Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

Portalbeispiele B2C Spezielles Seminar WI SS 2002

Veröffentlicht von:Kai Schirmer Geändert vor über 10 Jahren

Ähnliche Präsentationen

Präsentation zum Thema: "Portalbeispiele B2C Spezielles Seminar WI SS 2002"—  Präsentation transkript:

1 Portalbeispiele B2C Spezielles Seminar WI SS 2002
Prof. Dr. Kai Rannenberg Mobile CSCW insb. Sicherheit mobiler Plattformen für mobiles Arbeiten Autor: Thomas Laumeier Datum: 23. Juni 2002 Portalbeispiele B2C

2 AGENDA Einleitung Security-Anforderungen GSM-Netze Protokolle
Schlüsselverwaltung Authentifizierung Protokolle WAP WTLS Relevante Risiken für das MSP Fragen Thema Nr. 4: Sicherheit mobiler Seite Thomas Laumeier Plattformen für mobiles Arbeiten Juni 2002

3 Situation Einleitung Security An- forderungen GSM-Netze Protokolle
- WAP - WTLS Relevante Risiken MSP Fragen m-Commerce? Sicherheit Offenenheit e-Commerce Integration immer größerer Be- reiche der Wertschöpfungskette Zunehmende Automatisierung Kurze Entwicklungszyklen Thema Nr. 4: Sicherheit mobiler Seite Thomas Laumeier Plattformen für mobiles Arbeiten Juni 2002

4 Begriffe & Definitionen
Einleitung Security An- forderungen GSM-Netze Protokolle - WAP - WTLS Relevante Risiken MSP Fragen Security Immaterielle Schutzgüter Beabsichtigte Angriffe Safety Leib & Leben Unbilden der Natur Unbilden der Technik Sicherheit Thema Nr. 4: Sicherheit mobiler Seite Thomas Laumeier Plattformen für mobiles Arbeiten Juni 2002

5 Security-Anforderungen
Einleitung Security An- forderungen GSM-Netze Protokolle - WAP - WTLS Relevante Risiken MSP Fragen Vertraulichkeit Anonymität Pseudonymität Unbeobachtbarkeit Unverkettbarkeit Unabstreitbarkeit Übertragungsintegrität Thema Nr. 4: Sicherheit mobiler Seite Thomas Laumeier Plattformen für mobiles Arbeiten Juni 2002

6 Vertraulichkeit Einleitung Security An- forderungen GSM-Netze Protokolle - WAP - WTLS Relevante Risiken MSP Fragen EINE Authorisation, anschließend voller Zugriff auf alle Ressourcen Verschlüsselung des User-Passwortes auf dem Endgerät: z.B. Palm OS in Klartext User bestimmt sein Passwort: z.B. „Sommer“ Voller Zugriff für Erweiterungen (Active X & Java) Thema Nr. 4: Sicherheit mobiler Seite Thomas Laumeier Plattformen für mobiles Arbeiten Juni 2002

7 Anonymität Starke Abhängigkeit vom Userverhalten
Einleitung Security An- forderungen GSM-Netze Protokolle - WAP - WTLS Relevante Risiken MSP Fragen Starke Abhängigkeit vom Userverhalten (De)aktivierung der Rufnummernübermittlung (De)aktivierung Funkübertragung (z.B. Bluetooth) Heterogenität der Umwelt erfordert ausgeklügeltes Sicherheitsmanagement Location Based Services (LBC) Spontane Vernetzung Betriebsnetzwerk Private IT-Umgebung Thema Nr. 4: Sicherheit mobiler Seite Thomas Laumeier Plattformen für mobiles Arbeiten Juni 2002

8 Pseudonymität Pre-Paid-Karten Elektronische Zahlungs-Dienste
Einleitung Security An- forderungen GSM-Netze Protokolle - WAP - WTLS Relevante Risiken MSP Fragen Pre-Paid-Karten Elektronische Zahlungs-Dienste Z.B. Paybox Zahlungsgarantie Authentifizierung Trust-Lösung: Hohe Vertrauenswürdigkeit vorrausgesetzt Thema Nr. 4: Sicherheit mobiler Seite Thomas Laumeier Plattformen für mobiles Arbeiten Juni 2002

9 Unbeobachtbarkeit Enge Fassung (Netzbetreiber gilt als Außenstehender)
Einleitung Security An- forderungen GSM-Netze Protokolle - WAP - WTLS Relevante Risiken MSP Fragen Enge Fassung (Netzbetreiber gilt als Außenstehender) Big Brother Is Watching You Weite Fassung (Netzbetreiber wird nicht berücksichtigt) Protokollierung, falls Nutzung fremder Netze Thema Nr. 4: Sicherheit mobiler Seite Thomas Laumeier Plattformen für mobiles Arbeiten Juni 2002

10 Unverkettbarkeit Netzbetreiber kennen alle Verbindungsdaten, aber
Einleitung Security An- forderungen GSM-Netze Protokolle - WAP - WTLS Relevante Risiken MSP Fragen Netzbetreiber kennen alle Verbindungsdaten, aber Firmenhandy Familienanschluß Sammlung von Daten möglich, aber Heterogene Netze erschweren die gezielte Zusammentragung Spy-Software Thema Nr. 4: Sicherheit mobiler Seite Thomas Laumeier Plattformen für mobiles Arbeiten Juni 2002

11 Unabstreitbarkeit „MoSign“: Mobile Digitale Signatur
Einleitung Security An- forderungen GSM-Netze Protokolle - WAP - WTLS Relevante Risiken MSP Fragen „MoSign“: Mobile Digitale Signatur Anbieter- & Nachfragerstruktur Thema Nr. 4: Sicherheit mobiler Seite Thomas Laumeier Plattformen für mobiles Arbeiten Juni 2002

12 Übertragungsintegrität
Einleitung Security An- forderungen GSM-Netze Protokolle - WAP - WTLS Relevante Risiken MSP Fragen Gewährleistung mittels digitaler Signatur Authentifizierung „per Personalisierung“ SSL X X Thema Nr. 4: Sicherheit mobiler Seite Thomas Laumeier Plattformen für mobiles Arbeiten Juni 2002

13 GSM-Netze Digitalisierung Komprimierung Chiffrierung Frequency Hopping
Einleitung Security An- forderungen GSM-Netze Protokolle - WAP - WTLS Relevante Risiken MSP Fragen Digitalisierung Komprimierung Chiffrierung Frequency Hopping Neuer Schlüssel je Sitzung Thema Nr. 4: Sicherheit mobiler Seite Thomas Laumeier Plattformen für mobiles Arbeiten Juni 2002

14 Authentifizierung in GSM-Netzen
Einleitung Security An- forderungen GSM-Netze Protokolle - WAP - WTLS Relevante Risiken MSP Fragen Thema Nr. 4: Sicherheit mobiler Seite Thomas Laumeier Plattformen für mobiles Arbeiten Juni 2002

15 Authentifizierung in GSM-Netzen
Einleitung Security An- forderungen GSM-Netze Protokolle - WAP - WTLS Relevante Risiken MSP Fragen 1 2 Seriennummer 3 3 Schlüsselübergabe Authentifizierung Schlüsselübergabe Authentifizierung 5 5 4 Chiffrierung Chiffrierung 6 6 Thema Nr. 4: Sicherheit mobiler Seite Thomas Laumeier Plattformen für mobiles Arbeiten Juni 2002

16 Authentifizierung in GSM-Netzen
Einleitung Security An- forderungen GSM-Netze Protokolle - WAP - WTLS Relevante Risiken MSP Fragen Außerordentlich hohes Sicherheitsniveau Erfolgreicher Hack 1998 Kenntnis der Algorithmen A8 und A3 Choosen Challenge Angriff „Fütterung“ der SIM-Karte Analyse der Ergebnisse und Ermittlung von Ki Thema Nr. 4: Sicherheit mobiler Seite Thomas Laumeier Plattformen für mobiles Arbeiten Juni 2002

17 WAP-Protokollfamilie
Einleitung Security An- forderungen GSM-Netze Protokolle - WAP - WTLS Relevante Risiken MSP Fragen Wireless Application Environment Wireless Session Protokol Wireless Transaction Protocol Wireless Transport Layer Security Wireless Datagram Protokol Thema Nr. 4: Sicherheit mobiler Seite Thomas Laumeier Plattformen für mobiles Arbeiten Juni 2002

18 WTLS Ableitung aus SSL Kompromisse Fazit: WTLS alleine unzureichend
Einleitung Security An- forderungen GSM-Netze Protokolle - WAP - WTLS Relevante Risiken MSP Fragen Ableitung aus SSL Kompromisse Initialisierungs-Vektoren werden linear berechnet DES-Schlüssellänge lediglich 35 Bit Teilalgorithmus führt primitives 40 Bit-XOR durch Verwendete Primzahlen haben nur eine Länge von 512 oder 768 Bit Fazit: WTLS alleine unzureichend Thema Nr. 4: Sicherheit mobiler Seite Thomas Laumeier Plattformen für mobiles Arbeiten Juni 2002

19 Relevante Risiken für MSP
Einleitung Security An- forderungen GSM-Netze Protokolle - WAP - WTLS Relevante Risiken MSP Fragen Thema Nr. 4: Sicherheit mobiler Seite Thomas Laumeier Plattformen für mobiles Arbeiten Juni 2002

20 Relevante Risiken für MSP
Einleitung Security An- forderungen GSM-Netze Protokolle - WAP - WTLS Relevante Risiken MSP Fragen GSM Schutz der SIM-Karte mittels PIN COMP128-Algorithmus nicht vollständig bekannt (D1 und E-Plus setzten bereits 1998 Varianten ein) Benötigte Rechenzeit zur Berechnung Ki: 8 Stunden WAP-Gateway Transformationsprozess html zu WAP zwingend vorgegeben Klartext direkt an Außenschnittstelle Thema Nr. 4: Sicherheit mobiler Seite Thomas Laumeier Plattformen für mobiles Arbeiten Juni 2002

21 Überleitung Einleitung Security An- forderungen GSM-Netze Protokolle
- WAP - WTLS Relevante Risiken MSP Fragen m-Commerce Sicherheit Offenenheit Thema Nr. 4: Sicherheit mobiler Seite Thomas Laumeier Plattformen für mobiles Arbeiten Juni 2002

22 Vielen Dank für Ihre Aufmerksamkeit!

23 MoSign Architektur + = Einleitung Wireless / Wired Devices
Security An- forderungen GSM-Netze Protokolle - WAP - WTLS Relevante Risiken MSP Fragen Certificates and Key + Standard Smart Card Wireless / Wired Devices Secure Transactions + = WAP-Gateway ISP (HTTP) Vendors Banks Application- Server WML / HTML Legitimation-Server Thema Nr. 4: Sicherheit mobiler Seite Thomas Laumeier Plattformen für mobiles Arbeiten Juni 2002

24 MoSign Signierungsprozess
Einleitung Security An- forderungen GSM-Netze Protokolle - WAP - WTLS Relevante Risiken MSP Fragen Mobile Devices Legitimation Server Confirm Cancel Please confirm the order of transaction for 3.000,- DM. Confirm Cancel Please confirm order of transaction for 3.000,- DM. Bestätigen Abbrechen Please insert your card and enter the PIN code to unlock it: Signature Authorized. Transaction Completed. Confirm Cancel Please confirm the order of transaction for 3.000,- DM. * * * * * * * * * * * Wireless Gateway / ISP Application-Server (WML/HTML) Thema Nr. 4: Sicherheit mobiler Seite Thomas Laumeier Plattformen für mobiles Arbeiten Juni 2002

25 PKI Verschlüsselung Einleitung Security An- forderungen GSM-Netze
Protokolle - WAP - WTLS Relevante Risiken MSP Fragen Thema Nr. 4: Sicherheit mobiler Seite Thomas Laumeier Plattformen für mobiles Arbeiten Juni 2002

26  PKI Signatur Einleitung Security An- forderungen GSM-Netze
Protokolle - WAP - WTLS Relevante Risiken MSP Fragen Thema Nr. 4: Sicherheit mobiler Seite Thomas Laumeier Plattformen für mobiles Arbeiten Juni 2002

27 Wireless-Security-Conzept
Einleitung Security An- forderungen GSM-Netze Protokolle - WAP - WTLS Relevante Risiken MBP Fragen Thema Nr. 4: Sicherheit mobiler Seite Thomas Laumeier Plattformen für mobiles Arbeiten Juni 2002

28 Begriffe & Definitionen
Einleitung Modelle - Web Service Model - ebXML Protokolle - XML-Based Security Services - SAML BSI Thesen Datensicherheit Confidentiality : Sichere Wege Integrity : Keine Manipulation Authentication : Beweis der Person Access Control : Zugriffskontrolle Nonrepudiation : Unabstreitbarkeit Availability : Jederzeitige Verfügbarkeit Datenschutz Privacy : Wer sammelte welche Daten Thema Nr. 4: Sicherheit mobiler Seite Thomas Laumeier Plattformen für mobiles Arbeiten Juni 2002

29 Begriffe & Definitionen
Einleitung Modelle - Web Service Model - ebXML Protokolle - XML-Based Security Services - SAML BSI Thesen E-Business-Integration Direkte oder indirekte Verbindung Zwei oder mehr Business-Anwendungen Geschäftsbezogener Informationsaustausch Unternehmensinterne oder –externe Integration Web Services Verwendung XML-basierte Standards Auffinden des Dienstes mittels UDDI (Universal Description, Discovery and Integration) Definition des Dienstes mittels WSDL (Web Service Description Language) Über das Internet erreichbar Thema Nr. 4: Sicherheit mobiler Seite Thomas Laumeier Plattformen für mobiles Arbeiten Juni 2002

30 Begriffe & Definitionen
Einleitung Modelle - Web Service Model - ebXML Protokolle - XML-Based Security Services - SAML BSI Thesen Datensicherheit Confidentiality : Sichere Wege Integrity : Keine Manipulation Authentication : Beweis der Person Access Control : Zugriffskontrolle Nonrepudiation : Unabstreitbarkeit Availability : Jederzeitige Verfügbarkeit Datenschutz Privacy : Wer sammelte welche Daten Thema Nr. 4: Sicherheit mobiler Seite Thomas Laumeier Plattformen für mobiles Arbeiten Juni 2002

31 Ziel des Web Service Models
Einleitung Modelle - Web Service Model - ebXML Protokolle - XML-Based Security Services - SAML BSI Thesen IBM Microsoft VeriSign W3C OASIS Ziel: praxistauglicher und schnell umsetzbarer Standard zur Entwicklung von Web Services Thema Nr. 4: Sicherheit mobiler Seite Thomas Laumeier Plattformen für mobiles Arbeiten Juni 2002

32 Rollen & Funktionen Service Registry Find Publish WSDL, UDDI
Einleitung Modelle - Web Service Model - ebXML Protokolle - XML-Based Security Services - SAML BSI Thesen Service Description Service Registry Find Publish WSDL, UDDI WSDL, UDDI Service Requestor Service Provider Service Bind Service Description Thema Nr. 4: Sicherheit mobiler Seite Thomas Laumeier Plattformen für mobiles Arbeiten Juni 2002

33 Web Service security model
Einleitung Modelle - Web Service Model - ebXML Protokolle - XML-Based Security Services - SAML BSI Thesen WS-Secure Conversation WS-Federation WS-Authentication WS-Policy WS-Trust WS-Privacy WS-Security Today SOAP Foundation Time Thema Nr. 4: Sicherheit mobiler Seite Thomas Laumeier Plattformen für mobiles Arbeiten Juni 2002

34 Vorteile des WS security models
Einleitung Modelle - Web Service Model - ebXML Protokolle - XML-Based Security Services - SAML BSI Thesen Aufbauend auf vorhandenen Technologien Erweiterbarkeit des Modells Hohe erwartete Effektivität Toolset Thema Nr. 4: Sicherheit mobiler Seite Thomas Laumeier Plattformen für mobiles Arbeiten Juni 2002

35 Electronic Business XML
Einleitung Modelle - Web Service Model - ebXML Protokolle - XML-Based Security Services - SAML BSI Thesen OASIS (Organization for the Advancement of Structured Information Standards) Weltweit gültig Modular aufgebaut Trennung in zwei Architekturen Prozessarchitektur (Methoden & Mechanismen von Systementwicklung & -analyse) Produktarchitektur (Technologische Infrastruktur) Messaging-Service Spezielle SOAP-Erweiterungen Registry/Repository-Service (RR) Vielseitiger als UDDI ... Thema Nr. 4: Sicherheit mobiler Seite Thomas Laumeier Plattformen für mobiles Arbeiten Juni 2002

36 Protokollfamilie XML Signatur XML Encryption XML Key Management
Einleitung Modelle - Web Service Model - ebXML Protokolle - XML-Based Security Services - SAML BSI Thesen XML Signatur XML Encryption XML Key Management AUthXML S2ML SAML Parallele Entwicklung Einstellung 2001 Thema Nr. 4: Sicherheit mobiler Seite Thomas Laumeier Plattformen für mobiles Arbeiten Juni 2002

37 OASIS Security Assertion Markup Language
Einleitung Modelle - Web Service Model - ebXML Protokolle - XML-Based Security Services - SAML BSI Thesen Nachrichten- austausch Denial of Service Authentifizierung nicht spezifiziert Verbindung SAML & SOAP Nachrichten- löschung Nachrichten- modifizierung Vertraulichkeit nicht spezifiziert Nachrichtenintegrität nicht spezifiziert „Man In The Middle“ Belauschen Thema Nr. 4: Sicherheit mobiler Seite Thomas Laumeier Plattformen für mobiles Arbeiten Juni 2002

38 OASIS Security Assertion Markup Language
Einleitung Modelle - Web Service Model - ebXML Protokolle - XML-Based Security Services - SAML BSI Thesen Nachrichten- austausch Denial of Service Authentifizierung nicht spezifiziert Verbindung SAML & SOAP Zeitstempel Nachrichten- löschung Nachrichten- modifizierung Vertraulichkeit nicht spezifiziert Ipsec-Tunneling Digitale Signatur Nachrichtenintegrität nicht spezifiziert „Man In The Middle“ Belauschen Thema Nr. 4: Sicherheit mobiler Seite Thomas Laumeier Plattformen für mobiles Arbeiten Juni 2002

39 Bundesamt für Sicherheit in der Informationstechnik
Einleitung Modelle - Web Service Model - ebXML Protokolle - XML-Based Security Services - SAML BSI Thesen Zertifizierungen (Seit Jan. 2002) IT-Grundschutzhandbuch (111,50 €) GS-Tool Modellierung und Erstellung des Schichtenmodells IT-Systemerfassung und Strukturanalyse Anwendungserfassung Maßnahmenumsetzung Kostenauswertung Schutzbedarfsfeststellung Revisionsunterstützung Basissicherheitschecks Thema Nr. 4: Sicherheit mobiler Seite Thomas Laumeier Plattformen für mobiles Arbeiten Juni 2002

40 Bundesamt für Sicherheit in der Informationstechnik
Einleitung Modelle - Web Service Model - ebXML Protokolle - XML-Based Security Services - SAML BSI Thesen Thema Nr. 4: Sicherheit mobiler Seite Thomas Laumeier Plattformen für mobiles Arbeiten Juni 2002

41 Bundesamt für Sicherheit in der Informationstechnik
Einleitung Modelle - Web Service Model - ebXML Protokolle - XML-Based Security Services - SAML BSI Thesen Another hype: Web Services sind heute „in“ aber morgen bereits wieder „out“ Die Anforderungen an Security-Komponenten, wie Hard- und Software aber auch Know How der Mitarbeiter, werden weiterhin stark wachsen und damit auch die Kosten in diesem Bereich explodieren lassen Kampf der Standards: Microsoft schlägt zurück Wo ein Wille, da ein Weg – Mitarbeitertreue? Thema Nr. 4: Sicherheit mobiler Seite Thomas Laumeier Plattformen für mobiles Arbeiten Juni 2002

Herunterladen ppt "Portalbeispiele B2C Spezielles Seminar WI SS 2002"

Ähnliche Präsentationen

Developing your Business to Success We are looking for business partners. Enterprise Content Management with OS|ECM Version 6.

Developing your Business to Success We are looking for business partners. Enterprise Content Management with OS|ECM Version 6.
Software Architektur Service­orientierte Architektur und Sicherheit

Software Architektur Service­orientierte Architektur und Sicherheit
Sicherheit in Netzwerken

Sicherheit in Netzwerken
Vorlesung: 1 Betriebliche Informationssysteme 2003 Prof. Dr. G. Hellberg Studiengang Informatik FHDW Vorlesung: Betriebliche Informationssysteme Teil3.

Vorlesung: 1 Betriebliche Informationssysteme 2003 Prof. Dr. G. Hellberg Studiengang Informatik FHDW Vorlesung: Betriebliche Informationssysteme Teil3.
Thema: Sicherheitsarchitektur für mobiles Arbeiten

Thema: Sicherheitsarchitektur für mobiles Arbeiten
- 0 - Sicherheit Copyright ©2001 Granitar Incorporated. All rights reserved. Architektur Moderner Internet Applikationen 22.-24.4.2004 TU Wien/Ausseninstitut.

- 0 - Sicherheit Copyright ©2001 Granitar Incorporated. All rights reserved. Architektur Moderner Internet Applikationen TU Wien/Ausseninstitut.
What do you get marks for?

What do you get marks for?
eBusiness und mCommerce >> ein Überblick <<

eBusiness und mCommerce >> ein Überblick <<
© 2003 Guido Badertscher Spontane Vernetzung - UPnP 9. Jänner 2004 Spontane Vernetzung Guido Badertscher.

© 2003 Guido Badertscher Spontane Vernetzung - UPnP 9. Jänner 2004 Spontane Vernetzung Guido Badertscher.
© 2003 Marc Dörflinger Spontane Vernetzung 9. Jänner 2004 Spontane Vernetzung Patrick Brunner, Guido Badertscher, Marc Dörflinger.

© 2003 Marc Dörflinger Spontane Vernetzung 9. Jänner 2004 Spontane Vernetzung Patrick Brunner, Guido Badertscher, Marc Dörflinger.
Modelle und Methoden der Linearen und Nichtlinearen Optimierung (Ausgewählte Methoden und Fallstudien) U N I V E R S I T Ä T H A M B U R G November 2011.

Modelle und Methoden der Linearen und Nichtlinearen Optimierung (Ausgewählte Methoden und Fallstudien) U N I V E R S I T Ä T H A M B U R G November 2011.
Modelle und Methoden der Linearen und Nichtlinearen Optimierung (Ausgewählte Methoden und Fallstudien) U N I V E R S I T Ä T H A M B U R G November 2011.

Modelle und Methoden der Linearen und Nichtlinearen Optimierung (Ausgewählte Methoden und Fallstudien) U N I V E R S I T Ä T H A M B U R G November 2011.
WTLS Wireless Transport Layer Security

WTLS Wireless Transport Layer Security
Neuerungen in PalmOS® 5 Florian Schulze (SS 2003).

Neuerungen in PalmOS® 5 Florian Schulze (SS 2003).
1 Allgemeine Fragestellung Suche nach wissenschaftlicher Information im Internet Quelle wird gefunden, aber… …Zugang nur gegen Passwort oder Zahlung Wiss.

1 Allgemeine Fragestellung Suche nach wissenschaftlicher Information im Internet Quelle wird gefunden, aber… …Zugang nur gegen Passwort oder Zahlung Wiss.
Bernd Oberknapp, UB Freiburg

Bernd Oberknapp, UB Freiburg
Datenbankzugriff im WWW (Kommerzielle Systeme)

Datenbankzugriff im WWW (Kommerzielle Systeme)
E / IDE Enhanced / Integrated Device Elektronics

E / IDE Enhanced / Integrated Device Elektronics
Sicherheit und Personalisierung Internet Portal der Universität München.

Sicherheit und Personalisierung Internet Portal der Universität München.
Konfiguration eines VPN Netzwerkes

Konfiguration eines VPN Netzwerkes

Ähnliche Präsentationen

Google-Anzeigen