A Security Gateway for Web Service Protocols zur Erlangung des akademischen Grades eines Doktors der Ingenieurwissenschaften der Fakultät für Informatik der Universität Fridericiana zu Karlsruhe (TH) genehmigte Dissertation von Dong Huang aus Shanghai, China Tag der mündlichen Prüfung: 25. Juni 2007 Erster Gutachter: Prof. Dr. Jacques Calmet Zweiter Gutachter: Prof. Dr. Hartmut Schmeck ii Eidesstattliche Erklärung Hiermit erkläre ich, dass ich die vorliegende Dissertation selbständig verfasst und keine anderen als die angegebenen Hilfsmittel benutzt habe. Die Dissertation ist bisher keiner anderen Fakultät vorgelegt worden. Ich erkläre, dass ich bisher kein Promotionsverfahren erfolglos been- det habe und dass keine Aberkennung eines bereits erworbenen Dok- torgrades vorliegt. Acknowledgements Firstly, I would like to thank my supervisors, Prof. Dr. Jacques Calmet and Dr. Jorge Cuellar for their constant dedication, guidance, advice and inspiration. This thesis would not have been possible without their constructive critisms and motivation. I am also very grateful to Prof. Dr. Hartmut Schmeck for his advice, encouragement and guidance. Many thanks to both Dr. Cuellar and Prof. Calmet for arranging for financial support during my PhD studies, I would like to express my sincere gratitude to their kindness and the opportunity that they gave me to make the research at Siemens AG, Corporate Technology. Special thanks go to Dr. Joerg Abendroth who has contributed useful comments and advice to the work presented here. Many thanks to my friends and colleagues in the University of Karlsruhe (TH), CT IC3 of Siemens and Corporate Quality Consulting GmbH. They include: Yi Yang, Shane Bracher, Mike Elschner, Holger Haas, Dr. Monika Maidl and Helga Scherer. Other friends who deserve a mention include: Jia Ma, Qi Zhu, Cheng Wang, Minhua Chen and Ming Yang. Thanks for all the encouragements communicated via snail mails, emails, and phone calls. Special thanks to Dr. Xiujuan Yu for her timly interventions and words of encouragements I was able to go through the most difficult periods. To all other friends whose names I have forgotten to mention, thank you. Lastly, I owe a great debt to my family for supporting my decision to study in the Ger- many, their sacrifices and their endless support over the years, especially my mother Mei Huang. The work presented in this thesis was partly funded by Siemens AG, Corporate Tech- nology in Munich. Zusammenfassung Die Verbreitung von Web Services und service orientierten Architekturen fuhren¨ zu einem dramatischen Wandel im Aufbau von internen Systemen und deren Kommunikation mit externen Systemen. Um die Kosten von Software zu senken und gleichzeitig ihre Leistungsfahig-¨ keit zu steigern, setzen immer mehr Firmen und Organisationen Webser- vices ein. Eines der gro¨ßten Probleme, welches die Industrie von dem Ein- satz dieser Standardarchitektur abhalt,¨ ist die Sicherheit. Als Antwort auf diese Sicherheitsbedenken erarbeiten IBM und Microsoft einen Plan fur¨ sichere Webservices und einen Zeitplan fur¨ die Entwicklung von Entwurfsmustern fur¨ sichere Webservices, die einen Schutz der Nach- richtenubertragung¨ im Webserviceumfeld gestatten. Standardisierungsorganisationen wie OASIS und W3C haben SAML und XACML vorgeschlagen um ein XML-Schema fur¨ Zugriffs- und Berechtigungs- strukturen sowie ein XML basierendes System fur¨ den Austausch von Nut- zerrechten und weiteren Attributen als Standard zu verabschieden. Trotz des großen Aufwands, der getatigt¨ wurde, kann im Moment noch nicht von ausreichendem Sicherheitniveau gesprochen werden. Die Herausfor- derungen zwischen Geschaftst¨ atigkeit¨ und IT, sich regelma¨ßig verandern-¨ den Organisationsstrukturen und flexiblen Geschaftsprozessen/Gesch¨ afts-¨ modellen anzupassen, stellen zusatzliche¨ Anforderungen an ein skalierba- res, flexibles und wartbares Sicherheitssystem. Zwei Fallbeispiele zur Be- grundung¨ unserer Forschungsarbeit: • Im Kapitel 404 des Sarbanes Oxley Act (SOX) ist beschrieben das alle Firmen mit mehr als 75 Millionen US$ Marktkapitalisierung die Wirk- samkeit ihres internen Kontroll- und Regelsystems nachweisen mussen.¨ Trotz der Aufregung zur Sicherstellung der Einhaltung des SOX ist ei- ne Einfuhrung¨ eines angemessenen Zugriffskontrollsystems vorteilhaft. Die Rollen basierte Zugriffskontrolle (RBAC) ist eine solche Moglich-¨ keit. In großen Organisationen stellt sich jedoch den Sicherheitsbeauf- tragten als Hauptfrage wie kann er die sich standigen¨ Anderungen¨ in gesetzeskonformer Weise zeitgerecht in das System ubernehmen.¨ • Adaptive Geschaftsprozesse¨ entstehen aus der Tatsache heraus, dass Geschaftsanwendungen¨ von monolithischen Einzelapplikationen zu ser- vice orientierten Architekturen migrieren. Flexible Anpassungen wegen sich andernder¨ Geschafts-Anforderungen¨ entstehen durch Auf- und Ab- bau von Aufgaben (Ablaufen)¨ virtueller Organisationen. Um die sichere Ausfuhrung¨ von Geschaftsprozessen¨ zu gewahrleisten,¨ ist ein verteiltes semantisches Gerust¨ / Rahmenwerk Voraussetzung. Die Nutzung des- selben semantischen Gerustes¨ erlaubt es verschiedenen Systeme zu kommunizieren. Speziell fur¨ die Sicherheitsanforderungen der (Web-) Prozesse, ist es notwendig Einschrankungen¨ und Moglichkeiten¨ in ei- ner gemeinsamen, verstandlichen¨ Art und Wiese zu definieren. Diese Forschung sieht die Lieferung innovativer Sicherheitslosungen¨ fur¨ die virtuelle, service-orientierte und entstehende Unternehmen voraus, welche eine sichere Ausfuhrung¨ von Geschaftsprozessen¨ und eine vertrauensvolle Zusammenarbeit zwischen Organisationen ermoglicht.¨ Weiterhin hat ein ef- fizientes Authorisierungs-Management von diesen Losungen¨ folgende Vor- aussetzungen: (1) Abbildung von Geschaftsabl¨ aufen¨ in eine Sicherheits- Policie und (2) ermoglichen¨ der Zusammenarbeit von unabhangig¨ verwal- tenden Einheiten/Organisationen. Diese Arbeit beschreibt Gracia, ein Sicherheits-Gateway welches entwickelt wurde den Authorisierungsanforderungen von service-orientierten Architek- turen in Unternehmen zu entsprechen. Ein Sicherheits-Gateway ist ein Aus- druck der sich auf ein einheitliches Sicherheitskonzept (Gerust)¨ bezieht , die Integration von sicherheitsrelevantem Wissen und die Auswertung und Durchsetzung von (policy compliances“). Auf dem Konzept einer virtuellen Wissens Community basierend (VKC) und einer generischen Abstraktion fur¨ Agenten basiertes Wissensaustausch (AOA), stellt Gracia ein generisches Platform um Wissen auszutauschen zwischen unterschiedlichen Einheiten oder Unternehmen bereit. Gracia enthalt¨ eine eigene Sprache fur¨ die Spe- zifikation von Sicherheitsanforderungen, die Gracia Policy Language (GPL), welche nach der Syntax und Semantik der Web Ontology Language (OWL) und der Semantic Web Rule Language (SWRL) und der Inferenzmodell fur¨ die Auswertung von Policies abgeleitet ist/wird. Mit dieser Sprache und dem dazugehorigen¨ Interferenzmodell ist Gracia in der Lage Policies zu modellie- ren, welche sowohl Geschaftsregeln¨ als auch regulatorische Einschrankun-¨ gen (Compliance) erlauben. Die zweite Halfte¨ dieser Arbeit beschreibt das Design und die Implementie- rung des Gracia Gerustes¨ fur¨ die standard webservice Plattform. Diese Ar- beit verfolgt 2 Ziele, erstens die praktische Demonstration/Machbarkeit von i Gracia und zweitens zu erforschen, ob ein Policy basierter Sicherheitsgate- way fur¨ den unternehmensweiten Einsatz moglich¨ ist. Eine wichtige Voraussetzung in solch einem System ist die Wissensinte- gration, die den Anteilseignern der Geschaftsprozesse¨ erlaubt ihr Wissen zu teilen und eine sicherheitsorientierte Herangehensweise an die Prozes- sebene erlaubt. Diese Voraussetzung, ein Wissens-Integrations-Gerust¨ fur¨ Gracia zu erstellen, wird aufbauend auf das VKC Gerust¨ von IAKS an der Universitat¨ von Karlsruhe entwickelt. Abstract The advent of Web Services and service-oriented architectures is fundamentally chang- ing the way we build our internal systems and how internal and external systems inter- act with each other. To reduce the costs of software systems while at the same time increasing the capabilities of the systems, more and more companies and organisa- tions are adopting their IT systems to Web Service technologies. One of the most important problems, which prevents the industry from producing and implementing a standards-based architecture, is Security. In response to security concerns, IBM and Microsoft have collaborated on this proposed Web Services security plan and roadmap for developing a set of Web Service Security specifications that address the problem of how to provide protection for messages ex- changed in a Web service environment. Standard organisations like OASIS and W3C have also proposed SAML1 and XACML2 to provide an XML schema for representing authorisation and entitlement policies and an XML-based framework for communicating user authentication, entitlement-, and attribute information. However, despite the fact that a lot of effort has been put into solving security concerns, it is still not able to be said that the web service technology is secure enough. Huge gaps between business and IT, frequently changing organisation structures and flex- ible business process/model give us new challenges for building up a system with a scalable, flexible and easily manageable security framework. This research is mainly motivated by the following two facts in the real world. • Under Section 404 of Sarbanes-Oxley (SOX), public companies that have a mar- ket capitalisation of more than $75 million, must attest