Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

Automatische Zertifizierung von Studierenden und Mitarbeitern

Veröffentlicht von:Walahfried Hengst Geändert vor über 10 Jahren

Ähnliche Präsentationen

Präsentation zum Thema: "Automatische Zertifizierung von Studierenden und Mitarbeitern"—  Präsentation transkript:

1 Automatische Zertifizierung von Studierenden und Mitarbeitern
der FernUniversität in Hagen Henning Mohren FernUniversität in Hagen Universitätsrechenzentrum Universitätsstr. 21 58084 Hagen

2 Zertifikatsserver Inhalt Historie Datenschutz und Datensicherheit
Usability Der Server der FernUniversität eToken-Erweiterung Features des Zertifikatsservers der Certification Authority (CA) Projektpartner

3 Historie Public-Key-Infrastrukturen an der FernUniversität
1996: Beginn des DFN-Projekts „Public-Key Service“ gefördert durch DFN, BMBF Technik: PGP 1997: Erweiterung des Projekts um SSL-Verschlüsselung 2002: Inbetriebnahme des Zertifizierungsautomaten für SSL-Zertifikate 2003: Zusammenarbeit mit NRW-Hochschulen, eToken-Erweiterung

4 Datenschutz und -sicherheit
Internet ist ein „unsicheres“ Medium Ursachen: Betriebssysteme, Programme, Netze, Anforderungen an Flexibilität und Funktionalität, Bedienfehler… Typische Angriffe: Sniffing („Mitlesen“) Spoofing („Vortäuschen fremder Identitäten“) Brute forcing („Methodische Versuche zum Passwort-Hacken“) Bouncing („ -Relaying, Spamming“) Denial of Service („Lastüberschreitungen“) Trotzdem: Begehrlichkeiten, über Internet auch sensible Daten zu erreichen, steigen

5 Datenschutz und -sicherheit
Sicherheit im Internet z.B. durch organisatorisch/technische Maßnahmen Firewalls Viren-Checker Kryptographie  Wie funktioniert Kryptographie?

6 Datenschutz und -sicherheit
Szenario (Flugreise): Was will der Kunde? Benutzer Server Verschlüsseln der Verbindung Authentizität des Servers Unverfälschtheit der Daten  Zertifikat ist die digitale elektronische „Kreditkarte“ des Servers

7 Datenschutz und -sicherheit
Szenario (Wohnsitzwechsel): Was will der Betreiber des Servers? Benutzer Server Verschlüsseln der Verbindung Authentizität des Kunden Unverfälschtheit der der Daten  Zertifikat ist die digitale elektronische „Kreditkarte“ des Kunden

8 Datenschutz und -sicherheit
Definition „Zertifikat“ Zertifikate sind „elektronische Kreditkarten / Ausweise“ Es gibt Client-Zertifikate (für Personen) Server-Zertifikate (für Maschinen)

9 Datenschutz und -sicherheit
Kryptographie ist „mehr“ als nur Accounting Eigenschaften Kryptographischer Verfahren: 1. Authentisierung 2. Datenintegrität 3. Vertraulichkeit 4. Non-Repudiation (SigG, SigV) Sniffing Spoofing Brute forcing Bouncing Denial of Service

10 Usability Zugriff auf geschützte Seiten (Accounting)

11 Usability Zugriff auf geschützte Seiten (Zertifikate)

12 Usability Derzeitige Anwendungsmöglichkeiten an der FernUniversität
Selbst erstellte Applikationen: Prüfungsleistungsauskunft Pflege von Leistungsdaten Abruf von Belegerlisten Anmeldung zu Prüfungen Anmeldung zu Praktika s Netzzugang Server-Login PC-Login eigene Appl.

13 Usability Geplante Anwendungsmöglichkeiten an der FernUniversität
ePayment-Funktionen (Bibliothek, z.B. Jason-System) Verschlüsselte Dateiablage (PrivateDisk, Multi-User- fähig) Access-Control Single-Sign-On

14 Usability Mögliche Anwendungen (allgemein) eBusiness eGovernment
eEducation eProcurement eEntry  „alles, was in Verbindung mit einem ‚e‘ gebracht werden kann“

15 Zertifikatsserver Wie erhält der Benutzer sein Zertifikat?
Zentrale Frage: Wie stelle ich sicher, dass Teilnehmer der PKI ein Zertifikat erhalten, ohne dass sie persönlich bei der Certification Authority erscheinen müssen? Randbedingungen: Mehrere Teilnehmergruppen, Client-, Serverzertifikate à verschiedene Möglichkeiten zur Authentisierung Lösung: Clientzertifikate: Authentisierung mit Hilfe von Daten, die der FernUniversität ohnehin vorliegen: Einschreibevorgang Einstellungsvorgang Behördenadressen Serverzertifikate: Außenwirkung! Persönliches Erscheinen bei Mitarbeitern der CA

16 Verifizierter Datenaustausch
Zertifikatsserver Authentisierung der Teilnehmer: „Postverfahren“ Einschreibevorgang Verifizierter Datenaustausch Adresse HIS

17 Zertifikatsserver Authentisierung der Teilnehmer: „Postverfahren“
Ausnutzen des Einschreibevorgangs für den Zertifikatsserver: Zertifikatsserver Client ƒ Client fordert Passwort an 2. Zertifikatsserver holt Adresse aus HIS-Datenbank 3. Zertifikatsserver schreibt Passwort in Zertifikatsdatenbank 4. Zertifikatsserver schickt Passwort per Post an Adresse aus HIS Datenbankserver HIS

18 Zertifikatsserver Authentisierung der Teilnehmer: „Postverfahren“
Ausnutzen des Einschreibevorgangs für den Zertifikatsserver: Zertifikatsserver Client ƒ Client fordert Zertifikat an 2. Zertifikatsserver verifiziert Passwort gegen Zertifikatsdatenbank 3. Zertifikatsserver stellt Zertifikat aus; schreibt es in Zertifikatsdatenbank 4. Zertifikatsserver bietet Zertifikat zum Download an; Client holt es ab Datenbankserver HIS

19 Zertifikatsserver Technische Realisierung: Hardware, Security
SUN Solaris Apache – WebServer OpenSSL / modSSL - Cryptomodul PHP + Ergänzungen Zertifikatsserver OracleNet Firewall, ACL‘s Datenbankserver HIS SUN Solaris Oracle – Datenbank IBM AIX Informix – Datenbank

20 Datenbankabstraktion
Zertifikatsserver Technische Realisierung: Schichtenarchitektur WebPräsentation Apache Unabhängigkeit vom RDBMS? Designänderung? HTML - Generator Smarty - Engine Programmierung PHP Datenbankabstraktion PEAR::DB Datenhaltung Oracle

21 Zertifikatsserver Technische Realisierung: 3-Server-System
Eigentlich: Drei Server (Nach außen zugänglicher) Zertifikatsserver, „usermode“ (Nach außen abgeschotteter) Zertifikatsserver, „adminmode“ Cronjob-Server (Zusatz-Features) Wichtig: gemeinsame Konfigurationsdatei (XML!) separate Funktionen (Sicherheit!)

22 Zertifikatsserver Technische Realisierung: Das Datenbanksystem
Datenbankserver RDBMS: MySQL, Oracle, PostgreSQL, InterBase, Mini SQL, Microsoft SQL Server, ODBC, Sybase, Informix, Frontbase Tabellen: Authentisierungsdaten Clientzertifikate Serverzertifikate

23 Zertifikatsserver Technische Realisierung: Benutzerführung
Client Browsersupport: Internet Explorer, Netscape, Opera, Mozilla, Konqueror auf Windows, Unix Dies bedeutet: Clientseitige VBScript-, ActiveX-Nutzung (Microsoft-Browser) Hintergrund: Schlüsselerzeugung bei Microsoft-Browsern nur mit Scripting möglich!

24 eToken-Erweiterung Erweiterung: eToken Lösung:
Zertifikate auf Hardware abspeichern eToken / SmartCards Mitnahme von Zertifikaten durch Mitnahme der Hardware Sicherheitsgewinn: Authentisierung durch Wissen und Besitz Problem: Mobilität von Zertifikaten Zertifikatsspeicher ist unflexibel Zur Mitnahme von Zertifikaten Export/Import erforderlich

25 eToken-Erweiterung eToken-Erweiterung:
Einbindung der eToken/SmartCards über betriebssystem-nahe Gerätetreiber  Keine Hersteller-/Hardwareabhängigkeit Aber: gute Erfahrungen mit Aladdin  Nutzen von Applikationen des Herstellers

26 Standards und Features
Standards des Zertifikatsservers der Certification Authority (CA): Zertifikate nach X.509v3-Norm CRL‘s nach X.509v1/v2-Norm Unterstützung des PKCS-Protokolls SQL-Datenbank-Unterstützung TCP/IP und OracleNet-Netzwerk-Verbindung PHP/Smarty/PEAR::DB/XML Languages OpenSSL-Cryptolibrary

27 Standards und Features
Features des Zertifikatsservers der Certification Authority (CA): Vollautomatische Authentizitätsprüfung und Ausstellung von Zertifikaten Vollautomatisches CRL-Handling Vollautomatische Verwaltung von Zertifikaten (ausliefern, veröffentlichen, archivieren, sperren) in einer SQL-Datenbank Halbautomatischer First-Level-Support Ausstellen von Serverzertifikaten Unterstützung aller Speichermedien

28 Nutzung durch andere Hochschulen
Der Zertifikatsserver der FernUniversität wird derzeit erprobt durch:

29 Q&A Henning Mohren FernUniversität in Hagen Universitätsrechenzentrum
Universitätsstr. 21 58084 Hagen

Herunterladen ppt "Automatische Zertifizierung von Studierenden und Mitarbeitern"

Ähnliche Präsentationen

Be.as WEB Technologie 25.03.2017.

Be.as WEB Technologie
Inxmail GmbH Vertrieb und Pflege des Marketing Tools.

Inxmail GmbH Vertrieb und Pflege des Marketing Tools.
Semesterarbeit von Dieter Lorenz, Sebastian Galenski, Stephan Bury

Semesterarbeit von Dieter Lorenz, Sebastian Galenski, Stephan Bury
Thin Clients und SmartCards an der HU

Thin Clients und SmartCards an der HU
Neue VPN-Technologien für Remote Access und WLAN

Neue VPN-Technologien für Remote Access und WLAN
CAcert.org.

CAcert.org.
Basis-Architekturen für Web-Anwendungen

Basis-Architekturen für Web-Anwendungen
Wie kann ich die Bundespolitik und damit die Bundesgesetze beeinflussen? Wahl zum Bundestag 27.03.2017.

Wie kann ich die Bundespolitik und damit die Bundesgesetze beeinflussen? Wahl zum Bundestag
Projekt Netzwerk von Tobias Dickel, Moritz Gesing, Daniel Jochem, Matthias Meister, Marc Nue und Moritz Raasch.

Projekt Netzwerk von Tobias Dickel, Moritz Gesing, Daniel Jochem, Matthias Meister, Marc Nue und Moritz Raasch.
1 Allgemeine Fragestellung Suche nach wissenschaftlicher Information im Internet Quelle wird gefunden, aber… …Zugang nur gegen Passwort oder Zahlung Wiss.

1 Allgemeine Fragestellung Suche nach wissenschaftlicher Information im Internet Quelle wird gefunden, aber… …Zugang nur gegen Passwort oder Zahlung Wiss.
Ulrich Kähler, DFN-Verein

Ulrich Kähler, DFN-Verein
Datenbankzugriff im WWW (Kommerzielle Systeme)

Datenbankzugriff im WWW (Kommerzielle Systeme)
Erweiterung B2B Usermanagement / LDAP-Anbindung

Erweiterung B2B Usermanagement / LDAP-Anbindung
SendEplanung Datenbank

SendEplanung Datenbank
Information und Technik Nordrhein-Westfalen Das personalisierte Portal Düsseldorf, 30.10.20091 Das personalisierte Portal.

Information und Technik Nordrhein-Westfalen Das personalisierte Portal Düsseldorf, Das personalisierte Portal.
Z1 Backbone of Trust Server- und XML-basierte Lösung zentrales Zertifikatsmangement der Königsweg zur anwenderfreundlichen eBusiness-Infrastruktur.

Z1 Backbone of Trust Server- und XML-basierte Lösung zentrales Zertifikatsmangement der Königsweg zur anwenderfreundlichen eBusiness-Infrastruktur.
CHILE. Information 4.270 km lang 756.102,4 km² Nachbarländer: Peru, Bolivien, Argentinien Einwohner: 17 Millionen 15 Regionen Haupstadt: Santiago (mehr.

CHILE. Information km lang ,4 km² Nachbarländer: Peru, Bolivien, Argentinien Einwohner: 17 Millionen 15 Regionen Haupstadt: Santiago (mehr.
Internet-Sicherheit: Probleme und Lösungen

Internet-Sicherheit: Probleme und Lösungen
Technische Informatik II Vorlesung 12bis: Mehr über Security Sommersemester 2001 Prof. Peter B. Ladkin PhD Universität Bielefeld.

Technische Informatik II Vorlesung 12bis: Mehr über Security Sommersemester 2001 Prof. Peter B. Ladkin PhD Universität Bielefeld.
Virtual Private Networks

Virtual Private Networks

Ähnliche Präsentationen

Google-Anzeigen