universität karlsruhe (th) forschungsuniversität gegründet 1825 aktuelle herausforderungen von...
Post on 06-Apr-2016
213 Views
Preview:
TRANSCRIPT
Universität Karlsruhe (TH)Forschungsuniversität • gegründet 1825
Aktuelle Herausforderungen von Datenschutz und Datensicherheit in modernen Informationssystemen
Seminar im Sommersemester 2007
Ursula KotzurBetreuerin: Jutta Mülle
IPD - Lehrstuhl für Systeme der InformationsverwaltungUniversität Karlsruhe (TH)
Sicherheit in Service-orientierten Architekturen
Universität Karlsruhe (TH)Forschungsuniversität • gegründet 1825 Sicherheit in Service-Orientierten Architekturen 2
Gliederung
(1) Einführung(2) Nachrichtensicherheit(3) Identitätsmanagement(4) Zusammenfassung
Universität Karlsruhe (TH)Forschungsuniversität • gegründet 1825 Sicherheit in Service-Orientierten Architekturen 3
Einführung (I)• Was ist eine Service-orientierte Architektur?
- " Systemarchitektur-Konzept, das die Bereitstellung fachlicher Dienste und Funktionalitäten in Form von Services vorsieht.Ein Service ist in diesem Kontext eine
Funktionalität, die über eine standardisierte Schnittstelle in
Anspruch genommen werden kann."- " Abstraktes Konzept einer Software-Architektur,
in deren Zentrum das Anbieten, Suchen und Nutzen von Diensten über ein Netzwerk steht."
- Merkmale Lose Kopplung Virtualisierung: Austauschbarkeit von Komponenten Interoperabilität
Universität Karlsruhe (TH)Forschungsuniversität • gegründet 1825 Sicherheit in Service-Orientierten Architekturen 4
Einführung (II)• Was sind Web Services?
- Technologie zur Realisierung von SOAs
- Dienste, die über das Internet angesprochen werden können(mittels HTTP, FTP und SMTP)
Server stellt einen Dienstzur Verfügung
Client nimmt einen Dienst in Anspruch
Kommunikation mittelsXML-Nachrichten ( SOAP)
- Schnittstellenbeschreibungdurch XML ( WSDL)
Green
WhiteService-
Verzeichnis
Service-Konsument
Service-Anbieter
Servicesuchen
12
3
SOAP
SOAP
SOAP
WSD
L
UDDI
Yellow
Service ver-öffentlichen/registrieren
Servicenutzen
WSDL
Universität Karlsruhe (TH)Forschungsuniversität • gegründet 1825 Sicherheit in Service-Orientierten Architekturen 5
Einführung (III)
Dienstnehmer
- Website -
Dienstanbieter 1
Dienstanbieter 2Endnutzer
- Webbrowser -
SSLSicherheitskontext
Universität Karlsruhe (TH)Forschungsuniversität • gegründet 1825 Sicherheit in Service-Orientierten Architekturen 6
Gliederung(1) Einführung(2) Nachrichtensicherheit
XML Sicherheit XML Signature (XMLDsig) XML Encryption (XMLEnc) XML Key Management Specification (XKMS)
Web Service Sicherheit WS-Security WS-* Family
(3) Identitätsmanagement(4) Zusammenfassung
Universität Karlsruhe (TH)Forschungsuniversität • gegründet 1825 Sicherheit in Service-Orientierten Architekturen 7
Nachrichtensicherheit
Authen-tizität
Autori-sierung Integrität Vertrau-
lichkeitXML-Signature + + XML-Encryption +XKMS + +SAML + + WS-Security + + + +
• Standards im Überblick
Universität Karlsruhe (TH)Forschungsuniversität • gegründet 1825 Sicherheit in Service-Orientierten Architekturen 8
XML Signature (I)• Status
- W3C-Recommendation seit 12. Februar 2002 - RFC 3275 bei IETF
• Funktion - Repräsentation digitaler Signaturen in XML- Beliebige Teilbäume können signiert werden,
ebenso externe Dokumente- Ablauf
Ausgangspunkt: kanonische XML-Dokumente Berechnung des Hashwerts: Message Digest Signierung mittels Public-Key-Verfahren
- Basis für XML Encryption ( <KeyInfo>)
Universität Karlsruhe (TH)Forschungsuniversität • gegründet 1825 Sicherheit in Service-Orientierten Architekturen 9
XML Signature (II)• Erzeugung und Validierung von XML-Signaturen
aus: Melzer, I.: Service-orientierte Architekturen mit Web Services; Konzepte - Standards - Praxis, 2. Auflage, Spektrum 2007
Universität Karlsruhe (TH)Forschungsuniversität • gegründet 1825 Sicherheit in Service-Orientierten Architekturen 10
<Signature Id="MyFirstSig" xmlns="xmldsig#"> <SignedInfo> <CanonicalizationMethod Algorithm="REC-xml-c14n-20010315"/> <SignatureMethod Algorithm="xmldsig#dsa-sha1"/> <Reference URI="REC-xhtml1-20000126/"> <Transforms> <Transform Algorithm="REC-xml-c14n-20010315"/> </Transforms> <DigestMethod Algorithm="xmldsig#sha1"/> <DigestValue>j6lwx3rvEPO0vKtMup4NbeVu8nk=</DigestValue> </Reference> </SignedInfo> <SignatureValue>MC0CFFrVLtRlk=...</SignatureValue> <KeyInfo> <KeyValue> <DSAKeyValue> <P>...</P><Q>...</Q><G>...</G><Y>...</Y> </DSAKeyValue> </KeyValue> </KeyInfo> </Signature>
XML Signature (III)
Universität Karlsruhe (TH)Forschungsuniversität • gegründet 1825 Sicherheit in Service-Orientierten Architekturen 11
XML Encryption (I)• Status
- W3C-Recommendation seit 10. Dezember 2002
• Funktion - Repräsentation verschlüsselter Inhalte in XML- Beliebige Teilbäume können verschlüsselt werden,
ebenso externe Dokumente- Beliebige Verschlüsselungsalgorithmen anwendbar- Erweitert <KeyInfo> aus digitaler Signatur
Übertragung von (verschlüsselten) geheimen Schlüsseln möglich ( <EncryptedKey>)
Universität Karlsruhe (TH)Forschungsuniversität • gegründet 1825 Sicherheit in Service-Orientierten Architekturen 12
XML Encryption (II)<?xml version='1.0'?> <PaymentInfo xmlns='http://example.org/paymentv2'> <Name>John Smith</Name> <CreditCard Limit='5,000' Currency='USD'> <Number>4019 2445 0277 5567</Number> <Issuer>Example Bank</Issuer> <Expiration>04/02</Expiration> </CreditCard> </PaymentInfo>
<?xml version='1.0'?> <PaymentInfo xmlns='http://example.org/paymentv2'> <Name>John Smith</Name> <EncryptedData Type='http://www.w3.org/2001/04/xmlenc#Element' xmlns='http://www.w3.org/2001/04/xmlenc#'> <CipherData> <CipherValue>A23B45C56</CipherValue> </CipherData> </EncryptedData> </PaymentInfo>
Universität Karlsruhe (TH)Forschungsuniversität • gegründet 1825 Sicherheit in Service-Orientierten Architekturen 13
Zusammenspiel von XMLDsig und XMLEnc
Universität Karlsruhe (TH)Forschungsuniversität • gegründet 1825 Sicherheit in Service-Orientierten Architekturen 14
XML Key Management Specification• Status
- W3C-Note seit 30. März 2001
• Funktion- Protokoll zur Validierung und Verwaltung von PKI-
Schlüsseln- Kompatibel zu XML Signature und XML Encryption
• Bestandteile- XML Key Information Service Specification (X-KISS)
Lokalisierung von Schlüsselinformationen und Validierung von Schlüsseln
□ Delegation von <KeyInfo> an Trust service
- XML Key Registration Service Specification (X-KRSS) Registrierung und Verwaltung öffentlicher Schlüssel
Universität Karlsruhe (TH)Forschungsuniversität • gegründet 1825 Sicherheit in Service-Orientierten Architekturen 15
WS-Security (I)• Status
- Web Services Security: SOAP Message Security 1.1 (WS-Security 2004) ist OASIS-Standard seit Februar 2006
• Funktion- Bietet Rahmenwerk zur Einbettung bereits bestehender
Standards in den SOAP-Nachrichten-Header XML-Signature zur Signierung XML-Encryption zur Verschlüsselung
- definiert ein SOAP-Header-Element, in dem sicherheitsbezogene Daten enthalten sind
Anhängen von Security Credentials an SOAP-Nachrichten- stellt Kontext für sichere Ende-zu-Ende Kommunikation
bereit
Universität Karlsruhe (TH)Forschungsuniversität • gegründet 1825 Sicherheit in Service-Orientierten Architekturen 16
WS-Security (II)<S11:Envelope xmlns:S11="..." xmlns:wsse="..." xmlns:wsu="..."
xmlns:ds="..." xmlns:xenc="..."> <S11:Header> <wsse:Security> <xenc:ReferenceList> <xenc:DataReference URI="#bodyID"/> </xenc:ReferenceList> </wsse:Security> </S11:Header> <S11:Body> <xenc:EncryptedData Id="bodyID"> <ds:KeyInfo> <ds:KeyName>CN=Hiroshi Maruyama, C=JP</ds:KeyName> </ds:KeyInfo> <xenc:CipherData> <xenc:CipherValue>...</xenc:CipherValue> </xenc:CipherData> </xenc:EncryptedData> </S11:Body></S11:Envelope>
Universität Karlsruhe (TH)Forschungsuniversität • gegründet 1825 Sicherheit in Service-Orientierten Architekturen 17
WS-Security (III)• Security Tokens
- Unsigned Security Token Username
- Signed Security Token X.509 Zertifikate Kerberos Tickets
- Seit Ende 2004 auch SAML Token• Nachrichtenfluss
Web Service-Client
Sicherheitstokendienst
Web Service5. Antwort wird empfangen
3. Nachricht wird signiert und an Web Service gesendet.
4. Tokens werden überprüft.
1. Anforderung für Tokens wird gesendet.
2. Erhaltene Tokens werden zur SOAP-Nachricht hinzugefügt.
Universität Karlsruhe (TH)Forschungsuniversität • gegründet 1825 Sicherheit in Service-Orientierten Architekturen 18
WS-* Family• WS-Trust
- Möglichkeiten zum initialen Austausch von sicherheitsrelevanten und geheimen Daten
• WS-SecureConversation- Rahmen, der das Erzeugen eines Sicherheitskontext
(SecurityContextToken) ermöglicht• WS-Policy
- Formulierung von Sicherheitsanforderungen und Richtlinien, die erfüllt werden müssen, um mit einem Dienst interagieren zu können
• WS-Federation- Integration von Vertrauensdomänen über Unternehmensgrenzen
hinweg- Demo: SSO with WS-Federation (PRP)
http://ip.tm.uni-karlsruhe.de/demo/demo/• WS-Privacy
- Einbindung von Forderung zur Vertraulichkeit• WS-Authorization
- Richtlinien zur Zugriffskontrolle• WS-...
Universität Karlsruhe (TH)Forschungsuniversität • gegründet 1825 Sicherheit in Service-Orientierten Architekturen 19
Gliederung(1) Einführung(2) Nachrichtensicherheit(3) Identitätsmanagement
Zentrales Identitätsmanagemento Microsoft Passport
Föderatives Identitätsmanagemento Liberty Allianceo Shibboleth
(4) Zusammenfassung
Universität Karlsruhe (TH)Forschungsuniversität • gegründet 1825 Sicherheit in Service-Orientierten Architekturen 20
Identitätsmanagement
Universität Karlsruhe (TH)Forschungsuniversität • gegründet 1825 Sicherheit in Service-Orientierten Architekturen 21
Zentrales Identitätsmanagement• Microsoft Passport
- Prinzip Nutzer speichern ihr Profil bei Microsoft
□ mindestens E-Mail und Passwort erforderlich□ stimmen bei Anmeldung zu, dass ihre Daten an
alle beteiligten Dienste weitergegeben werden dürfen
□ Kann per Single-Sign-On alle beteiligten Dienste nutzen
Dienste bezahlen für diesen Service
- Nachteile: Eine Partei (hier: Microsoft) als
zentraler Vertrauensanker? Single Point of Failure Globale Benutzer ID Benutzername/Passwort einzige
Authentifizierungsmethode
Universität Karlsruhe (TH)Forschungsuniversität • gegründet 1825 Sicherheit in Service-Orientierten Architekturen 22
Föderatives Identitätsmanagement
• Vorteile:- Informationen verteilt auf verschiedenen (von einander
unabhängigen) Systemen- Somit keine zentrale Kontrolle- Verschiedene Authentifizierungsmethoden möglich
Universität Karlsruhe (TH)Forschungsuniversität • gegründet 1825 Sicherheit in Service-Orientierten Architekturen 23
Liberty Alliance (I)• 2001 von etwa 30 Organisationen gegründet
- Mittlerweile um die 150 Mitglieder aus verschiedensten Sparten (auch Behörden)
• Ziel: Schaffung von Standards, Richtlinien und Methoden für föderiertes Identitätsmanagement
• Struktur:Management Board
Service Group Subteams
Identity Services
Expert GroupsIdentity Infrastructure &
Policy
Special Interest Groups
Applying Liberty
Universität Karlsruhe (TH)Forschungsuniversität • gegründet 1825 Sicherheit in Service-Orientierten Architekturen 24
Liberty Alliance (II)• Nutzt bereits bestehenden Standards
- SAML- XML Signature- XML Encryption- ...
• Circle of Trust- Vertrauensverbund zwischen kooperierenden
Unternehmen zur Nutzung von digitalen Identitäten über Unternehmensgrenzen hinweg
- Beteiligte Principal Identity Provider (IdP) Service Provider (SP) Liberty Enabled Clients or Proxies (LECP)
Universität Karlsruhe (TH)Forschungsuniversität • gegründet 1825 Sicherheit in Service-Orientierten Architekturen 25
Liberty Alliance (III)
work profile
home profile
IdP(e.g.
my company)
IdP(e.g. my bank)
Name: Joe Self
Name: Joe Self
Calendar
PayableApplication
SupplyChain
Aggregator
Service Providers
Supplier 1 Supplier 2 Supplier 3
Merchants
Friends& Family
Notification
ServiceAggregator
NewsSource
NewsSource
NewsSource
Service Providers
Consumer Circle of Trust
Enterprise Circle of Trust
Universität Karlsruhe (TH)Forschungsuniversität • gegründet 1825 Sicherheit in Service-Orientierten Architekturen 26
Liberty Alliance (IV)• Architektur
Liberty Identity Federation
Framework (ID-FF)
ermöglicht Verwaltung und Föderation von
Identitäten durch Single-Sign-On und Session-
Management
Liberty Identity Web Services Framework (ID-WSF)
stellt Rahmenwerk zur Bildung interoperabler Identitätsdienste bereit
Liberty Identity Services Interface Specifications (ID-SIS)
ermöglicht interoperable Identitätsdienste
Universität Karlsruhe (TH)Forschungsuniversität • gegründet 1825 Sicherheit in Service-Orientierten Architekturen 27
Liberty Alliance (V)
Universität Karlsruhe (TH)Forschungsuniversität • gegründet 1825 Sicherheit in Service-Orientierten Architekturen 28
Liberty Alliance (VI)• Beispiel: T-Online "Netzausweis"
- T-Com fungiert als Identity Provider- Bietet Single-Sign-On, Single-Logout- Log-In via E-Mail-Adresse und Passwort- Netzausweis-LogIn bei Partnerseiten
Verwaltung der LogIn-Einstellungen im Kundencenter Anmeldung zum "Netzausweis Zusatzdienste" notwendig "Automatische Login bei T-Online Partnerseiten" standardmäßig
ausgeschaltet- Partner:
Universität Karlsruhe (TH)Forschungsuniversität • gegründet 1825 Sicherheit in Service-Orientierten Architekturen 29
Liberty Alliance (VII)• Pressemitteilung auf telekom.com:
- IDDY Award 2006 der Liberty Alliance für T-Online Netzausweis14.09.2006T-Com erhält Auszeichnung für herausragende Leistungen beim Einsatz von Digital Identity Management Lösungen
• "Wir gratulieren T-Com zur Einführung einer auf den Spezifikationen von Liberty basierenden Lösung, die nach dem Urteil der IDDY-Jury zum "Besten vom Besten" gehört, was das digitale Identitätsmanage-ment heute zu bieten hat." (George Goodman, Präsident des Vorstands der Liberty Alliance und Direktor des Platform Capabilities Lab von Intel.)
Universität Karlsruhe (TH)Forschungsuniversität • gegründet 1825 Sicherheit in Service-Orientierten Architekturen 30
Microsoft / IBM
Zusammenhang zwischen den StandardsLiberty AllianceOASIS
WS-Federation
WS-Trust WS-Policy
WS-Security
SAML 2.0
WSS
SAML 1.1
SAML 1.0
Liberty Phase 3
IDFF 1.1
IDFF 1.0
IDFF 1.2 WSF 1.2
nach: Windley, Ph.: Digital Identity. 1. Edition. O'Reilly, 2005Legend Dependency
Relation
Universität Karlsruhe (TH)Forschungsuniversität • gegründet 1825 Sicherheit in Service-Orientierten Architekturen 31
Shibboleth (I)• 2000 parallel und unabhängig zum Liberty
Alliance Project im Hochschul-Umfeld in den USA entstanden
• ermöglicht SSO, sowie föderierte Administration von zugangsbeschränkten Ressourcen
• Legt besonderen Wert auf Schutz personenbezogener Daten- Grundlage: Family Educational Rights and Privacy Act,
1974• Nutzt bereits bestehende Standards wie SAML,
SSL
Universität Karlsruhe (TH)Forschungsuniversität • gegründet 1825 Sicherheit in Service-Orientierten Architekturen 32
Shibboleth (II)• Bestandteile
- Identity Provider (IdP) Attribute Authority (AA) Handle Service (HS) Attribute sources Local sign-on system (SSO)
- Service Provider (SP) Assertion Consumer Service (ACS) Attribute Requestor (AR) Resource Manager (RM)
- Where are you from? (WAYF)
Universität Karlsruhe (TH)Forschungsuniversität • gegründet 1825 Sicherheit in Service-Orientierten Architekturen 33
Shibboleth (III)• Ablauf
Quelle: http://switch.ch/aai/demo/medium.html
Universität Karlsruhe (TH)Forschungsuniversität • gegründet 1825 Sicherheit in Service-Orientierten Architekturen 34
Vergleich: Shibboleth – Liberty Alliance• Liberty Alliance und Shibboleth haben leicht
unterschiedliche Lösungensansätze:- Liberty Alliance: "Ich weiß, wer du bist."- Shibboleth:"Ich weiß, woher du kommst"
• Beide sind grundlegend an der Entwicklung von SAML 2.0 beteiligt
• Internet2 Mitglied bei Liberty Alliance
Universität Karlsruhe (TH)Forschungsuniversität • gegründet 1825 Sicherheit in Service-Orientierten Architekturen 35
Zusammenfassung• Große Auswahl an Sicherheitsstandards
- Sicherheit sowohl auf Transport- als auch auf Anwendungsschicht möglich
• Identitätsmanagement gerade im Hinblick auf verteilte Dienste wichtig- Zur Zeit ist Liberty Alliance hier führend
• Clientseitige Technologien wie CardSpace (InfoCard) von Microsoft gewinnen in Zukunft evtl. an Bedeutung- Prinzip der Selbstverwaltung- Speicherung der Daten auf dem Heimrechner, PDA, o.ä.
Universität Karlsruhe (TH)Forschungsuniversität • gegründet 1825 Sicherheit in Service-Orientierten Architekturen 36
Ende
Fragen ???
Universität Karlsruhe (TH)Forschungsuniversität • gegründet 1825 Sicherheit in Service-Orientierten Architekturen 37
• Aus der offiziellen Pressemitteilung:- "Leitmotiv von PRIME ist, die personenbezogenen Daten unter der
Kontrolle des Nutzers zu belassen. Es verfolgt dabei einen integrierten Ansatz mit dem Ziel eines maximalen Datenschutzes über die Durchsetzung von Datenschutz-Policies, wenn der Nutzer seine Daten aus seinem Verfügungsbereich herausgibt. Der Nutzer steht im Zentrum. Ihm wird das für ihn Datenschutzrelevante deutlich gemacht, so dass er informierte Entscheidungen über die Verarbeitung seiner personenbezogenen Daten treffen kann. PRIME bietet Lösungen an und arbeitet heraus, was noch zu tun bleibt."
• Projektlaufzeit- März 2004 bis Februar 2008
• Förderung: - Das PRIME-Projekt wird gefördert vom Sechsten Forschungsrahmenprogramm
der Europäischen Union und vom Schweizer Bundesamt für Bildung und Wissenschaft.
• PRIME Whitepaper (aktuelle Version: v2.0 vom Juni 2007)- https://www.prime-project.eu/prime_products/whitepaper/
Universität Karlsruhe (TH)Forschungsuniversität • gegründet 1825 Sicherheit in Service-Orientierten Architekturen 38
Secure Assertion Markup Language (SAML)
• Status- SAML v2.0 ist OASIS-Standard seit 15. März 2005
• Funktion- Ermöglicht Austausch von authentifizierungs- und
autorisierungsbezogenen Informationen (Assertions)- Bestandteile:
SAML Assertions SAML Protokoll SAML Bindings und Profile
- Anwendungsfälle Web Browser Single Sign-On (SSO) Authorization Service Back Office Transaction
Universität Karlsruhe (TH)Forschungsuniversität • gegründet 1825 Sicherheit in Service-Orientierten Architekturen 39
Secure Assertion Markup Language (SAML)
• SAML AssertionsTyp ErklärungAuthentication Benutzer oder Dienst wurde authentifiziertAttribute Benutzer oder Dienst werden gewisse Attribute
(Rollen, Informationen) zugeordnetAuthorization Decision
Benutzer oder Dienst ist autorisiert, auf bestimmte Ressourcen zuzugreifen
top related