Cross-domain access control in a military SOA

Abstract

A service-oriented architecture provides the advantage of facilitating integration and information exchange between different administrative domains (e.g., between the nations within a coalition). In order to support secure and efficient information exchange and service invocation between such domains, cross-domain access control is required. A collection of domains with such a capability is often referred to as a federated system and several civilian solutions and standards have been established for this purpose. This report considers the most common architectural approaches (i.e., communication patterns) used for providing cross-domain access control in a SOA. It is shown that these existing solutions designed for use on the Internet, may not be suitable for use in military systems due to the differing connectivity characteristics and availability requirements. This is particularly the case if horizontal cross-domain interaction and information exchange is to be provided at the tactical level. In order to mitigate this, we propose an alternative approach being less dependent on strong connectivity. Independent of the chosen solution though, there is a tradeoff between the availability of services and making sure that access control decisions are based on correct (i.e., up to date) information about the requester. Because existing solutions may not provide the sufficient assurance for use in military applications, this report also discuss how higher assurance requirements can be met while still to a large extent making use of existing standards and implementations.

En tjenesteorientert arkitektur legger til rette for integrasjon og informasjonsutveksling på tvers av administrative domener (for eksempel mellom de ulike nasjonene i en koalisjon). For å kunne understøtte dette på en effektiv og sikker måte er man avhengig av en felles løsning for aksesskontroll på tvers av domener. Det finnes flere sivile standarder for dette formålet. Denne rapporten ser på de vanligste kommunikasjonsmønstrene brukt av løsninger for aksesskontroll (og tilhørende identitetshåndtering) i SOA. Disse er i utgangspunktet tiltenkt bruk på Internet og andre nettverk med høy konnektivitet, og er ikke nødvendigvis egnet for bruk i militære systemer med varierende konnektivitet og høye krav til tjenestetilgjengelighet. Dette er spesielt tilfelle dersom en skal støtte horisontal integrasjon og informasjonsutveksling mellom domener på taktisk nivå. En alternativ løsning med lavere krav til konnektivitet foreslås derfor i rapporten. Uavhengig av løsning vil det imidlertid måtte bli et kompromiss mellom tjenestetilgjengelighet på den ene siden og det å forsikre seg om at aksesskontroll utføres basert på oppdatert informasjon på den andre siden. Da eksisterende implementasjoner av de relevante standardene er relativt store og komplekse vil de ikke nødvendigvis kunne tilby den tilliten som kreves av sikkerhetsmekanismer i militære systemer. Rapporten diskuterer derfor også hvordan høyere tillit kan oppnås selv om man i stor grad baserer seg på eksisterende standarder og implementasjoner.