Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

Universität Karlsruhe (TH) Forschungsuniversität gegründet 1825 Aktuelle Herausforderungen von Datenschutz und Datensicherheit in modernen Informationssystemen.

Ähnliche Präsentationen


Präsentation zum Thema: "Universität Karlsruhe (TH) Forschungsuniversität gegründet 1825 Aktuelle Herausforderungen von Datenschutz und Datensicherheit in modernen Informationssystemen."—  Präsentation transkript:

1 Universität Karlsruhe (TH) Forschungsuniversität gegründet 1825 Aktuelle Herausforderungen von Datenschutz und Datensicherheit in modernen Informationssystemen Seminar im Sommersemester 2007 Ursula Kotzur Betreuerin: Jutta Mülle IPD - Lehrstuhl für Systeme der Informationsverwaltung Universität Karlsruhe (TH) Sicherheit in Service-orientierten Architekturen

2 Universität Karlsruhe (TH) Forschungsuniversität gegründet 1825 Sicherheit in Service-Orientierten Architekturen 2 Gliederung (1)Einführung (2)Nachrichtensicherheit (3)Identitätsmanagement (4)Zusammenfassung

3 Universität Karlsruhe (TH) Forschungsuniversität gegründet 1825 Sicherheit in Service-Orientierten Architekturen 3 Einführung (I) Was ist eine Service-orientierte Architektur? -"Systemarchitektur-Konzept, das die Bereitstellung fachlicher Dienste und Funktionalitäten in Form von Services vorsieht. Ein Service ist in diesem Kontext eine Funktionalität, die über eine standardisierte Schnittstelle in Anspruch genommen werden kann." -"Abstraktes Konzept einer Software-Architektur, in deren Zentrum das Anbieten, Suchen und Nutzen von Diensten über ein Netzwerk steht." -Merkmale  Lose Kopplung  Virtualisierung: Austauschbarkeit von Komponenten  Interoperabilität

4 Universität Karlsruhe (TH) Forschungsuniversität gegründet 1825 Sicherheit in Service-Orientierten Architekturen 4 Einführung (II) Was sind Web Services? -Technologie zur Realisierung von SOAs -Dienste, die über das Internet angesprochen werden können (mittels HTTP, FTP und SMTP)  Server stellt einen Dienst zur Verfügung  Client nimmt einen Dienst in Anspruch  Kommunikation mittels XML-Nachrichten (  SOAP) -Schnittstellenbeschreibung durch XML (  WSDL) Green White Service- Verzeichnis Service- Konsument Service- Anbieter Service suchen 12 3 SOAP WSDL UDDI Yellow Service ver- öffentlichen/ registrieren Service nutzen WSDL

5 Universität Karlsruhe (TH) Forschungsuniversität gegründet 1825 Sicherheit in Service-Orientierten Architekturen 5 Einführung (III) Dienstnehmer - Website - Dienstanbieter 1 Dienstanbieter 2 Endnutzer - Webbrowser - SSL Sicherheitskontext

6 Universität Karlsruhe (TH) Forschungsuniversität gegründet 1825 Sicherheit in Service-Orientierten Architekturen 6 Gliederung (1)Einführung (2)Nachrichtensicherheit  XML Sicherheit  XML Signature (XMLDsig)  XML Encryption (XMLEnc)  XML Key Management Specification (XKMS)  Web Service Sicherheit  WS-Security  WS-* Family (3)Identitätsmanagement (4)Zusammenfassung

7 Universität Karlsruhe (TH) Forschungsuniversität gegründet 1825 Sicherheit in Service-Orientierten Architekturen 7 Nachrichtensicherheit Authen- tizität Autori- sierung Integrität Vertrau- lichkeit XML-Signature+ + XML-Encryption + XKMS+ + SAML++ WS-Security++++ Standards im Überblick

8 Universität Karlsruhe (TH) Forschungsuniversität gegründet 1825 Sicherheit in Service-Orientierten Architekturen 8 XML Signature (I) Status -W3C-Recommendation seit 12. Februar RFC 3275 bei IETF Funktion -Repräsentation digitaler Signaturen in XML -Beliebige Teilbäume können signiert werden, ebenso externe Dokumente -Ablauf  Ausgangspunkt: kanonische XML-Dokumente  Berechnung des Hashwerts: Message Digest  Signierung mittels Public-Key-Verfahren -Basis für XML Encryption (  )

9 Universität Karlsruhe (TH) Forschungsuniversität gegründet 1825 Sicherheit in Service-Orientierten Architekturen 9 XML Signature (II) Erzeugung und Validierung von XML-Signaturen aus: Melzer, I.: Service-orientierte Architekturen mit Web Services; Konzepte - Standards - Praxis, 2. Auflage, Spektrum 2007

10 Universität Karlsruhe (TH) Forschungsuniversität gegründet 1825 Sicherheit in Service-Orientierten Architekturen 10 j6lwx3rvEPO0vKtMup4NbeVu8nk= MC0CFFrVLtRlk= XML Signature (III)

11 Universität Karlsruhe (TH) Forschungsuniversität gegründet 1825 Sicherheit in Service-Orientierten Architekturen 11 XML Encryption (I) Status -W3C-Recommendation seit 10. Dezember 2002 Funktion -Repräsentation verschlüsselter Inhalte in XML -Beliebige Teilbäume können verschlüsselt werden, ebenso externe Dokumente -Beliebige Verschlüsselungsalgorithmen anwendbar -Erweitert aus digitaler Signatur  Übertragung von (verschlüsselten) geheimen Schlüsseln möglich (  )

12 Universität Karlsruhe (TH) Forschungsuniversität gegründet 1825 Sicherheit in Service-Orientierten Architekturen 12 XML Encryption (II) John Smith Example Bank 04/02 John Smith A23B45C56

13 Universität Karlsruhe (TH) Forschungsuniversität gegründet 1825 Sicherheit in Service-Orientierten Architekturen 13 Zusammenspiel von XMLDsig und XMLEnc

14 Universität Karlsruhe (TH) Forschungsuniversität gegründet 1825 Sicherheit in Service-Orientierten Architekturen 14 XML Key Management Specification Status -W3C-Note seit 30. März 2001 Funktion -Protokoll zur Validierung und Verwaltung von PKI- Schlüsseln -Kompatibel zu XML Signature und XML Encryption Bestandteile -XML Key Information Service Specification (X-KISS)  Lokalisierung von Schlüsselinformationen und Validierung von Schlüsseln □ Delegation von an Trust service -XML Key Registration Service Specification (X-KRSS)  Registrierung und Verwaltung öffentlicher Schlüssel

15 Universität Karlsruhe (TH) Forschungsuniversität gegründet 1825 Sicherheit in Service-Orientierten Architekturen 15 WS-Security (I) Status -Web Services Security: SOAP Message Security 1.1 (WS-Security 2004) ist OASIS-Standard seit Februar 2006 Funktion -Bietet Rahmenwerk zur Einbettung bereits bestehender Standards in den SOAP-Nachrichten-Header  XML-Signature zur Signierung  XML-Encryption zur Verschlüsselung -definiert ein SOAP-Header-Element, in dem sicherheitsbezogene Daten enthalten sind  Anhängen von Security Credentials an SOAP-Nachrichten -stellt Kontext für sichere Ende-zu-Ende Kommunikation bereit

16 Universität Karlsruhe (TH) Forschungsuniversität gegründet 1825 Sicherheit in Service-Orientierten Architekturen 16 WS-Security (II) CN=Hiroshi Maruyama, C=JP...

17 Universität Karlsruhe (TH) Forschungsuniversität gegründet 1825 Sicherheit in Service-Orientierten Architekturen 17 WS-Security (III) Security Tokens -Unsigned Security Token  Username -Signed Security Token  X.509 Zertifikate  Kerberos Tickets -Seit Ende 2004 auch SAML Token Nachrichtenfluss Web Service-Client Sicherheitstokendienst Web Service 5. Antwort wird empfangen 3. Nachricht wird signiert und an Web Service gesendet. 4. Tokens werden überprüft. 1. Anforderung für Tokens wird gesendet. 2. Erhaltene Tokens werden zur SOAP-Nachricht hinzugefügt.

18 Universität Karlsruhe (TH) Forschungsuniversität gegründet 1825 Sicherheit in Service-Orientierten Architekturen 18 WS-* Family WS-Trust -Möglichkeiten zum initialen Austausch von sicherheitsrelevanten und geheimen Daten WS-SecureConversation -Rahmen, der das Erzeugen eines Sicherheitskontext (SecurityContextToken) ermöglicht WS-Policy -Formulierung von Sicherheitsanforderungen und Richtlinien, die erfüllt werden müssen, um mit einem Dienst interagieren zu können WS-Federation -Integration von Vertrauensdomänen über Unternehmensgrenzen hinweg -Demo: SSO with WS-Federation (PRP)  WS-Privacy -Einbindung von Forderung zur Vertraulichkeit WS-Authorization -Richtlinien zur Zugriffskontrolle WS-...

19 Universität Karlsruhe (TH) Forschungsuniversität gegründet 1825 Sicherheit in Service-Orientierten Architekturen 19 Gliederung (1)Einführung (2)Nachrichtensicherheit (3)Identitätsmanagement  Zentrales Identitätsmanagement oMicrosoft Passport  Föderatives Identitätsmanagement oLiberty Alliance oShibboleth (4)Zusammenfassung

20 Universität Karlsruhe (TH) Forschungsuniversität gegründet 1825 Sicherheit in Service-Orientierten Architekturen 20 Identitätsmanagement

21 Universität Karlsruhe (TH) Forschungsuniversität gegründet 1825 Sicherheit in Service-Orientierten Architekturen 21 Zentrales Identitätsmanagement Microsoft Passport -Prinzip  Nutzer speichern ihr Profil bei Microsoft □ mindestens und Passwort erforderlich □ stimmen bei Anmeldung zu, dass ihre Daten an alle beteiligten Dienste weitergegeben werden dürfen □ Kann per Single-Sign-On alle beteiligten Dienste nutzen  Dienste bezahlen für diesen Service -Nachteile:  Eine Partei (hier: Microsoft) als zentraler Vertrauensanker?  Single Point of Failure  Globale Benutzer ID  Benutzername/Passwort einzige Authentifizierungsmethode

22 Universität Karlsruhe (TH) Forschungsuniversität gegründet 1825 Sicherheit in Service-Orientierten Architekturen 22 Föderatives Identitätsmanagement Vorteile: -Informationen verteilt auf verschiedenen (von einander unabhängigen) Systemen -Somit keine zentrale Kontrolle -Verschiedene Authentifizierungsmethoden möglich

23 Universität Karlsruhe (TH) Forschungsuniversität gegründet 1825 Sicherheit in Service-Orientierten Architekturen 23 Liberty Alliance (I) 2001 von etwa 30 Organisationen gegründet -Mittlerweile um die 150 Mitglieder aus verschiedensten Sparten (auch Behörden) Ziel: Schaffung von Standards, Richtlinien und Methoden für föderiertes Identitätsmanagement Struktur: Management Board Service Group Subteams Identity Services Expert Groups Identity Infrastructure & Policy Special Interest Groups Applying Liberty

24 Universität Karlsruhe (TH) Forschungsuniversität gegründet 1825 Sicherheit in Service-Orientierten Architekturen 24 Liberty Alliance (II) Nutzt bereits bestehenden Standards -SAML -XML Signature -XML Encryption -... Circle of Trust -Vertrauensverbund zwischen kooperierenden Unternehmen zur Nutzung von digitalen Identitäten über Unternehmensgrenzen hinweg -Beteiligte  Principal  Identity Provider (IdP)  Service Provider (SP)  Liberty Enabled Clients or Proxies (LECP)

25 Universität Karlsruhe (TH) Forschungsuniversität gegründet 1825 Sicherheit in Service-Orientierten Architekturen 25 Liberty Alliance (III) work profile home profile IdP (e.g. my company) IdP (e.g. my bank) Name: Joe Self Calendar Payable Application Supply Chain Aggregator Service Providers Supplier 1Supplier 2Supplier 3 Merchants Friends & Family Notification Service Aggregator News Source Service Providers Consumer Circle of Trust Enterprise Circle of Trust

26 Universität Karlsruhe (TH) Forschungsuniversität gegründet 1825 Sicherheit in Service-Orientierten Architekturen 26 Liberty Alliance (IV) Architektur Liberty Identity Federation Framework (ID-FF) ermöglicht Verwaltung und Föderation von Identitäten durch Single- Sign-On und Session- Management Liberty Identity Web Services Framework (ID-WSF) stellt Rahmenwerk zur Bildung interoperabler Identitätsdienste bereit Liberty Identity Services Interface Specifications (ID-SIS) ermöglicht interoperable Identitätsdienste

27 Universität Karlsruhe (TH) Forschungsuniversität gegründet 1825 Sicherheit in Service-Orientierten Architekturen 27 Liberty Alliance (V)

28 Universität Karlsruhe (TH) Forschungsuniversität gegründet 1825 Sicherheit in Service-Orientierten Architekturen 28 Liberty Alliance (VI) Beispiel: T-Online "Netzausweis" -T-Com fungiert als Identity Provider -Bietet Single-Sign-On, Single-Logout -Log-In via -Adresse und Passwort -Netzausweis-LogIn bei Partnerseiten  Verwaltung der LogIn-Einstellungen im Kundencenter  Anmeldung zum "Netzausweis Zusatzdienste" notwendig  "Automatische Login bei T-Online Partnerseiten" standardmäßig ausgeschaltet -Partner:

29 Universität Karlsruhe (TH) Forschungsuniversität gegründet 1825 Sicherheit in Service-Orientierten Architekturen 29 Liberty Alliance (VII) Pressemitteilung auf telekom.com: -IDDY Award 2006 der Liberty Alliance für T-Online Netzausweis T-Com erhält Auszeichnung für herausragende Leistungen beim Einsatz von Digital Identity Management Lösungen "Wir gratulieren T-Com zur Einführung einer auf den Spezifikationen von Liberty basierenden Lösung, die nach dem Urteil der IDDY-Jury zum "Besten vom Besten" gehört, was das digitale Identitätsmanage- ment heute zu bieten hat." (George Goodman, Präsident des Vorstands der Liberty Alliance und Direktor des Platform Capabilities Lab von Intel.)

30 Universität Karlsruhe (TH) Forschungsuniversität gegründet 1825 Sicherheit in Service-Orientierten Architekturen 30 Microsoft / IBM Zusammenhang zwischen den Standards Liberty AllianceOASIS WS-Federation WS-TrustWS-Policy WS-Security SAML 2.0 WSS SAML 1.1 SAML 1.0 Liberty Phase 3 IDFF 1.1 IDFF 1.0 IDFF 1.2WSF 1.2 nach: Windley, Ph.: Digital Identity. 1. Edition. O'Reilly, 2005 LegendDependency Relation

31 Universität Karlsruhe (TH) Forschungsuniversität gegründet 1825 Sicherheit in Service-Orientierten Architekturen 31 Shibboleth (I) 2000 parallel und unabhängig zum Liberty Alliance Project im Hochschul-Umfeld in den USA entstanden ermöglicht SSO, sowie föderierte Administration von zugangsbeschränkten Ressourcen Legt besonderen Wert auf Schutz personenbezogener Daten -Grundlage: Family Educational Rights and Privacy Act, 1974 Nutzt bereits bestehende Standards wie SAML, SSL

32 Universität Karlsruhe (TH) Forschungsuniversität gegründet 1825 Sicherheit in Service-Orientierten Architekturen 32 Shibboleth (II) Bestandteile -Identity Provider (IdP)  Attribute Authority (AA)  Handle Service (HS)  Attribute sources  Local sign-on system (SSO) -Service Provider (SP)  Assertion Consumer Service (ACS)  Attribute Requestor (AR)  Resource Manager (RM) -Where are you from? (WAYF)

33 Universität Karlsruhe (TH) Forschungsuniversität gegründet 1825 Sicherheit in Service-Orientierten Architekturen 33 Shibboleth (III) Ablauf Quelle:

34 Universität Karlsruhe (TH) Forschungsuniversität gegründet 1825 Sicherheit in Service-Orientierten Architekturen 34 Vergleich: Shibboleth – Liberty Alliance Liberty Alliance und Shibboleth haben leicht unterschiedliche Lösungensansätze: -Liberty Alliance: "Ich weiß, wer du bist." -Shibboleth:"Ich weiß, woher du kommst" Beide sind grundlegend an der Entwicklung von SAML 2.0 beteiligt Internet2 Mitglied bei Liberty Alliance

35 Universität Karlsruhe (TH) Forschungsuniversität gegründet 1825 Sicherheit in Service-Orientierten Architekturen 35 Zusammenfassung Große Auswahl an Sicherheitsstandards -Sicherheit sowohl auf Transport- als auch auf Anwendungsschicht möglich Identitätsmanagement gerade im Hinblick auf verteilte Dienste wichtig -Zur Zeit ist Liberty Alliance hier führend Clientseitige Technologien wie CardSpace (InfoCard) von Microsoft gewinnen in Zukunft evtl. an Bedeutung -Prinzip der Selbstverwaltung -Speicherung der Daten auf dem Heimrechner, PDA, o.ä.

36 Universität Karlsruhe (TH) Forschungsuniversität gegründet 1825 Sicherheit in Service-Orientierten Architekturen 36 Ende Fragen ???

37 Universität Karlsruhe (TH) Forschungsuniversität gegründet 1825 Sicherheit in Service-Orientierten Architekturen 37 Aus der offiziellen Pressemitteilung: -"Leitmotiv von PRIME ist, die personenbezogenen Daten unter der Kontrolle des Nutzers zu belassen. Es verfolgt dabei einen integrierten Ansatz mit dem Ziel eines maximalen Datenschutzes über die Durchsetzung von Datenschutz- Policies, wenn der Nutzer seine Daten aus seinem Verfügungsbereich herausgibt. Der Nutzer steht im Zentrum. Ihm wird das für ihn Datenschutzrelevante deutlich gemacht, so dass er informierte Entscheidungen über die Verarbeitung seiner personenbezogenen Daten treffen kann. PRIME bietet Lösungen an und arbeitet heraus, was noch zu tun bleibt." Projektlaufzeit -März 2004 bis Februar 2008 Förderung: -Das PRIME-Projekt wird gefördert vom Sechsten Forschungsrahmenprogramm der Europäischen Union und vom Schweizer Bundesamt für Bildung und Wissenschaft. PRIME Whitepaper (aktuelle Version: v2.0 vom Juni 2007) -https://www.prime-project.eu/prime_products/whitepaper/

38 Universität Karlsruhe (TH) Forschungsuniversität gegründet 1825 Sicherheit in Service-Orientierten Architekturen 38 Secure Assertion Markup Language (SAML) Status -SAML v2.0 ist OASIS-Standard seit 15. März 2005 Funktion -Ermöglicht Austausch von authentifizierungs- und autorisierungsbezogenen Informationen (Assertions) -Bestandteile:  SAML Assertions  SAML Protokoll  SAML Bindings und Profile -Anwendungsfälle  Web Browser Single Sign-On (SSO)  Authorization Service  Back Office Transaction

39 Universität Karlsruhe (TH) Forschungsuniversität gegründet 1825 Sicherheit in Service-Orientierten Architekturen 39 Secure Assertion Markup Language (SAML) SAML Assertions TypErklärung AuthenticationBenutzer oder Dienst wurde authentifiziert AttributeBenutzer oder Dienst werden gewisse Attribute (Rollen, Informationen) zugeordnet Authorization Decision Benutzer oder Dienst ist autorisiert, auf bestimmte Ressourcen zuzugreifen


Herunterladen ppt "Universität Karlsruhe (TH) Forschungsuniversität gegründet 1825 Aktuelle Herausforderungen von Datenschutz und Datensicherheit in modernen Informationssystemen."

Ähnliche Präsentationen


Google-Anzeigen