BEAWorld-ilt veel, hilinemisega

Agenda:

  • Ikka veel uus ja palju tõotav: RFID
  • Juba vana nali: SOA
  • Ka kõva sõna: IMS ning SIP

Ikka veel uus ja palju tõotav: RFID
RFID on asi, millest juba aastaid räägitud, pidevalt vihjatud kui millelegi äärmiselt suure potentsiaaliga leiutisele või lahendusele, kuid tegelikkuses siiski veel mitte nii laialt levinud. Jutt on siis väikestest Radio Frequency Identificator-itest, kes veel pole kuulnud. Pisikesed kiibid, mis sisaldavad infot ning mis, kas saadavad seda välja või annavad seda päringu peale. Kiipidega saab erinevaid jubinaid märgistada ning siis mingi süsteemi abil neid trackida või muud sarnast korraldada. Põhimõtteliselt on võimalik nende abil kõike teha. Inimese fantaasial pole ju piire. Siiski on rohkem mõeldud kiibid sellisteks “Big brother” tüüpi tegevusteks nagu näiteks kauba (mis vabalt võib ka inimene olla) jälgimine jms. Näiteks vagunil on RFID tag ja iga kord kui ta sõidab lugeja juurest läbi, tehakse kanne automaatselt mingisse süsteemi. Samuti võiks seda kasutada poes triipkoodi asemel. Kogud kauba korvi sõidad lugeja vahelt läbi ning saad tšeki.

Asja sisust siis ka veidi lähemalt. Kogu süsteem koosneb siis RFID lugejast, mingist andmete protsessimise keskusest ning kiipidest. Kiipe on 2 erinevat tüüpi aktiivsed ja passiivsed. Passiivsed kiibid koosnevad mingist antennist ning mingist CMOS skeemist. RFID lugeja saadab välja mingi sageduse, selle tagajärjel kiibi antennis tekib induktsiooni vool ja selle abil saadetakse info kiibist välja. Aktiivsetel kiipidel on endal toide ning nad suudavad ise saata infi välja, ilma kõrvalise abita. Aktiivsel kiibil võib lisaks olla veel peal sensorid, mis monitoorivad lisaks keskkonda, kus ta asub jms. Loomulikult on aktiivsed kallimad! Passiivse kiibi saad alates 0,05 USD, aktiivse kohta info puudub. See kindlasti sõltub kiibi võimsusest ja muudest omadustest. Kuna passiivsed kiibid suudavad infi saata maksimaalselt mõne meetri kaugusele, aktiivse sadade meetrite vastu, ei ole võimalik igal pool passiivseid kiipe kasutada.

Tekib tahes tahtmata küsimus, et kuidas BEA sellega seotud on? BEA on kokkuvõtvalt teinud mingid lahendused eriliste serverite näol, mis aitavad RFID datat monitoorida, vahendada ja konfida. Serverid toetavad suuremat osa RFID riistvarast. Siis on seal veel omaette API, mille abil developeril peaks olema kõik lihtne kasutada nagu “tükk kooki”. Kõik on loomulikult tehtud võimalikult kiireks (tark- ja riistvara koostöö) just RFID-d silmas pidades. Ühesõnaga saab sellega kõik lihtsalt ja kiiresti ära teha. Palju ilusaid sõnu.

Veel üks lisamärkus. Nüüdseks on juba keel kiibi ja lugeja vahel ka standardiseeritud! Varem oli tõeline jama, sest iga mees tegi oma protokolli. Seega seis oli suhteliselt segane, sest iga dude rääkis oma dialekti. Lootusrikas promo jätkub.

Järgnev pole küll kuidagi BEA-ga seotud, kuid siiski on päris cool site http://www.future-store.org/, mis kujutab sakslaste Metro Groupi visiooni RFID kasutamisest (vt. videot)

Huvitav oleks teada, kas Eestis keegi pakub tuge või lahendusi RFID tagidega seoses. Teab keegi?

Juba vana nali: SOA

Üks päris hea ettekanne oli BEA Aqualogic (SOA-d toetav toodete grupp) toote perekonna peaarhitektilt, kes rääkis SOA turvalisusest. Enamjaolt, küll selline enesest mõistetav jutt, kuid siiski tuleks mõned punktid uuesti kirja panna ning uued suunad välja tuua.
Mis minu jaoks kõlas suhteliselt huvitavalt, oli vaatenurk, millega nemad nüüd turvalisusele lähenevad. Põhirõhku ei panda enam sellele, et väliseid rünnakuid tõrjuda, vaid sama tähtis on ka sisemiste ohtude ennetamine. Sisemiste ohtude alla kuuluvad nii oma töötajad kui muu personal, aga ka teised süsteemi poolt kasutatavad teegid. Ohuks võib saada just mingi teek, mis sureb koormuse all ära ning avab seejärel ukse välistele pättidele. Suund sisemisele turvalisusele tuleb asjaolust, et loodavad süsteemid muutuvad järjest heterogeensemateks. Välja toodi ning tegelikult ka rõhutati suhteliselt palju, et WebService Security spetsifikatsioon ei toeta eriti heterogeensust. Lisaks veel liiguvad paroolid sõnumis, mis pole ka just hea praktika. See kõik oli samas natuke vastuolus faktiga, et igal pool soovitati kasutada standardeid.

Samuti rõhutati andmete tundlikkust. Tuleks alati läbi mõelda, milleks ikkagi on konkreetseid andmeid teisel süsteemil vaja. Andmeid tuleks filtreerida isegi ka süsteemi sees. Kõik sinu komponendid ei vaja tervet väljavõtet tabelist, kui nad kasutavad ainult ühte välja. Selline õpetlik lugu, kus millelegi nagu vastu vaielda ei saa.

Kuidas seda kõike saavutada üritatakse? SOA turvalisus on nagu SOA ise… arvasite ära… teenuse põhine ning seega kõikjal kasutatav ja kõike hõlmav. Teenustena on eraldi näiteks autoriseerimise teenus, autentimise teenus, rollide teenus, erinevad sertifitseerimise teenused jne. Kõik sõltub mida sa ainult vajad. Kui kõik sobivad teenused on realiseeritud, siis saab neid hiljem igasse rakendusse kerge vaevaga lisada. See tagab siis terve suure süsteemi peale optimaalse lahenduse. Pole ju tarvis igale poole eraldi turvalisust juurde ehitada. Nii lihtne see ongi – ei ole midagi väga uut ja radikaalset, aga samas väga hea. Küsitavusi muidugi jääb.

Eraldi toodi lõpus välja nimekiri viiest olulisimast punktist turvalisuse rakendamisel:

  1. Vii security rakendustest välja eraldiseisvaks teenuseks ning tekita …
  2. … service based security.
  3. Ära kunagi hardcode midagi security vallas.
  4. Kasuta standardeid.
  5. Hajuta süsteeme, et ei oleks one-point failure case’i.

Uus trend: Service PULL, varasema PUSH-i asemel. Üks enim haibitud slõugan läbi terve ürituse oli, et liigume varasema teenuste Push-i ajastust teenuste Pull-i poole. Mida, siis selle all mõeldi. Praegu tulevad uued teenused turule erinevate firmade arendustiimide tulemusena – ehk siis teenusepakkujad toovad turule teenuseid (PUSH). Tulevikus – kus kõik juba kasutavad edukalt SOA-d – saavad kõik, kes vähegi ise tahavad teenuseid ka pakkuma hakata (PULL). Kui keegi edukas innovaator leiab, et teenus X veel puudub turult, kuid kõik teenused, mis teenust X toetavad, on olemas, võtab ta kasutusele kõik saadava ja hakkab oma teenust pakkuma. Lihtne – kasutame kõik teiste teenuseid ning anname oma ka teistele kasutada. Reaalsuse on ka seda juttu juba tükk aega räägitud. Kogu see uus nägemus peaks olema SOA, Portalite ja muu taolise tulemus.

Ka kõva sõna: IMS ning SIP

IMS-st võib siis lühidalt rääkida. IMS (IP Multimedia Subsystem) on siis 3GPP standardite hulk, mille eesmärgiks on viia kõik kommunikatsioon IP põhiseks. Ühesõnaga on toodetud välja üks uus võrgu arhitektuur, mis peaks kõike mugavamaks ja paremaks tegema. Ei ole ta tegelikult nii uus midagi – läbitud on juba kaks 3GPP releas-i, mis aastast 2004 on käigus ja üha suurema kasutatavusega.

Session Initiation Protocol – SIP. Interneti protokoll, mis võimaldab reaal-aja p2p, multi-party ja multimeedia tuge IMS-le. See tähendab, et IMS töötab SIP peal. Mis on selle kõige põhjustanud? Loomulikult see, et kõik tahavad oma vanu teenuseid ja kulusid optimeerida. Tavatelefoni teenusepakkujad ostavad mobiilside operaatorid üles ja vastupidi. Kogu selline vaba majandus põhjustab tehnoloogilise heterogeensuse – selle üheks lahenduseks võikski olla IMS, SIP serveril.

IMS Special Extra Ultra Edition Story
Proovisin kogu selle jutu peale ise siis käima lükata BEA SIP serverit ning järgnevalt siis kokkuvõte sellest, mis juhtus ja mis sai! :)

Olles rõõmsalt saanud BEA meeste käest innustust, et pool tundi ja kõik töötab, hakkasin minagi tutoriali lugema ja asju veebist alla laadima. Noh jah … poolest tunnist läks asi päris kaugele, aga sellega ma olin juba eos arvestanud.
Järgmine samm asjade konfimine. Ühes masinas pidin tööle panema voice-xml serveri, BEA SIP-serveri, Pointbase andmebaasi ning mingi netitelefoni. Demo rakendus pidi olema assistendi moodi asi. Saad oma teksti salvestada ja siis netitelefoni kaudu helistada sellele numbrile ja kuulata seda.

Juba õpetuse algul paistis silma liiga palju sarnaseid pordi numbreid, mis ei tõotanud head ja nii ka oli. Oleks siis mingi skeem kusagil olnud, et süsteem X suhtleb süsteemiga Y pordi Z kaudu, aga kus sa sellega. Tutoriali lõppu jõudes, kui kõik süsteemid justnagu tundusid töötavat, jõudsin ilusa mõtteterani – “Kui sa kõike seda ühes masinas tahad tööle panna tee seda teises järjekorras” – daaaaaa tõesti…… Seega tuli kogu jama uuesti läbi käia.
Teist korda oli veel huvitav, kolmandat korda juba lihtne. Aga… päriselt tööle ma seda ikkagi ei saanud. Kõik süsteemid eraldi justkui töötasid, andmed liikusid baasi ja telefon vist sai ka ikka kuidagi mingit ühendust mingi teise süsteemiga, aga midagi erilist ma selle demoga peale hakata ei osanud. Võibolla ei teadnud kuidas õieti valida mingeid numbreid, võibolla oli asi muus. Õpetus nagu tavaliselt, oli kasutamise kohalt null – käima asi lükata polnud probleem, kuid kasutusjuhendit ei viitsi keegi kirja panna (ja see, mis kirjas oli, ei vastanud ka kuidagi tegelikkusele).

Põhimõte oleks pidanud olema selles, et telefon, võrk ja kõik muud tehnoloogiad suhtlesid BEA IMS SIP serveri poolt pakutava SIP protokolli abil Vxml serveriga, mis tegeleb siis media protsessimisega. BEA on teinud SIP protokolli toe oma serverile, nii et see suudaks teiste süsteemidega suhelda. SIP vahendusel rääkis siis arvuti inimesega. Vxml võimaldab nii kõne sünteesi kui ka kõne ette mängimist ning seda kõike tehti üle SIP kanali. Kõike seda saab teha ka ilma SIP-ta, kuid ilmselt ei oleks see piisavalt pop ja noortepärane. Oleme ju meiegi teinud vxml rakendusi siin Proeksperdis. Seega kokkuvõtvalt otsustasin lihtsalt selle jutu kirja panna ja kui aega leian, siis võin edasi mängida nende asjadega.

12 thoughts on “BEAWorld-ilt veel, hilinemisega”

  1. Odot, kuidas sekuurida suhtlust sekuuriti teenusega? Läbi sekuuriti teenuse? Läbi sekuuriti teenuse sekuurimise teenuse? Ilma sekuuritita? One point failure? Muna? Kana?

    Ja, et teen rakenduse mis kasutab teenust X kuigi Xi pole olemas ja loodan, et ka teised inimesed teevad rakendusi mis kasutavad Xi TÄPSELT samamoodi. Siis loodan, et Xi kasutatavate rakenduste hulk kasvab piisavalt suureks, et keegi peab kasulikus Xi realiseerimise. Ja kust hull innovaator teab, et rakendused üldse kasutavad Xi, sest need ei saa ju töötada kuna X on veel puudu. Muna? Kana? Ulme risk? Olen loll?

    Tegelt häirib mind kogu selle SOA teema juures see, et hakatakse hägustama piiri SOA kui loosly coupled, hallatava arhitektuuri ja SOAPi kui ühise suhtlusprotokolli vahel. Mis on minu arus löök allapoole vööd SOA üle RESTi ideele ja RESTile üldse. Jajah, kohe lähen poodi ja ostan endale ESB.

    Hetkel tundub, et kogu SOA marketingi point aidata bea sarnastel firmadel müüa SOA haldamise ning liimimise rakendusi. Vaatamata sellele, et SOA pidi algselt kergelt hallatavad ja liimiribaga olema.

  2. Praegu just istusin seminaris, mis arutas opensource cms-ide teemat ning seal siis ka arutlesime security teemat – et nagu opne source kõik meile tuntud projektid jooksevad läbi ja mis juhtub siis kui apache asjad ntx ära surevad.
    Lõpp tulemuseks oli see, et leidsime ka, et see on pigem commercial softi tootjate marketingi jutt. :)
    Eks iga rätsep püüab kiita oma rõivaid ….

  3. Huvitav oleks teada, kas Eestis keegi pakub tuge või lahendusi RFID tagidega seoses. Teab keegi?

    Mõned mehed on meil RFID passide kallal mütanud… ;)

    1. Vii security rakendustest välja eraldiseisvaks teenuseks ning tekita …

    5. Hajuta süsteeme, et ei oleks one-point failure case’i

    Miks mulle tundub, et need 2 punkti ei sobi kokku…

  4. Kui usaldusväärne see RFID poes idee on? Kui mul korvis igasugu sodi on siis kas tõesti saavad kõik asjad loetud? Eriti kui laen korvi õlut täis, kas keskmised õlled saavad loetud? Kleebin hõbepaberist kleepsu tagi peale ja saan krõpsud tasuta? Või kas maksan ka pooled järgmise ostja õlledest? Ei ostjad ega müüjad ei tunneks ennast mugavalt.

    Vaatasin ka seda videot. Kuidas on võimalik, et ma ostan riided tagidega ja hiljem nendega poes käin? Maksan iga kord uuesti? Iga konkreetsel tootel on päris oma id? Siis olen ju vabalt jälgitav? Ja kui seda ei taha siis ei tööta mu pesumasin ja ma ei tea mis veel.

    Kui igal asjal on rfid siis on ju ka pättidel hea, pimeda tänava algusesse paned rfid lugeja ja siis läpparist vaatad keda tasub röövida(sobiva suuruse ja värviga ipod ntx). Autodest mööda jalutades on hea vaadata kellel midagi väärtuslikku pagasikatte(akudrell ntx) all on. Ilmselt ei võta keegi ka automakilt neid klepse ära. Kohe näha, et kas maki paneel on istme all või mitte :) Või otsid konkreetset paneeli või makki. Jälle mugav, tänavatest saavad head hallatavad laod pättidele.

    Ja ennetan ka neid kes tahavad väita, et rfid’d saab ära korjata ja varjestada jne. Tehku tiir linnas, vaadaku palju lahtiseid wifi võrke on, vaadaku palju tulemüürita arvuteid on, vaadakui kuidas msni viirused levivad krt inimestel on isegi pin koodid pangakaartidel. See on reaalsus. Sõber/ema/vanaema unustab oma rfidga jubina su auto pagassi ja ongi hommikul autol aken sees ja kass magab seal. Ja hea kui ainult magab.

    Laoarvestuseks on rfid muidugi lahe. Kasulikke kasutusjuhte on ka teisi. Aga poes nendega välja minnes tuleb nii palju probleeme, et isegi naljakas pole.

  5. Eks need rfid standardid hõlmavad ka midagi selle vastu. Tean, et saksamaal on vähemalt nõutud mingi federal data protection law täitmine ning inf kiibil on krüptitud (mis muidugi ei tähenda, et seda lahti ei saa teha).
    Lisaks veel selline inf rfid security kohta:

    Prerequisites for the security of IT systems
    The security of RFID systems and the data stored in
    them is generally based on the following prerequisites:

    • The RFID transponder carries an unequivocal and
    unique identification number which can either be
    the standardized Electronic Product Code or a
    different type of bit pattern. The latter can be interpreted
    in such a way as to yield a combination of
    numbers or letters.
    • While activated, the transponder is allocated to a
    single object only. This means that the information
    stored on the chip cannot simultaneously serve as
    a reference for various items.
    • Only authorized readers obtain access to the data
    stored on the RFID transponder.
    • There are authorization procedures to protect communication
    between readers and the IT system
    from interception, manipulation of the data during
    transport or false identities.
    • Security software must be used to protect the readers
    and the IT system from manipulation of the operation
    code by hackers.
    • Users’ access codes and passwords must be
    safeguarded against unauthorized access.
    • Special security concepts grant access to the data in
    the RFID system exclusively to persons with a “needto-
    know” status.

    ja see tekst on võetud lihtsalt mingist marketingi paberist. küll mingid tegijamad mehed on sellle rohkem aega kulutanu ja midagi paremat ….

  6. Selge see, et kui ma oma lao/poe jaoks oma rfid tagid teen siis seda probleemi pole. Panen mingi suva ID sinna, krüptin ja keegi ilma poe salajase võtme ja andmebaasita ei tea mis sodi kastis on. Siililegi selge ja mugav. Ning kindlasti on sel juhul kasu sinu refereeritud reeglitest.

    Aga siis ei saa ka pesumasin hoiatada kui ma punased sokid koos valge triiksärgiga. Ja külmkapp seda, et mul õlled otsas on. Ehk siis on suur osa sellest visioonist täielik jura. Või on smallprint see, et ma pean ise kodus igale ostetud asjale rfid külge kleepima, indekseerima ja kirjeldama nii, et pesumasin ja külmkapp sellest aru saaks . Mis on muidugi fun.

    Ok, hea küll, on variant, et teen poe infosüsteemi mingi accoundi ja saan vaadata kõigi oma ostetud asjade infot mingis tuleviku tootekirjelduskeeles millest kõik seadmed aru saavad. Nüüd aga kust mu külmik teab, mis poest seda päringut teha? Paneme kaardile lisaks krüptimata poe-id? Aga siis on ikkagi näha, kas mul on taskus mõni elektroonikapoest ostetud asi või mitte? Või kui sul on valida kas röövida seda kellel on kotis midagi Stockmannist või Säästumarketist? Kust saab parema telefoni/kella?

    Ma kardan, et ka rfid’ga jääb kethima kuldreegel – meil on valida turvalisuse ja mugavuse vahel. Aga seekord pole sul õrna aimugi kas sinu turvalisust juba kombatakse või mitte.

  7. Ma päris võibolla ei nõustuks selle turvalisuse ja mugavuse asjus. Loomulikult keegi peab mugavuse kinni maksma, kuid ma tahaks loota, et mingi kallima jubina puhul koristatakse rfid selle küljest ära. Mingitel telefonidel jms on see niikuinii pakendil. Kui sa just oma telefoni pakis kaasas ei kanna ning pakke ei kogu siis on asi suht ok.
    Las piimapudel suhtleb külmiku või naabri volodjaga, sellest on mul ikka suht savi. Seni kuni naabri volodja minu plasmateleri või bentley-ga ei suhtle on asi ok.

  8. Noh minu arust on see nii universaalne reegel, et sellega on raske mitte nõustuda. Nagu energia jäävuse seadus. Sellest hetkest kus üks turvatava süsteemi lüli on inimene hakkavad peale ebamugavused :)

    Ja imho rahast siin ei piisa. Kujuta ekstreemseks näiteks ühe hästi turvalise ja rikka organisatsiooni turvasüsteemi? Kas sul tuleb midagi mugavat silmade ette? Ma näen tuvamehi, taustauuringuid, läbiotsimisi, lukus uksi, keerulist protokolli ja õigustesüsteemi ning bürokraatiat. Raha siin ei päästa. Aga see selleks, teemast mööda.

    Telefoni karp on mul kodus kapi peal, sealsamas on ka teleka karp, suundantenniga kurjategija võib vabalt leida korteri kuhu on kõige mõttekam minna. Esialgu kasvõi rfid tagide rohkuse järgi :)

    Kusjuures olen vahepeal googeldanud ja leidnud, et töö käib triipkoodi sarnase universaalse toote id standardi loomise poole.
    http://en.wikipedia.org/wiki/EPCglobal
    Niiet kokkuvõttes ma väga mööda ei fantaseerinud. See on üks võimalik tulevik.

    Sesmõttes, et igaüks võib ju osta endale rfid lugeja ja oma asju kontrollida. Aga see on ebamugav ja nagu ma aru saan siis rfid tagi on raske füüsiliselt üles leida ja hävitada.

    Samamoodi võiks kõik proovida oma koduvõrku sisse murda ning ukselukku ja velje turvapolte muukida. Ma ei tunne kedagi kes tunneks kedagi kes seda teeks :)

  9. Nagu tellimise peale on slashdotis üleval jutt RFID Personal Firewall :))))

    Lokaalne koopia:
    Prof. Andrew Tanenbaum and his student Melanie Rieback (who published the RFID virus paper in March) and 3 coauthors have now published a paper on a personal RFID firewall called the RFID Guardian. This device protects its owner from hostile RFID tags and scans in his or her vicinity, while letting friendly ones through. Their work has won the Best Paper award at the USENIX LISA Conference.

  10. Mul tegelt on ka teise päeva kohta märkmed veel kuskil alles a ma kardan, et neid nüüd postitama hakates peaksin oma silmade peas püsimise pärast muretsema hakkama.

Leave a Reply

Your email address will not be published. Required fields are marked *