Frage nach der prinzipiellen Vertrauenswürdigkeit der Umgebung. In Abhängigkeit der Antwort auf diese Frage lassen sich zwei mögliche extreme Grundannahmen formulieren:
Für ein SmA kann dabei nur die negativistische Grundannahme formuliert werden, da für die positivistische Grundannahme eine konkrete Abschätzung der Gefahren notwendig wäre, was durch den generischen Ansatz eines SmA nicht möglich ist.
Ausgehend vom MASA-Modell aus Kap. 3.1 bildet die folgende Verfeinerung die Basis aller Betrachtungen in diesem Kapitel, die in Abbildung 5.1 dargestellt ist.
Im MASA-Modell wurden zur Vereinfachung nur schlicht ``Benutzer'' betrachtet. Für ein Sicherheitsmodell sind jedoch auch die Rollen, die ein ``Benutzer'' einnimmt zu betrachten. Prinzipiell können ``Benutzer'' nämlich als Eigentümer und als Anwender auftreten, und diese sind nicht zwangsweise identisch.
Am Beispiel eines Agentensystems heißt dies, daß der ``Benutzer'', der das Agentensystem startet und betreibt, und damit sein Eigentümer ist, in der Regel nicht alle Agenteninstanzen, die auf diesem Agentensystem erzeugt werden, selbst startet, sondern dies ein anderer Anwender ausführt.
Auf das Beispiel der Agenteninstanz zur Durchsatzmessung aus Kapitel 1.2 angewandt würde das bedeuten, daß der Provider der Eigentümer der Instanz des Meßagenten ist, der Management-Administrator aber der Anwender der Agenteninstanz.
In der MASIF-Spezifikation werden Eigentümer als ``Authority'' bezeichnet, weshalb dieser Begriff von nun an synonym verwendet wird.
Damit spalten sich die ``Benutzer'' des MASA-Modells in die folgenden Entitäten auf:
Die Oberklasse dieser Entitäten wird im Folgenden mit dem Begriff ``Person'' bezeichnet. ``Person'' spiegelt auch die Verhältnisse in einer realen Umgebung wider, in der nicht nur natürliche Personen (``Benutzer'') auftreten, sondern auch juristische Personen relevant sind (beispielsweise eine GmbH als Authority eines Agentensystems), welche dann durch natürliche Personen vertreten werden.
Alle sonstigen Entitäten und die Kanäle werden unverändert vom MASA-Modell übernommen.
Fehlendes Vertrauen zwischen den einzelnen Entitäten in einem SmA ist die Ursache, weshalb überhaupt ein Sicherheitsmodell erstellt werden muß. Die im Einführungsbeispiel in Kap. 1.2 gestellten Fragen treten nur auf, weil der Händler dem Agenten nicht bedingungslos vertrauen kann. Deshalb werden zu Beginn des Sicherheitsmodells in Abschnitt 5.2 grundlegende Vertrauensbeziehungen identifiziert, die einige entscheidende Einschränkungen für die nachfolgenden Betrachtungen nach sich ziehen.
Um, unter Beachtung der negativistischen Grundannahme, eine wohldefinierte Ausgangsbasis schaffen zu können werden in Abschnitt 5.3 abgeschottete Ausführungsumgebungen für alle Entitäten betrachtet.
Das weitere Vorgehen wird dann durch die in Kap. 2 identifizierten Anforderungen und die in Kap. 3 entwickelten drei Sichtweisen bestimmt.
Abschnitt 5.4 beschäftigt sich mit der durch die Kanal-Sicht (Kap. 3.3) motivierten Sicherung der Kanäle.
Aus der Entitäten-Sicht (Kap. 3.2) wurde unmittelbar deutlich, daß eine eindeutige und sichere Identifizierung der Entitäten notwendig ist. In Abschnitt 5.5 werden eingangs die Möglichkeiten hierzu für alle Entitäten des Modells untersucht und anschließend, basierend auf Zertifikathierarchien, eine konkretes Verfahren angegeben, wie die Authentisierung einzelner Entitäten realisierbar ist.
Mit dem Integritätsschutz von Informationen beschäftigen sich die beiden daran anschließenden Abschnitte. Abschnitt 5.6 bezieht dabei die konzeptionelle Unterscheidung von Agenteninstanzen und Agentengattungen in das Sicherheitsmodell ein, während sich Abschnitt 5.7 mit den durch die Mobilität der Agenteninstanzen gefährdeten Daten beschäftigt. Darin werden die im Zuge der Authentisierung eingeführten Mittel nicht nur zur Sicherstellung der Integrität von Informationen, sondern auch zur gesicherten Kenntlichmachung des Erstellers von Informationen eingesetzt.
Basierend auf der Authentisierung und den mit einem Integritätsschutz versehenen Daten, wird in Abschnitt 5.8 die Autorisierung in einem SmA untersucht, deren Notwendigkeit durch die Schnittstellen-Sicht (Kap. 3.4) ergibt. Um die Kooperation zwischen Agenten zu ermöglichen, gibt Abschnitt 5.9 ein Konzept zur Delegation von Rechten an.
Zum Abschluß der Modells wird dann in Abschnitt 5.10 beschrieben, wie mit den bis dato vorgestellten Mitteln, der Begriff einer Sicherheitsdomäne definiert werden kann. Dieser Domänenbegriff wird dann den in einem SmA notwendigen Anforderung aus organisatorischen Strukturen und Verantwortlichkeiten gerecht. In Abschnitt 5.11 werden schließlich konkrete Fallbeispiele aus dem Lebenszyklus einer Agenteninstanz, unter Anwendung des entwickelten Modells, betrachtet.
Für das Verständnis des in diesem Kapitel vorgestellten Modells sind Grundkenntnisse in kryptologischen Methoden und Verfahren, insbesondere der Public-Key-Verfahren unerläßlich. Eine detaillierte Darstellung ist an dieser Stelle wegen des großen Umfangs nicht möglich und unterbleibt deshalb. Ein leicht verständlicher Überblick ist beispielsweise in [Tane 98b] enthalten, [Baue 97] enthält eine kurze, mathematisch orientierte Betrachtung.
![\includegraphics [width=1.0\textwidth]{modell_konzept}](roel99-img10.gif)