1 / 20

Thin Clients und SmartCards an der HU

Thin Clients und SmartCards an der HU. Roland Herbst Computer- und Medienservice herbst@cms.hu-berlin.de. Agenda. Sichere Verwaltung, aber wie? Campus Adlershof Terminalserver, PCs und Thin Clients Authentifizierung SmartCards und Standards Projektaufgaben Projektergebnisse Ausblick.

norm
Download Presentation

Thin Clients und SmartCards an der HU

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Thin Clients und SmartCards an der HU Roland Herbst Computer- und Medienservice herbst@cms.hu-berlin.de

  2. Agenda • Sichere Verwaltung, aber wie? • Campus Adlershof • Terminalserver, PCs und Thin Clients • Authentifizierung • SmartCards und Standards • Projektaufgaben • Projektergebnisse • Ausblick Roland Herbst, Humboldt-Universität zu Berlin, CMS, Verwaltung@eUniversity, 14.05.2003

  3. Glossar • Windows 2000 [XP| 2003 ] • Microsoft Betriebssystem der neueren Generation • Terminal-Server • Spezieller Server, der zur Bereitstellung von Anwendungen genutzt wird • Produkt Citrix MetaFrame • Thin Client • Spezieller Client, der nicht auf einem PC installiert ist, sondern ein eigenständiges System (intelligentes Terminal, auch Embedded System) darstellt • Authentifizierung • Client: Rede ich mit dem richtigen Server? • Server: Rede ich mit dem richtigen Nutzer? • SmartCard • Spezielles Gerät zur Generierung und Speicherung von Authentifizierungs-Informationen unter Nutzung von asymmetrischen kryptografischen Verfahren Roland Herbst, Humboldt-Universität zu Berlin, CMS, Verwaltung@eUniversity, 14.05.2003

  4. Sichere Verwaltung, aber wie? • 1997-2000 DFN-Projekt Firewall • Firewall-System mit IDS • HU-CA • 2000-2003 DFN-Projekt UVsec • VPN-Technologie (IPSec) • D-Zug • FSV-GX • HIS-POS • Ausbau der HU-CA in eine HU-PKI • Basis OpenCA Roland Herbst, Humboldt-Universität zu Berlin, CMS, Verwaltung@eUniversity, 14.05.2003

  5. Roland Herbst, Humboldt-Universität zu Berlin, CMS, Verwaltung@eUniversity, 14.05.2003

  6. Campus Adlershof • Campus Adlershof • Stadt für Wissenschaft, Wirtschaft und Medien • Erwin-Schrödinger Zentrum • gemeinsam von Bibliothek und Computer- und Medienservice genutzt [Informations- und Kommunikationszentrum] • Mit modernster Technik ausgestatteter Lesesaal, Hörsäle und Übungsräume • 300 Öffentliche Computer-Arbeitsplätze • PC • Workstation • Thin Clients Roland Herbst, Humboldt-Universität zu Berlin, CMS, Verwaltung@eUniversity, 14.05.2003

  7. PC versus Thin Client Roland Herbst, Humboldt-Universität zu Berlin, CMS, Verwaltung@eUniversity, 14.05.2003

  8. Terminal-Server-Prinzip Roland Herbst, Humboldt-Universität zu Berlin, CMS, Verwaltung@eUniversity, 14.05.2003

  9. Was ist Authentifizierung? Roland Herbst, Humboldt-Universität zu Berlin, CMS, Verwaltung@eUniversity, 14.05.2003

  10. Verfahren zur Authentifizierung • Frage: Ist der Kommunikationspartner tatsächlich derjenige, der er vorgibt, zu sein? • Entwicklung • UID / Passwort • Challenge/Response • Public/Private Key • Zertifikat/PrivateKey (X.509) • Biometrie (Iris, Fingerprint) • SmartCard (Windows 2000 Logon) • Client: Rede ich mit dem richtigen Server? • Server: Rede ich mit dem richtigen Client? Roland Herbst, Humboldt-Universität zu Berlin, CMS, Verwaltung@eUniversity, 14.05.2003

  11. SmartCards • Anforderungen • sichere Speicherung der Private Keys und von Zertifikaten • Ortsunabhängigkeit • 2 Faktor-Prinzip • Wie werden sie erfüllt? • Plastik-Körper in Kreditkarten-Größe (EC-Karte) • Prozessor • EEPROM, RAM, I/O • Betriebssystem • ISO 7816 (1-4) • PC/SC (1.0) • SmartCard-Reader • PC/SC-Treiber Roland Herbst, Humboldt-Universität zu Berlin, CMS, Verwaltung@eUniversity, 14.05.2003

  12. Schnittstellen Roland Herbst, Humboldt-Universität zu Berlin, CMS, Verwaltung@eUniversity, 14.05.2003 • Applikation • CryptoAPI CSP (Microsoft) • Cryptoki PKCS#11 (RSA) • PC/SC • Ressource Manager • Bibliotheken • Geräte-Treiber • z.B. GCR410, Reflex USB, Cardman 2020 • SmartCard • APDU • Cyberflex, Cryptoflex, iKey 2032, PKI Card Model 330

  13. Citrix MetaFrame FR2 Server ICA Client 6.3 Winlogon ICA SSL LSA Kerberos Resource Manager SmartCard CSP ICA SSL Reader SmartCard Roland Herbst, Humboldt-Universität zu Berlin, CMS, Verwaltung@eUniversity, 14.05.2003

  14. Projekt-Aufgaben • Auswahl der Software • Betriebssystem der Clients • Auswahl der Hardware • Thin Clients oder PC‘s • SmartCards • Anpassung des OpenSSL-Toolkits (Open Source) • Zusammenarbeit mit Herstellern (Cherry, Citrix, Igel, Omnikey, Schlumberger) • Aufbau eines Eval-Systems für die Authentifizierungslösung Roland Herbst, Humboldt-Universität zu Berlin, CMS, Verwaltung@eUniversity, 14.05.2003

  15. Ergebnisse • Citrix MetaFrame Serverfarm • 19 Zoll Server • Thin Clients mit PC/SC-Funktionalität • Igel Premium 532 • Firmware 3.01.310 (für HU entwickelt) • Linux (Kernel 2.4.x) • ICA, X11 • SMB, NFS • SmartCards • Schlumberger Cyberflex Access 16 • Schlumberger Cryptoflex 16 (UNIX-Clients) Roland Herbst, Humboldt-Universität zu Berlin, CMS, Verwaltung@eUniversity, 14.05.2003

  16. Roland Herbst, Humboldt-Universität zu Berlin, CMS, Verwaltung@eUniversity, 14.05.2003

  17. Roland Herbst, Humboldt-Universität zu Berlin, CMS, Verwaltung@eUniversity, 14.05.2003

  18. Roland Herbst, Humboldt-Universität zu Berlin, CMS, Verwaltung@eUniversity, 14.05.2003

  19. Wie geht es weiter? • Pilotphase mit SmartCard-Authentifizierung • FSV-GX in Produktion • HIS-POS in Produktion • F-Secure oder anderes Produkt? • Einsatz einer Open Source Lösung (z.B. Windows 2000/XP-IPSec mit FreeSwan) • Ausbau der HU-CA in eine HU-PKI Roland Herbst, Humboldt-Universität zu Berlin, CMS, Verwaltung@eUniversity, 14.05.2003

  20. Adressen • http://www.hu-berlin.de/uvsec/ • http://www.openca.org/ • http://www.openssl.org/ • http://www.microsoft.com/ • http://www.citrix.de/ • http://www.omnikey.de/ • http://www.cherry.de/ • http://www.igel.de/ • http://www.cyberflex.com/ • http://www.cryptoflex.com/ Roland Herbst, Humboldt-Universität zu Berlin, CMS, Verwaltung@eUniversity, 14.05.2003

More Related