Security Engineering in Service Oriented Architectures (Sommersemester 2007)

Dozent: Prof. Dr. Christoph Meinel (Internet-Technologien und -Systeme)

Allgemeine Information

• Semesterwochenstunden: 4
• ECTS: 6
• Benotet: Ja
• Einschreibefrist: 10.05.2007
• Lehrform:
• Belegungsart: Wahlpflichtmodul

Studiengänge

• IT-Systems Engineering MA

Beschreibung

Aufgrund der losen Koppelung in Service-orientierten Architekturen stellt die Sicherheit von Daten, Informationen und Diensten eine neue Herausforderung dar. Verschiedene Sicherheitsarchitekturen und -standards adressieren diese Problematik, sind aber teilweise mit erheblicher Komplexität verbunden.

Seminarthemen

In diesem Seminar sollen unter anderem

• allgemeine Sicherheitsziele
• übergeordnete Konzepte hinter Sicherheitsstandards
• Abbildung dieser Konzepte auf Architekturmodelle
• Risiken und Bedrohungen in den verschiedenen Modellen

genauer untersucht werden.

Voraussetzungen

• Grundkenntnisse in IT-Sicherheit wünschenswert
• Kenntnisse in Modellierung hilfreich

Lern- und Lehrformen

• Todsichere Authentifikation mittels SOAP-Protokollen?

  • Einführung Pi Calculus

  • Maschinenprüfbare Beschreibungen zur Verifikation von SOAP-Protokollen

  • Einordnung in Sicherheitsziele

  • Literatur

  • K. Bhargavan et. al.: TulaFale: A Security Tool for Web Services. Microsoft Research

  • R. Milner: Communicating and Mobile Systems: Pi Calculus. Cambridge University Press

  •  Bearbeitet von Sebastian Roschke, Maik Taubert, Jan-Arne Sobania

• Ohne rosa Formular kein Passierschein A38 - Geschäftsprozesse mit Signaturen

  • Einführung Geschäftsprozesse

  • Überblick

    • Design Patterns

    • Verwaltbarkeit von Zertifikat-Infrastrukturen

    • Konzepte für Workflows (z.B. Separation of Duties)

  • Implementierung eines Prototypen mit Workflow-Engine (Software AG, Microsoft WF, ...)

  • Einordnung in Sicherheitsziele

  • Literatur

  • Case Study von Fujitsu-Siemens
    

  • C. Alm et. al.: Role-based Authorization Constraints. ORKA Consortium

  • Bearbeitet von Stephan Müller, Jan Schulz-Hofen, Christian Tinnefeld

• Wer darf was? - Authentifikation und Authorization in Geschäftsprozessen

  • Einführung in Access Control Modelle

    • Fokus auf Task Based Access Control in Geschäftsprozessen

  • Implementierung eines Prototyps mit Workflow-Engine (Software AG, Microsoft WF, ...)

  • Einordnung in Sicherheitsziele und Archtektur Model

  • Literatur

  • P. Robinson et. al.: From Business Process Choreography to Authorization Policies. IFIP 2006

  • H. Koshutanski, F. Massacci: An Access Control Framework for Business Processes for Web Services. ACM Workshop on XML Security, Oct. 31, 2003

  • Bearbeitet von Michael Perscheid, Falko Menge, Stefan Marr, Martin Sprengel

• Was macht eigentlich WS-*?

  • Vorstellung der Standards und Protokolle (inkl. SAML, ...)

  • Einordnung Sicherheitsziele

  • Ergebnis: Poster

  • Literatur: vgl. Web Service Standards

  • Bearbeitet von Robert Schuppenies, Tobias Queck, Stefan Hüttenrauch

• Policies and Contracts

  • Vergleich verschiedener Standards

    • z.B. WS-Policy, XACML

  • Klassifizierung von Policies

  • Übersicht verschiedener Architekturen zu Policy Enforcement und Vertragsabschlüssen

  • Einordnung in Referenzmodell

  • Literatur

  • R. Chandramouli et. al.: Web Service Policies. IEEE Security & Privacy

  • C. Alm et. al.: Role-based Authorization Constraints. ORKA Consortium

  • Bearbeitet von: N.N.

• Was kann uns schon passieren? - Threat Modelling in SOA
  • Einführung Threat Modelling
  • Einordnung in WS-Architektur
  • Übertragen auf Referenzmodell
  • evt. Ausblick auf ReST
  • Literatur

  • F. Swiderski, W. Snyder: Threat Modelling. Microsoft Professional

  • Bearbeitet von Matthias Kunze, David Tibbe

Leistungserfassung

• schriftliche Ausarbeitung zum Vortragsthema
  • Rohfassung zum jeweiligen Präsentationstermin
  • Abgabe bis 23. Juli
  • Umfang: mindestens 10 Seiten (Absprache mit Betreuer) reinen Text zuzüglich Grafiken, Verzeichnisse, Tabellen, Codelistings etc. in der LNCS-Vorlage
• evt. Implementierung eines Prototyps
  • Fertigstellung vor dem Präsentationstermin
• Präsentationen
  • Grundlagen und Herangehensweise (10-15 Minuten) am 4. Juni
  • Ergebnisse: 9. und 16. Juli

Termine

• Montags 9:15 - 10:45, Raum A-1.2
• Individuelle Termine mit den einzelnen Gruppen

Zurück