Rozproszone systemy internetowe. Bezpieczeństwo usług WWW

Podobne dokumenty
Inżynieria biomedyczna

XML w bazach danych i bezpieczeństwie

Problematyka bezpieczeństwa usług Web Services. Witold Andrzejewski

Projektowanie obiektowe oprogramowania Wykład 14 Architektura systemów (1), Interoperability Wiktor Zychla 2013

EDI, XML i ochrona danych Przemysław Kazienko

XML w bazach danych i bezpieczeństwie

XML w elektronicznej wymianie danych, integracji aplikacji i bezpieczeństwie

Projektowanie obiektowe oprogramowania Wykład 14 Architektura systemów (1) Interoperacyjność Wiktor Zychla 2018

WSIZ Copernicus we Wrocławiu

XML w elektronicznej wymianie danych, integracji aplikacji i bezpieczeństwie

Koncepcja integracji systemu mmedica z systemem zewnętrznym

Elastyczna ochrona w elektronicznej wymianie danych

1. Bezpieczeństwo transferu zestrukturalizowanych plików XML w sieci grid w oparciu o usługi Web Service poprzez protokół SOAP

Architektura bezpiecznych aplikacji internetowych na platformie Java Enterprise Edition. Jakub Grabowski Warszawa,

Ministerstwo Finansów Departament Informatyki

INTERNET - Wrocław Usługi bezpieczeństwa w rozproszonych strukturach obliczeniowych typu grid

Problematyka bezpieczeństwa usług Web Services

Plan prezentacji: Bezpieczeństwo systemów komputerowych.

Podpis elektroniczny dla firm jako bezpieczna usługa w chmurze. mgr inż. Artur Grygoruk

Wykorzystanie SAML 2.0 w systemie epuap

Rozproszone systemy internetowe

Bezpieczeństwo Systemów Komputerowych. Wirtualne Sieci Prywatne (VPN)

Ministerstwo Finansów Departament Informatyzacji Usług Publicznych

SSL (Secure Socket Layer)

Bezpieczeństwo dokumentów XML

WS-Security Framework

Dokumentacja techniczna. Młodzieżowe Pośrednictwo Pracy

Rozproszone systemy internetowe 2. WS-Policy: specyfikacje wymagań dla usług WWW

Wykład 4. Metody uwierzytelniania - Bezpieczeństwo (3) wg The Java EE 5 Tutorial Autor: Zofia Kruczkiewicz

Specyfikacja interfejsów usług Jednolitego Pliku Kontrolnego

1. Wymagania dla lokalnej szyny ESB

Nexto.API. Przykładowy klient Java 1.6 do systemu zamówień NextoAPI. Przygotował Rafał Ozga e-kiosk S.A. Maj 2015,

Komunikacja i wymiana danych

Oracle COREid Federation Przegląd

Systemy pojedynczego logowania (Single Sign-On)

Określanie uprawnień. Rozważmy to na przykładzie: Użytkownik Tomek należy do grupy Sekretariat oraz Biuro

Podstawy Secure Sockets Layer

Bezpieczny dostęp do usług zarządzania danymi w systemie Laboratorium Wirtualnego

Poufność (słaba) Integralność (niekryptograficzna) Uwierzytelnienie (słabe) Brak kontroli dostępu Brak zarządzania kluczami

Bezpieczne protokoły Materiały pomocnicze do wykładu

Seminarium Katedry Radiokomunikacji, 8 lutego 2007r.

Jak bezpieczne są Twoje dane w Internecie?

Egzamin : zabezpieczanie systemu Windows Server 2016 / Timothy Warner, Craig Zacker. Warszawa, Spis treści

Jarosław Kuchta Administrowanie Systemami Komputerowymi. Dostęp zdalny

DZIENNIK USTAW RZECZYPOSPOLITEJ POLSKIEJ. Warszawa, dnia 20 wrzeênia 2006 r. Nr 168

Java wybrane technologie

Specyfikacja techniczna interfejsu do obsługi Profilu Kandydata na Kierowcę.

DOKUMENTACJA INTERFEJSU API - HTTPS

OWASP i Top 10 Sposób tworzenia Top 10 Czym jest a czym NIE jest Top 10? Zmiany w wersji 2013 Omówienie nowych podatności na liście Podsumowanie

XPath 2.0 / XSLT 2.0 / XQuery 1.0. Inne standardy związane z XML-em. XPath 2.0 XSLT 2.0. XPath2.0 funkcyjny język programowania

Zabezpieczanie systemu Windows Server 2016

Web Services. Bartłomiej Świercz. Łódź, 2 grudnia 2005 roku. Katedra Mikroelektroniki i Technik Informatycznych. Bartłomiej Świercz Web Services

Programowanie obiektowe

Rok po RODO. Cyberbezpieczeństwo w sferze ochrony danych

ROZPORZĄDZENIE MINISTRA FINANSÓW 1) z dnia 30 grudnia 2010 r.

Gatesms.eu Mobilne Rozwiązania dla biznesu

TECHNOLOGIA JSP W TWORZENIU APLIKACJI ROZPROSZONYCH NA PRZYKŁADZIE SYSTEMU ZARZĄDZANIA NIERUCHOMOŚCIAMI W GMINIE

ROZPORZĄDZENIE RADY MINISTRÓW. z dnia 11 października 2005 r. (Dz. U. z dnia 28 października 2005 r.)

MINISTERSTWO FINANSÓW PLAN INTEGRACJI SYSTEMU ZAŁĄCZNIK NR 6 SEAP SPECYFIKACJA KANAŁ DLA PODMIOTÓW ZEWNĘTRZNYCH PL PROJEKT ECIP/SEAP

Spis treúci. 1. Wstęp... 11

Spis treści. Dzień 1. I Wprowadzenie (wersja 0906) II Dostęp do danych bieżących specyfikacja OPC Data Access (wersja 0906) Kurs OPC S7

Projekt e-deklaracje 2

Ryzyko operacyjne w obszarze infrastruktury informatycznej - perspektywa firmy Oracle

Dokumentacja integratora

WSF.2. Projekt współfinansowany ze środków Europejskiego Funduszu Rozwoju Regionalnego w ramach Programu Operacyjnego Innowacyjna Gospodarka

Rozproszone systemy internetowe 2. WS-Reliable Messaging

autoryzacji w federacji systemów informacyjnych z mechanizmami *

Warszawa, dnia 16 kwietnia 2013 r. Poz. 463 ROZPORZĄDZENIE MINISTRA ZDROWIA 1) z dnia 28 marca 2013 r.

Kontrola dostępu do kodu i własności intelektualnej w Zintegrowanej Architekturze. Copyright 2012 Rockwell Automation, Inc. All rights reserved.

Kurs OPC S7. Spis treści. Dzień 1. I OPC motywacja, zakres zastosowań, podstawowe pojęcia dostępne specyfikacje (wersja 1501)

Warszawa, dnia 20 kwietnia 2016 r. Poz. 554 ROZPORZĄDZENIE MINISTRA FINANSÓW 1) z dnia 13 kwietnia 2016 r.

1 Wprowadzenie do J2EE

Ministerstwo Finansów

Bazy danych i usługi sieciowe

Warstwa ozonowa bezpieczeństwo ponad chmurami

Problemy bezpieczeństwa w architekturze SOA 1

Sposób doręczania dokumentów elektronicznych. do Urzędu Gminy Zawady

Systemy internetowe. Wykład 5 Architektura WWW. West Pomeranian University of Technology, Szczecin; Faculty of Computer Science

Ministerstwo Finansów Departament Informatyzacji Usług Publicznych

Michał Jankowski. Remoting w.net 2.0

INSTRUKCJA DLA INTEGRATORA SYSTEMU DOSTAWCA TOŻSAMOŚCI

11:00 Rozpoczęcie, powitanie uczestników, informacje organizacyjne 11:05 Poznajmy się: czym jest MIC i PCSS? Program szkoleń 2008 II Konferencja MIC

Silne uwierzytelnianie dla klienta indywidualnego

ROZPORZĄDZENIE RADY MINISTRÓW. z dnia 11 października 2005 r. w sprawie minimalnych wymagań dla systemów teleinformatycznych

Author: Bartłomiej Słota. Supervisor: prof. dr hab. inż. Zbigniew Kotulski

Dokumentacja Usług Sieciowych Uwierzytelniania i Autoryzacji. Wersja: 1.00

Aplikacja npodpis do obsługi certyfikatu

VPN Virtual Private Network. Użycie certyfikatów niekwalifikowanych w sieciach VPN. wersja 1.1 UNIZETO TECHNOLOGIES SA

Zarządzanie relacjami z dostawcami

WYMAGANIA TECHNOLOGICZNE W ODNIESIENIU DO SYSTEMÓW TELEKOMUNIKACYJNYCH I TELEINFORMATYCZNYCH W OBSZARZE SIŁ ZBROJNYCH

Sieci komputerowe Wykład 7. Bezpieczeństwo w sieci. Paweł Niewiadomski Katedra Informatyki Stosowanej Wydział Matematyki UŁ niewiap@math.uni.lodz.

Bazy danych 2. Wykład 1

Samba serwer plików i drukarek. Rafał Szcześniak <mimir@samba.org> The Samba Team. Prosze pytać w każdej chwili

Rodzaje przetwarzania XSLT (1) XSLT część 2. Inne standardy związane z XML-em. Rodzaje przetwarzania XSLT (2) Zmienne. Zaawansowane możliwości XSLT

Sieci komputerowe i bazy danych

Dotacje na innowacje - Inwestujemy w Waszą przyszłość ZAPYTANIE OFERTOWE

ZiMSK. Konsola, TELNET, SSH 1

POLITYKA PRYWATNOŚCI ORAZ ZASADY PRZETWARZANIA DANYCH OSOBOWYCH

Bezpieczeństwo systemów komputerowych.

Transkrypt:

Rozproszone systemy internetowe Bezpieczeństwo usług WWW

Usługi bezpieczeństwa w sieci Poufność (confidentiality) Weryfikacja i autoryzacja (authentication/ authorization) Integralność (integrity) Niezaprzeczalność / Gwarancja oryginalności (non-repudiation / authenticity) Stemple czasowe (być może poza kanonem, ale implementowane) 2

Wyzwania i realizacje dla sieci WWW Transport Layer Security point-to-point vs end-to-end w wydaniu sieci WWW Podpisywanie i szyfrowanie części dokumentu XML Postać kanoniczna dokumentu XML (canonicalization c14n) Architektury zarządzania tożsamością 3

Proponowane standardy XML Digital Signature XML Encryption XML Key Management Specification Extensible Access Control Markup Language Secure Assertion Markup Language WS-Security WS-SecurityPolicy, WS-SecureConversation, WS-Trust 4

XML Digital Signature <Signature> <SignedInfo> <CanonicalizationMethod Algorithm="http://www.w3.org/2006/12/xml-c14n11"/> <SignatureMethod Algorithm="http://www.w3.org/2000/09/xmldsig#dsa-sha1"/> <Reference URI="http://www.w3.org/TR/2000/REC-xhtml1-20000126/"> <Transforms> <Transform Algorithm="http://www.w3.org/2006/12/xml-c14n11"/> </Transforms> <DigestMethod Algorithm="http://www.w3.org/2000/09/xmldsig#sha1"/> <DigestValue>... </DigestValue> </Reference> </SignedInfo> <SignatureValue>...</SignatureValue> <KeyInfo> <KeyValue> <DSAKeyValue>... </DSAKeyValue> </KeyValue> </KeyInfo> <Object /> </Signature> Różnica pomiędzy enveloped a enveloping 5

XML Encryption <EncryptedData > <EncryptionMethod Algorithm="...">... </EncryptionMethod> <ds:keyinfo> <ds:keyname>ala</ds:keyname> <ds:retrievalmethod URI="http://exmample.org/Reagle/PublicKey" Type="http://www.w3.org/2001/04/xmlenc#EncryptedKey"/> <EncryptedKey> <EncryptionMethod Algorithm="http://www.w3.org/2001/04/xmlenc#tripledes-cbc"/> <CipherData> <CipherValue>qZk+NkcGgWq6PiVxeFDCbJzQ2J0=</CipherValue> </CipherData> </EncryptedKey> </ds:keyinfo> <CipherData> <CipherReference URI="http://example.org/pgpkeys/reagle.b64"> <Transforms> <ds:transform Algorithm="http://www.w3.org/2000/09/xmldsig#base64"/> </Transforms> </CipherReference> </CipherData> </EncryptedData> Szyfrowanie elementu i zawartości

XACML i SAML XACML język opisu kontroli dostępu Subject, Resource, Action, Obligation SAML język do wymiany danych weryfikacyjnych i autoryzacyjnych pomiędzy domenami (assertions) Zarządca tożsamości uprawniony? weryfikacja TAK/NIE Usługodawca Usługobiorca żądanie wykonania usługi

Przykład: elektroniczny urząd jako zestaw usług Usługa realizująca przeglądanie, dodawanie i usuwanie dokumentów Narzędzia: JAX-WS, Apache CXF Zabezpieczenia Stemple czasowe dla każdej operacji Weryfikacja usługobiorcy Podpis elektroniczny Szyfrowanie danych

Przykład: stemple czasowe EndpointImpl el = (EndpointImpl) EndpointImpl.publish("http://localhost:6060/urzad", u); Endpoint ep = el.getserver().getendpoint(); HashMap<String,Object> inprops = new HashMap<String,Object>(); Operacja jaką należy wykonać podczas przetwarzania inprops.put("action","timestamp"); komunikatu WSS4JInInterceptor win = new WSS4JInInterceptor(inProps); Przechwytywanie ep.getininterceptors().add(win); Komunikatów wchodzących HashMap<String,Object> outprops = new i wychodzących HashMap<String,Object>(); outprops.put("action","timestamp"); WSS4JOutInterceptor wout = new WSS4JOutInterceptor(outProps); ep.getoutinterceptors().add(wout);

Przykład: weryfikacja użytkownika Wybór metody weryfikacji outprops.put("action","usernametoken"); Sposób kodowania hasła w nagłówku SOAP outprops.put("passwordtype","passworddigest"); Klient: identyfikator użytkownika outprops.put(wshandlerconstants.user,"..."); Klasa obsługująca ustawianie/sprawdzanie hasła outprops.put(wshandlerconstants.pw_callback_class,"...");

Przykład: podpisywanie komunikatu outprops.put("action","signature"); outprops.put(wshandlerconstants.signature_user,"..."); outprops.put(wshandlerconstants.sig_prop_file, "key.props"); org.apache.ws.security.crypto.provider= org.apache.ws.security.components.crypto.merlin org.apache.ws.security.crypto.merlin.keystore.type=jks org.apache.ws.security.crypto.merlin.keystore.password=... org.apache.ws.security.crypto.merlin.keystore.alias=... org.apache.ws.security.crypto.merlin.file=...

Zagadnienia do samodzielnego zbadania/przemyślenia Rozwiń przykład z wykładu dodając do niego operację szyfrowania (tylko dane zawarte w elemencie <body> komunikatu SOAP) Obejrzyj moduł rampart w implementacji Axis2 i porównaj go z propozycjami Apache CXF Zapoznaj się z projektami Liberty Alliance i Kantara Initiative 12

2025 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres