Software Architektur Serviceorientierte Architektur und Sicherheit von Christian Schwerdtfeger &...
-
Upload
rosamond-aders -
Category
Documents
-
view
105 -
download
0
Transcript of Software Architektur Serviceorientierte Architektur und Sicherheit von Christian Schwerdtfeger &...
Software ArchitekturService orientierte Architektur und Sicherheit
von Christian Schwerdtfeger & Matthias Folz
Einleitung
© Hochschule für Technik und Wirtschaft des Saarlandes 2
• Sicherheit in Service-orientierten Architekturen hat hohe Relevanz
• Nicht nur kritische Anwendungen wie Online-Banking benötigen Sicherheit in der Kommunikation und Autorisation
Überblick
• Vorstellung relevanter Kommunikatiosnmechanismen• Sicherheitsaspekte
• Einführung in übliche Identifikations- und Authentifikationsmechanismen
• Methoden der Authentifikationsgarantierung
• Veranschaulichung anhand von 2 Beispielen
© Hochschule für Technik und Wirtschaft des Saarlandes 3
Kommunikation
• Vielzahl an Kommunikationsmöglichkeiten für SOA’s vorhanden
• Beispiele sind:• SOAP• RMI (bzw. RPC‘s in Nicht-Java Umgebungen)• REST• SDO
• DCOM
© Hochschule für Technik und Wirtschaft des Saarlandes 4
Kommunikation - SOAP
• Früher: Simple Object Access Protocol• Mittlerweile wird SOAP nicht mehr als Akronym benutzt
sondern als vollständiger Name• Fast ausschließlich in Webservices verwendet• Bedient sich anderer Standards wie XML, TCP oder http• Erkauft sich hohe Flexibilität mit großem Overhead
© Hochschule für Technik und Wirtschaft des Saarlandes 5
Kommunikation - RMI
• Steht für „Remote Method Invocation“, einen „Entfernten Methoden Aufruf“
• Entfernt steht in diesem Kontext für „auf einer anderen JVM“, diese kann sich auf demselben oder einem anderen Rechner befinden.
• Sehr hoher Abstraktionsgrad• Klare Umsetzung einer Client-Server-Architektur
© Hochschule für Technik und Wirtschaft des Saarlandes 6
Sicherheit
• Identifikation und Authentifikation
© Hochschule für Technik und Wirtschaft des Saarlandes 7
Sicherheit - SAML
• Security Assertion Markup Language• Von der OASIS standardisiertes Framework zum Austausch
von Security Informationen• Auf XML basierend• Kann sowohl für „Single Sign-On“ Anwendungen als auch für
„Identity Federations“ verwendet werden• Einfache Verarbeitung der Daten
© Hochschule für Technik und Wirtschaft des Saarlandes 8
Kommunikation - SAML
© Hochschule für Technik und Wirtschaft des Saarlandes 9
Sicherheit - Kerberos
Kerberos:• Single-Sign-On
• Kann mehrere Services zur Authentifizierung dienen
© Hochschule für Technik und Wirtschaft des Saarlandes 10
Sicherheit - Kerberos
© Hochschule für Technik und Wirtschaft des Saarlandes 11
11
22
3344
55
Sicherheit -Shibboleth
• Single Sign-On Authentifizierungsdienst• Verteilte Authentifizierung und Autorisierung• Nutzer bekommt bei Authentifizierung einen digitalen Ausweis• Dienste wissen nicht warum der Nutzer einen Ausweis hat,
sondern überprüfen nur OB er einen Ausweis hat.
© Hochschule für Technik und Wirtschaft des Saarlandes 12
Sicherheit - Shibboleth
• Client will auf geschützten Dienst zugreifen, ist nicht angemeldet.
• Dienst leitet Client zu einem „Identity Provider“ weiter.• Client meldet sich beim „Identity Provider“ an, erhält digitalen
Ausweis und wird an den Dienst zurückgeleitet von dem er kam.
• Dienst erkennt den digitalen Ausweis und gewährt dem Nutzer den Zugriff
© Hochschule für Technik und Wirtschaft des Saarlandes 13
Sicherheit – WS-Security
• Von der OASIS spezifiziertes Security Modell für Webservices• Vereint viele unterschiedliche Sicherheitsmechanismen zu
einem gemeinsamen Konzept• Bspw. XML-Canonicalization, XML-Signature, XML-
Encryption, SAML- und Kerberos-Profile• Garantiert nicht nur „Punkt-zu-Punkt“-Sicherheit, sondern
„Ende-zu-Ende“-Sicherheit
© Hochschule für Technik und Wirtschaft des Saarlandes 14
Sicherheit - OpenID
OpenID:• Single-Sign-On
• Ermöglicht wie Kerberos auch das Authentifizieren für mehrere Services
• Benutzer und sein Authentifizierungsdienst anhand der sogenannten OpenID erkennbar, z.B. [email protected]
• Verfahren zur Delegation der Authentifizierung an andere Dienste
© Hochschule für Technik und Wirtschaft des Saarlandes 15
Sicherheit - XACML
XACML:• XML-Basiert
• System zum durchsetzen von Sicherheitsrichtlinien
• Kontextabhängig
© Hochschule für Technik und Wirtschaft des Saarlandes 16
Sicherheit - XACML
© Hochschule für Technik und Wirtschaft des Saarlandes 17
Authentitätsgarantierung
• Wichtig für Simple Authentifikationsferfahren
• Auch nützlich für Dienste ohne Authentifikation
• Stellt sicher das die Authentifikation für die Dauer der Nutzung valide bleibt
© Hochschule für Technik und Wirtschaft des Saarlandes 18
Authentitätsgarantierung - SSL
• Für Kommunikation in ungesicherten Netzen• Tauscht automatisch Schlüssel mit den Gesprächspartnern• Setzt im ISO/OSI-Model am Transport-Layer an
• Höhere Schichten des ISO/OSI-Models werden dadurch nicht beeinflust
• Dienste können über Zertifikate verifiziert werden
© Hochschule für Technik und Wirtschaft des Saarlandes 19
Authentitätsgarantierung - VPN
• Spannt ein virtuelles Netzwerk• Ermöglicht somit das verbinden von Sicheren netzen über
unsichere Verbindungen• Vielfältige Methoden ein VPN zu erzeugen
• IPSec
• OpenVPN(TSL/SSL)
• SSH
• Etc
• Vielfältige Authentifizierungsmethoden
© Hochschule für Technik und Wirtschaft des Saarlandes 20
Authentitätsgarantierung – GnuPG/PGP
• Hybrides Verfahren• Vereinigt somit die Vorzüge symmetrischer wie
asymmetrischer Verfahren
© Hochschule für Technik und Wirtschaft des Saarlandes 21
Beispiel – e-Mail
• Eines der meistgenutzten Kommunikationsmittel der Welt• Große Schwächen im Bereich der Sicherheit• „Punkt-zu-Punkt“-Sicherheit kann mittels SSL gewährleistet
werden• „Ende-zu-Ende“-Sicherheit ohne zusätzliche
Sicherheitsmaßnahmen nicht möglich• Diese kann mit Hilfe digitaler Signaturen oder
Verschlüsselungsmechanismen wie PGP hergestellt werden
© Hochschule für Technik und Wirtschaft des Saarlandes 22
Beispiel - Jabber
• Instant Messaging System• XML-Basiert• Erweiterbar• Z.B. anbieten von Transportdiensten• Anbieten von Ressourcen auch möglich• Kann über SSL gesichert werden• PGP wird hier gerne eingesetzt für Ende2Ende Verbindungen
© Hochschule für Technik und Wirtschaft des Saarlandes 23