Software ArchitekturService orientierte Architektur und Sicherheit

von Christian Schwerdtfeger & Matthias Folz

Einleitung

© Hochschule für Technik und Wirtschaft des Saarlandes 2

• Sicherheit in Service-orientierten Architekturen hat hohe Relevanz

• Nicht nur kritische Anwendungen wie Online-Banking benötigen Sicherheit in der Kommunikation und Autorisation

Überblick

• Vorstellung relevanter Kommunikatiosnmechanismen• Sicherheitsaspekte

• Einführung in übliche Identifikations- und Authentifikationsmechanismen

• Methoden der Authentifikationsgarantierung

• Veranschaulichung anhand von 2 Beispielen

© Hochschule für Technik und Wirtschaft des Saarlandes 3

Kommunikation

• Vielzahl an Kommunikationsmöglichkeiten für SOA’s vorhanden

• Beispiele sind:• SOAP• RMI (bzw. RPC‘s in Nicht-Java Umgebungen)• REST• SDO

• DCOM

© Hochschule für Technik und Wirtschaft des Saarlandes 4

Kommunikation - SOAP

• Früher: Simple Object Access Protocol• Mittlerweile wird SOAP nicht mehr als Akronym benutzt

sondern als vollständiger Name• Fast ausschließlich in Webservices verwendet• Bedient sich anderer Standards wie XML, TCP oder http• Erkauft sich hohe Flexibilität mit großem Overhead

© Hochschule für Technik und Wirtschaft des Saarlandes 5

Kommunikation - RMI

• Steht für „Remote Method Invocation“, einen „Entfernten Methoden Aufruf“

• Entfernt steht in diesem Kontext für „auf einer anderen JVM“, diese kann sich auf demselben oder einem anderen Rechner befinden.

• Sehr hoher Abstraktionsgrad• Klare Umsetzung einer Client-Server-Architektur

© Hochschule für Technik und Wirtschaft des Saarlandes 6

Sicherheit

• Identifikation und Authentifikation

© Hochschule für Technik und Wirtschaft des Saarlandes 7

Sicherheit - SAML

• Security Assertion Markup Language• Von der OASIS standardisiertes Framework zum Austausch

von Security Informationen• Auf XML basierend• Kann sowohl für „Single Sign-On“ Anwendungen als auch für

„Identity Federations“ verwendet werden• Einfache Verarbeitung der Daten

© Hochschule für Technik und Wirtschaft des Saarlandes 8

Kommunikation - SAML

© Hochschule für Technik und Wirtschaft des Saarlandes 9

Sicherheit - Kerberos

Kerberos:• Single-Sign-On

• Kann mehrere Services zur Authentifizierung dienen

© Hochschule für Technik und Wirtschaft des Saarlandes 10

Sicherheit - Kerberos

© Hochschule für Technik und Wirtschaft des Saarlandes 11

11

22

3344

55

Sicherheit -Shibboleth

• Single Sign-On Authentifizierungsdienst• Verteilte Authentifizierung und Autorisierung• Nutzer bekommt bei Authentifizierung einen digitalen Ausweis• Dienste wissen nicht warum der Nutzer einen Ausweis hat,

sondern überprüfen nur OB er einen Ausweis hat.

© Hochschule für Technik und Wirtschaft des Saarlandes 12

Sicherheit - Shibboleth

• Client will auf geschützten Dienst zugreifen, ist nicht angemeldet.

• Dienst leitet Client zu einem „Identity Provider“ weiter.• Client meldet sich beim „Identity Provider“ an, erhält digitalen

Ausweis und wird an den Dienst zurückgeleitet von dem er kam.

• Dienst erkennt den digitalen Ausweis und gewährt dem Nutzer den Zugriff

© Hochschule für Technik und Wirtschaft des Saarlandes 13

Sicherheit – WS-Security

• Von der OASIS spezifiziertes Security Modell für Webservices• Vereint viele unterschiedliche Sicherheitsmechanismen zu

einem gemeinsamen Konzept• Bspw. XML-Canonicalization, XML-Signature, XML-

Encryption, SAML- und Kerberos-Profile• Garantiert nicht nur „Punkt-zu-Punkt“-Sicherheit, sondern

„Ende-zu-Ende“-Sicherheit

© Hochschule für Technik und Wirtschaft des Saarlandes 14

Sicherheit - OpenID

OpenID:• Single-Sign-On

• Ermöglicht wie Kerberos auch das Authentifizieren für mehrere Services

• Benutzer und sein Authentifizierungsdienst anhand der sogenannten OpenID erkennbar, z.B. folz.matthias@googlemail.com

• Verfahren zur Delegation der Authentifizierung an andere Dienste

© Hochschule für Technik und Wirtschaft des Saarlandes 15

Sicherheit - XACML

XACML:• XML-Basiert

• System zum durchsetzen von Sicherheitsrichtlinien

• Kontextabhängig

© Hochschule für Technik und Wirtschaft des Saarlandes 16

Sicherheit - XACML

© Hochschule für Technik und Wirtschaft des Saarlandes 17

Authentitätsgarantierung

• Wichtig für Simple Authentifikationsferfahren

• Auch nützlich für Dienste ohne Authentifikation

• Stellt sicher das die Authentifikation für die Dauer der Nutzung valide bleibt

© Hochschule für Technik und Wirtschaft des Saarlandes 18

Authentitätsgarantierung - SSL

• Für Kommunikation in ungesicherten Netzen• Tauscht automatisch Schlüssel mit den Gesprächspartnern• Setzt im ISO/OSI-Model am Transport-Layer an

• Höhere Schichten des ISO/OSI-Models werden dadurch nicht beeinflust

• Dienste können über Zertifikate verifiziert werden

© Hochschule für Technik und Wirtschaft des Saarlandes 19

Authentitätsgarantierung - VPN

• Spannt ein virtuelles Netzwerk• Ermöglicht somit das verbinden von Sicheren netzen über

unsichere Verbindungen• Vielfältige Methoden ein VPN zu erzeugen

• IPSec

• OpenVPN(TSL/SSL)

• SSH

• Etc

• Vielfältige Authentifizierungsmethoden

© Hochschule für Technik und Wirtschaft des Saarlandes 20

Authentitätsgarantierung – GnuPG/PGP

• Hybrides Verfahren• Vereinigt somit die Vorzüge symmetrischer wie

asymmetrischer Verfahren

© Hochschule für Technik und Wirtschaft des Saarlandes 21

Beispiel – e-Mail

• Eines der meistgenutzten Kommunikationsmittel der Welt• Große Schwächen im Bereich der Sicherheit• „Punkt-zu-Punkt“-Sicherheit kann mittels SSL gewährleistet

werden• „Ende-zu-Ende“-Sicherheit ohne zusätzliche

Sicherheitsmaßnahmen nicht möglich• Diese kann mit Hilfe digitaler Signaturen oder

Verschlüsselungsmechanismen wie PGP hergestellt werden

© Hochschule für Technik und Wirtschaft des Saarlandes 22

Beispiel - Jabber

• Instant Messaging System• XML-Basiert• Erweiterbar• Z.B. anbieten von Transportdiensten• Anbieten von Ressourcen auch möglich• Kann über SSL gesichert werden• PGP wird hier gerne eingesetzt für Ende2Ende Verbindungen

© Hochschule für Technik und Wirtschaft des Saarlandes 23