Hasso-Plattner-Institut25 Jahre HPI
Hasso-Plattner-Institut25 Jahre HPI
 

Security Engineering in Service Oriented Architectures (Sommersemester 2007)

Dozent: Prof. Dr. Christoph Meinel (Internet-Technologien und -Systeme)

Allgemeine Information

  • Semesterwochenstunden: 4
  • ECTS: 6
  • Benotet: Ja
  • Einschreibefrist: 10.05.2007
  • Lehrform:
  • Belegungsart: Wahlpflichtmodul

Studiengänge

  • IT-Systems Engineering MA

Beschreibung

Aufgrund der losen Koppelung in Service-orientierten Architekturen stellt die Sicherheit von Daten, Informationen und Diensten eine neue Herausforderung dar. Verschiedene Sicherheitsarchitekturen und -standards adressieren diese Problematik, sind aber teilweise mit erheblicher Komplexität verbunden.

Seminarthemen

In diesem Seminar sollen unter anderem

  • allgemeine Sicherheitsziele
  • übergeordnete Konzepte hinter Sicherheitsstandards
  • Abbildung dieser Konzepte auf Architekturmodelle
  • Risiken und Bedrohungen in den verschiedenen Modellen

genauer untersucht werden.

Voraussetzungen

  • Grundkenntnisse in IT-Sicherheit wünschenswert
  • Kenntnisse in Modellierung hilfreich

Lern- und Lehrformen

  • Todsichere Authentifikation mittels SOAP-Protokollen?
    • Einführung Pi Calculus

    • Maschinenprüfbare Beschreibungen zur Verifikation von SOAP-Protokollen

    • Einordnung in Sicherheitsziele

    • Literatur

      • K. Bhargavan et. al.: TulaFale: A Security Tool for Web Services. Microsoft Research

      • R. Milner: Communicating and Mobile Systems: Pi Calculus. Cambridge University Press

    •  Bearbeitet von Sebastian Roschke, Maik Taubert, Jan-Arne Sobania

  • Ohne rosa Formular kein Passierschein A38 - Geschäftsprozesse mit Signaturen

    • Einführung Geschäftsprozesse

    • Überblick

      • Design Patterns

      • Verwaltbarkeit von Zertifikat-Infrastrukturen

      • Konzepte für Workflows (z.B. Separation of Duties)

    • Implementierung eines Prototypen mit Workflow-Engine (Software AG, Microsoft WF, ...)

    • Einordnung in Sicherheitsziele

    • Literatur

    • Bearbeitet von Stephan Müller, Jan Schulz-Hofen, Christian Tinnefeld

  • Wer darf was? - Authentifikation und Authorization in Geschäftsprozessen

    • Einführung in Access Control Modelle

      • Fokus auf Task Based Access Control in Geschäftsprozessen

    • Implementierung eines Prototyps mit Workflow-Engine (Software AG, Microsoft WF, ...)

    • Einordnung in Sicherheitsziele und Archtektur Model

    • Literatur

      • P. Robinson et. al.: From Business Process Choreography to Authorization Policies. IFIP 2006

      • H. Koshutanski, F. Massacci: An Access Control Framework for Business Processes for Web Services. ACM Workshop on XML Security, Oct. 31, 2003

    • Bearbeitet von Michael Perscheid, Falko Menge, Stefan Marr, Martin Sprengel

  • Was macht eigentlich WS-*?

    • Vorstellung der Standards und Protokolle (inkl. SAML, ...)

    • Einordnung Sicherheitsziele

    • Ergebnis: Poster

    • Literatur: vgl. Web Service Standards

    • Bearbeitet von Robert Schuppenies, Tobias Queck, Stefan Hüttenrauch

  • Policies and Contracts

    • Vergleich verschiedener Standards

      • z.B. WS-Policy, XACML

    • Klassifizierung von Policies

    • Übersicht verschiedener Architekturen zu Policy Enforcement und Vertragsabschlüssen

    • Einordnung in Referenzmodell

    • Literatur

      • R. Chandramouli et. al.: Web Service Policies. IEEE Security & Privacy

      • C. Alm et. al.: Role-based Authorization Constraints. ORKA Consortium

    • Bearbeitet von: N.N.

  • Was kann uns schon passieren? - Threat Modelling in SOA
    • Einführung Threat Modelling
    • Einordnung in WS-Architektur
    • Übertragen auf Referenzmodell
    • evt. Ausblick auf ReST
    • Literatur
      • F. Swiderski, W. Snyder: Threat Modelling. Microsoft Professional

    • Bearbeitet von Matthias Kunze, David Tibbe

Leistungserfassung

  • schriftliche Ausarbeitung zum Vortragsthema
    • Rohfassung zum jeweiligen Präsentationstermin
    • Abgabe bis 23. Juli
    • Umfang: mindestens 10 Seiten (Absprache mit Betreuer) reinen Text zuzüglich Grafiken, Verzeichnisse, Tabellen, Codelistings etc. in der LNCS-Vorlage
  • evt. Implementierung eines Prototyps
    • Fertigstellung vor dem Präsentationstermin
  • Präsentationen
    • Grundlagen und Herangehensweise (10-15 Minuten) am 4. Juni
    • Ergebnisse: 9. und 16. Juli

Termine

  • Montags 9:15 - 10:45, Raum A-1.2
  • Individuelle Termine mit den einzelnen Gruppen

Zurück