direkt zum Inhalt springen

direkt zum Hauptnavigationsmenü

Logo der TU Berlin

Absicherung von Diensten

Semester: Wintersemester 2007/2008
Art:Projekt, 6 LP / 6 SWS
LV-Nr.:0435 L 744
Zeit:Di. 14-16 Uhr, erster Termin am 23.10.2007
Raum: MA 545
Dozent:Karsten Bsufka
Bemerkung:Bachelor-Modul B-SOA-W07, Vertiefungsveranstaltung im Hauptstudium (KI, BKS)

 

Zu dieser Lehrveranstaltung anmelden!

Beschreibung

Anhand einer Beispielanwendung werden im Projekt Web Services entwicklet, Sicherheitsziele identifiziert und Sicherheitsmechanismen umgesetzt. Die implementierten Sicherheitsmechanismen werden auf die Erfüllung der Sicherheitsziele hingeprüft.

Im Rahmen des Projektes wird das folgende Szenario realisiert und die einzelnen Arbeitsgruppen übernehmen darin die Rolle der Firmen AvD und AHWW:

STAR Labs (Science Teaching and Research Labor), ein neues Forschungslabor an der Technischen Universität, möchte ein System zur Verwaltung seiner Lehrveranstaltungen aufsetzen. Dieses System soll die folgenden Funktionen anbieten:

  • Studenten sollen sich registrieren und deregistrieren können.
  • Studenten sollen sich zu Lehrveranstaltungen an- und abmelden können.
  • Studenten sollen ihre Noten einsehen können (Fortschritts- und Abschlussnoten)
  • Lehrveranstalter sollen Lehrveranstaltungen anlegen und entfernen können
  • Lehrveranstalter sollen Studenten zu Lehrveranstaltungen hinzufügen und wieder entfernen können
  • Lehrveranstalter sollen Studenten für einzelne Lehrveranstaltungen bewerten können

 

Als modernes Forschungslabor hat die Laborleitung entschieden die Verwaltung des Lehrangebotes mit Hilfe von service-orientierten Technologien zu realisieren und hat das junge Start-Up Unternehmen AvD mit der Realisierung beauftragt.

Weiterhin wünschen die STAR Labs eine unabhängige Evaluierung der Sicherheit der Lehrangebotsverwaltung durch die Sicherheitsfirma AHWW (Alle Herstellertest müssen wiederholt werden).

Lernziele

Theoretische Grundlagen:

Die Studierenden sollen mit den theoretischen Grundlagen der service-orientierter Technologien und der Entwicklung sicherer service-orientierter Anwendungen, vertraut werden.

Anwendungsmöglichkeiten:

Am Ende der Veranstaltung soll es den Studierenden möglich sein, sichere Web Service Anwendungen zu entwicklen. Außerdem sollen sie sich den Schwierigkeiten bewußt werden, denen sie bei der Entwicklung von sicherern Web Service Anwendungen ausgesetzt sind.

Eingesetzte Technologien:

Im Rahmen des Projektes werden die folgenden Technologien eingesetzt:

  • Axis2
  • Tomcat 6.x
  • Maven 2
  • Spring Framework
  • Subversion

Veranstaltungskalender

Termin Thema Inhalte und Lernziele
23.10.2007 Organisatorisches, Sicherheit und Web-Services: Wieso, weshalb, warum? Es soll klar werden wofür Web-Services gut sind und warum Sicherheit nötig ist und welche Herausforderungen vorhanden sind.
30.10.2007 Entwicklung einer service-orientierten Anwendung In der Lage sein eine Web Service Anwendung zu implementieren.
06.11.2007 Common Criteria Sicherheitsevaluation von Software am Beispiel JIAC IV. Bezug zum Projekt-Szenario herstellen können.
13.11.2007 Web Service Security Ãœbersicht auf XML und Web Service Standards im Kontext von Sicherheit.
20.11.2007 Prototyp Vorstellung der bisherigen Implementierung.
27.11.2007 Web Service Security Standards Vertiefende Präsentation einiger ausgewählter Web Services Securits Standards.
04.12.2007 Sicherheitsziele Sinn und Zweck von Sicherheitszielen für Softwareprodukte verstehen.
11.12.2007 Web Service Security Design Pattern Nutzung von Security Design Pattern erlernen.
18.12.2007 Testen Sinn und Zweck von Sicherheitszielen für Softwareprodukte verstehen und wie diese getestet werden können:

  • Sinn und Zweck von Tests
  • Testarten
  • Automatisiertes Testen von Software
  • Manuelles Testen von Software
  • Testen von Sicherheitsfunktionalitäten
Weihnachten    
08.01.2008 Sicherer Prototyp Vorstellung der bisherigen Implementierung, inklusive der implementierten Sicherheitsmechanismen.
15.01.2008 Testpläne Verwendung von Testplänen.
22.01.2008 Testspezifikationen Verwendung von Testspezifikationen.
29.01.2008 Testen II Agent-Oriented Software Engineering ist Software Engineering für Durchführung von Tests und Vorstellung von Testprotokollen.
05.02.2008 Penetrationstests Penetrationstests durchführen für Anwendungen anderer Gruppen.
12.02.2008 Abschlusstermin Zusammenfassung der Projektarbeit vorstellen, mit gesammelten Erfahrungen und Bewertungen.

Voraussetzungen

Abgeschlossenes Vordiplom in Informatik oder einer verwandten Studienrichtung (für Diplom-Studenten).

Für das Projekt werden Java Kenntnisse vorausgesetzt.

Prüfungsmodalitäten, Anforderungen

Diese Lehrveranstaltung kann in eine Prüfung in den Bereichen KI und BKS eingebracht werden.

 

Die Note im Projekt setzt sich aus mehreren Teilnoten zusammen, die unterschiedliche gewichtet in die Gesamtnote einfließen:

  • Implementierung der Web Services (10 %)
    • Vorstellung der Implementierung (40 %)
    • Code-Review/Analyse (60 %)
  • Vorträge (20 %)
    • Web Service Security Standards (50 %)
    • Design Pattern (50 %)
  • Implementierung Sicherheitsmechanismen (30 %)
    • Sicherheitsziele in der Anwendung (30 %)
    • Vorstellung der Implementierung (20 %)
    • Code-Review/Analyse (50 %)
  • Eigene Tests (20 %)
    • Testpläne (35 %)
    • Testspezifikationen (35 %)
    • Durchführung von Tests und Vorstellung von Testprotokollen (30 %)
  • Penetrationtests (10 %)
  • Abschlussbericht und -präsentation (10 %)
    • Bericht (50 %)
    • Präsentation (50 %)

Weitere Informationen

Wenn Sie ein registierter Nutzer und eingeloggt sind, finden Sie unter Insider weitere Informationen. Anmelden können Sie sich hier, registrieren ganz oben auf dieser Seite.

Literatur

Als Basis-Literatur für dieses Projekt dient O'Neill 2003 (oneill:2003:wss), die andere Quellen dienen als Vertiefung für ausgewählte Implementierungsaufgaben und Einstiegsliteratur für einzelne Vorträge. Die nachfolgenden Literaturreferenzen stehen auch als BiBTeX Datei zur Verfügung.

 

Arkin, B., Stender, S. & McGraw, G. Software Penetration Testing 2005 IEEE Security and Privacy   article DOI  
Barnum, S. & McGraw, G. Knowledge for Software Security 2005 IEEE Security and Privacy   article DOI  
Bishop, M. Introduction to Computer Security 2004   book  
Bishop, M. Computer Security -- Art and Science 2003   book  
Chess, B. & McGraw, G. Static Analysis for Security 2004 IEEE Security and Privacy   article DOI  
Epstein, J., Matsumoto, S. & McGraw, G. Software Security and SOA: Danger, Will Robinson! 2006 IEEE Security and Privacy   article DOI  
Frotscher, T., Teufel, M. & Wang, D. Java Web Services mit Apache Axis2 2007   book  
Hope, P., McGraw, G. & Anton, A. I. Misuse and Abuse Cases: Getting Past the Positive 2004 IEEE Security and Privacy   article DOI  
McGraw, G. Software Security 2004 IEEE Security and Privacy   article DOI  
Mead, N. R. & McGraw, G. A Portal for Software Security 2005 IEEE Security and Privacy   article DOI  
O'Neill, M., Hallam-Baker, P., Cann, S. M., Shema, M., Simon, E., Watters, P. A. & White, A. Web Services Security 2003   book  
OASIS Security Assertion Markup Language (SAML) V2.0 Technical Overview 2006   misc URL  
OASIS Profiles for the OASIS Security Assertion Markup Language (SAML) V2.0 2005   misc URL  
OASIS Core and hierarchical role based access control (RBAC) profile of XACML v2.0 2005   misc URL  
OASIS eXtensible Access Control Markup Language (XACML) Version 2.0 2005   misc URL  
OASIS Technical Committee Web Service Security (WSS) Web Services Security Rights Expression Language (REL) Token Profile 1.1 2006   misc URL  
OASIS Technical Committee Web Service Security (WSS) Web Services Security: SAML Token Profile 1.1 2006   misc URL  
OASIS Technical Committee Web Service Security (WSS) Web Services Security SOAP Messages with Attachments (SwA) Profile 1.1 2006   misc URL  
OASIS Technical Committee Web Service Security (WSS) Web Services Security UsernameToken Profile 1.1 2006   misc URL  
OASIS Technical Committee Web Service Security (WSS) Web Services Security: SOAP Message Security 1.1 (WS-Security 2004) 2006   misc URL  
OASIS Technical Committee Web Service Security (WSS) Web Services Security X.509 Certificate Token Profile 1.1 2006   misc URL  
OASIS Web Service Secure Exchange TC WS-Trust 1.3 2007   misc URL  
OASIS Web Services Secure Exchange TC WS-SecurityPolicy 1.2 2007   misc URL  
OASIS Web Services Secure Exchange TC WS-SecureConversation 1.3 2007   misc URL  
Potter, B. & McGraw, G. Software Security Testing 2004 IEEE Security and Privacy   article DOI  
Schumacher, M., Fernandez-Buglioni, E., Hybertson, D., Buschmann, F. & Sommerlad, P. Security Patterns - Integrating Security and Systems Engineering 2005   book  
Steel, C., Nagappan, R. & Lai, R. core Security Patterns - Best Practices and Strategies for J2EE, Web Services, and Identity Management 2006   book  
Steven, J. Adopting an Enterprise Software Security Framework 2006 IEEE Security and Privacy   article DOI  
Taylor, D. & McGraw, G. Adopting a Software Security Improvement Program 2005 IEEE Security and Privacy   article DOI  
Tsipenyuk, K., Chess, B. & McGraw, G. Seven Pernicious Kingdoms: A Taxonomy of Software Security Errors 2005 IEEE Security and Privacy   article DOI  
Verdon, D. & McGraw, G. Risk Analysis in Software Design 2004 IEEE Security and Privacy   article DOI  
W3C SOAP Version 1.2 Part 1: Messaging Framework (Second Edition) 2007   misc URL  
W3C SOAP Version 1.2 Part 2: Adjuncts (Second Edition) 2007   misc URL  
W3C SOAP Version 1.2 Part 0: Primer (Second Edition) 2007   misc URL  
W3C Web Services Description Language (WSDL) Version 2.0 Part 1: Core Language 2007   misc URL  
W3C Web Services Description Language (WSDL) Version 2.0 Part 2: Adjuncts 2007   misc URL  
W3C Web Services Description Language (WSDL) Version 2.0 Part 0: Primer 2007   misc URL  
W3C Web Services Policy 1.5 - Framework 2007   misc URL  
W3C Web Services Policy 1.5 - Primer 2007   misc URL  
W3C Web Services Addressing 1.0 - Core 2006   misc URL  
W3C Web Services Addressing 1.0 - SOAP Binding 2006   misc URL  
W3C XML Key Management Specification (XKMS 2.0) Bindings 2005   misc URL  
W3C XML Key Management Specification (XKMS 2.0) 2005   misc URL  
W3C Web Services Architecture 2004   misc URL  
W3C Web Services Glossary 2004   misc URL  
W3C Web Services Architecture Requirements 2004   misc URL  
W3C XML Key Management (XKMS 2.0) Requirements 2003   misc URL  
Web Services-Interoperability Organization (WS-I) Basic Security Profile Version 1.0 2007   misc URL  
Web Services-Interoperability Organization (WS-I) Basic Profile Version 1.0 2004   misc URL  
van Wyk, K. R. & McGraw, G. Bridging the Gap between Software Development and Information Security 2005 IEEE Security and Privacy   article DOI  

 

Created by JabRef.

 

 

Informationen zum Modul

  • Dieses Modul kann sowohl von Studenten im Diplom als auch in den Bachelorstudiengängen Informatik und Technische Informatik belegt werden.
  • Dieses Projekt ist eine Alternative (Wahlpflichtanteil) von insgesamt 5 Projekten, die im Winter- und Sommersemester für dieses Modul angeboten werden.
  • Im Masterstudiengang kann diese Veranstaltung nicht belegt werden!
  • Weitere Informationen zum Modul (MINF-KT-AC.W07)