Absicherung von Diensten
| Semester: | Wintersemester 2007/2008 |
| Art: | Projekt, 6 LP / 6 SWS |
| LV-Nr.: | 0435 L 744 |
| Zeit: | Di. 14-16 Uhr, erster Termin am 23.10.2007 |
| Raum: | MA 545 |
| Dozent: | Karsten Bsufka |
| Bemerkung: | Bachelor-Modul B-SOA-W07, Vertiefungsveranstaltung im Hauptstudium (KI, BKS) |
Zu dieser Lehrveranstaltung anmelden!
Beschreibung
Anhand einer Beispielanwendung werden im Projekt Web Services entwicklet, Sicherheitsziele identifiziert und Sicherheitsmechanismen umgesetzt. Die implementierten Sicherheitsmechanismen werden auf die Erfüllung der Sicherheitsziele hingeprüft.
Im Rahmen des Projektes wird das folgende Szenario realisiert und die einzelnen Arbeitsgruppen übernehmen darin die Rolle der Firmen AvD und AHWW:
STAR Labs (Science Teaching and Research Labor), ein neues Forschungslabor an der Technischen Universität, möchte ein System zur Verwaltung seiner Lehrveranstaltungen aufsetzen. Dieses System soll die folgenden Funktionen anbieten:
- Studenten sollen sich registrieren und deregistrieren können.
- Studenten sollen sich zu Lehrveranstaltungen an- und abmelden können.
- Studenten sollen ihre Noten einsehen können (Fortschritts- und Abschlussnoten)
- Lehrveranstalter sollen Lehrveranstaltungen anlegen und entfernen können
- Lehrveranstalter sollen Studenten zu Lehrveranstaltungen hinzufügen und wieder entfernen können
- Lehrveranstalter sollen Studenten für einzelne Lehrveranstaltungen bewerten können
Als modernes Forschungslabor hat die Laborleitung entschieden die Verwaltung des Lehrangebotes mit Hilfe von service-orientierten Technologien zu realisieren und hat das junge Start-Up Unternehmen AvD mit der Realisierung beauftragt.
Weiterhin wünschen die STAR Labs eine unabhängige Evaluierung der Sicherheit der Lehrangebotsverwaltung durch die Sicherheitsfirma AHWW (Alle Herstellertest müssen wiederholt werden).
Lernziele
Theoretische Grundlagen:
Die Studierenden sollen mit den theoretischen Grundlagen der service-orientierter Technologien und der Entwicklung sicherer service-orientierter Anwendungen, vertraut werden.
Anwendungsmöglichkeiten:
Am Ende der Veranstaltung soll es den Studierenden möglich sein, sichere Web Service Anwendungen zu entwicklen. Außerdem sollen sie sich den Schwierigkeiten bewußt werden, denen sie bei der Entwicklung von sicherern Web Service Anwendungen ausgesetzt sind.
Eingesetzte Technologien:
Im Rahmen des Projektes werden die folgenden Technologien eingesetzt:
- Axis2
- Tomcat 6.x
- Maven 2
- Spring Framework
- Subversion
Veranstaltungskalender
| Termin | Thema | Inhalte und Lernziele |
| 23.10.2007 | Organisatorisches, Sicherheit und Web-Services: Wieso, weshalb, warum? | Es soll klar werden wofür Web-Services gut sind und warum Sicherheit nötig ist und welche Herausforderungen vorhanden sind. |
| 30.10.2007 | Entwicklung einer service-orientierten Anwendung | In der Lage sein eine Web Service Anwendung zu implementieren. |
| 06.11.2007 | Common Criteria | Sicherheitsevaluation von Software am Beispiel JIAC IV. Bezug zum Projekt-Szenario herstellen können. |
| 13.11.2007 | Web Service Security | Ãœbersicht auf XML und Web Service Standards im Kontext von Sicherheit. |
| 20.11.2007 | Prototyp | Vorstellung der bisherigen Implementierung. |
| 27.11.2007 | Web Service Security Standards | Vertiefende Präsentation einiger ausgewählter Web Services Securits Standards. |
| 04.12.2007 | Sicherheitsziele | Sinn und Zweck von Sicherheitszielen für Softwareprodukte verstehen. |
| 11.12.2007 | Web Service Security Design Pattern | Nutzung von Security Design Pattern erlernen. |
| 18.12.2007 | Testen | Sinn und Zweck von Sicherheitszielen für Softwareprodukte verstehen und wie diese getestet werden können:
|
| Weihnachten | ||
| 08.01.2008 | Sicherer Prototyp | Vorstellung der bisherigen Implementierung, inklusive der implementierten Sicherheitsmechanismen. |
| 15.01.2008 | Testpläne | Verwendung von Testplänen. |
| 22.01.2008 | Testspezifikationen | Verwendung von Testspezifikationen. |
| 29.01.2008 | Testen II | Agent-Oriented Software Engineering ist Software Engineering für Durchführung von Tests und Vorstellung von Testprotokollen. |
| 05.02.2008 | Penetrationstests | Penetrationstests durchführen für Anwendungen anderer Gruppen. |
| 12.02.2008 | Abschlusstermin | Zusammenfassung der Projektarbeit vorstellen, mit gesammelten Erfahrungen und Bewertungen. |
Voraussetzungen
Abgeschlossenes Vordiplom in Informatik oder einer verwandten Studienrichtung (für Diplom-Studenten).
Für das Projekt werden Java Kenntnisse vorausgesetzt.
Prüfungsmodalitäten, Anforderungen
Diese Lehrveranstaltung kann in eine Prüfung in den Bereichen KI und BKS eingebracht werden.
Die Note im Projekt setzt sich aus mehreren Teilnoten zusammen, die unterschiedliche gewichtet in die Gesamtnote einfließen:
- Implementierung der Web Services (10 %)
- Vorstellung der Implementierung (40 %)
- Code-Review/Analyse (60 %)
- Vorträge (20 %)
- Web Service Security Standards (50 %)
- Design Pattern (50 %)
- Implementierung Sicherheitsmechanismen (30 %)
- Sicherheitsziele in der Anwendung (30 %)
- Vorstellung der Implementierung (20 %)
- Code-Review/Analyse (50 %)
- Eigene Tests (20 %)
- Testpläne (35 %)
- Testspezifikationen (35 %)
- Durchführung von Tests und Vorstellung von Testprotokollen (30 %)
- Penetrationtests (10 %)
- Abschlussbericht und -präsentation (10 %)
- Bericht (50 %)
- Präsentation (50 %)
Weitere Informationen
Wenn Sie ein registierter Nutzer und eingeloggt sind, finden Sie unter Insider weitere Informationen. Anmelden können Sie sich hier, registrieren ganz oben auf dieser Seite.
Literatur
Als Basis-Literatur für dieses Projekt dient O'Neill 2003 (oneill:2003:wss), die andere Quellen dienen als Vertiefung für ausgewählte Implementierungsaufgaben und Einstiegsliteratur für einzelne Vorträge. Die nachfolgenden Literaturreferenzen stehen auch als BiBTeX Datei zur Verfügung.
| Arkin, B., Stender, S. & McGraw, G. | Software Penetration Testing | 2005 | IEEE Security and Privacy | article | DOI |
| Barnum, S. & McGraw, G. | Knowledge for Software Security | 2005 | IEEE Security and Privacy | article | DOI |
| Bishop, M. | Introduction to Computer Security | 2004 | book | ||
| Bishop, M. | Computer Security -- Art and Science | 2003 | book | ||
| Chess, B. & McGraw, G. | Static Analysis for Security | 2004 | IEEE Security and Privacy | article | DOI |
| Epstein, J., Matsumoto, S. & McGraw, G. | Software Security and SOA: Danger, Will Robinson! | 2006 | IEEE Security and Privacy | article | DOI |
| Frotscher, T., Teufel, M. & Wang, D. | Java Web Services mit Apache Axis2 | 2007 | book | ||
| Hope, P., McGraw, G. & Anton, A. I. | Misuse and Abuse Cases: Getting Past the Positive | 2004 | IEEE Security and Privacy | article | DOI |
| McGraw, G. | Software Security | 2004 | IEEE Security and Privacy | article | DOI |
| Mead, N. R. & McGraw, G. | A Portal for Software Security | 2005 | IEEE Security and Privacy | article | DOI |
| O'Neill, M., Hallam-Baker, P., Cann, S. M., Shema, M., Simon, E., Watters, P. A. & White, A. | Web Services Security | 2003 | book | ||
| OASIS | Security Assertion Markup Language (SAML) V2.0 Technical Overview | 2006 | misc | URL | |
| OASIS | Profiles for the OASIS Security Assertion Markup Language (SAML) V2.0 | 2005 | misc | URL | |
| OASIS | Core and hierarchical role based access control (RBAC) profile of XACML v2.0 | 2005 | misc | URL | |
| OASIS | eXtensible Access Control Markup Language (XACML) Version 2.0 | 2005 | misc | URL | |
| OASIS Technical Committee Web Service Security (WSS) | Web Services Security Rights Expression Language (REL) Token Profile 1.1 | 2006 | misc | URL | |
| OASIS Technical Committee Web Service Security (WSS) | Web Services Security: SAML Token Profile 1.1 | 2006 | misc | URL | |
| OASIS Technical Committee Web Service Security (WSS) | Web Services Security SOAP Messages with Attachments (SwA) Profile 1.1 | 2006 | misc | URL | |
| OASIS Technical Committee Web Service Security (WSS) | Web Services Security UsernameToken Profile 1.1 | 2006 | misc | URL | |
| OASIS Technical Committee Web Service Security (WSS) | Web Services Security: SOAP Message Security 1.1 (WS-Security 2004) | 2006 | misc | URL | |
| OASIS Technical Committee Web Service Security (WSS) | Web Services Security X.509 Certificate Token Profile 1.1 | 2006 | misc | URL | |
| OASIS Web Service Secure Exchange TC | WS-Trust 1.3 | 2007 | misc | URL | |
| OASIS Web Services Secure Exchange TC | WS-SecurityPolicy 1.2 | 2007 | misc | URL | |
| OASIS Web Services Secure Exchange TC | WS-SecureConversation 1.3 | 2007 | misc | URL | |
| Potter, B. & McGraw, G. | Software Security Testing | 2004 | IEEE Security and Privacy | article | DOI |
| Schumacher, M., Fernandez-Buglioni, E., Hybertson, D., Buschmann, F. & Sommerlad, P. | Security Patterns - Integrating Security and Systems Engineering | 2005 | book | ||
| Steel, C., Nagappan, R. & Lai, R. | core Security Patterns - Best Practices and Strategies for J2EE, Web Services, and Identity Management | 2006 | book | ||
| Steven, J. | Adopting an Enterprise Software Security Framework | 2006 | IEEE Security and Privacy | article | DOI |
| Taylor, D. & McGraw, G. | Adopting a Software Security Improvement Program | 2005 | IEEE Security and Privacy | article | DOI |
| Tsipenyuk, K., Chess, B. & McGraw, G. | Seven Pernicious Kingdoms: A Taxonomy of Software Security Errors | 2005 | IEEE Security and Privacy | article | DOI |
| Verdon, D. & McGraw, G. | Risk Analysis in Software Design | 2004 | IEEE Security and Privacy | article | DOI |
| W3C | SOAP Version 1.2 Part 1: Messaging Framework (Second Edition) | 2007 | misc | URL | |
| W3C | SOAP Version 1.2 Part 2: Adjuncts (Second Edition) | 2007 | misc | URL | |
| W3C | SOAP Version 1.2 Part 0: Primer (Second Edition) | 2007 | misc | URL | |
| W3C | Web Services Description Language (WSDL) Version 2.0 Part 1: Core Language | 2007 | misc | URL | |
| W3C | Web Services Description Language (WSDL) Version 2.0 Part 2: Adjuncts | 2007 | misc | URL | |
| W3C | Web Services Description Language (WSDL) Version 2.0 Part 0: Primer | 2007 | misc | URL | |
| W3C | Web Services Policy 1.5 - Framework | 2007 | misc | URL | |
| W3C | Web Services Policy 1.5 - Primer | 2007 | misc | URL | |
| W3C | Web Services Addressing 1.0 - Core | 2006 | misc | URL | |
| W3C | Web Services Addressing 1.0 - SOAP Binding | 2006 | misc | URL | |
| W3C | XML Key Management Specification (XKMS 2.0) Bindings | 2005 | misc | URL | |
| W3C | XML Key Management Specification (XKMS 2.0) | 2005 | misc | URL | |
| W3C | Web Services Architecture | 2004 | misc | URL | |
| W3C | Web Services Glossary | 2004 | misc | URL | |
| W3C | Web Services Architecture Requirements | 2004 | misc | URL | |
| W3C | XML Key Management (XKMS 2.0) Requirements | 2003 | misc | URL | |
| Web Services-Interoperability Organization (WS-I) | Basic Security Profile Version 1.0 | 2007 | misc | URL | |
| Web Services-Interoperability Organization (WS-I) | Basic Profile Version 1.0 | 2004 | misc | URL | |
| van Wyk, K. R. & McGraw, G. | Bridging the Gap between Software Development and Information Security | 2005 | IEEE Security and Privacy | article | DOI |
Created by JabRef.
Informationen zum Modul
- Dieses Modul kann sowohl von Studenten im Diplom als auch in den Bachelorstudiengängen Informatik und Technische Informatik belegt werden.
- Dieses Projekt ist eine Alternative (Wahlpflichtanteil) von insgesamt 5 Projekten, die im Winter- und Sommersemester für dieses Modul angeboten werden.
- Im Masterstudiengang kann diese Veranstaltung nicht belegt werden!
- Weitere Informationen zum Modul (MINF-KT-AC.W07)
Copyright TU Berlin 2007