Integration von Sicherheitsmodellen in Web Services

Größe: px
Ab Seite anzeigen:

Download "Integration von Sicherheitsmodellen in Web Services"

Transkript

1 Integration von Sicherheitsmodellen in Web Services Anja Fischer Winfried E. Kühnhauser Technische Universität Ilmenau [a.fischer Zusammenfassung Web Services haben als technologische Plattform für Unternehmensgrenzen überschreitende Kooperationssysteme in den letzten Jahren erheblich an Bedeutung gewonnen und bilden bereits heute die Basistechnologie für ein breites Spektrum von Anwendungsszenarien. Eingeschränkt wird die Breite dieses Spektrums derzeit vor allem durch unzureichende Möglichkeiten, IT-Sicherheitseigenschaften in Web Service Plattformen zu integrieren; Anwendungsszenarien, in denen Sicherheitseigenschaften unabdingbare Voraussetzung sind, sind dieser Technologie daher heute noch weitgehend verschlossen. Diese Arbeit stellt ein Framework vor, welches die Definition und Integration anwendungsspezifischer Sicherheitspolitiken in Web Service basierten Kooperationssystemen auf der Grundlage elementarer Referenzmonitorprinzipien und einer kleinen präzise definierten Trusted Computing Base ermöglicht. Schlüsselworte: Web Services, SOAP, ERP-Systeme, Trusted Computing Base, Referenzmonitorprinzipien, Interzeptoren, Sicherheitspolitiken, Sicherheitsmodelle, HRU-Modelle 1 Einführung In IT-Systemen mit hohen qualitativen Anforderungen an ihre Sicherheit werden zur Beschreibung, Analyse und Implementierung von Sicherheitseigenschaften in wachsendem Maße problemspezifische Sicherheitspolitiken eingesetzt [Küh96, BKAL97, BK97, Küh98, HK99, LS01a, LS01b, KP03, KW05, EK08]. Sicherheitspolitiken sind Regelwerke, die beschreiben, auf welche Weise innerhalb eines IT-Systems Sicherheitsanforderungen durchgesetzt werden. Die Spezifikation von Sicherheitspolitiken erfolgt insbesondere in sicherheitskritischen Anwendungsszenarien mittels formaler Sicherheitsmodelle, aus denen dann über u.u. mehrstufige Modelltransformationen eine Implementierung abgeleitet wird. Während auf der einen Seite der Einsatz dieser Methodik zu erheblichen Verbesserungen der Effektivität, Effizienz und Korrektheit bei der Realisierung von Sicherheitseigenschaften führt, sind ihrer breiten Nutzung zum heutigen Zeitpunkt noch zwei deutliche Grenzen gesetzt. Zum einen zeigt die Erfahrung mit experimentellen Systemen, dass die Spezifikation und Implementierung von Sicherheitspolitiken sowie ihre Integration in eine Trusted Computing Base (TCB) auf Grund der breiten semantischen Lücke zwischen den weitgehend informell formulierten Sicherheitsanforderungen und den konkreten Sicherheitsmechanismen einer Implementierungsplattform heute noch sehr aufwändig ist [LS01b, Sma03]. Methoden und Techniken zum Überbrücken dieser Lücke stehen erst am Anfang ihres praktischen Einsatzes [EK08], so dass die Kosten dieser Technologie heute noch für die Mehrheit der Anwendungsszenarien zu hoch sind. Zum anderen sind selbst in Systemen mit dynamisch integrierbaren Sicherheitspolitiken deren konkrete Sicherheitseigenschaften nur sehr schwer nachweisbar; experimentelle Systeme wie das SELinux-System der NSA [LS01a] oder das Microsoft Singularity-System [HLA + 05] ver- P. Horster (Hrsg.) D A CH Security 2008 syssec (2008) 1-???.

2 2 Integration von Sicherheitsmodellen in Web Services stoßen allein bereits durch Größe und Komplexität ihrer TCB fundamental gegen das dritte Referenzmonitorprinzip, so dass das tatsächliche Erreichen angestrebter Sicherheitseigenschaften durch ein konkretes System nur mit äußerst hohem Aufwand nachweisbar ist. Dieses Papier stellt ein Web Service Security Framework vor, welches die genannten Grenzen verschiebt. Zunächst wird am konkreten Beispiel eines durch Kooperationssysteme realisierten, Unternehmensgrenzen überschreitenden Geschäftsprozesses gezeigt, wie anwendungsspezifische Sicherheitspolitiken mit Hilfe formaler Sicherheitsmodelle spezifiziert werden können und auf diese Weise präzise, effektive, effiziente und auf eine konkrete Anwendung zugeschnittene Sicherheitsspezifikationen entstehen. Auf dieser Basis setzen im nachfolgenden Schritt formale Analysen auf, die das Ziel haben, als wesentlich erachtete Sicherheitseigenschaften zunächst auf Modellebene nachzuweisen. Im letzten Schritt wird dann gezeigt, wie im Umfeld eines konkreten Web Service basierten Anwendungssystems ein so verifiziertes Sicherheitsmodell in eine Web-Service-Plattform integriert wird. Dabei sind die beiden wesentlichen Ziele die Aufrechterhaltung der formal nachgewiesen Sicherheitseigenschaften einerseits (Effektivität) und die völlige Unsichtbarkeit der Anwesenheit der Sicherheitspolitik für den regulären Benutzer andererseits (Transparenz). Beides wird erreicht durch Integration des Modells in eine präzise definierte TCB unter rigoroser Anwendung der elementaren Referenzmonitorprinzipien. 2 Web Services und IT-Sicherheit Die Entwicklung der Web-Service-Konzepte wurde durch die zentrale Zielstellung geprägt, einen möglichst hohen Grad an Interoperabilität zu erreichen. Aspekte der Informationssicherheit beeinflussten die Entwicklung der Basistechnologien von Web Services (SOAP, WSDL und UDDI) dagegen nicht. Erst mit dem zunehmenden Interesse, Web Services auch in sicherheitskritischen Integrationsszenarien einzusetzen, wurden diese Technologien unter dem Gesichtspunkt der Informationssicherheit betrachtet. Im Ergebnis entstand eine große Anzahl an Sicherheitsspezifikationen, die die Basisprotokolle von Web Services erweitern. Diese beruhen auf etablierten Konzepten der IT-Sicherheit wie beispielsweise kryptografische Verfahren und Hashfunktionen, die für XML-basierte Nachrichten optimiert sind. Standardisierungsgremien wie W3C und OASIS treiben beständig Spezifikationen für die Standardisierung von Sicherheitsmechanismen voran. Zu den für das Security Framework wesentlichen Sicherheitsstandards zählen: XML-Signature: Digitale Signaturen zur Wahrung der Integrität und Authentizität von Nachrichten, XML-Encryption: Verschlüsseln der Nachrichten zur Sicherstellung der Vertraulichkeit, Web Service Security (WS-Security): Erweiterung von SOAP um Token für Sicherheitsinformationen basierend auf XML-Signature und XML-Encryption, XKMS: Protokolle zur Verbreitung von öffentlichen Schlüsseln, XACML: Darstellung und Verarbeitung von Sicherheitsregeln zur Autorisierung, SAML: Darstellung von Identitätsinformationen zur Authentisierung und Autorisierung, WS-Trust, WS-SecureConversation: Spezifikationen zum Umgang mit Sicherheitstoken und zur Erstellung eines Sicherheitskontexts. Die genannten Standards spezifizieren Nachrichtenformate, deren inhaltliche Bedeutung sowie Sicherheitsarchitekturen und Sicherheitsmechanismen. Voraussetzungen, die benötigt werden,

3 Integration von Sicherheitsmodellen in Web Services 3 um die Standards anzuwenden bzw. Aspekte, die die Anwendung der Standards vervollständigen würden, liegen außerhalb der Spezifikationen. Aus diesem Grund und auf Grund der großen Komplexität der Spezifikationen haben sich bisher noch keine standardisierten Sicherheitskonzepte und -architekturen auf Basis dieser Standards herauskristallisiert. Die Umsetzung der Sicherheitsspezifikationen erfolgt überwiegend in Middleware-Plattformen für Web Services. Es existieren sowohl frei verfügbare und als auch kommerzielle Middleware- Plattformen, die einige der Web-Service-Spezifikationen teilweise oder vollständig implementieren. Im Folgenden werden die für den Beitrag interessantesten Projekte vorgestellt und ihre Verwendbarkeit hinsichtlich des zu lösenden Problems bewertet. Das Apache Axis2 Framework [Apa07] ist eine SOAP-Engine, die sich durch eine flexible und leicht erweiterbare Architektur auszeichnet. Ein Handler- und Modulkonzept ermöglicht, die Kernfunktionalitäten der SOAP-Engine um individuelle Funktionen zu ergänzen, so dass auf dieser Basis Sicherheitsmechanismen als Handler implementiert werden können, die mit jeder eingehenden und ausgehenden SOAP-Nachricht aufgerufen werden. Die Unumgehbarkeit der Handler und ihre Kapselung sind wesentliche Eigenschaften, die im Kontext des Security Frameworks eine zentrale Rolle bei der Realisierung des ersten und zweiten Referenzmonitorprinzips (Manipulationssicherheit und vollständige Kommunikationskontrolle) einnehmen. Weitere Projekte von Apache [Apa07] wie Sandesha2, Kandula2 und Rampart bieten Module zum Axis2 Framework an und erweitern dieses durch die Realisierung von Sicherheitsspezifikationen wie beispielsweise WS-Security. JAX-WS [Gla07] ist eine von SUN entwickelte SOAP-Engine, die eine ähnliche Architektur wie das Axis2 Framework besitzt. Diese basiert ebenfalls auf einem Handler-Konzept, das die Handler jedoch mit konkreten Web Services assoziiert und nicht innerhalb der SOAP-Engine platziert. Infolgedessen wird einerseits die Wiederverwendbarkeit der Handler für andere Web Services erschwert und andererseits eine Abhängigkeit der Web Services von den Handlern geschaffen. Diese nur schwache Isolation macht die JAX-WS für die Integration einer Sicherheitspolitik weniger geeignet. Auch das Codehaus XFIRE Framework [Cod06] ist eine SOAP-Engine, deren Architektur auf einem Handler-Konzept basiert. Ähnlich wie bei JAX-WS sieht das Konzept vor, die Handler direkt für die einzelnen Web Services zu registrieren, so dass der Aufwand für das Wiederverwenden von Handlern und das Installieren von Web Services größer ist als beim Axis2 Framework. Diese Gründe sprechen gegen den Einsatz des XFIRE Frameworks. Eine kommerzielle Middleware-Plattform für Web Services ist das.net Framework mit dem Windows Communication Framework (WCF) von Microsoft [Mic08]. Das WCF ist eine umfangreiche Laufzeitumgebung mit integrierter SOAP-Engine auf Basis von Microsoft Windows- Plattformen mit einer individuell erweiterbaren Architektur. Analog zu den Handler-Konzepten der Open-Source-Projekte bietet das WCF so genannte Erweiterungspunkte für die Ein- und Ausgangsverarbeitung von Nachrichten an. Diese Erweiterungspunkte werden für konkrete Web Services implementiert und konfiguriert, so dass eine direkte Abhängigkeit mit den bereits genannten Nachteilen gegeben ist. 3 Konzept Dieses Kapitel stellt die Konzepte des Web Service Security Frameworks vor und erläutert, auf welche Weise unter Verwendung von Sicherheitspolitiken und deren Integration in das Frame-

4 4 Integration von Sicherheitsmodellen in Web Services work anwendungsspezifische Sicherheitsanforderungen in Web Service basierten Plattformen realisiert werden. Am Beispiel eines konkreten Anwendungsszenarios einer Unternehmensgrenzen übergreifenden Kooperation werden exemplarisch einige Sicherheitsanforderungen abgeleitet, hieraus eine informelle Sicherheitspolitik entwickelt und anschließend ein Auszug aus ihrem formalen Modell vorgestellt. 3.1 Anwendungsszenario Das Anwendungsszenario beschreibt kooperierende Unternehmen, die ihre unternehmensübergreifenden Geschäftsprozesse effizient gestalten und als technologische Basis Web Services einsetzen. Hieraus ergeben sich spezielle Sicherheitsanforderungen, deren Umsetzung eine essentielle Voraussetzung für die Realisierung dieses Anwendungsszenarios ist. Auf Grundlage dieser Sicherheitsanforderungen werden Regeln in Form einer Sicherheitspolitik [KP03, KW05] aufgestellt, deren Realisierung durch in das Security Framework integrierte Sicherheitsmechanismen erfolgt. Das Web Service Security Framework bietet Dienste zur Realisierung von Teilprozessen an, welche die Kernprozesse der Logistik durch Informationsflussprozesse in der kooperativen Auftragsabwicklung unterstützen. Den Ausgangspunkt bilden betriebswirtschaftliche Standardsoftwaresysteme (beispielsweise ERP-Systeme), die zur Erweiterung ihrer Funktionen von dem Security Framework angebotene Web Services integrieren. Ein Beispiel ist der Prozess der kooperativen Verfügbarkeitsprüfung (ATP, Available To Promise), in dem das System zur Bestellanfrage eines Kunden einen Web Service zur Verfügbarkeitsprüfung aufruft. Dieser nimmt die Anfrage entgegen, sendet sie allen Lieferanten, überprüft anschließend die Antworten der Lieferanten und gibt die erfassten Daten an das ERP-System zurück, welches auf Basis dieser Informationen die Anfrage des Kunden bestätigen kann. Der Web-Service-Aufruf durch das Bestellanfragesystem kann sowohl manuell durch einen Sachbearbeiter oder automatisiert beispielsweise innerhalb eines Workflows erfolgen. Ist der verantwortliche Sachbearbeiter längere Zeit abwesend (z.b. im Urlaub) muss der stellvertretende Mitarbeiter für den Zeitraum der Abwesenheit die entsprechenden Rechte des verantwortlichen Sachbearbeiters besitzen, um dessen Aufgaben am System wahrnehmen zu können. Dementsprechend bietet das Security Framework die Möglichkeit zur Rechtedelegation, die wie auch reale Organisationsstrukturen n-stufige Delegationshierarchien ermöglicht. 3.2 Sicherheitseigenschaften Eine grundsätzliche Voraussetzung zur Realisierung unternehmensübergreifender, kooperierender Geschäftsprozesse ist die Einhaltung allgemeiner Sicherheitseigenschaften, wie Vertraulichkeit, Integrität, Verfügbarkeit, Authentizität und Verbindlichkeit. Aus dem vorgestellten Anwendungsszenario ergeben sich darüber hinaus konkrete Sicherheitsanforderungen, die direkten Einfluss auf die Sicherheitspolitik haben; diese werden im Folgenden dargestellt. Im Bereich der betriebswirtschaftlichen Standardsoftwaresysteme haben sich auf Grund der guten Skalierbarkeit bzgl. der Nutzeranzahl und der Verwendbarkeit auf einer anwendungsnahen Ebene rollenbasierte Zugriffskontrollmodelle durchgesetzt. Diese Vorteile sowie der Aspekt, dass ein Großteil der potentiellen Nutzer mit einer rollenbasierten Zugriffskontrolle vertraut ist, führen dazu, eine Variante der rollenbasierten Zugriffskontrolle im Security Framework zu verwenden. Obwohl Unternehmen miteinander kooperieren, haben sie oft nur ein geringes Vertrauensver-

5 Integration von Sicherheitsmodellen in Web Services 5 hältnis untereinander. Das mangelnde Vertrauen gegenüber den Partnerunternehmen betrifft vor allem omnipotente Administratoren, die Zugriff auf die Daten der Partner haben. Dies resultiert in der Forderung der Nicht-Existenz eines allmächtigen Administrators und in der strikten Trennung zwischen Nutzern und Administratoren, so dass ein Nutzer keine Administrationsrechte und ein Administrator keine Nutzerrechte besitzen darf. Rechnungslegungsrelevante sowie rechtsverbindliche Transaktionen sind wesentliche Bestandteile elektronischer Geschäftsprozesse. Grundlage dieser Transaktionen ist die Wahrung der Verbindlichkeit; wenn Anwender in der Lage sind, ihre Handlungen zu leugnen, ist die Abrechenbarkeit von Seiten des Framework-Betreibers nicht mehr gegeben. Zudem können alle rechtsverbindlichen Transaktionen in Frage gestellt werden. Für den Einsatz des Security Frameworks zur Realisierung von elektronischen Geschäftsprozessen ist eine hohe Verfügbarkeit des Frameworks unabdingbar. Erfolgreiche Angriffe auf die Verfügbarkeit können für den Betreiber zu enormen Konventionalstrafen führen. Das Ziel des Security Frameworks ist, die Einhaltung dieser Sicherheitseigenschaften zu garantieren. Des Weiteren wird die Transparenz der Sicherheitsmechanismen gegenüber den Web Services erzielt, da auf diese Weise die Sicherheitsmechanismen in einer zentralen Systemkomponente gekapselt werden. Zu dem ist die Transparenz der Sicherheitsmechanismen für Web Services eine wesentliche Voraussetzung für die Wartbarkeit und Erweiterbarkeit des Security Frameworks. Im Folgenden konzentriert sich der Beitrag unter Berücksichtigung der Spezifika des vorgestellten Anwendungsszenarios auf die Definition und Modellierung von als wesentlich erachteten Auszügen der Sicherheitspolitik. 3.3 Sicherheitspolitik Die Grundlage für die Definition der Sicherheitspolitik bildete eine detaillierte Anforderungsund Risikoanalyse, die in [Fis07] durchgeführt wurde und aus Platzgründen hier nicht dargestellt wird. Im Folgenden wird die Zugriffskontrolle als Auszug aus der Sicherheitspolitik mit dem Harrison, Ruzzo, Ullman (HRU)-Kalkül [HRU76] modelliert; das aufgestellte Sicherheitsmodell ist dann Gegenstand des formalen Nachweises wesentlicher Sicherheitseigenschaften. Dieser Abschnitt beschreibt Teile der aufgestellten Sicherheitspolitik und Auszüge aus der Modellierung Grundelemente der Sicherheitspolitik Die Sicherheitspolitik umfasst Authentisierung und Autorisierung und enthält weiterhin Regeln, die die Kommunikation, den Umgang mit persistenten Daten und die Protokollierung von Vorgängen betreffen. Dieser Abschnitt skizziert Auszüge aus der Autorisierungspolitik, da diese die Grundlage des Sicherheitsmodells bildet. Das Autorisierungsschema basiert auf den least-privilege und separation-of-duty Prinzipien und wird durch ein RBAC 3 -Modell [SCFY96] mit obligatorischen und diskreten Komponenten umgesetzt; die für die Dienstnutzung benötigten Rechte werden dabei aus den vertraglichen Vereinbarungen der an den Geschäftsprozessen beteiligten Parteien abgeleitet. Innerhalb dieses Rahmens sind die Akteure in der Lage, Teile der Sicherheitspolitik in eigener Verantwortung zu definieren. Entsprechend dem um Administrationsrollen ergänzten RBAC 3 -Modell (ARBAC 3 ) wird zwischen Anwenderrollen und Administrationsrollen entschieden. In diesem

6 6 Integration von Sicherheitsmodellen in Web Services Modell ist eine Anwenderrolle eine Menge von Anwenderrechten, während eine Administrationsrolle ausschließlich Administrationsrechte enthält. Das Recht eines Nutzers zur Annahme von Rechten ergibt sich aus seiner Identität; die tatsächlichen Rechte werden durch eine Rollenzuordnung bestimmt. Diese werden weiter eingeschränkt, indem von Anwendern aufgerufene Web Services nur Daten lesen bzw. modifizieren können, für die der Anwender die aus den vertraglichen Vereinbarungen abgeleiteten Rechte besitzt. Die hier skizzierte Sicherheitspolitik kennt die Anwenderrechte sehen, ausführen, delegieren und zurückziehen. Anwender können bei entsprechenden Berechtigungen Web Services ausführen und sehen. Sowohl das Ausführungs- und Sehrecht als auch das eigentliche Delegationsrecht können delegiert und wieder zurückgezogen werden. Auf Grund des geringen Vertrauensverhältnises der kooperierenden Unternehmen dürfen zwischen Anwendern unterschiedlicher Unternehmen keine Informationen fließen; insbesondere dürfen Rechte nur zwischen Anwendern eines Unternehmens delegiert werden. Um die Anwender der Unternehmen im Security Framework voneinander abzugrenzen, wird ihnen ähnlich wie bei Non-Interference-Modellen [GM82] eine Sicherheitsdomäne zugeordnet. Alle Anwender eines Unternehmens befinden sich in einer Sicherheitsdomäne; zwischen den Domänen dürfen keine Informationsflüsse auftreten Modellierung der Zugriffssteuerung Ein Sicherheitsmodell ist eine präzise, in der Regel formale Beschreibung der Sicherheitspolitik eines IT-Systems. Als Sprache für die Aufstellung des Modells wird in dieser Arbeit der Harrison, Ruzzo, Ullman (HRU)-Kalkül [HRU76] verwendet. HRU-Modelle vereinigen Zugriffsmatrizen [Lam74] mit Zustandsautomaten und ermöglichen auf diese Weise die Modellierung des dynamischen Verhaltens von Zugriffsschutzsystemen. Die Modellierung gestattet anschließend, Sicherheitseigenschaften am Modell zu analysieren und insbesondere Aussagen über die unkontrollierte Ausbreitung von Rechten zu beweisen eine Eigenschaft, die in dem betrachteten Anwendungsszenario von besonderer Bedeutung ist. Ein HRU-Sicherheitsmodell ist ein 6-Tupel (S, O, M, E, δ, q 0 ). Die Modellierung der definierten Sicherheitspolitik erfolgt durch Bestimmen der Tupelelemente. Die Subjektmenge S = {1,..., s n }, n N ist eine endliche Menge und repräsentiert die Menge aller Nutzer; die Objektmenge O = {1,..., o m }, m N repräsentiert die Menge aller Methoden der Web Services. M ist die Menge aller Zugriffsmatrizen über der endlichen Rechtemenge R, die alle Rechte der Subjekte enthält. Mit Hilfe einer Matrix m werden die Rechte der Nutzer (Subjekte) an den Methoden der Web Services (Objekte) spezifiziert. Der Zustand des Automaten setzt sich zusammen aus der Subjektmenge S, der Objektmenge O und der Menge der Matrizen mit M = {m m : S O 2 R }. Die Rechtemenge R enthält alle diejenigen Rechte, die die entsprechenden anwendungsspezifischen Operationen des Modells aufrufen dürfen. Rechte in diesem Modell sind die Rechte der Nutzer an den Methoden der Web Services; Nutzer können unterschiedliche Operationen auf Methoden der Web Services ausführen. Alle anwendungsspezifischen Operationen der Zugriffskontrolle sind in der Operationsmenge zusammengefasst. So stellt sie beispielsweise Operationen zum Sehen und Ausführen von Web-Service-Methoden bereit (seewsmethod, executewsmethod). Des Weiteren verfügt sie über Operationen zum Delegieren und Zurückziehen von Rechten (delegateseepermission, re-

7 Integration von Sicherheitsmodellen in Web Services 7 vokeseepermission). Die Operationen delegatedelegateseepermission und revokedelegatesee- Permission realisieren die Delegation bzw. das Zurückziehen des zu delegierenden Rechts und des Delegationsrechts an sich. Hinzu kommen administrative Operationen, die das Management des Security Frameworks in realen Szenarien ermöglichen (createuser, deleteuser, createwsmethod und deletewsmethod) und Operationen, die die rollenbasierte Zugriffskontrolle realisieren. Zu diesen Operationen zählen das Anlegen und Löschen von Rollen (createrole, deleterole), das Zuweisen von Rechten zu Rollen und deren Aufhebung (assignpermissionto- Role, resignpermissionfromrole) sowie das Zuweisen von Rollen zu Nutzern und deren Aufhebung (assignusertorole, resignuserfromrole). Die Dynamik des Modells entsteht durch Operationen, die den Zustand des Modells (S, O, M) verändern und typischerweise in realen Systemen durch Administratoren ausgeführt werden. Diese Operationen werden durch die Eingabemenge E modelliert. Somit besteht eine einzelne Eingabe des Automaten aus einer Operation aus E und eventuell weitere begleitende Parameter. Ein Beispiel ist die Operation createuser. Sie verändert einen Zustand, indem sie ein neues Subjekt in die Zugriffsmatrix einträgt. Die Menge der Eingabeparameter von createuser besteht aus dem anlegenden Subjekt und dem neu anzulegenden Subjekt. Zu der Menge der zustandsverändernden Operationen zählen alle Operationen zum Delegieren und Zurückziehen von Rechten, da diese neue Rechte in die Matrix eintragen bzw. vorhandene Rechte entfernen. Des Weiteren gehören zu dieser Menge Operationen zum Anlegen bzw. Löschen von Subjekten und Objekten sowie Operationen, die den Subjekten Rollen zuweisen bzw. die Zuweisung aufheben. Durch die Rollenzuweisung werden die den Rollen zugehörigen Rechte in die Zugriffsmatrix eingefügt; die Aufhebung der Rollenzuweisung bewirkt das Löschen der entsprechenden Rechte aus der Matrix. Als Autorisierungsschema δ wird die Modellierung der rechtespezifischen Semantik aller einen Modellzustand verändernden Operationen verstanden. Aus Platzgründen beschränkt sich dieser Abschnitt exemplarisch auf die Definition der Operation delegateexecutepermission. δ(q, (delegateexecutepermission(s s.domain), (s s, s d, o)))::= if delegateexecutepermission M(s s, o) and executewsmethodpermission M(s s, o) and s s.domain M(s d, domain) and executewsmethodpermission / M(s d, o) enter (executewsmethodpermission, ts) into M(s d, o) end if Der hiermit beschriebene Zustandsübergang führt zu einer Matrix, die nun das Rechte executewsmethodpermission an der Stelle (s d, o) enthält. Das Recht delegateexecutepermission ermöglicht das Delegieren des Rechts executewsmethodpermission von einem Subjekt s s (Delegierender) an ein Subjekt s d (Delegationsempfänger). Besitzt das delegierende Subjekt das Recht zur Delegation (delegateexecutepermission) sowie das zu delegierende Recht (executewsmethodpermission) und ist Mitglied der gleichen Domäne wie der Delegationsempfänger, bekommt dieser das Recht executewsmethodpermission, wenn er es nicht schon vorher besitzt. Zur Modellierung der Sicherheitsdomänen wird das unäre Prädikat domain auf die Subjekte eingeführt. Alle Rechte werden mit einem Zeitstempel ts in die Zugriffsmatrix eingetragen. Dieser gibt an, wie lange die Rechte gültig sind. Verfällt der Zeitstempel, werden die betroffenen Rech-

8 8 Integration von Sicherheitsmodellen in Web Services te wieder aus der Matrix entfernt. Somit lassen sich Delegationen von Nutzerrechten an andere Nutzer beispielsweise während eines Urlaubs abbilden. Die Reaktion des Systems auf den Delegationswunsch eines Nutzers wird dann durch das Modell durch die entsprechenden Funktionen gesteuert. Die Initialisierung des Zustandsautomaten umfasst die Definition des Startzustands und die Definition der Zustände nach der Ausführung der Rechte verändernden Operationen. Im Startzustand q 0 existieren vier Subjekte (Nutzeradministrator, Rollenadministrator, Web-Service- Administrator und Systemadministrator), jedoch keine Objekte. Das Security Framework besitzt keinen omnipotenten Administrator, sondern vier separate Administratorrollen; jeder Administrator kann nur eine der vier Administratorrollen besitzen (separation-of-duty). Der Vorteil dieses Verfahrens ist, dass ein Angreifer bei Übernahme eines Administratorzugangs nicht alle Administrationsrechte erhält; nachteilig ist, dass vier standardmäßig eingerichtete Administratorkonten geschützt werden müssen. Exemplarisch ist in diesem Beitrag der Initialzustand dargestellt; alle Rechte verändernden Operationen sowie die Modellzustände nach Ausführung der Rechte verändernden Operationen sind in [Fis07] definiert. Startzustand M 0 q 0 := {S 0, O 0, M 0 } S 0 := {s 1, s 2, s 3, s 4 } O 0 := {} M 0 s 1 s 2 s 3 s 4 domain is_system is_useradmin is_roleadmin is_webserviceadmin Das wesentliche Problem von IT-Systemen mit dieser Art von Zugriffsschutzsystemen ist die unkontrollierte Ausbreitung von Rechten. In einer anschließenden Safety-Analyse in [Fis07] wurde die Ausbreitung der Rechte untersucht und bewertet. Die Ergebnisse der Analyse sind in Abschnitt 5 zusammengefasst. 4 Realisierung Die flexible Architektur der SOAP-Engine Axis2 ist Basis der Implementierung des Autorisierungsschemas des Security Frameworks (Abb. 1). Im Folgenden werden die Architektur des Frameworks und die Verarbeitungsstufen eines jeden Web-Service-Aufrufs erläutert. Das AxisServlet nimmt die im HTTP-Protokoll eingebetteten SOAP-Requests entgegen. Die Klasse HTTPTransportUtils durchsucht den HTTP-Request und erzeugt den entsprechenden MessageContext (MC req ) [FTW07]. Die AxisEngine verarbeitet die Nachricht entlang einer präzise definierten Handler-Kette (In Flow), deren Zusammensetzung in einer Konfigurationsdatei angegeben ist. Ein Handler stellt eine Softwarekomponente dar, die eine wohl definierte Aufgabe ausführt und in den Verarbeitungsprozess der AxisEngine inkludiert werden kann; er realisiert keine anwendungsspezifischen Funktionen, sondern nur Aufgaben, die nicht zur eigentlichen Anwendungslogik gehören. Im Anschluss an die Eingangsverarbeitung wird eine Instanz vom Typ Message Receiver erzeugt, die den adressierten Web Service lokalisiert, aufruft und eventuelle Rückgabewerte vom Web Service entgegennimmt [FTW07]. Außerdem erzeugt er eine neue Instanz der AxisEngine, die entsprechend der Out-Flow-Definition die

9 Integration von Sicherheitsmodellen in Web Services 9 Abb. 1: Serverseitiger Ablauf bei einer Request-Response-Operation [FTW07] Ausgangsverarbeitung der Nachricht vornimmt. Das AxisServlet beendet die Verarbeitung des SOAP-Requests und sendet den entsprechenden HTTP-Response. Wird innerhalb eines Handlers ein Fehler erzeugt, bricht die Bearbeitung der SOAP-Nachricht ab und es wird eine Exception (AxisFault) entlang des Aufruf-Stacks bis zurück zum AxisServlet gemeldet [FTW07]. Daraus folgt, dass bei Auftreten eines Fehlers innerhalb der Handler-Kette der fehlerverursachende SOAP-Request den Web Service nie erreicht. Alle Sicherheitsmechanismen der Zugriffskontrolle wurden in einem Axis2-Handler innerhalb der In-Flow-Handler-Kette implementiert (Abb. 1), der global für alle Web Services in der Axis- Engine konfiguriert ist und mit jeder eingehenden Nachricht (SOAP-Request) ausgeführt wird. Der Handler überprüft bei jedem Aufruf die Einträge der Zugriffssteuerungsliste, die in der Access-Control-Datenbank gespeichert ist. Darf ein Subjekt die gewünschte Operation auf einem Objekt ausführen, reicht der Handler die Anfrage an den Message Receiver weiter. Hat das Subjekt jedoch nicht die erforderlichen Rechte, wirft der Handler eine Exception und bricht die Verarbeitung ab, so dass der Web Service nicht aufgerufen wird. Demzufolge erfüllt ein Handler zwei Aufgaben. Zum einen repräsentiert er einen Interzeptor, der das total mediation property realisiert und infolgedessen ideal geeignet ist, Sicherheitsmechanismen zu integrieren. Ein Interzeptor soll die vollständige Kontrolle aller Informationsflüsse zwischen Subjekten und Objekten ausüben; er setzt somit das erste Referenzmonitor- Prinzip der vollständigen und nachweisbaren Beherrschung aller Informationsflüsse in einem IT-System um. Zum anderen stellt er einen Container für die spezifizierte Sicherheitspolitik dar und realsiert somit das zweite Referenzmonitor-Prinzip der Manipulationssicherheit als eine elementare Voraussetzung für die Unumgehbarkeit des Referenzmonitors. Das Ziel der Manipulationssicherheit ist der Schutz des Referenzmonitors vor irrtümlicher oder bewusster Manipulation. Sie beruht auf der Korrektheit, Manipulationssicherheit und Unumgehbarkeit der TCB-Komponenten, zu denen das Betriebssystem, die Java Virtual Machine (JVM) mit allen Bibliotheken der genutzten Java-Version, die Access-Control-Datenbank sowie die JDBC- Schnittstellen und insbesondere das Axis2-Framework mit allen Axis2-Handlern und der Axis- Engine zählen.

10 10 Integration von Sicherheitsmodellen in Web Services Um den Referenzmonitor vor Manipulation zu schützen, werden weitere Sicherheitsmechanismen in Form von Axis2-Handlern benötigt. Diese überprüfen die eingehenden SOAP- Nachrichten auf Typkonsistenz der Parameter und erschweren somit buffer overflow und Injection-Angriffe. Um insbesondere SQL-Injection-Angriffe zu verhindern, erfolgen alle Datenbankzugriffe auf die Access-Control-Datenbank über Stored Procedures und Prepared Statements; eine Kommunikationsmethode, bei der die Anfrageparameter typisiert übergeben werden, so dass das Einfügen von bösartig wirkenden Metazeichen nicht möglich ist. Des Weiteren wird die Access-Control-Datenbank vor unberechtigten Schreibzugriffen durch die Zugriffskontrolle des Datenbankservers geschützt; der JDBC-Nutzer ist nicht der Eigentümer der Datenbank und besitzt nur minimale Rechte im Datenbankmanagementsystem. 5 Zusammenfassung Sicherheitsarchitekturen, die den Referenzmonitorprinzipien genügen, erlauben es, von den Sicherheitseigenschaften einer einzigen, isolierten Systemkomponente (dem Referenzmonitor) auf Sicherheitseigenschaften des Gesamtsystems zu schließen. In derartigen Sicherheitsarchitekturen lassen sich Sicherheitspolitiken so platzieren, dass sie einerseits manipulationssicher und andererseits in der Lage sind, sämtliche sicherheitsrelevanten Interaktionen eines Systems zu kontrollieren. Dieses Architekturprinzip wurde im vorliegenden Ansatz rigoros angewandt und führte zur Platzierung der Sicherheitspolitk als Handler innerhalb der Axis2 SOAP-Engine (Abb. 1). Jeder Handler in der Handler-Kette übt einerseits eine vollständige Interaktionskontrolle aus; andererseits ist die Axis2-Engine (als Teil der Web Service Middleware) isoliert von sämtlichen Anwendungskomponenten (Web Services und ihre Klienten) und damit diesen Komponenten gegenüber manipulationssicher. Des Weiteren ist die Sicherheitspolitik hierdurch für Anwendungskomponenten unsichtbar und damit für reguläre Anwender völlig transparent. Die Isolation der Sicherheitspolitik gegenüber anderen Handlern innerhalb derselben Axis2- Engine beruht auf den Isolationsmechanismen der verwendeten Implementierungssprache ein Ansatz, wie er auch im bereits erwähnten Singularity-System [HLA + 05] durch Einsatz typsicherer Sprachen verfolgt wird. Allerdings laufen sämtliche Handler innerhalb einer Axis2- Engine aus Effizienzgründen innerhalb eines gemeinsamen Adressraums, so dass unter dem Gesichtspunkt harter (Hardware gestützter) Isolation letztlich die gesamte Axis2-Engine zu einem Teil der TCB wird. Geschuldet ist dies jedoch lediglich dem Wunsch nach einer performanten Implementierung; einer weiteren Reduktion der TCB-Größe durch Realisierung der Handler- Kette mittels separater Prozesse (und damit separater Adressräume) steht konzeptionell nichts im Wege. Die Isolation der Sicherheitspolitik in einer kleinen, mit vollständiger Interaktionskontrolle ausgestatteten Systemkomponente schafft eine notwendige Voraussetzung für die Korrektheit und Unumgehbarkeit ihrer Implementierung und damit eine hohe Wahrscheinlichkeit, dass formalanalytisch am Modell nachgewiesene Sicherheitseigenschaften auch noch im implementierten System vorhanden sind. Das Platzieren der Sicherheitspolitik innerhalb der Web Services Middleware-Plattform macht die Existenz der Sicherheitspolitik für reguläre Nutzer transparent. Der HRU-Kalkül hat sich als effizientes und effektives Werkzeug zur Modellierung und Analyse von als wesentlich erachteten Auszügen der Sicherheitspolitik erwiesen; insbesondere zeigte eine mit geringem Aufwand verbundene Analyse der HRU-Safety, dass die für das vorgestellte Anwendungsszenario besonders kritische Ausbreitung von Rechten ausschließlich

11 Integration von Sicherheitsmodellen in Web Services 11 im Inneren der einzelnen Sicherheitsdomänen stattfinden kann, so dass selbst Administratoren niemals Rechte innerhalb fremder Domänen erhalten können. Literatur [Apa07] [BK97] Apache Software Foundation. Apache Axis2, Ciarán Bryce and Winfried E. Kühnhauser. An Approach to Security for World- Wide Applications. In Communications and Multimedia Security Volume 3, pages IFIP / Chapman & Hall, ISBN [BKAL97] Ciarán Bryce, Winfried E. Kühnhauser, Remy Amouroux, and Mauricio Lopéz. CWASAR: A European Infrastructure for Secure Electronic Commerce. Journal of Computer Security, IOS Press, 5(3): , [Cod06] [EK08] [Fis07] [FTW07] [Gla07] [GM82] Codehaus. XFIRE envoisolutions, Petros Efstathopoulos and Eddie Kohler. Manageable Fine-Grained Information Flow. In Proc. of the 2008 EuroSys Conference, pages ACM SIGOPS, April Anja Fischer. Konzeption und prototypische Implementierung eines Web Service Security Frameworks. Master s thesis, Technische Universität Ilmenau, Thilo Frotscher, Marc Teufel, and Dapeng Wang. Java Web Services mit Apache Axis2. Entwickler.press, ISBN GlassFish Community. JAX-WS, https://jax-ws.dev.java.net/. J.A. Goguen and J. Meseguer. Security Policies and Security Models. In Proceedings of the IEEE Symposium on Security and Privacy, pages IEEE, April [HK99] Udo Halfmann and Winfried E. Kühnhauser. Embedding Security Policies into a Distributed Computing Environment. Operating Systems Review, 33(2):51 64, April [HLA + 05] Galen Hunt, James Larus, Martin Abadi, Mark Aiken, Paul Barham, Manuel Fähndrich, Chris Hawblitzel, Orion Hodson, Steven Levi, Nick Murphy, Bjarne Steendgaard, David Tarditi, Ted Wobber, and Brian Zill. An Overview of the Singularity Project. Technical Report MSR-TR , Microsoft Research, [HRU76] [KP03] [Küh96] [Küh98] Michael A. Harrison, Walter L. Ruzzo, and Jeffrey D. Ullman. Protection in Operating Systems. Communications of the ACM, 19(8): , August Winfried E. Kühnhauser and Torsten Pomierski. Sicherheitskonzept einer universitären Prüfungsverwaltung. In Patrick Horster, editor, Proceedings of the 2003 D-A-CH Security Conference, pages Vieweg, March Winfried E. Kühnhauser. Sicherheitsaspekte einer europäischen Kommunikationsinfrastruktur. In Softwaretechnik für Kommunikationssysteme, pages VDI Verlag, ISBN Winfried E. Kühnhauser. A Classification of Interdomain Actions. Operating Systems Review, 32(4):47 61, October 1998.

12 12 Integration von Sicherheitsmodellen in Web Services [KW05] [Lam74] [LS01a] [LS01b] Winfried E. Kühnhauser and Gabriel Welsche. Sicherheitsmodelle für computergestützte Teamarbeit. In Patrick Horster, editor, Proceedings of the 2005 D-A-CH Security Conference. IT Verlag, Butler W. Lampson. Protection. Operating Systems Review, 8(1):18 24, January Peter A. Loscocco and Stephen D. Smalley. Integrating Flexible Support for Security Policies into the Linux Operating System. In Clem Cole, editor, Proceedings of the FREENIX Track, 2001 USENIX Annual Technical Conference, June 25-30, 2001, Boston, Massachusetts, USA, pages USENIX, Peter A. Loscocco and Stephen D. Smalley. Meeting Critical Security Objectives with Security-Enhanced Linux. In Proceedings of the 2001 Ottawa Linux Symposium, [Mic08] Microsoft..Net Framework, [SCFY96] Ravi S. Sandhu, Edward J. Coyne, Hal L. Feinstein, and Charles E. Youman. Role- Based Access Control Models. IEEE Computer, 29(2):38 47, [Sma03] Stephen D. Smalley. Configuring the SELinux Policy. Technical Report , NAI Labs, January 2003.

WS-Security. Thies Rubarth. Sicherheitskonzepte in global verteilten Anwendungen. 21. Sep 2007 ACM/GI Localgroup #216

WS-Security. Thies Rubarth. Sicherheitskonzepte in global verteilten Anwendungen. 21. Sep 2007 ACM/GI Localgroup #216 WS-Security Sicherheitskonzepte in global verteilten Anwendungen Thies Rubarth 21. Sep 2007 ACM/GI Localgroup #216 Thies Rubarth, M.Sc. (Informatik) IT Berater Jahrgang 1979 Anwendungsentwicklung seit

Mehr

Analyse von Sicherheitaspekten in Service-orientierten Architekturen

Analyse von Sicherheitaspekten in Service-orientierten Architekturen Analyse von Sicherheitaspekten in Service-orientierten Architekturen Vortragende: Jia Jia Betreuer: Dipl.-Inf. Matthias Lehmann Dresden,10.12.2009 10.12.2009 Analyse von Sicherheitaspekten in SOA 1 Gliederung

Mehr

Web Service Security

Web Service Security Hochschule für Angewandte Wissenschaften Hamburg Fachbereich Elektrotechnik und Informatik SS 2005 Masterstudiengang Anwendungen I Kai von Luck Web Service Security Thies Rubarth rubart_t@informatik.haw-hamburg.de

Mehr

Sicherheitsaspekte in Service Orientierten Architekturen. Eike Falkenberg Sommersemester 2006 Anwendungen I

Sicherheitsaspekte in Service Orientierten Architekturen. Eike Falkenberg Sommersemester 2006 Anwendungen I Sicherheitsaspekte in Service Orientierten Architekturen Eike Falkenberg Sommersemester 2006 Anwendungen I Agenda SOA? Web Services? Sicherheitsrisiko Web Services Web Services & Sicherheit Sichere SOAs

Mehr

Aufgabe 2: HRU-Beispiel Fernuni

Aufgabe 2: HRU-Beispiel Fernuni Aufgabe 2: HRU-Beispiel Fernuni Systemsicherheit Übungsblatt 2 Stephan Beyer Team 2 Systemsicherheit SS 08 Technische Universität Ilmenau 5. Mai 2008 Team 2 (SysSec 08) Fernuni-Szenario 5. Mai 2008 1 /

Mehr

XML-Sicherheitsdienste für das Netzwerk der Global Biodiversity Information Facility GBIF

XML-Sicherheitsdienste für das Netzwerk der Global Biodiversity Information Facility GBIF XML-Sicherheitsdienste für das Netzwerk der Global Biodiversity Information Facility GBIF Dipl.-Inf. Lutz Suhrbier Prof. Dr.-Ing. Robert Tolksdorf Dipl.-Inf. Ekaterina Langer Freie Universität Berlin Institut

Mehr

SECTINO. Security for Inter-Organizational Workflows

SECTINO. Security for Inter-Organizational Workflows SECTINO Security for Inter-Organizational Workflows Framework zur Modellierung und Realsisierung sicherheitskritischer organisationsübergreifender Workflows Kooperation Research Group Quality Engineering

Mehr

Service-Orientierte Architekturen

Service-Orientierte Architekturen Hochschule Bonn-Rhein-Sieg Service-Orientierte Architekturen Kapitel 7: Web Services IV Exkurs über Sicherheitsanforderungen Vorlesung im Masterstudiengang Informatik Sommersemester 2010 Prof. Dr. Sascha

Mehr

Mobile Agenten am Beispiel JADE (Java Agent DEvelopment Framework) Vorstellung in der Übung zu Konzepte Verteilter Systeme

Mobile Agenten am Beispiel JADE (Java Agent DEvelopment Framework) Vorstellung in der Übung zu Konzepte Verteilter Systeme Mobile Agenten am Beispiel JADE (Java Agent DEvelopment Framework) Vorstellung in der Übung zu Konzepte Verteilter Systeme Agenda Mobile Agenten allgemein JADE - Java Agent DEvelopment Framework Anwendungsfall

Mehr

Webservices. 1 Einführung 2 Verwendete Standards 3 Web Services mit Java 4 Zusammenfassung. Hauptseminar Internet Dienste

Webservices. 1 Einführung 2 Verwendete Standards 3 Web Services mit Java 4 Zusammenfassung. Hauptseminar Internet Dienste Hauptseminar Internet Dienste Sommersemester 2004 Boto Bako Webservices 1 Einführung 2 Verwendete Standards 3 Web Services mit Java 4 Zusammenfassung Was sind Web Services? Web Services sind angebotene

Mehr

Client/Server-Systeme

Client/Server-Systeme Fachbereich Informatik Projektgruppe KOSI Kooperative Spiele im Internet Client/Server-Systeme Vortragender Jan-Ole Janssen 26. November 2000 Übersicht Teil 1 Das Client/Server-Konzept Teil 2 Client/Server-Architekturen

Mehr

Trusted Network Connect

Trusted Network Connect Trusted Network Connect Workshoptag 22.11.2007 Steffen Bartsch Stephan Gitz Roadmap Ziele der Informationssicherheit Herausforderungen der Informationssicherheit

Mehr

Performance Untersuchung von WS Security Implementierungen in interoperablen Umgebungen

Performance Untersuchung von WS Security Implementierungen in interoperablen Umgebungen Performance Untersuchung von WS Security Implementierungen in interoperablen Umgebungen Master Thesis Outline Eike Falkenberg Im Master Studiengang Informatik Wintersemester 2006 / 2007 Department Informatik

Mehr

Federated Identity Management

Federated Identity Management Federated Identity Management Verwendung von SAML, Liberty und XACML in einem Inter Campus Szenario d.marinescu@gmx.de 1 Fachbereich Informatik Inhalt Grundlagen Analyse Design Implementierung Demo Zusammenfassung

Mehr

Reporting Services Dienstarchitektur

Reporting Services Dienstarchitektur Reporting Services Dienstarchitektur Reporting Services Dienstarchitektur In Reporting Services wird ein Berichtsserver als ein Windows - Dienst implementiert, der aus unterschiedlichen Featurebere i-

Mehr

Smart Meter Gateway: Informationsflusskontrolle und Datenschutz mittels Security Kernel Framework

Smart Meter Gateway: Informationsflusskontrolle und Datenschutz mittels Security Kernel Framework it-sa 2012 Nürnberg, 16.10.2012 Smart Meter Gateway: Informationsflusskontrolle und Datenschutz mittels Security Kernel Framework Michael Gröne Sirrix AG security technologies Agenda Sicherheitsanforderungen

Mehr

Vortrag Sicherheitsanalyse der Übertragung von Energiedaten über offene Netze

Vortrag Sicherheitsanalyse der Übertragung von Energiedaten über offene Netze Vortrag Sicherheitsanalyse der Übertragung von Energiedaten über offene Netze anlässlich des 1. SELMA-Workshops Übertragung von Energiemessdaten über offene Kommunikationssysteme am 5./6. Juni 2002 bei

Mehr

Software Design Patterns. Ausarbeitung über. Security Patterns SS 2004

Software Design Patterns. Ausarbeitung über. Security Patterns SS 2004 Ausarbeitung über SS 2004 Dennis Völker [dv04@hdm-stuttgart.de] Steffen Schurian [ss59@hdm-stuttgart.de] Überblick Sicherheit sollte eine Eigenschaft moderner, verteilter Anwendungen sein, jedoch ist ein

Mehr

Trusted Network Connect. Networking Academy Day 19.04.2008

Trusted Network Connect. Networking Academy Day 19.04.2008 Trusted Network Connect Networking Academy Day 19.04.2008 Dipl.-Inf. Stephan Gitz Roadmap Ziele der Informationssicherheit Herausforderungen der Informationssicherheit Angriffsvektoren

Mehr

Programmierhandbuch SAP NetWeaver* Sicherheit

Programmierhandbuch SAP NetWeaver* Sicherheit Martin Raepple Programmierhandbuch SAP NetWeaver* Sicherheit Galileo Press Bonn Boston Inhalt Vorwort 13 2.1 Sicherheit und serviceorientierte Architekturen 24 2.1.1 Sicherheitsziele der Informationssicherheit

Mehr

Komposition von. von SELinux-Sicherheitspolitiken

Komposition von. von SELinux-Sicherheitspolitiken Komposition von SELinux-Sicherheitspolitiken Anja Fischer Winfried E. Kühnhauser Technische Universität Ilmenau [a.fischer winfried.kuehnhauser]@tu-ilmenau.de Zusammenfassung Moderne Systemplattformen

Mehr

Java und XML 2. Java und XML

Java und XML 2. Java und XML Technische Universität Ilmenau Fakultät für Informatik und Automatisierung Institut für Praktische Informatik und Medieninformatik Fachgebiet Telematik Java und XML Hauptseminar Telematik WS 2002/2003

Mehr

Java Web Services mit Apache Axis2 Entwickler

Java Web Services mit Apache Axis2 Entwickler Thilo Frotscher, Dapeng Wang, Marc Teufel Java Web Services mit Apache Axis2 Entwickler Vorwort 15 1 Einleitung 25 1.1 Entstehung 26 1.2 Unterstützte Standards 28 1.3 Was beinhaltet Axis2? 29 1.4 Warum

Mehr

SOA secure Sicherheitsaspekte Serviceorientierter Architekturen

SOA secure Sicherheitsaspekte Serviceorientierter Architekturen CM Network e.v. 7. Symposium: IT-Sicherheit SOA secure Sicherheitsaspekte Serviceorientierter Architekturen Dipl.-Wirtsch.-Inf. Stefan Krecher stefan@krecher.com Übersicht Service Orientierte Architekturen

Mehr

Technische Beschreibung: EPOD Server

Technische Beschreibung: EPOD Server EPOD Encrypted Private Online Disc Technische Beschreibung: EPOD Server Fördergeber Förderprogramm Fördernehmer Projektleitung Projekt Metadaten Internet Foundation Austria netidee JKU Linz Institut für

Mehr

Guten Tag! CampusSource. Die CSE Integration Platform. CampusSource Engine. Christof Pohl Softwareentwicklung Medienzentrum Universität Dortmund

Guten Tag! CampusSource. Die CSE Integration Platform. CampusSource Engine. Christof Pohl Softwareentwicklung Medienzentrum Universität Dortmund Engine Die CSE Integration Platform Guten Tag! Christof Pohl Softwareentwicklung Medienzentrum Universität Dortmund Integriertes Informationsmanagement mit der Engine - A2A vs. EBI Folie 2 Integration

Mehr

Hochschule Prof. Dr. Martin Leischner Bonn-Rhein-Sieg Netzwerksysteme und TK Modul 7: SNMPv3 Netzmanagement Folie 1

Hochschule Prof. Dr. Martin Leischner Bonn-Rhein-Sieg Netzwerksysteme und TK Modul 7: SNMPv3 Netzmanagement Folie 1 Modul 7: SNMPv3 18.06.2014 14:42:33 M. Leischner Netzmanagement Folie 1 SNMP-Versionen Party-Based SNMP Version 2 (SNMPv2p) User-Based SNMP Version 2 (SNMPv2u) SNMP Version 3 1988 1989 1990 1991 1992 1993

Mehr

Sicherheitsaspekte von Web Services. Hauptseminar Rechnernetze

Sicherheitsaspekte von Web Services. Hauptseminar Rechnernetze Sicherheitsaspekte von Web Services Hauptseminar Rechnernetze Stefan Hennig sh790883@inf.tu-dresden.de 21. Januar 2005 Gliederung Einführung Überblick Sicherheit auf Netzwerk- und Transportebene XML-Sicherheit

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-5

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-5 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen SLA Software Logistik Artland GmbH Friedrichstraße 30 49610 Quakenbrück für das IT-System Meat Integrity Solution

Mehr

SOAP und WSDL in der Praxis. Wie wird SOAP/WSDL verwendet? Heutige Vorlesung. .net. und Apache Axis

SOAP und WSDL in der Praxis. Wie wird SOAP/WSDL verwendet? Heutige Vorlesung. .net. und Apache Axis Heutige Vorlesung SOAP und WSDL in der Praxis Aufbau von WSDL-Beschreibungen Protokoll-Bindungen in WSDL Google-WSDL lesen und erweitern können Vor- und Nachteile von WSDL heute Wie wird SOAP/WSDL verwendet?.net,

Mehr

Sichere Kommunikation für SOAP-basierte Web Services

Sichere Kommunikation für SOAP-basierte Web Services Whitepaper SOA Security Framework Sichere Kommunikation für SOAP-basierte Web Services Holger Junker, BSI, soa@bsi.bund.de Die Sicherheitsanforderungen an SOA Infrastrukturen und den darin stattfindenden

Mehr

Tabelle: Maßnahmen und Datenschutz-Kontrollziele zu Baustein 1.5 Datenschutz

Tabelle: Maßnahmen und Datenschutz-Kontrollziele zu Baustein 1.5 Datenschutz Tabelle: Maßn und Datenschutz-Kontrollziele zu Baustein 1.5 Datenschutz (Verweis aus Maß M 7.5) Basierend auf den IT-Grundschutz-Katalogen Version 2006 Stand: November 2006, Stand der Tabelle: 22.08.07

Mehr

Rollen- und Rechtekonzept

Rollen- und Rechtekonzept Inhaltsverzeichnis Rollen- und Rechtekonzept 1. Ziele...1 2. Konzeption zur Realisierung durch Access Control List und im Management-Interface...2 2.1. Ansatz...2 2.2. Safety oder Security...2 2.3. User-

Mehr

Anwendungen. Tom Vogt.

Anwendungen. Tom Vogt. <tom@lemuria.org> Security Enhanced Linux Einführung Architektur Anwendungen Tom Vogt Der Autor beschäftigt sich seit ca. 10 Jahren mit Linux. hat an verschiedensten Free Software Projekten mitgearbeitet,

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen RWE Effizienz GmbH Flamingoweg 1 44139 Dortmund für das IT-System RWE eoperate IT Services die Erfüllung aller

Mehr

1 Dataport 12.Juli 2007 Internationale Standards zu Identity Management. Deckblatt. Harald Krause

1 Dataport 12.Juli 2007 Internationale Standards zu Identity Management. Deckblatt. Harald Krause 1 Dataport 12.Juli 2007 Internationale Standards zu Identity Management Deckblatt Bremen, E-Government in medias res, 12. Juli 2007 Internationale Standards zu Identity Management 3 Dataport 12.Juli 2007

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen Agfa HealthCare GmbH Konrad-Zuse-Platz 1-3 53227 Bonn für das IT-System IMPAX/web.Access die Erfüllung aller

Mehr

1 Die Active Directory

1 Die Active Directory 1 Die Active Directory Infrastruktur Prüfungsanforderungen von Microsoft: Configuring the Active Directory Infrastructure o Configure a forest or a domain o Configure trusts o Configure sites o Configure

Mehr

Existierende Systeme I Bibliotheken & Frameworks

Existierende Systeme I Bibliotheken & Frameworks Projektgruppe: Generierung von Webanwendungen aus visuellen Spezifikationen Existierende Systeme I Bibliotheken & Frameworks Von Christian Schneider Paderborn, den 18.06.2004 Übersicht Motivation Dynamische

Mehr

shype: Hypervisor Security Architecture

shype: Hypervisor Security Architecture BSI Sicherheitskongress 2005 shype: Hypervisor Security Architecture Reiner Sailer Secure Systems Department IBM T. J. Watson Research Center, NY IBM May 2005 2002 IBM Corporation 2005 IBM Corporation

Mehr

CLOUDCYCLE Ferner integriert der Broker neue Konzepte zur geographischen Eingrenzung der Nutzung von Cloud-Diensten und assoziierter Daten.

CLOUDCYCLE Ferner integriert der Broker neue Konzepte zur geographischen Eingrenzung der Nutzung von Cloud-Diensten und assoziierter Daten. TRusted Ecosystem for Standardized and Open cloud-based Resources Das Vorhaben hat den Aufbau eines Cloud-Ecosystems zum Ziel, welches exemplarisch für den Anwendungsbereich der Patientenversorgung im

Mehr

BIS-Grid: Kommerzieller Einsatz von Grid-Middleware am Beispiel betrieblicher Informationssysteme. Prof. Dr. W. Hasselbring

BIS-Grid: Kommerzieller Einsatz von Grid-Middleware am Beispiel betrieblicher Informationssysteme. Prof. Dr. W. Hasselbring BIS-Grid: Kommerzieller Einsatz von Grid-Middleware am Beispiel betrieblicher Informationssysteme Prof. Dr. OFFIS Institut für Informatik FuE-Bereich Betriebliches Informationsmanagement (BI) Ausgangssituation

Mehr

Systemsicherheit. Lerneinheit 3: Security Enhanced Linux. Prof. Dr. Christoph Karg. Studiengang Informatik Hochschule Aalen. Sommersemester 2015

Systemsicherheit. Lerneinheit 3: Security Enhanced Linux. Prof. Dr. Christoph Karg. Studiengang Informatik Hochschule Aalen. Sommersemester 2015 Systemsicherheit Lerneinheit 3: Security Enhanced Linux Prof. Dr. Christoph Karg Studiengang Informatik Hochschule Aalen Sommersemester 2015 26.4.2015 Übersicht Übersicht Diese Lerneinheit stellt mit Security

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen Deutsche Telekom AG Products & Innovation T-Online-Allee 1 64295 Darmstadt für das IT-System Developer Garden

Mehr

Microsoft.NET und SunONE

Microsoft.NET und SunONE Microsoft.NET und SunONE, Plattformen und Application Service Providing Agenda Einordnung.NET und SunONE Kurzvorstellung Gegenüberstellung Zusammenfassung ASP (Application( Service Providing) ) und Ausblick

Mehr

Liste der Handbücher. Liste der Benutzerhandbücher von MEGA

Liste der Handbücher. Liste der Benutzerhandbücher von MEGA Liste der Handbücher Liste der Benutzerhandbücher von MEGA MEGA 2009 SP4 1. Ausgabe (Juni 2010) Die in diesem Dokument enthaltenen Informationen können jederzeit ohne vorherige Ankündigung geändert werden

Mehr

Securing SOAP e-services

Securing SOAP e-services Securing SOAP e-services Nilson Reyes Sommersemester 2004 aus: E. Damiani, S. De Capitani di Vermercati, S. Paraboschi, P. Samarati, Securing SOAP e-sservices, IJIS, Ausgabe 1 (2002), S.110-115. Gliederung

Mehr

PENETRATIONSTESTS BEI WEB- SERVICES

PENETRATIONSTESTS BEI WEB- SERVICES BSI GRUNDSCHUTZTAG 2014 PENETRATIONSTESTS BEI WEB- SERVICES Dominik Oepen 1 GS-WEB-SERVICES ABGRENZUNG Web-Services Schnittstelle zum automatisierten Aufruf Aufruf durch Programme (auch andere Web-Services)

Mehr

Web Services stellen eine Integrationsarchitektur dar, die die Kommunikation zwischen verschiedenen Anwendungen

Web Services stellen eine Integrationsarchitektur dar, die die Kommunikation zwischen verschiedenen Anwendungen 9 3 Web Services 3.1 Überblick Web Services stellen eine Integrationsarchitektur dar, die die Kommunikation zwischen verschiedenen Anwendungen mit Hilfe von XML über das Internet ermöglicht (siehe Abb.

Mehr

<mail@carstengrohmann.de> Security Enhanced Linux Eine Einführung Tom Vogt Carsten Grohmann Überblick Was ist SELinux? Erweiterung des Kernels Was bietet SELinux? Kapslung von Programmen

Mehr

Enterprise Applikation Integration und Service-orientierte Architekturen. 08 Einführung Service-Orientierte Architekturen

Enterprise Applikation Integration und Service-orientierte Architekturen. 08 Einführung Service-Orientierte Architekturen Enterprise Applikation Integration und Service-orientierte Architekturen 08 Einführung Service-Orientierte Architekturen Ist SOA immer noch aktuell? Prof. Dr. Holger Wache http://bhc3.files.wordpress.com/2009/07/gartner-emerging-technologies-hype-cycle-2009.png?w=552&h=451

Mehr

Java Web Services mit Apache Axis2

Java Web Services mit Apache Axis2 Thilo Frotscher, Marc Teufel, Dapeng Wang Java Web Services mit Apache Axis2 ntwickier Vorwort 13 Wer sollte dieses Buch lesen? 14 Aufbau 14 Wichtiger Hinweis zu den Listings 16 Feedback 16 Danksagung

Mehr

Inhaltsverzeichnis. Matthias Fischer, Jörg Krause. Windows Communication Foundation (WCF) Verteilte Systeme und Anwendungskopplung mit.

Inhaltsverzeichnis. Matthias Fischer, Jörg Krause. Windows Communication Foundation (WCF) Verteilte Systeme und Anwendungskopplung mit. sverzeichnis Matthias Fischer, Jörg Krause Windows Communication Foundation (WCF) Verteilte Systeme und Anwendungskopplung mit.net Herausgegeben von Holger Schwichtenberg ISBN: 978-3-446-41043-5 Weitere

Mehr

Dynamische Web-Anwendung

Dynamische Web-Anwendung Dynamische Web-Anwendung Christiane Lacmago Seminar Betriebssysteme und Sicherheit Universität Dortmund WS 02/03 Gliederung Einleitung Definition und Erläuterung Probleme der Sicherheit Ziele des Computersysteme

Mehr

Sie erhalten einen kurzen Überblick über die verschiedenen Domänenkonzepte.

Sie erhalten einen kurzen Überblick über die verschiedenen Domänenkonzepte. 4 Domänenkonzepte Ziele des Kapitels: Sie verstehen den Begriff Domäne. Sie erhalten einen kurzen Überblick über die verschiedenen Domänenkonzepte. Sie verstehen die Besonderheiten der Vertrauensstellungen

Mehr

Sicherheit in Workflow-Management-Systemen

Sicherheit in Workflow-Management-Systemen Sicherheit in Workflow-Management-Systemen Fakultät für Informatik Institut für Programmstrukturen und Datenorganisation KIT University of the State of Baden-Wuerttemberg and National Research Center of

Mehr

Beuth Hochschule BEUTH HOCHSCHULE FÜR TECHNIK BERLIN University of Applied Sciences

Beuth Hochschule BEUTH HOCHSCHULE FÜR TECHNIK BERLIN University of Applied Sciences Beuth Hochschule BEUTH HOCHSCHULE FÜR TECHNIK BERLIN University of Applied Sciences WISSENSCHAFTLICHE WEITERBILDUNG Fernstudium Industrial Engineering Produktions- und Betriebstechnik Kurseinheit 98 und

Mehr

Albert HAYR Linux, IT and Open Source Expert and Solution Architect. Open Source professionell einsetzen

Albert HAYR Linux, IT and Open Source Expert and Solution Architect. Open Source professionell einsetzen Open Source professionell einsetzen 1 Mein Background Ich bin überzeugt von Open Source. Ich verwende fast nur Open Source privat und beruflich. Ich arbeite seit mehr als 10 Jahren mit Linux und Open Source.

Mehr

OTRS-TFS-Konnektor. Whitepaper. Autor: advanto Software GmbH Mittelstraße 10 39114 Magdeburg

OTRS-TFS-Konnektor. Whitepaper. Autor: advanto Software GmbH Mittelstraße 10 39114 Magdeburg OTRS-TFS-Konnektor Whitepaper Autor: advanto Software GmbH Mittelstraße 10 39114 Magdeburg Tel: 0391 59801-0 Fax: 0391 59801-10 info@advanto-software.de Stand: Mai 2015 Inhaltsverzeichnis 1 Idee... 3 2

Mehr

Grundlagen des Datenschutzes und der IT-Sicherheit (Teil 2d) Vorlesung im Sommersemester 2014 an der Universität Ulm von Bernhard C.

Grundlagen des Datenschutzes und der IT-Sicherheit (Teil 2d) Vorlesung im Sommersemester 2014 an der Universität Ulm von Bernhard C. Vorlesung im Sommersemester 2014 an der Universität Ulm von 2. Grundlagen der IT-Sicherheit Grundlagen der IT-Sicherheit Geschichte des Datenschutzes Anforderungen zur IT-Sicherheit Datenschutzrechtliche

Mehr

Geschäftsprozesse & IT

Geschäftsprozesse & IT Geschäftsprozesse & IT Prof. Dr. Udo Bleimann, Direktor aida Prof. Dr. Günter Turetschek, Direktor aida Was sind Geschäftsprozesse? IT Grundlagen Einsatzszenarien, Risiken Geschäftsprozessmanagement Ausgangslage

Mehr

Windows Server 2008 für die RADIUS-Authentisierung einrichten

Windows Server 2008 für die RADIUS-Authentisierung einrichten Windows Server 2008 für die RADIUS-Authentisierung einrichten Version 0.2 Die aktuellste Version dieser Installationsanleitung ist verfügbar unter: http://www.revosec.ch/files/windows-radius.pdf Einleitung

Mehr

Seminar Grid-Computing. Oktay Tugan, WS 2006/07 SICHERHEIT

Seminar Grid-Computing. Oktay Tugan, WS 2006/07 SICHERHEIT Seminar Grid-Computing Oktay Tugan, WS 2006/07 SICHERHEIT Überblick Motivation Sicherheitsfunktionen und Schwierigkeiten Anforderungen Beispiel GSI Weitere Sicherheitsmechanismen Gesellschaftliche Probleme

Mehr

Web Services und Sicherheit

Web Services und Sicherheit Autoren: Kristian Kottke, Christian Latus, Cristina Murgu, Ognyan Naydenov Folie 1 Agenda Sicherheitsprobleme von Web Services Lösungsansätze Sicherheitsmechanismen des Java Application Servers Autorisation

Mehr

Sicherheitskonzepte in SOA auf Basis sicherer Webservices

Sicherheitskonzepte in SOA auf Basis sicherer Webservices HAW Hamburg Seminarvortrag - 16.12.2005 Thies Rubarth Folie 1 Sicherheit machen wir später...... wie hätt's auch anders sein sollen? Sicherheitskonzepte in SOA auf Basis sicherer Webservices Thies Rubarth

Mehr

Ein E-Business Software Framework für die Lehre. Jürgen Wäsch / Thomas Dietrich / Oliver Haase

Ein E-Business Software Framework für die Lehre. Jürgen Wäsch / Thomas Dietrich / Oliver Haase 7. TAG DER LEHRE 22. NOVEMBER 2007 HOCHSCHULE BIBERACH Ein E-Business Software Framework für die Lehre Jürgen Wäsch / Thomas Dietrich / Oliver Haase Motivation und Problemstellung Heutige E-Business Anwendungssysteme

Mehr

Die Telematikinfrastruktur als sichere Basis im Gesundheitswesen

Die Telematikinfrastruktur als sichere Basis im Gesundheitswesen Die Telematikinfrastruktur als sichere Basis im Gesundheitswesen conhit Kongress 2014 Berlin, 06.Mai 2014 Session 3 Saal 3 Gesundheitsdaten und die NSA Haben Patienten in Deutschland ein Spionageproblem?

Mehr

Ein Vergleich zwischen SCA,JBI und WCF. Marcello Volpi

Ein Vergleich zwischen SCA,JBI und WCF. Marcello Volpi Service Component Architecture Ein Vergleich zwischen SCA,JBI und WCF Marcello Volpi Agenda Einführung Service Component Architecture (SCA) Java Business Integration (JBI) Windows Communication Foundation

Mehr

Identity-Management flexible und sichere Berechtigungsverwaltung

Identity-Management flexible und sichere Berechtigungsverwaltung Identity-Management flexible und sichere Berechtigungsverwaltung Neue Herausforderungen im nationalen und internationalen Einsatz erfordern dynamische IT- Prozesse Bonn, 06. November 2009 Herausforderungen

Mehr

Inhalt. Vorwort 13. L.., ',...":%: " j.

Inhalt. Vorwort 13. L.., ',...:%:  j. Inhalt Vorwort 13 L.., ',...":%: " j. 1. '-.:. ' " '.!. \, : - '. - * T '. ; - J A '.. ' I '",. - ' :'. ",..! :'. " ','. '.. ' t i ' ~ J \ I -.. I. j ' - ' V "!» " J f i " 1 1 * V. " ^ ' ' ' -.» ; ' ',

Mehr

Benutzerhandbuch für die Verwendung des viavac HL7 Forcast Webservices (VAC-CDSS)

Benutzerhandbuch für die Verwendung des viavac HL7 Forcast Webservices (VAC-CDSS) Benutzerhandbuch für die Verwendung des viavac HL7 Forcast Webservices (VAC-CDSS) Inhaltsverzeichnis Zweck des Dokuments... 2 Verwendung des Dokuments... 2 Referenzierte Dokumente... 2 Übersicht...3 Allgemeine

Mehr

A Generic Database Web Service for the Venice Lightweight Service Grid

A Generic Database Web Service for the Venice Lightweight Service Grid A Generic Database Web Service for the Venice Lightweight Service Grid Michael Koch Bachelorarbeit Michael Koch University of Kaiserslautern, Germany Integrated Communication Systems Lab Email: m_koch2@cs.uni-kl.de

Mehr

Einführung in Generatives Programmieren. Bastian Molkenthin

Einführung in Generatives Programmieren. Bastian Molkenthin Einführung in Generatives Programmieren Bastian Molkenthin Motivation Industrielle Entwicklung *!!*,(% % - #$% #!" + '( & )!* Softwareentwicklung Rückblick auf Objektorientierung Objektorientierte Softwareentwicklung

Mehr

CIB DOXIMA PRODUKTINFORMATION

CIB DOXIMA PRODUKTINFORMATION > CIB Marketing CIB DOXIMA PRODUKTINFORMATION Dokumentenmanagement & Dokumentenarchivierung > Stand: Januar 2013 INHALT 1 CIB DOXIMA 2 1.1 The next generation DMS 3 1.2 Dokumente erfassen Abläufe optimieren

Mehr

Mainframe Internet Integration. Prof. Dr. Martin Bogdan Prof. Dr.-Ing. Wilhelm G. Spruth SS2013. WebSphere Application Server Teil 4

Mainframe Internet Integration. Prof. Dr. Martin Bogdan Prof. Dr.-Ing. Wilhelm G. Spruth SS2013. WebSphere Application Server Teil 4 UNIVERSITÄT LEIPZIG Mainframe Internet Integration Prof. Dr. Martin Bogdan Prof. Dr.-Ing. Wilhelm G. Spruth SS2013 WebSphere Application Server Teil 4 Leistungsverhalten el0100 copyright W. G. Spruth,

Mehr

Grundsätzliche Struktur und Entwurfsprinzipien des Gesamtsystems. Grundsätzliche Struktur und Entwurfsprinzipien der einzelnen Pakete

Grundsätzliche Struktur und Entwurfsprinzipien des Gesamtsystems. Grundsätzliche Struktur und Entwurfsprinzipien der einzelnen Pakete Allgemeines 2 Produktübersicht 2 Grundsätzliche Struktur und Entwurfsprinzipien des Gesamtsystems 3 Grundsätzliche Struktur und Entwurfsprinzipien der einzelnen Pakete Account-Verwaltung 5 Freund-Funktionen

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 9.0

Sicherheitstechnische Qualifizierung (SQ), Version 9.0 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen RWE Effizienz GmbH Freistuhl 7 44137 Dortmund für den Webshop RWE SmartHome Shop die Erfüllung aller Anforderungen

Mehr

Sicherheitsaspekte unter Windows 2000

Sicherheitsaspekte unter Windows 2000 Sicherheitsaspekte unter Windows 2000 Margarete Kudak Sascha Wiebesiek 1 Inhalt 1. Sicherheit 1.1 Definition von Sicherheit 1.2 C2 - Sicherheitsnorm 1.3 Active Directory 2. Sicherheitslücken 3. Verschlüsselung

Mehr

Entwicklung eines Scheduling-Verfahrens zur Optimierung der Reihenfolge von Prototypentests. Masterarbeit

Entwicklung eines Scheduling-Verfahrens zur Optimierung der Reihenfolge von Prototypentests. Masterarbeit Entwicklung eines Scheduling-Verfahrens zur Optimierung der Reihenfolge von Prototypentests Masterarbeit zur Erlangung des akademischen Grades Master of Science (M.Sc.) im Masterstudiengang Wirtschaftswissenschaft

Mehr

Gliederung. 1. Einleitung (1) 1. Einleitung (3) 1. Einleitung (2)

Gliederung. 1. Einleitung (1) 1. Einleitung (3) 1. Einleitung (2) Referat im Rahmen des Proseminars Internettechnologie WS 2007/2008 Thema: Web Services und serviceorientierte Architekturen (SOA) vorgelegt von: Intelligente Web Services sind für das Informationszeitalter,

Mehr

Seminarvortrag Serviceorientierte Softwarearchitekturen

Seminarvortrag Serviceorientierte Softwarearchitekturen Seminarvortrag Serviceorientierte Softwarearchitekturen vorhandene Altsysteme Gliederung Einführung Grundlegende Modelle Grundlegende Komponenten Architekturen 2 Einführung Altanwendung und Altsysteme?

Mehr

White Paper. Domänenübergreifende Lizenzprüfung. 2013 Winter Release

White Paper. Domänenübergreifende Lizenzprüfung. 2013 Winter Release White Paper Domänenübergreifende Lizenzprüfung 2013 Winter Release Copyright Fabasoft R&D GmbH, A-4020 Linz, 2012. Alle Rechte vorbehalten. Alle verwendeten Hard- und Softwarenamen sind Handelsnamen und/oder

Mehr

Sicherheit in Rich Internet Applications

Sicherheit in Rich Internet Applications Sicherheit in Rich Internet Applications Florian Kelbert 14.02.2008 Seite 2 Sicherheit in Rich Internet Applications Florian Kelbert 14.02.2008 Inhaltsverzeichnis Grundlagen Ajax und Mashups Adobe Flash-Player

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 9.0

Sicherheitstechnische Qualifizierung (SQ), Version 9.0 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen RWE Effizienz GmbH Freistuhl 7 44137 Dortmund für die Firewall- und Serverinstallation SmartHome Backend und

Mehr

6. Modellierung von Informationssystemen. 6.1 Einleitung 6.2 Konzeptuelles Modell 6.3 OASIS Spezifikation 6.4 Execution Model 6.

6. Modellierung von Informationssystemen. 6.1 Einleitung 6.2 Konzeptuelles Modell 6.3 OASIS Spezifikation 6.4 Execution Model 6. 6. Modellierung von Informationssystemen Spezialseminar Matr. FS 2000 1/10 Volker Dobrowolny FIN- ITI Quellen: Oscar Pastor, Jaime Gomez, Emilio Insfran, Vicente Pelechano The OO-Method approach for information

Mehr

Entwicklung von Web-Anwendungen auf JAVA EE Basis

Entwicklung von Web-Anwendungen auf JAVA EE Basis Entwicklung von Web-Anwendungen auf JAVA EE Basis Java Enterprise Edition - Überblick Prof. Dr. Bernhard Schiefer Inhalt der Veranstaltung Überblick Java EE JDBC, JPA, JNDI Servlets, Java Server Pages

Mehr

1 Einleitung. 1.1 Caching von Webanwendungen. 1.1.1 Clientseites Caching

1 Einleitung. 1.1 Caching von Webanwendungen. 1.1.1 Clientseites Caching 1.1 Caching von Webanwendungen In den vergangenen Jahren hat sich das Webumfeld sehr verändert. Nicht nur eine zunehmend größere Zahl an Benutzern sondern auch die Anforderungen in Bezug auf dynamischere

Mehr

Autorisierung. Sicherheit und Zugriffskontrolle & Erstellen einer Berechtigungskomponente

Autorisierung. Sicherheit und Zugriffskontrolle & Erstellen einer Berechtigungskomponente Autorisierung Sicherheit und Zugriffskontrolle & Erstellen einer Berechtigungskomponente Dokumentation zum Referat von Matthias Warnicke und Joachim Schröder Modul: Komponenten basierte Softwareentwickelung

Mehr

Zahlungs-Online-Banking-Webseite

Zahlungs-Online-Banking-Webseite Anlage Zahlungs-Online-Banking-Webseite Im Online-Handel haben sich verschiedene Bezahlverfahren etabliert. In den letzten Jahren ist die sogenannte Online-Überweisung hinzugekommen. Hierbei können Kunden

Mehr

FAKULTÄT FÜR INFORMATIK DER TECHNISCHEN UNIVERSITÄT MÜNCHEN

FAKULTÄT FÜR INFORMATIK DER TECHNISCHEN UNIVERSITÄT MÜNCHEN FAKULTÄT FÜR INFORMATIK DER TECHNISCHEN UNIVERSITÄT MÜNCHEN Master s Thesis in Wirtschaftsinformatik Anwenderunabhängige Flugdatenschnittstelle basierend auf Web Services am Beispiel der Flughafen München

Mehr

Nutzung und Erweiterung von IT-Standards zur Realisierung von Authentifizierung und Zugriffsschutz für Geo Web Services

Nutzung und Erweiterung von IT-Standards zur Realisierung von Authentifizierung und Zugriffsschutz für Geo Web Services Nutzung und Erweiterung von IT-Standards zur Realisierung von Authentifizierung und Zugriffsschutz für Geo Web Services Universität der Bundeswehr München Was erwartet Sie in diesem Vortrag? Thema 4 Thema

Mehr

Java 2, Enterprise Edition Einführung und Überblick

Java 2, Enterprise Edition Einführung und Überblick Universität aiserslautern AG Datenbanken und Informationssysteme Seminar Datenbank-Aspekte des E-Commerce Java 2, Enterprise Edition Einführung und Überblick m_husema@informatik.uni-kl.de Vortragsinhalte

Mehr

Starke Authentifizierung für den sicheren Zugriff auf IT-Ressourcen in Föderationen

Starke Authentifizierung für den sicheren Zugriff auf IT-Ressourcen in Föderationen Starke Authentifizierung für den sicheren Zugriff auf IT-Ressourcen in Föderationen forflex-tagung 2011 27.05.2011 Dipl.-Wirtsch.Inf. Christian Senk Dipl.-Wirtsch.Inf. Christian Senk Agenda 1. Problemstellung

Mehr

.NET-Networking 2 Windows Communication Foundation

.NET-Networking 2 Windows Communication Foundation .NET-Networking 2 Windows Communication Foundation Proseminar Objektorientiertes Programmieren mit.net und C# Fabian Raab Institut für Informatik Software & Systems Engineering Agenda Grundproblem Bestandteile

Mehr

IT-Sicherheit. 1. Einführung und organisatorische Sicherheit. 2. Datenschutz und Nicht-technische Datensicherheit. 3. Identity Management

IT-Sicherheit. 1. Einführung und organisatorische Sicherheit. 2. Datenschutz und Nicht-technische Datensicherheit. 3. Identity Management IT-Sicherheit 1. Einführung und organisatorische Sicherheit 2. Datenschutz und Nicht-technische Datensicherheit 3. Identity Management 4. Angewandte IT Sicherheit 5. Praktische IT Sicherheit 1. Einführung

Mehr

TeleTrusT-interner Workshop. Nürnberg, 21./22.06.2012

TeleTrusT-interner Workshop. Nürnberg, 21./22.06.2012 TeleTrusT Bundesverband IT-Sicherheit e.v. TeleTrusT Bundesverband IT-Sicherheit e.v. Der IT-Sicherheitsverband e.v. TeleTrusT-interner Workshop Nürnberg, 21./22.06.2012 TeleTrusT Bundesverband IT-Sicherheit

Mehr

staffitpro WEB Produkte und Lizenzen (Kauf) (Ergänzung zu Allgemeine Geschäftsbedingungen audeosoft GmbH staffitpro Web-Kauf )

staffitpro WEB Produkte und Lizenzen (Kauf) (Ergänzung zu Allgemeine Geschäftsbedingungen audeosoft GmbH staffitpro Web-Kauf ) staffitpro WEB Produkte und Lizenzen (Kauf) (Ergänzung zu Allgemeine Geschäftsbedingungen audeosoft GmbH staffitpro Web-Kauf ) Verantwortlich für den Inhalt: audeosoft GmbH, Kreuzberger Ring 44a, 65205

Mehr

Sicher ins E-Business. E-Security Lösungen

Sicher ins E-Business. E-Security Lösungen Sicher ins E-Business E-Security Lösungen Die E-Security Services Sicherheit erreicht man nicht, indem man Zäune errichtet, Sicherheit gewinnt man, indem man Tore öffnet. Urho Kekkonen (1900-86), finn.

Mehr

Business Process Execution Language. Christian Vollmer Oliver Garbe

Business Process Execution Language. Christian Vollmer <christian.vollmer@udo.edu> Oliver Garbe <oliver.garbe@udo.edu> Business Process Execution Language Christian Vollmer Oliver Garbe Aufbau Was ist BPEL? Wofür ist BPEL gut? Wie funktioniert BPEL? Wie sieht BPEL aus?

Mehr

Themen. Web Services und SOA. Stefan Szalowski Daten- und Online-Kommunikation Web Services

Themen. Web Services und SOA. Stefan Szalowski Daten- und Online-Kommunikation Web Services Themen Web Services und SOA Wer kennt den Begriff Web Services? Was verstehen Sie unter Web Services? Die Idee von Web Services Ausgangspunkt ist eine (evtl. schon bestehende) Software Anwendung oder Anwendungskomponente

Mehr