Monthly Archives: June 2009

TNC2009: Päivä 3, Virtual People

Rok Papež

Connecting Web and Kerberos single sign-on
http://tnc2009.terena.org/schedule/presentations/show.php?pres_id=56

Kerberos on tikettejä käyttävä SSO järjestelmä. Asiakas hankkii tiketin jonka yhteydessä tunnistautuu käyttäjätunnus-salasanaparilla. Session kesstäessä tunnistautuminen tapahtuu tiketin avulla.

Rok näytti videodemon jossa käyttäjä mennee Kerberoksella suojatulle palvelimelle. Demottiin myös komentoja kinit, klist, kgetcred, kdestroy, jotka ovat tikettien hallintaan tarkoitettuja komentoja.

Kerberoksen dokumentaatio ei ole parhaaasta päästä. Sillä on myös jonkin
verran historiaa tietoturvattomuuden kanssa. Kerberos ei myöskään sovellu hyvin autorisointiin, koska se ei tarjoa paljoakaan tietoa käyttäjästä.

Kerberos on lähinnä tunnistamiseen tarkotoitettu palvelu joka tunnistaa käyttäjän ohjelmstoille joissa ei itsessään ole tai joihin ei haluta liittää käyttäjän tunnistusta. Sitä voi käyttää sellaisenaan, mutta parhaimmillaan K on ehkä Shibboloethin kaltaisten ohjelmistojen kanssa.

Rok näytti toisenkin demon jossa näytettiin kirjautuminen Adobe connect Prohon ja Foodle palveluun jotka on suojattu Shibboleth SP:llä. Idp:nä toimii simpleSAMLphp IdP.

David Lutz

Applied Federation Technology: The Charging of Roaming Students
http://tnc2009.terena.org/schedule/presentations/show.php?pres_id=57

Käyttäjän, SP:n ja IdP:n lisäksi tavanomaiseen käyttöympäristöön voitaisiin lisästä PaymentProvider, joka ylläpitäisi tietoa käyttäjän ja kunkin resurssin maksuista.

Tietoturvaongelmat olisivat aika moninaiset. SAML protokolla kestää hyvin perinteiset hyökkäykset, mutta rahan käsittely tuo omanlaisia uhkatilanteita. Tällaisia ovat esimerkiksi Overspending ja data-tampering. Ensimmäisen suhteen on varauduttava siihen, että käytettyä Statementia maksusta ei voida käyttää useaan kertaan. Jälkimmäisen suhteen taas on varauduttava siihen, että maksuun käytettyä summa ei pidä voida muuttaa.

Tietoturva voidaan pitää yllä turvaamalla hardware. Käytössä pitäis olla privatekey jota ei voida muuttaa joka allekirjoittaa Statementin ja varmistaa sovelluksen siten että sitä ei voida muuttaa. Statementin käyttö useaan kertaan voidaan estää siten, että talletetaan Statementin lifetime ja ID ja Statement lähetetään vain jos vastaavaa ei vielä ole olemassa. Statementin muutokset huomataan koska hardware kontrolloi niitä.

Ville Tenhunen

Mobile Signature Services, Authentication and Profile Distribution
http://tnc2009.terena.org/schedule/presentations/show.php?pres_id=58

Ville kertoi taustaa ympäristöstä, missä esityksen aiheena ollut projekti oli toteutettu. Projektin tarjoituksena oli tutkia mobiilitunnistamisen (MSSP) mahdollista käyttöä Helsingin yliopistossa. Esitys jatkui suomalaisen mobiilitunnistusinfrastruktuurin ja tyypillisen tunnistustapahtuman esittelyllä.

Helsingin yliopisto on tehnyt yhteistyötä Methics Oyn kanssa. Yhteistyössä on
kehitetty mm. mahdollisuutta välittää tietoa käyttäjästä sitä tarvitsevalle
kolmannelle osapuolelle. Oleellista tällaisessa käyttötapauksessa on
käyttäjän suostumus.

Mobiilitunnistaminen vaikuttaa olevan teknologisesti toimiva ja käytettävä
menetelmä vahvaan tunnistamiseen.

TNC2009: Päivä 3, IETF

IETF

Godred Fairhurst
Next generation internet transport
http://tnc2009.terena.org/schedule/presentations/show.php?pres_id=99

Godred esitteli IETF:n rakennetta ja toimintaympäristöä. Transport kerroksen tärkein tehtävä on jakaa kaista eri sovelluksille: congestion control(preventing overload), approximate fairness(starvation prevention at least). TCP-IP protokollan kehitys on ollut aktiivista koko sen elinkaaren ajan.

Lopuksi Godred esitteli IETF:n Standards Prcedure pääpiirteissään.

Eliot Lear
Routing and addressing
http://tnc2009.terena.org/schedule/presentations/show.php?pres_id=100

IPv4 muutos IPv6:seen tulee koko ajan kalliimmaksi. Muutosta ei ole
vauhdittanut se, että IP osoitteet ovat lopussa. NAT on helpottanut tilannetta
tarjoamalla virtuaaliosoitteita mutta samalla se siirtää IPv6:een siirtymistä.

Panel discussion on NREN IETF involvement
http://tnc2009.terena.org/schedule/presentations/show.php?pres_id=114

Keskustelu oli aktiivista yleisön ja paneeliin osallistuvien henkilöiden kesken.

TNC2009: Päivä 3, Virtual People Identity federations: next step and new technologies

Thomas Lenggenhager
SAML2 Metadata Exchange & Tagging
http://tnc2009.terena.org/schedule/presentations/show.php?pres_id=53

Nykyisin muodostetaan yhä useampia kansallisia SAML:iiin perustuvia federaatioita. Thomasin puhe käsittele sitä kuinka muodostaa federaatioiden federaatioita.

Yksi käytännöllinen ratkaisu olisi suora SAML2.0:aan perustuva end-to-end kommunikointi jolloin entiteettien metadatassa olisi vain kaikki entiteetit joiden kanssa kommunikoidaan.

Nykyisin metadata jaetaan usein kuten Suomalaisessa Haka-federaatiossa, eli eri toimijat (SP ja IdP:t) antavat tietonsa federaation metadatan ylläpitäjälle.

Luottamus federaatiossa voidaan jakaa tekniseen ja sopimuksiin perustuvaan luottamukseen. Teknisen puolen tietoturvallisuus hoidetaan käyttämällä sopivia yhteyskäytäntöjä ja sopimuksiin perustuva luottamus sopimalla säännöistä federaatiossa.

Confederaatiossa federaatiot voisivat rekisteröidä omat tietonsa yhdelle
metada Aggregaattorille, jonka toimintoja olisi rekisteröinti, subscription, transform, merging, ja julkaisu. Käytännössä entiteetit voisivat näin valita haluamansa metadatan.

Metadatassa voidaan entiteetteihin liittää ylimääräinen tagi, jonka avulla voidaan entiteettejä suodattaa haluttujen kriteerien ja käyttötarpeen mukaan. Scott Cantor tehnyt esityksen SAML-protokollaan lisäykseksi.

Vaatimuksena confederaatioiden toiminnalle on yhteinen kaikkien osallistujien hyväksymä politiikka ja toimintamallit.

Kristof Bajnok
eduGAIN attributes
http://tnc2009.terena.org/schedule/presentations/show.php?pres_id=54

Edugain ylläpitää confederaatiota eli se yhdistää useita federaatioita toisiinsa. Toistaiseksi federaatioiden yhdistäminen on ollut monimutkaista koska federaatiot on toteutettu erilaisilla tekniikoilla. SAML2.0 on muuttamassa tilanteen selkeämmäksi.

Edugainissa on todettu suurimmiksi ongelmiksi erilaiset politiikat eri federaatioitden kesken ja on todettu näiden yhtenäistämisen vaikeus. Ongelmia voi tuottaa esim. federaatioiden käyttämät erilaiset attribuutit: eri nimet samoille attribuuteille, eri merkintätavat tai merkitykset samoille attribuuteille.

Ongelmaa voidaan helpottaa tietyin osin teknisesti muokkaamalla attribuutteja
eri rajapinnoissa tarpeen mukaan. Niitä voi muokata myös esim. Shibboleth 2
IdP:n attribute-filterin avulla. Tätä keinoa voidaan käyttää tilanteessa jossa samalle attribuutille käytetään eri nimeä. Attribuuttien muutosta ja filterointiä voi tehdä myös simpleSAMLphp:n modulilla.

Lisätietoa:
http://wiki.edugain.org/

Andreas Åkre Solberg
Everything you want to know about Global Logout
http://tnc2009.terena.org/schedule/presentations/show.php?pres_id=55

Alunperin http oli tilaton protokolla. Cookieiden myötä myös sessioiden
ylläpitäminen tuli mahdolliseksi. Normaalisti cookie sessiot toimivat vain yhden domainin sisällä. WebSSO tekee mahdolliseksi domainien välisen session.

Logoutin toteuttaminen on hankalaa. Se voidaan toteuttaa muutamalla eri tavalla.
-Paikallinen logout ei ole hyvä idea, koska käyttäjän tullessa takaisin SSO järjestelmä muodostaa uuden session.

-Paikallinen logout + Idp Logout ei sekään ole hyvä idea koska käyttäjän on hankala hahmottaa missä kaikissa SP:issä hänella on sessio.

-Single logout on muuten hyvä ratkaisu mutta sisältää joitain ratkaisemattomia ongelmia kuten miten toimitaan jos joku entitetti ei pysty jostain syystä tekemään logoutia jne.

Logout on mahdollista toteuttaa (ainakin SAML2.0) front-channelin tai back-channelin avulla. Front-channelin ongelmana on mahdolliset SP:n serverin ongelmatilanteet ja back-channelin ongelmat on siinä että on hankala päästä käsiksi cookieihin. Suuri single logoutin ongelma on myös se, kuinka käyttäjä saadaan ymmärtämään mitä on tapahtumassa.

Uninett on toteuttanut SLO:n front-channelin kautta siten että käyttäjälle näytetään mihin palveluihin hän on kirjautunut. Käyttäjälle annetaan mahdollisuus kirjautua ulos kaikista palveluista kerrallaan tai vain yhdestä. Mahdolliset SP:iden antamat palvelinvirheet voidaan hallita piilotettujen iFramien avulla. Toteutus on tehty käyttäen iFramea+ AJAX+simpleSAMLphp

TNC2009: Päivä 2, Virtual people – roaming: new tools and technologies

Stefan Winter
radsecproxy – a swiss army knife for eduroam [or: why does eduroam work on the
bus?]
http://tnc2009.terena.org/schedule/presentations/show.php?pres_id=42

bussiratkaisu malagassa ap-rasecproxy@localhost-umts-some eduroam radsec
server

Tomasz Wolniewitzi
Identity management of users in eduroam
http://tnc2009.terena.org/schedule/presentations/show.php?pres_id=43

Eduroam on suunniteltu siten että käyttäjän identiteetti on piilossa palvelun
tarjoajalta. On kuitenkin olemas keinoja jolla käyttäjän identiteetti saadaan
selville mutta se on hieman aikaavievää.

Uusi mahdollinen käyttäjän tunnistusmenetelmä/identiteetti muistuttaa paljon
mm. Shibbolethissa käytettävää edpersontargetedid:tä. Tällaisen id:n käyttö
helpottaisi eduroamin häiriökäyttäytymisen estämistä.

-Nykyisin joudutaan blokkaamaan koko idp yhden käyttäjän takia siksi aikaa
että kyseinen käyttäjä voidaan blokata idp:ssä joka blokkaa käyttäjään koko
eduroam realmissa

-Ehdotettu menetelmä mahdollistaisi yhden käyttäjän blokkaamisen varsinaisessa
palvelussa id:n avulla. Nykyisin tämä ei ole mahdollista koska käyttäjä
tunnistetaan MAC:n (Calling station id) avulla ja uusi kirjautuminen antaa aina käyttäjälle uuden MACin.

-guest accesseja käytetään väärin usein jos joku esim asuu linkin
kuuluvuusalueelle (laitetaan pysyviä yhteyksiä)

-Käyttäjäidentiteetti pitäisi ottaa käyttöön vain tarvittaessa ja se pitäisi
luoda siten että se on eri kaikilla palveluntarjoajilla eikä sitä pitäisi
pystyä palauttaamaan ulkopuolisten toimesta vaikka sen luomiseen käytetty
algoritmi paljastuisi

-MAC-osoitetta voitaisiin käyttää identiteettinä, mutta sen heikkoudet ovat
liian merkittäviä. Väärinkäyttäjät yleensä ovat aktiivisia ja voivat
helpohkosti vaihtaa MAC-osoitettansa. Tästä voi seurata duplikaatteja
macosoitteiita -> syy jonkun muun niskoille. MAC-osoite julkisilla koneilla
taas ei ollenkaan yksilöi käyttäjää.

Chargeable User Identity (CUI) on rfc4372:ssä määritelty yritys luoda anonyymi
identiteetti jotakäytetään lähinnä käytön määrän tutkimiseen laskuttamista
varten.

CUI eduroamissa:
-CUI voidaan muodostaa sitenn että otetaan käyttäjätunnus ja lisätään siihen
mahdollisesti joku stringi, näin saadusta merkkijonosta lasketaan md5-summa:
lisätään myös palveluntarjoajan nimi joten saadaan uniikki identiteetti
kaikille palvelutarjoajille
-sp käyttää tietokantaa ja tallentaa sinne käyttäjän MAC-osoitteen,
käyttäjätunnnuksen CUI:n ja NAS IP-osoitteen. Näin se voi tsekata kolmesta
tiedosta CUI:n. Tieto positetaan kannassta kun SP vastaanottaa yhteyden
purukupyynnön

Enrique de la Hoz
An Infocard-based proposal for unified single sing on
http://tnc2009.terena.org/schedule/presentations/show.php?pres_id=44

Muutama muistiinpano.

Eduroamissa kyttäjä on tunnistettuna niin kauan kuin on kirjautuneena. Ongelma
SSO:n toteuttamisesa on se, että eduroam on l2/l3 ja palvelut on ylemmissä
kerroksissa. SSO:n toteuttamiseksi voitaisiin käyttää infocardia (eduroam
information card). Infocard on  xml-dokumentti jossa uniikki avain käyttäjän
ja idp:n suhteesta (openid, sam1.1).

Tässä olisi seuraavia ominaisuuksia:
– voimassa ja käytettäissä eduroam session ajan
– ongelma: infokortin täytyy autentikoitua STS:ää vasten, mutta voidaan käyttää x.509 sertifikaatteja tai itseallekirjoitettuja infokortteja
– käytettyyn radius protokollaan pitäisi liittää oman itsemyönnetyn inforkortin cardID jota haluaa käyttää eduroam inforcardissa
– ei ihan yksinkertaista, vaatisi mm. freeradius serverin puukottamista
– demo aiheesta oli seikkaperäinen
– tulevaisuudessa projekti alkaa käyttämää Radiatoria koska radiuksen kanssa
liikaa ongelmia

TNC2009: Päivä 2, Implications

Päivä 2 Implications

John Paschoud
Users are Easy!
http://tnc2009.terena.org/schedule/presentations/show.php?pres_id=31

John esitteli tutkimusta jossa tutkittiin opiskelijoiden alltiutta luovuttaa
henkilökohtaista informaatiota. Tutkimus tehtiin London School of
Economicsissa (LSE) jossa 412 hlöä vastasi kyselyihi, 34 hlö oli
haastattelussa ja 327 hlö tutkittiin henkilökohtaisen tiedon luovuttamisen
suhteen.

Tutkimuksessa kävi ilmi mm. seuraavaa:
– Käyttäjät eivät usein ymmärrä teknologiaa jota käyttävät, he haluavat vain
saada työnsä tehdyksi
– Jos järjestelmien pääsynhallinta tehdään liian hankalaksi, käyttäjät voivat
alkaa helposti käyttämään itse parhaaksi katsomiaan teknologioita mm.
googledocs, facebook, ..
– Käyttäjät eivät ole tietoisia kaikesta mitä verkossa olevaan
henkilökohtaiseen tietoon ja sen käsittelemiseen liittyy esim. lain asettamat
vaatimukset, teknologiat, ..
– Käyttäjät antavat helposti henkilökohtaista tietoa
– Vieraat palvelut tuntuvat luotettavilta jos niitä on mainostettu jossain tai
jos käyttäjät saavat jotain hyödykkeitä palvelulta

LSE:ssä tehtiin kokeilu jossa käyttäjiltä kysyttiin erilaista henkilökohtaista
tietoa esim. käyttäjätunnus, pankkikortin numero, facebookin salasana jne). Lopputulokset olivat hämmästyttävät.

Aiheeseen liittyviä linkkejä:
www.angel.ac.uk/FLAME
www.angel.ac.uk/idm-toolkit

Andy Powell
Virtual worlds, real learning? The uptake of virtual worlds for teaching and learning in UK universities
http://tnc2009.terena.org/schedule/presentations/show.php?pres_id=32

Andy esitteli esityksessään Second Life virtuaalimaailmaa (SL). Sitä on
käytetty yllättävän(allekirjoittaneen mielestä) paljon Briteissä
yliopistoissa. 90% prosentissa yliopistoista on jonkinasteista käyttöä.
Yleensä yksi kehittäjä / yliopisto. Aktiivisinta kehitys on Edinburghin
yliopistossa ja avoimessa yliopistossa.

Monessa yliopistossa tutkitaan SL:n käytön hyödyllisyyttä. Yliopistojen
suhtautuminen SL:n käyttöön on vaihtelevaa eikä asiasta voida tehdä
yleistystä.

Käytännössä ollaan huomattu että SL soveltuu parhaiten aktiiviseen ja
kollaboroivaan työskentelyyn kuten rakentamiseen, koodaamiseen,
keskusteluryhmiin, draaman tuottamiseen ja roolipeleihin.

SL:n käyttö UK:ssa on seurannut normaaleja trendejä. Suurimman hypen aikaa
käyttö kasvoi mutta laski sitten melko nopeasti. SL:n käyttö koulutuksessa
seurasi samoja trendejä mutta hieman hillitymmin.

SL:n käytön ongelmia on esim. tarvittava erityinen teknologia. Jonkin verran
suorituskykyä vaaditaan tietokoneelta ja näytöltä. Ongelmiksi Andy lukee myös
sen, että SL:n käyttö ei vain yksinkertaisesti toimi kaikille ihmistyypeille.

TNC2009: Päivä 2, Virtual People

Kalmarin unioni – Mikael Linden, Andreas Åkre Solberg

Kalmar Union, a confederation of Nordic identity federations
http://tnc2009.terena.org/schedule/presentations/show.php?pres_id=28

Mikael Lindenin ja Andreas Solbegin sessio käsitteli confederaatiota eli federaatioiden muodostamaa federaatiota. Esimerkkitapauksena käytettiin Kalmarin Unionia joka on pohjoismaiden federaatioista koostuva federaatio. Tähän kuuluvat norjalainen FEIDE, ruotsalainen SWAMID, suomalainen HAKA ja tanskan ja islannin käyttmä WAYF.

Confederaation hyötynäkökulma kiteytyy sellaisessa esimerkkitapauksessa jossa
yksi palvelu voi palvella kaikkia federaatioon kuuluvia jolloin palvelun
vaatimat resurssit on keskitetty. Näin ei tehdä turhaa päällekkäistä työtä.
Eli käytännössä joku tarjoaa kaikille federaatioille palvelua joka jokaisen
federaation olisi kuitenkin tarjottava jäsenilleen. Kalmarin unionissa eräs tällainen ajankohtainen palvelu on sertifikaattien jakelu.

Kalmarin unioni perustuu SAML2.0 protokollaan. Kalmarin unioni ottaa kaikista federaatioista tarvittavan metadatan ja muodostaa siitä unioniin sopivan version joka jaetaan siihen liittyneille IdP:ille ja SP:ille.

Kalmarin unionin kohtaamat ongelmat ovat lähinnä federaatioiden erilaisissa käytännöissä. Pakolliset attribuutit on määritelty eri tavoin, attribuuttien syntaksi poikkeaa naapurin käyttämästä ja käyttäjän yksilöivät attribuutit eivät ole samoja. Tämän lisäksi eri federaatioiden vaatimukset käyttäjänhallinnossa poikkeavat toisistaan joka asettaa ongelmia määritellä luotettavuussuhteita. Käyttäjäkokemuksen toteuttaminen on myös haastavaa toteuttaa siten, että loppukäyttäjä ymmärtää mihin on sitoutumassa ja miten toimia tietoturvallisesti.

David Simonsen

Trusted third party based ID federation, enhancing privacy and lowering the bar for connecting
http://tnc2009.terena.org/schedule/presentations/show.php?pres_id=29

David puhui WAYF-palvelun (Where Are You From) funktion muuttamisesta tai sen mahdollisuuksista. Perinteisesti WAYF-palvelu ohjaa käyttäjän tunnistautumaan omaan kotiorganisaatioon. Ehdotetussa skenaariossa WAYF toimii oleellisena välittäjänä (singgle point of contact) kotiorganisaation ja palvelun tarjoajan välillä. Käytännössä WAYF prosessoisi tietoa viestiliikenteessä siinä kun SP ja IdP kontrolloivat sitä.

Etuja tällaisesta lähestymistavasta on esimerkiksi federaatioiden liittämisessä toisiinsa ja käyttäjän konsentin (lupa omien tietojen antamisesta palveluntarjoajille) keskistetystä hallinnoinnista.

Yhtenä suurena haastena skenaarion toteuttamisessa on tässäkin tilanteessa tietoturvallisuuden kannalta se, kuinka loppukäyttäjä saadaan ymmärtämään mitä hänen toimintaympäristössään tapahtuu.

TNC2009: Päivä 4, Closing plenary

Viimeistä viedään eli päätösplenaryn muistiinpanot.

Simone Brunozzi, teknologia evangelista, Amazon.com, “Amazon Web Services

Otsikko: Innovating Cloud.

Cloud computing

IT on hajanaista. Sopimusneuvotteluita, kaistan hallintaa, jäähdytystä, päätöksiä, epäyhtenäisiä ohjelmistoja, fysikaalista kasvua, katastrofeja, inhimillisiä panoksia ja “kahden ennustuksen ongelmia” (hankitaan kapasiteettia sitä voi olla liikaa tai kapasiteettia voi olla liian vähän eikä asiakkaiden tarpeisiin pystytä vastaamaan tarpeeksi nopeasti).

Amazon Web Services: Infrastruktuuripalveluita

  • S3 – Simple Storage Service
  • CloudFront
  • EC2 – Elastic Compute Cloude
  • SQS – Simple Queue Sedrvice

Myös

  • Premium Support
  • Simple DB
  • Elastic MapReduce
  • Mechanical Turk

Eli kyse on IaaS-palveluista.

Periaatteita:

  • helppokäyttöisyys
  • turvallisuus
  • joustavuus
  • maksetaan käytöstä, ei investointeja
  • ei sitoumuksia
  • API
  • alustaneutraali

Kapasiteetti ja siis hinnat joustavat sen mukaan mitä tarvitaan.

EC2:  Virtuaalipalvelimia on demand-periaatteella, Maksetaan tunneista (pieni 0,10 $/h, XL 0,80 $/h), Linux, Windows, OpenSolaris. Elastic Block Store (1-1000 GB)

AWS:hen on web-pohjainen hallintakonsoli

Skaalautuvuuteen, load balancingiin ja monitorointiin on omat työkalut.

Use Cases:

  • Indy500, 3.1 miljoonaa online kävijää
  • Eli Lilly, Käyttävät EC2-palvelua tutkimuspuolella
  • SmugMug.com, jakaa mediadataa. Käytössä 1 Pbyten varasto
  • Harvard Medical School

Partnereita: Microsoft, IBM, Oracle, Sun Microsystems, Red Hat, Capgemini, Facebook, Salesforce

Eurooppa ja USA ovat toiminnassa erillisiä. Backupit on mahdollista tehdä.

Slaidit: http://bit.ly/malaga-aws

@simon Twitterissä.

* * *

Lopuksi.

Numeroita TNC2009:stä

485 osallistujaa, yli 100 puhujaa.

Striimeissä:

  • Yhtäikaisia käyttäjiä 195
  • keskimääirn 90
  • uniikkeja IP:tä: 1099

WLAN:ssa max 301 yhtäaikaista wlan-yhteyttä jne.

TNC2010 järjestetään Vilnassa, Liettuassa.

TNC2009: Päivä 4, Users and applications – Applications and mobility

Muistiinpanot TNC2009:n viimeisen päivän sessiosta “Users and applications – Applications and mobility

* * *

Michael Lawo, “Using Wearable Computing Technology to Empower the Mobile Worker

Nykyään informaatio on yleensä saatavilla milloin tahansa ja missä tahansa. Jossain se on. Aina informaatio ei kuitenkaan ole saatavilla esimerkiksi ulkotiloissa.

Tietokoneparadigma: Ei vuorovaikutusta työskentely-ympäristössä’. Fokusointi ruutuun ja työt tehdään paikallaan ollen.

Mobiilissa paradigmassa käyttäjä on vahvasti vuorovaikutuksessa ympäristönsä kanssa (95 %). Vuorovaikutus mobiilin tietotekniikan kanssa on kaksikanavaista, toisaalta käyttäjä on suoraan tekemisissä tietotekniikan kanssa, mutta myös ympäristönsä kautta.

Wearable computing on aina päällä ja herkkä sille, mitä ympäristössä tapahtuu.

Päälle puettava tietokone (wearable computer) vaatii usein sitä, että tehdään useaa tehtävää yhtäaikaa. Niiden kanssa työskentelyn haasteena ovat mm. laitteiden rahjoitukset ja toisenlaiset käyttötavat. Tällaisten laitteiden käyttöliittymien suunnittelu vaatii ymmärrystä näistä käyttökonteksteista jne. On olemassa framework: Open Wearable Computing Framework (OWCF)

Demovideo: Lentokonemekaanissa, joka kantaa järjestelmää vaatteissaan, näyttö pienen silmälasin tapainen laite. Tällaiset laitteet hyödyllisiä esimerkiksi ahtaissa tiloissa ja paikoissa.

Kontekstia (esimerkiksi työasentoja ja ympäristön ominaisuuksia) voidaan arvioida ja siihen liittyviä ominaisuuksia tunnistaa. Tähän on rakennettu myös erityinen takki.

Järjestelmän ohjaimet voivat olla myös hansikkaassa (etusormi on OK, keskisormi Menu jne.). Tällaiseen hanskaan mahtuu muutama komento ja se voidaan varustaa esimerkiksi RFID antennilla.

Tällaiset päälle puettavat järjestelmät ovat tyypillisesti rakennettu tarpeen mukaan ja ovat erilaisissa käyttötarkoituksissa erilaisia.

Johtopäätöksiä:

  • Puettavia järjestelmiä tulee lisää moniin työtehtäviin (ylläpitotehtävät, hälytystehtävät) ja vaikkapa urheiluun.
  • Mobiileja järjestlemiä tarvitaan esimerkiksi silloin kun ympäristön olosuhteilla on tekemiselle merkitystä. Esimerkiksi silloin, jos jotain työkalua ei voi käyttää joissain tietyissä olosuhteissa (työkalujen vääräönlainen reagointi ympäristön kanssa).

Sovellustekniikoita ovat esimerkiksi wearIT@work core framework, JContextAPI, WUI, äänentunnistus.

* * *

Thomas C Schmidt, “Als die Filme laufen lernten – Session Mobility for Videoconferencing on Mobiles

Puheenvuorossa esiteltiin videokonerenssijärjestelmää, joka saadaan toimimaan mobiililaitteissa. Integroitu kollaboraatiotyökaluihin ja ryhmätyöominaisuuksiin.

Moviecast = mobiili video + hybridi multicast. Osapuolten autentikointi on turvallisuuden peruskysymyksiä.

Teknologian perusteet:

  • daViKo Video Conference Software PlaceCam
  • H.264 Codec + SVC Ext.
  • Peer-to-Peer Communication Model
  • Simple User Localisation
  • IPv4 & IPv6 – SIP + Unicast & Multicast
  • Windows & Linux

Esimerkkitapauksessa on kamera asennettu leikkijunaan, joka kiertää ympyrää ja lähettää kuvaa ja se on käytettävissä mobiililaitteista.

Demo. Yksi kuva läppäristä ja toinen mobiilista. Kummassakin näkyy toisen näytöt, yllättävän pienellä viiveellä ja sujuvalla kuvalla.

IPv6-integraatio on olennainen. Käytössä myös SIP.

Esityksen slaideissa on tarkemmin käytettyihin ohjelmistoihin liittyviä teknisiä yksityiskohtia, järjestelmäarkkitehtuuria ja suorituskykyyn liittyvien mittausten tuloksia.

Yhteenvetoa:

  • Mobile Video Conferencing: helppokäyttöinen, kun se on tehty kunnollisella ohjelmistolla
  • Keskeinen haaste: tehokas videon koodaus
  • SIP Framework-laajennuksella voidaan täyttää käyttäjien toiveita
  • Hajautettu ryhmä konferenssi on toteutettavissa
  • Käyttäjien ja sessioiden liikkuvuus

Lisätietoja:

* * *

Thomas Wießflecker, “A Distributed Indoor Navigation System Leaving the Trails

Asuinrakennuksissa ja monimutkaisissa rakennuksissa (esimerkiksi kauppakeskuksissa) tarvitaan tehokasta katastrofin hallintaa.

Sisätilojen paikannusta tarvitaan esimerkiksi lisäämään rakennusten turvallisuutta, ajan ja rahan säästämiseksi ja asiakastyytyväisyyden lisäämiseksi.

Olemassa olevat sisätilojen paikkajärjestelmät

  • GPS ei toimi sisätiloissa
  • RFID, WiFi, UWB vaativat paikallaan olevaa infrastruktuuria eivätkä välttämättä toimi onnettomuustilanteessa
  • Nykyiset karttasysteemit (paikan kohdentaminen karttapohjaan) eivät ole toimivia sisätiloissa

Uusi lähestymiskulma Computer Aided Disaster Management System (CADMS), Graz, University oif Technology

CADMS:n pääasiallinen hyöty: autonominen sisätilojen paikannus.

  • Kerää kiihtyvyysdataa
  • Sofistikoitunut käyttöliittymä
  • Lähettää datan laitteen ulkopuolelle
  • Integroidut datasensorit
  • Parempi paikannuksen tarkkuus

Käyttää BIMiä eli Building Information Modelia.

Rakennuksen pohja mallinnetaan. Tarvetta olisi uudelle lähestymiskulmalle, jotta paikkatieto voidaan  paremmin kohdentaa karttaan.

Pulma on siinä, miten sisätiloista saadaan kartta aikaiseksi ja miten kulloinenkin paikka saadaan näytettyä tuolla kartalla. Slaidessa on esitetty algoritmia sille miten paikkatietoa voidaan laskea. Yksi pulma on sekin, että mikäli kartta saadaan hahmotettua, niin vain fyysisesti mahdolliset reitit pitäisi pystyä erottamaan.

Referenssipisteiden käyttö ja mittausdata CADMS:n perustana. Sensoridata voi antaa ilman korjauksia virheellistä tietoa. IMU (mittausyksikkö) voidaan sijoittaa esimerkiksi kenkään.

Johtopäätösten mukaan CADMS toimii käytännössä ja virheet saadaan laskettua.

TNC2009: Päivä 3, Virtual people

Sessio: Virtual people, muistiipanoja.

* * *

Rok Papež, “Connecting Web and Kerberos single sign-on

Aluksi käytiin läpi Kerberoksen toimintaperiaatteet ja tiketit. Kerberoksen toimintaperiaatteista nähtiin myös demo. Kerberos on autentikointiprotokolla, ei siis auktorisointiin. Sitä voi käyttää SSO:hon. Kyseessä on vanha teknologia ja versio 5 on tullut käyttöön vuonna 1993 (RFC1510).

  • Huono administrator-dokumentaatio ja vielä huonompi kehittäjille.
  • Kyseenalainen turvallisuushistoria.
  • Ei sovi käytettäväksi julkisissa palveluissa, kuten vaikkapa kampuksilla
  • Huono tuki auktorisoinnille
  • SPNEGO web-sovelluksille, rajalloinen paikallisen verkon käyttö

SAML – Security Assertion Markup Language. Soveltuu web-applikaatioille. Erillinen lolgin, SSO, Käyttäjien autentikointiin ja voi käsitellä auktorisointidataa. SAML2 on vuodelta 2005. Implementaatioita: Shibboleth IdP

SAML-AAI ja kerberos eivät ole kilpailevia protokollia, vaan niille on eroista johtuen eri käyttötarkoitukset. Ongelmana on esimerkiksi identiteettitietojen välittäminen.

Voi käyttää siten, että yhdessä esimerkiksi web-applikaatioissa, jos taustajärjestelmä vaatii kerberoskirjautumista. Web-applikaatiossa autentikointi tehdään SAML-AAI:n kautta ja se välittää tiedot KDC:n (Key Distribution Center) avulla esimerkiksi IMAP:lle. Tarvitaan Identity Mapper, joka muuntaa SAML:n eduPersonPrincipalNamen Kerberos Principaliksi.

Lisätietoja:

* * *

David Lutz, “Applied Federation Technology: The Charging of Roaming Students” (Payment in Identity Federations)

Tapauskuvausta:

Opiskelija opiskelee useammassa yliopistossa (“roaming student”), hänellä olisi normaalisti joka yliopistoon erillinen identiteetti. Ratkaisuna on federointi.

Yksi konkreettinen case: maksaminen.

Maksaminen paikallisesti hallita. Globaalisti on PayPal, luottokortit. Niiden käyttö on helppoa. Jos rahaa kuitenkin pitäisi liikutella yliopistojen välillä (siis opiskelijan maksua jotenkin osittaa), tarvitaan federointia.

Perinteisessä federaatioarkkitehtuurissa:

  • Käyttäjä
  • IdP
  • SP

Kun kuvaan tulee maksaminen, tarvitaan vielä Payment Provider, joka hallinnoi käyttäjän maksutiliä. Tarvitsee yhteyden IdP:hen ja SP:hen. IdP antaa tietoja käyttäjästä attribuutteina Payment Providerille.

Sisältää turvallisuuskysymyksiä, kuten tavanomaiset tietoturvahyökkäykset, saldon ylikuluttamisen tai vaikkapa tietojen muuttamisen prosessissa. Pulmiin on useita ratkaisuja rautatasolla ja softatasolla.

Käyttää SAML-elementtejä ja assertioita.

Voidaan käyttää esimerkiksi mikropayment-pulman ratkaisuun. Ei oikein kiinnosta kaupallisia toimijoita. Ratkaisuksi maksaminen SAML:n yli.

* * *

Ville Tenhunen, “Mobile Signature Services, Authentication and Profile Distribution

Tämän kirjoittajan oma esitys päättyneestä projektista. Ei muistiinpanoja tässä yhteydessä. Lisätietoja voi pyytää vaikka sähköpostitse.

TNC2009: Pari sanaa postereista

TERENAn TNC2009-konferenssissa oli esillä myös koko joukko postereita. Pari poimintaa niistä.

CESNET:n Miroslav Voznak ja Filip Rezac olivat tuoneet internetpuhelimen spammiin liittyvän posterin “Spam over Internet Telephony with SPITFILE“, jossa kerrotaan SPITFILE-applikaatiosta, jolla on voitu kokeilla SIPp:llä tehtyjä  SPIT-hyökkäyksiä ja niiltä suojautumista.

EENetin Laas Toomin ja Tarmo Ainsaarin toinen posteri on otsikoitu “WebApps as a Service“, jossa esitellään tapoja hyödyntää SaaSin ideaa web-applikaatioiden jakelemisessa käyttäjille. EENet on nimennyt palvelunsa nimellä HAVIKE.

David Simonsenin (WAYF) “User consent to exchange of personal data” pohdiskelee sitä, mitä periaatteita täytyy huomioida, kun suostumuksia erilaisten käyttäjän tietojen käsittelyyn käsitellään.

João André Pereira Antunes (Universidade Técnica de Lisboa) esitteleen posterissaan “Academic Instant Messaging System – Deploying Instant Messaging Over an Existing Session Initiation Protocol and LDAP Service Infrastructure Using the Message Session Relay Protocol” toteutuksen IM-palvelun tuottamiselle 12 000 hengen tiedekunnassa.

Jan Furmanin (CESNET) posteri “Deployment of temporary eduroam networks based on wireless mesh technology” esittelee pääpiirteet tilapäisen eduroam-verkon käyttöönotolle hyödyntäen langatonta mesh-teknologiaa.

Muissa postereissa käsiteltiin useita erilaisia aiheita kuten vaikkapa IPFIX-pohjaista verkon monitorointia tai vaikka ROADM-arkkitehtuuria.

Esittelyt postereista on siis täällä.