Oasis demonstration - secure information exchange between military and civilian systems

Abstract

In the fall of 2008 the FFI project 1086 Secure Pervasive SOA participated in a demonstration during the Oasis final event. Oasis (Open Advanced System for dISaster & emenergency management) was a four year research project funded by the EU funded project under the FP6 Information Society Technologies program that ended in December 2008. FFI was not a part of the Oasis consortium but was invited by one of the partners, Thales Norway AS, to take part in the demonstration. This document describes this demonstration where the main focus was information exchange between military systems and civilian emergency response management systems. At a high level the challenge of such an information exchange can be divided into two, translation between data models and secure exchange cross security domains. The need to do translation comes from the fact that the systems did not use identical data models. The need to have secure exchange of information is based on the requirement to minimise the risk of information leakage. The solution outlined in this document, and showed during the demonstration, makes use of confidentiality labels that are bound to the information by a digital signature. The label is used to signalise the sensitivity of the information, which is checked against a policy by a guard before leaving the security domain. In addition this document and the demonstration described here involved use of a security infrastructure for identity management and tools for policy specification and for complying with these. The concept of role based access control was also introduced in this demonstration. This document provides a description of the challenges and solutions demonstrated during the Oasis final event. This includes a description of the technical solutions that were designed and implemented for the demonstration. The technical solution created was a cooperative effort between FFI and Thales Norway AS. This document also provides an evaluation of the solutions. A brief description of the work and artefacts produced by the Oasis project is also included. It is assumed that the reader of this document has basic knowledge of Service Oriented Architecture (SOA) and Web Services.

Høsten 2008 deltok FFI prosjekt 1086 Sikker gjennomgående SOA på en demonstrasjon i regi av forskningsprosjektet Oasis (Open Advanced System for dISaster & emergency management). Oasis var et fireårig prosjekt finansiert gjennom EUs sjette rammeprogram som pågikk ut 2008. FFI ble invitert til å delta i den siste demonstrasjonen som prosjektet avholdt av en av partnerne, Thales Norge AS. Dette dokumentet beskriver denne demonstrasjonen. Hovedfokuset for demonstrasjonen var utveksling av situasjonsdata mellom militære systemer og sivile krisehåndteringssystemer. Grovt kan man dele utfordringene med en slik deling av informasjon i to, oversetting mellom dataformater og sikker utveksling av data mellom sikkerhetsdomener. Systemene som utvekslet informasjon brukte ikke samme dataformat, en oversettelse måtte derfor implementeres. Når det gjelder sikker utveksling av data mellom domener, er det risikoen for å slippe ut informasjon som er av feil gradering en må forhindre. Løsningen som er skissert i dette dokumentet forutsetter at en merker all informasjon med sensitiviteten og dette merket bindes til informasjonen med en signatur. Informasjonen kan da sjekkes av en beskyttelsesanordning (guard) mot et gitt regelverk (policy) før den forlater domenet. I tillegg beskriver dette dokumentet bruk av en sikkerhetsinfrastruktur for blant annet identitetshåndtering og spesifisering av regelverk. Bruk av rollebasert aksesskontroll er også introdusert. Dette dokumentet beskriver demonstrasjonen ved å gi en oversikt over de problemstillinger en ønsket å belyse og mulige løsninger som ble tatt fram i prosjektet. Dette inkluderer også en beskrivelse av de tekniske løsningene som ble designet og implementert for demonstrasjonen. De tekniske løsningene ble tatt fram av FFI og Thales Norge AS i samarbeid. Dokumentet gir også en evaluering av hvor godt de tekniske løsningene løser de gitte problemstillingene. En introduksjon til arbeidet som er gjort i Oasis prosjektet er også inkludert. Dokumentet forutsetter at leseren har noe forhåndskunnskap til konseptet tjenesteorientert arkitektur (SOA) og Web Services.