Licenční server. Bc. Ondřej Tománek

<message name=" g e t L i c e n s e R e s p o n s e ">

<s e r v i c e name=" L i c e n s e S e r v i c e ">

<s o a p : a d d r e s s l o c a t i o n=" h t t p : // l o c a l h o s t : 8 0 8 0 /LS" /> Obrázek 5.12: WSDL webové služby licenčního serveru

49

50

KAPITOLA 5. IMPLEMENTACE

public L i s t g e t L i c e n s e L i s t ( ) throws L i c e n s e S e r v i c e E x c e p t i o n ; public byte [ ] g e t L i c e n s e ( Long i d ) throws L i c e n s e S e r v i c e E x c e p t i o n ; public byte [ ] g e t E n c r y p t e d P a s s w o r d D i g e s t ( ) throws L i c e n s e S e r v i c e E x c e p t i o n ; public Boolean l o g i n ( S t r i n g username , byte [ ] password ) throws L i c e n s e S e r v i c e E x c e p t i o n ; public Boolean l o g o u t ( ) throws L i c e n s e S e r v i c e E x c e p t i o n ; public Boolean k e e p a l i v e ( ) throws L i c e n s e S e r v i c e E x c e p t i o n ; public I n t e g e r g e t L i c e n s e C h a r a c t e r C o u n t ( Long i d ) throws L i c e n s e S e r v i c e E x c e p t i o n ; public byte [ ] getPublicKeyChecksum ( ) throws L i c e n s e S e r v i c e E x c e p t i o n ; public PublicKey g e t A c t u a l P u b l i c K e y ( ) throws L i c e n s e S e r v i c e E x c e p t i o n ; public byte [ ] g e t S a l t ( Long i d ) throws L i c e n s e S e r v i c e E x c e p t i o n ; public byte [ ] g e t S a l t ( S t r i n g l o g i n ) throws L i c e n s e S e r v i c e E x c e p t i o n ; public I n t e g e r g e t I t e r a t i o n C o u n t ( Long i d ) throws L i c e n s e S e r v i c e E x c e p t i o n ; public I n t e g e r g e t I t e r a t i o n C o u n t ( S t r i n g l o g i n ) throws L i c e n s e S e r v i c e E x c e p t i o n ; Obrázek 5.13: Rozhraní knihovny klienta webové služby

51

5.4. BEZPEČNOST

Kód default 100 200 300 N/A

Výjímka LicenseServiceException AuthenticationException LicenseNotFoundException ServerTimeoutException OtherException

Popis Abstrakce, která je předkem všech ostatních výjímek Chyba při autentizaci uživatele Serveru se nepodařilo najít konkrétní licenci Server není k dispozici Jiná než jmenovaná výjímka

Tabulka 5.5: Popis výjímek

5.4

Bezpečnost

Bezpečnost je v licenčním serveru a potažmo v celém novém distribuovaném systému kriticky důležitá. Server využívá především generování otisků a šifrovací algoritmy.

5.4.1

Generování otisků

Licenční server využívá otisky pro dva hlavní účely - uživatelská hesla a vydané licence. Popíšeme nejprve účel hesel. DisMon si po úspěšném přihlášení uživatele k webové službě musí aktualizovat lokálně uložená hesla. To ovšem ze zřejmých bezpečnostních důvodů není realizovatelné zasláním hesla ve formě otevřeného textu sítí. Útoky typu MITM, sniffing nebo traffic mirror/redirect jsou potenciální hrozbou prozrazení hesla. Heslo proto putuje sítí již ve formě otisku, který je navíc zašifrován privátním RSA klíčem serveru. Druhým účelem je ochrana a ověřování integrity vydaných licencí. Tím jsou chráněny proti neoprávněné změně jejich obsahu. V tomto případě je k licenci připojen podpis, který vznikl jako otisk délky licence a jejího obsahu. Tento otisk je následně zašifrován privátním RSA klíčem serveru, což ho chrání při přenosu sítí. K tvorbě otisků je použita hashovací funkce, konkrétně Secure Hash Algorithm. Ta byla poprvé publikována organizací National Institute of Standards and Technology (NIST) jako U.S. Federal Information Processing Standard (FIPS) [8]. Čas prokázal její schopnosti a odolnost, proto byla použita i v licenčním serveru. Existuje několik variant této funkce, jednou z nejbezpečnějších je SHA-512. Často se ale používá i varianta SHA-1. Proto je dobré znát rozdíly o omezení obou funkcí, které ukazuje tabulka 5.6. Nejdůležitějším ukazatelem je délka otisku, která určuje odolnost funkce proti nalezení kolizí 1. a 2. řádu. Interní struktura kompresních funkcí je u obou stejná. Všechy hashovací funkce jsou ale samy o sobě zranitelné pomocí slovníkových útoků a generování vstupů hrubou silou. To je ale způsobeno filosofií hashovacích funkcí a nelze to chápat jako vadu. Je ovšem třeba najít nějaké východisko. Licenční server při hashovaní užívá hned dvou - solení a iterování. Solení zvyšuje především odolnost proti nalezení kolize u hesel. Uživatelé si totiž často volí hesla, která se snadno zapamatují, ale i snadno prozradí pomocí existujících databází slov. I přes bezpečnostní politiku, která bude klást požadavky na délku a obsah hesla, existují takzvané Rainbow tables, které ukazují odvozovací pravidla, která laika při vymýšlení hesel napadnou nejčastěji. Jmenujme například přidání suffixu “123” v případě, že heslo musí obsahovat alespoň jednu číslici. Sůl je pseudonáhodný řetězec znaků, který se spojí se vstupní

52

KAPITOLA 5. IMPLEMENTACE

Vlastnost Délka výsledného otisku [b] Maximální délka vstupní zprávy [b] Velikost bloku [b] Velikost slova [b] Počet rund Bezpečnost [b]

SHA1 160 64 2 −1 512 32 80 80

SHA512 512 128 2 −1 1024 84 80 256

Tabulka 5.6: Porovnání hashovacích funkcí SHA1 a SHA512 informací hashovací funkce a samotný otisk se potom generuje ze zřetězení obou informací. Takový postup vyžaduje uložení soli všude tam, kde bude třeba vytvářet nové otisky pro porovnání s otisky uloženými. Pro generování otisků byl zvolen generátor SecureRandom a délka soli je 20 bytů. “Doporučení pro délku soli je minimálně 16 bytů a maximálně 32 bytů, které doporučují Ferguson & Schneier pro přesmíru opatrné scénáře. Zároveň ale nemá význam použití délky soli delší než je perioda použitého náhodného generátoru čísel.” [1] A protože generátor SecureRandom je založen na funkci SHA-1, která může generovat maximálně 2160 různých otisků, tak byla zvolena délka 20 bytů. I generátor SecureRandom v základních knihovnách Javy je pro naši situaci vhodný. Je totiž navržen pro generování výstupů pro systémy zabezpečení, které potřebují vysokou míru náhodného prvku a velkou periodu. Navíc jeho seed value je vybírána s rovnoměrným rozložením pravděpodobnosti. Cena, kterou za to platí jsou vyšší nároky na procesor. Naopak v ostatních systémech postačí základní generátor Random, který zmíněné vlastnosti postrádá a uplatnění nachází například v Realtime systémech. Kromě solení licenční server využívá iterování. To je další přidanou hodnotou při zabezpečení, protože hashovaní se několiksetkrát až několikatisíckrát opakuje. Tím se složitost dosažení úspěchu zmiňovaných útoků zvyšuje hned o několik dalších řádů. Informace o počtu iterací opět musí mít dostupná všude, kde je třeba otisky počítat. Celý mechanismus hashovací funkce licenčního serveru s použitím tříd knihovny javax.crypto ukazuje obrázek 5.14.

5.4.2

Šifrování

Šifrování tvoří druhou součást procesů nakládání s licencemi a hesly, které jsou detailně popsány v sekci 5.4.5. Model je postaven na asymetrické kryptografii, protože ta zajišťuje snazší škálovatelnost systému a řeší problém prozrazování hesel v původní diagnostické aplikaci. Využívá se vždy dvojice klíčů, z nichž ten privátní vlastní pouze server a veřejný klíč je distribuován spolu s aplikací Dismon. Základní srovnání asymetrické kryptografie proti symetrické uvádí pro připomenutí tabulka 5.7. Šifrovacím systémem licenčního serveru je RSA - časem prověřený algoritmus, založený na modulárním umocňování. Implementaci poskytuje knihovna javax.crypto, která zajišťuje jak generování klíčů dle bezpečnostních zásad, tak samotný proces šifrování a dešifrování zpráv. Privátní klíč je uložen pro klienty v nepřistupné složce licenčního serveru. Implementaci dokládá obrázek 5.14.

53

5.4. BEZPEČNOST

public s t a t i c byte [ ] getHash ( int i , S t r i n g password , byte [ ] s a l t ) { M e s s a g e D i g e s t d i g e s t = M e s s a g e D i g e s t . g e t I n s t a n c e ( "SHA−512" ) ; digest . reset (); d i g e s t . update ( s a l t ) ; byte [ ] i n p u t = d i g e s t . d i g e s t ( password . g e t B y t e s ( "UTF−8" ) ) ; f o r ( int i = 0 ; i < i ; i ++) { digest . reset (); input = d i g e s t . d i g e s t ( input ) ; } return i n p u t ; } public s t a t i c byte [ ] e n c r y p t ( byte [ ] message ) { i f ( r s a C i p h e r == null ) { r s a C i p h e r = Cipher . g e t I n s t a n c e ( "RSA" ) ; } r s a C i p h e r . i n i t ( Cipher .ENCRYPT_MODE, p r i v a t e K e y ) ; byte [ ] c i p h e r T e x t = r s a C i p h e r . d o F i n a l ( message ) ; } Obrázek 5.14: Hashovací a šifrovací funkce licenčního serveru Kryptografie Výpočetní náročnost Distribuce klíče Počet klíčů pro komunikaci s n stranami Autentizace

Symetrická Nižší Obtížná n Těžko realizovatelná

Asymetrická Vyšší Snadná 2 Snadno realizovatelná

Tabulka 5.7: Porovnání asymetrické a symetrické kryptografie Prozrazení privátního klíče je sice velice nepravděpodobným scénářem, ale systém nabízí zadní vrátka i pro něj. Prozrazení privátního klíče by totiž dalo útočníkovi moc k prolomení integrity hesel a licencí, zaslaných licenčním serverem. Útočník by se zároveň mohl vydávat za server a aplikace DisMon by neměla prostředky, kterými by tuto skutečnost zjistila a mohla na ní reagovat. Ochranný mechanismus na straně serveru v případě zjištění skutečnosti prozrazení klíče ale privátní klíč dokáže zneplatnit. Všechny licence, jejichž digitální podpis byl za pomoci klíče vytvořen, jsou vygenerovány znovu s podpisem, který je vytvořen s pomocí nového privátního klíče. Aplikace DisMon prozrazení klíče zjistí porovnáním otisků veřejných klíčů. Rovnost otisků znamená, že dvojice klíčů od posledního přihlášení nebyla změněna. Nerovnost otisků znamená, že je třeba si stáhnout ze serveru nový veřejný klíč a spolu s ním i nově vygenerované licence a zašifrované otisky uživatelských hesel. Webová služba licenčního serveru pro všechny tyto úkony nabízí rozhraní. Proces aplikace DisMon v kontextu ověřování validity klíčů znázorňuje UML Activity diagram na obrázku 5.15.

54

KAPITOLA 5. IMPLEMENTACE

Úspěšné přihlášení k licenčnímu serveru

Stažení otisku veřejného klíče serveru

Stažený otisk stejný jako lokální otisk ? [ANO]

[NE] Zneplatnění lokálního klíče

Stažení veřejného klíče

Stažení licencí a otisků hesel

Obrázek 5.15: Proces ověřování validity klíčů aplikací DisMon

5.4.3

AAA

Tři písmena této zkratky znamenají autentizaci, autorizaci a účtování. Všechy tři blíže představíme v kontextu licenčního serveru. Autentizace. Ověřování identity lze v novém systému najít hned v několika situacích. Těmi nejčastějšími jsou přihlášení DisMonu k webové službě licenčního serveru a přihlášení uživatele prostřednictvím webového rozhraní k webové aplikaci licenčního serveru. V první situaci DisMon od uživatele přijme zadané heslo a v zašifrované formě ho pošle serveru. Ten si je schopen informaci dešifrovat a lokálně heslo uložit. Autentizaci ale provádí až LDAP server, kterého se uživatel dotazuje nepřímo. Licenční server v této situaci hraje tedy roli uživatelova agenta, jak dokládá sekvenční diagram na obrázku 5.16. Druhou situací, kdy je třeba ověřovat identitu, je přístup do webové aplikace licenčního serveru. Zde proces po obdržení hesla z webového prohlížeče probíhá stejně. Licenční server tedy jako agent provede autentizaci proti LDAP serveru. Autentizace je ale třeba i v situaci, kdy licenční server musí přistupovat do databází pomocí uživatelských účtů, které jsou pro tento účel vytvořeny. Hesla jsou v otevřené formě uloženy v konfiguračních souborech serveru

55

5.4. BEZPEČNOST

User

License Server

LDAP server

login(username, encryptedPassword)

bind(username, decryptedPassword)

alt LDAPofflineLogin [LDAPTimeout] localLogin(username, decryptedPassword)

Obrázek 5.16: Proces přihlášení uživatele

v nepřístupných složkách, které chrání webový kontejner. Jde o soubory persistence.xml pro přístup do dedikované databáze licenčního serveru a o soubor config.properties pro přístup do zrcadlové databáze systému Baan ERP. Posledním místem, kde lze autentizaci ve speciální formě najít, jsou licence. Jejich podpis totiž byl vytvořen s pomocí privátního klíče serveru, který zná pouze a jenom licenční server. A tento fakt uživateli garantuje, že komunikuje skutečně s pravým licenčním serverem. V opačném případě může provést aplikace DisMon obranné kroky a se serverem například může přestat komunikovat. Autorizace. S licenčním serverem ve formě webové aplikace i webové služby pracuje mnoho uživatelů. Po ověření jejich identity je třeba dále řídít jejich přístup ke zdrojům aplikace. Autorizace zde je implementována ve formě RBAC. Uživatelé jsou tedy přiřazeni do různých skupin a přístup ke zdrojům aplikace je vázán až k těmto rolím. Práva uživatele se odvíjí od smluvních vztahů, které firma uživatele a SELČ mají uzavřené. Například modul správy uživatelů je natolik citlivou části aplikace, že přístup k ní by měl být umožněn pouze administrátorům SELČ nebo v menší míře poučeným administrátorům zákazníka. Účtování. Přesnějším výrazem v tomto kontextu by bylo logování aktivity, protože využívání služeb licenčního serveru není zpoplatněná služba. Licenční server používá dvojí logování - na úrovni webového kontejneru a na úrovni aplikace. Webový kontejner Apache Tomcat poskytuje prostřednictvím úpravy konfiguračních souborů možnost výběru granularity, se kterou bude vzniklé události zaznamenávat. Tato hlášení jsou ale vztažena k událostem aplikací jako celků (informace o nasazení, zachycené chybové zprávy, . . . ). Webová aplikace licenčního serveru potom definuje vlastní systém pro ukládání hlášení. Databáze obsahuje verzovací atributy a tabulky pro zaznamenávání samotných hlášení.

56

5.4.4

KAPITOLA 5. IMPLEMENTACE

Ochrana před útoky

Jako kriticky důležitý bod nového systému může být licenční server potenciálně vystaven mnohým útokům. Systém je v případě výpadku serveru schopen provést fallback, kdy diagnostická aplikace DisMon je schopna fungovat v offline módu a LDAP server je autonomní intranetovou entitou, na kterou útok zvenčí není proveditelný. Ovšem filosofie offline módu je v překlenutí krátkodobých výpadků. Dlouhodobě je server nepostradatelnou komponentou distribuovaného systému, a proto jeho ochrana a vysoký uptime jsou důležité. Ochrana je prováděna pomocí integrity, blokování přihlášení a utajování zpráv. Server v určitém kontextu také hraje roli útočníka a proto je třeba zajistit, aby jeho roli nemohl převzít nikdo jiný. Integrita. Integrita licence musí být zachována ve dvou situacích, které představují pro útočníka příležitost útoku. Změna obsahu licence by totiž mohla vyvolat neočekávané chování regulátoru a potažmo celého dopravního prostředku. Licence jako prostý textový soubor k takovému napadení svádí. Stačila by totiž pouze vhodná úprava textu licence, která je navíc sítí přenášena v otevřené textové podobě. Útočníkovi na komunikačním kanálu se systém brání digitálním podpisem, který je k licenci připojen a obsažen v sekci [signature]. Tento podpis vznikl s pomocí silné ireversibilní hashovací funkce a privátního klíče serveru. To zajišťuje jak autentizaci serveru, tak integritu přenášených dat v licenci [2]. Útočník tedy při změně obsahu licence není schopen zrekonstruovat digitální podpis tak, aby mu klient uvěřil a licenci ve změněné formě akceptoval. Druhou možností, kde útok lze provést je lokální systém souborů platformy, na které aplikace DisMon funguje. Licence volně leží na disku a je přístupná komukoliv s administrátorskými právy příslušného stroje. Útok ale opět nemůže být úspěšný, protože veřejný klíč serveru při ověřování podpisu útočníka odhalí a DisMon licenci neakceptuje. Obě situace tedy digitální podpis spolu s omezeními, kladenými na možný obsah licence, vyřeší. Blokování přihlášení. Uživatelé jsou různorodí. Stejně různorodé jsou i společnosti, které jsou zákazníky SELČ. Ne všude je tedy bezpečnostní politika aplikována tak, aby uživatelé byli uvědomělí potenciálních rizik. Takovým rizikem jsou i slabá hesla. Ochrana formou solení a iterování otisků poskytuje už velmi dobrou zbraň pro boj s útočníky, kteří využívají znalosti mentality uživatelů systémů a snaží se hrubou silou o úspěšnou autentizaci. Blokování přihlášení tento útok po několika neúspěšných pokusech útočníka odvrací a zároveň chrání server před DoS a DDoS útoky. Vhodné nastavení parametrů navíc umožní uživatelům, kteří byli vyhodnoceni jako false positives, po uplnutí určité doby další pokusy. Utajování zpráv. Při přihlašování diagnostické aplikace DisMon k webové službě licenčního serveru dochází k přenosu hesla sítí. Toto heslo musí být přenášeno v reversibilní podobě, aby ho server mohl zrekonstruovat. Tento omezující požadavek znamená nutnost použití šifrování, které heslo udrží v rekonstruovatelné podobě a zároveň zabrání útočníkovi v přečtení obsahu zprávy. Šifrování je opět asymetrické s použitím RSA algoritmu a šifrovacím klíčem je veřejný klíč serveru, kterým DisMon zajistí skutečnost, že zprávu si přečte pouze zamýšlený příjemce, kterým je licenční server. MITM. Licenční server je do značné míry i sám útočníkem. Dešifrování hesel od klientů před jejich předáváním k autentizaci proti LDAP serveru je nutné proto, aby si licenční server mohl vytvořit lokální otisky hesel, proti kterým bude autentizovat uživatele v případě, že LDAP server je není k dispozici. Tento model fungování ale představuje bezpečnostní riziko

5.4. BEZPEČNOST

57

převzetí role. Prozrazení veřejného klíče a podvrhnutý DNS záznam by stačil k tomu, aby roli útočník převzal a následně snadno četl hesla, které mu uživatelé prostřednitvím aplikace DisMon zasílají. Pravděpodobnost zjištění privátního klíče je ovšem velmi malá.

58

KAPITOLA 5. IMPLEMENTACE

5.4.5

Aplikace bezpečnosti

Nejdůležitějšími aplikacemi bezpečnosti v licenčním serveru jsou transfer licencí a transfer hesel. Rozdíl mezi nimi nemusí být na první pohled patrný a proto je třeba oba procesy detailněji popsat. V popisech je navíc dobře patrná práce s bezpečností v aplikaci. 5.4.5.1

Transfer hesel

Heslo je tajemstvím, které by nemělo nikomu být odhalováno. Hashovací funkce umožňují jeho uložení ve formě otisku, jehož případné získání útočníkem nepředstavuje příliš velkou bezpečnostní hrozbu. Heslo je tedy před přenosem z licenčního serveru do lokálního datového úložiště aplikace DisMon příslušně upraveno a navíc jsou zabezpečeny jeho integrita, skrytí jeho obsahu a nepopiratelnost zroje. Proces offline ověření uživatelského hesla aplikací DisMon ukazuje obrázek 5.17. Tomu však předchází tvorba zprávy na serveru, která heslo aplikaci DisMon doručí. Ta probíhá v následujících krocích: 1. Zašifrování lokálně uloženého SHA-512 otisku hesla šifrou RSA s použitím platného privátního klíče 2. Zaslání vytvořeného šifrového textu aplikaci DisMon 3. Zaslání soli, vstupující do hashovací funkce, aplikaci DisMon 4. Zaslání počtu iterací hashovací funkce aplikaci DisMon

5.4.5.2

Transfer licencí

Licence je textový soubor, jehož obsah není třeba nějakým způsobem skrývat. Útočník tedy může do rukou licenci dostat a číst její obsah. U licence kontrolujeme pouze její integritu před vlastním použitím v aplikaci DisMon. To je zajištěno pomocí digitálního podpisu, který licenční server před vlastním přenosem licence vytváří. Proces ověření digitálního podpisu aplikací DisMon ukazuje obrázek 5.18. Tomu však předchází tvorba zprávy na serveru, která licenci z podpisem aplikaci DisMon doručí. Ta probíhá v následujících krocích: 1. Zřetězení počtu znaků licence s vlastním obsahem licence 2. Vytvoření SHA-512 otistku ze zřetězení za pomoci náhodné soli a počtu iterací 3. Zašifrování otisku šifrou RSA s použitím platného privátního klíče 4. Zaslání vytvořeného šifrového textu aplikaci DisMon 5. Zaslání soli, vstupující do hashovací funkce, aplikaci DisMon 6. Zaslání počtu iterací hashovací funkce aplikaci DisMon

59

5.4. BEZPEČNOST

Načtení lokálně uloženého otisku v zašifrované podobě

Přijetí přihlašovacích údajů uživatele

Načtení lokálně uložené soli

Načtení lokálně uloženého veřejného klíče

Načtení lokálně uloženého počtu iterací Dešifrování zašifrované podoby otisku veřejným klíčem

Tvorba SHA-512 otisku hesla

Otisky stejné ?

[NE]

[ANO]

Přístup uživateli zamítnut

Uživatel úspěšně přihlášen

Obrázek 5.17: Offline přihlášení uživatele do DisMonu

60

KAPITOLA 5. IMPLEMENTACE

Načtení licence

Zjištění počtu znaků licence

Načtení podpisu z licence

Načtení lokálně uložené soli Načtení lokálně uloženého veřejného klíče Načtení lokálně uloženého počtu iterací

Zřetězení počtu znaků licence a jejího obsahu

Dešifrování podpisu

Vytvoření SHA-512 otisku ze zřetězení

Otisky stejné ? [ANO]

[NE] Licence shledána neplatnou

Licence shledána platnou

Obrázek 5.18: Ověření digitálního podpisu licence

Kapitola 6

Nasazení Licenční server zatím funguje převážně v testovacím prostředí a jeho ostrý provoz je hudbou budoucnosti. Plán nasazení ovšem již nyní má reálné rozměry a je tedy možné se bavit na úrovni detailů konkrétních platforem. Celkový náhled na plné nasazení zobrazuje UML Deployment diagram na obrázku 6.1.

«device» Personal Computer

«device» Database Server JDBC

AJAX/HTTPS

«executionEnvironm... Oracle 10g

«executionEnviron... Web Browser WebPage

«device» Server

Baan SQL mirror

«executionEnviron... WebServer LS Database LicenseServer «device» Notebook

«device» LDAP Server

«executionEnviron... JVM

DisMon

«executionEnvironme... Microsoft AD SOAPoverHTTPS

LDAP UserDatabase

Obrázek 6.1: Plně nasazený licenční server Zobrazeny jsou pouze systémy, které přímo souvisí a komunikují s licenčním serverem. Nový distribuovaný systém obsahuje mnohem větší počet systémů, které však s licenčním 61

62

KAPITOLA 6. NASAZENÍ

serverem souvisí nepřímo nebo zatím není jejich komunikace s ním realizována. Celkový pohled na nasazení tedy ukazuje licenční server v kontextu. Ten tvoří dva druhy klientů a jejich typických platforem, LDAP server s databází uživatelských účtů SELČ a databázový server. Licenční server musí umět komunikovat pomocí čtyř komunikačních protokolů, kterými jsou: AJAX/HTTPS. Tímto protokolem licenční server komunikuje s webovým prohlížečem. AJAX dává webové aplikaci dynamiku WEB2.0 aplikací. HTTPS je pro AJAX nosným protokolem a celou komunikaci zároveň zabezpečuje. Pro funkčnost aplikace je důležité, aby ve webovém prohlížeči byl zapnutý JavaScript. Generování zpráv protokolu zajišťuje framework Vaadin, konkrétně jeho klienská strana “Client-side Engine” a serverová strana “Terminal Adapter”. SOAPoverHTTPS. API webových služeb JAX-WS používá pro komunikaci mezi klientem a službou standardizovaný protokol HTTP. Ten ovšem opět hraje pouze roli nosného a zabezpečovacího protokolu pro SOAP zprávy, které obsahují vlastní protokolová data ve formátu XML. JDBC. Protokol, postavený nad transportním protokolem TCP pro komunikaci s databázovými stroji využívá licenční server jak přímým používáním API JDBC driveru, tak nepřímo pomocí JPA frameworku Eclipselink. LDAP. Standardizovaný ISO protokol pro používání adresářových služeb. Zprávy na straně licenčního serveru vytváří přímo Java, konkrétně knihovna javax.naming.

6.1

Licenční server

Centrální entitou z pohledu systému i nasazení je licenční server. Závislost na něm mají klienti webové služby a webové prohlížeče pro přístup k webové aplikaci. Server sám má závislost na dvou relačních databázích a LDAP serveru. Bez LDAP serveru licenční server dokáže omezeně fungovat, bez relačních databází se ale nedokáže obejít. Zejména se svým dedikovaným datovým úložištěm tvoří neoddělitelný organický celek. Detailní fragement na obrázku 6.2 zobrazuje detail komponenty licenčního serveru, tedy defacto build aplikace ve formátu WAR. Z obrázku je patrno hned několik důležitých skutečností. Složka WEB-INF představuje chráněné úložiště pro soubory, ke kterým nesmí mít uživatel webové aplikace skrz svůj webový prohlížeč přístup. Webový kontejner Apache Tomcat si toho je vědom a proto jakýkoliv přístup zvenčí blokuje. V kořenu složky WEB-INF jsou uloženy konfigurační soubory aplikace a přístupových bodů pro LDAP server a Baan SQL mirror databázi. Konfigurační soubor JPA frameworku pro přístup k dedikovanému datovému úložisti licenčního serveru je uložen v podsložce META-INF. WEB-INF dále obsahuje nalinkované knihovny a vlastní třídy aplikace. Těmi nejdůležitějšími jsou LicenseService a LicenseServerApp. LicenseService je spolu s knihovnami serverovou částí webové služby a LicenseServerApp je servletem/controllerem webové aplikace licenčního serveru. Archiv WAR ještě obsahuje složku VAADIN, která obsahuje zdroje, které jsou přímo přístupné uživatelům webové aplikace. Jde například o soubory stylů a obrázky, jejichž stažení si webový prohlížeč vždy sám v HTTP dotazech vyžádá.

63

6.2. KLIENTI

LicenseServer WEB-INF

VAADIN META-INF

Libraries

config.properties images web.xml

persistence.xml

JAR libraries CSS files

Classes

LicenseService

LicenseServerApp

Java classes

favicon

Obrázek 6.2: Detail licenčního serveru v kontextu nasazení

6.2

Klienti

Diagnostické aplikace DisMon jsou klienty z pohledu webové služby licenčního serveru. Jde o Netbeans RCP aplikace, které jsou spustitelné na všech strojích, které mají instalovánu JVM. Nejčastěji tedy půjde o stolní počítače nebo notebooky, které umožňují mobilitu a potřebnou práci v terénu. Konektivita k serveru je v případě mobility realizována nejčastěji přes GSM síť. Klient pro připojení nevyžaduje žádnou speciální konfiguraci, protože ta je již integrována v klientské knihovně webové služby, která je k aplikaci DisMon jako modul připojena. Klienty webové aplikace licenčního serveru jsou webové prohlížeče. Ty jsou, jak známo, obsaženy ve většině dnešních počítačů a proto licenční server nabízí celkově vysokou přístupnost. Optimální fungování webové aplikace ale vyžaduje prohlížeč, implementující správně W3C normy. Detaily obou klientů ukazuje obrázek 6.3. Obrázek detailně zdůrazňuje rozdíly mezi oběma typy klientů licenčního serveru. Klienty totiž spojuje pouze nosný protokol jejich komunikace se serverem - HTTPS. Stroj “Personal computer” v našem kontextu ukazuje příklad klienta webové aplikace. Jádrem klientské strany je webový prohlížeč a webová stránka. Webová stránka totiž obsahuje části frameworků Vaadin/GWT ve formě Javascriptových souborů, XHTML stránek a CSS souborů, které tvoří klientskou stranu frameworku Vaadin a tvoří přímé uživatele. Stroj “Notebook” v našem kontextu ukazuje příklad klienta webové služby. Na něm je spuštěna aplikace DisMon, která obsahuje knihovnu LicenseClient, jež zodpovídá za komunikaci se serverem a odstiňuje od existence problémů sítě a existence serveru. Obraz služby je ve třídě Service a komunikační rozhraní ve třídě Port.

64

KAPITOLA 6. NASAZENÍ

«device» Notebook «device» Personal Computer «executionEnvironment» Operating System

«executionEnvironment» Operating System «executionEnvironment» JVM

«executionEnvironment» Web Browser

DisMon

WebPage DisMon libraries Vaadin Client-side Engine GWT LicenseClient Port

Service

Obrázek 6.3: Klienti licenčního serveru

6.3

Databázové stroje

Licenční server komunikuje se dvěma databázemi. První z nich je SQL mirror databáze ERP systému Baan, obsahující informace o zákaznících a zboží, které jim bylo dodáno. Druhou databází je dedikované datové úložiště licenčního serveru, které obsahuje lokální kopie vybraných dat ze systému Baan, otisky uživatelských hesel z databáze LDAP serveru a vlastní data, ukládaná licenčním serverem. Obě databáze jsou fyzicky umístěny v intranetu SELČ na jednom relačním databázovém stroji výrobce Oracle [10]. Z pohledu databázového stroje je rozhraní pro přístup z licenčního serveru pro obě databáze stejné. Zajímavostí je ale způsob přístupu z pohledu aplikace licenčního serveru. SQL mirror systému Baan ERP je databáze, kterou využívá více systémů společnosti SELČ. Licenční server nemá právo s daty v ní žádným způsobem manipulovat nebo je měnit. Má však právo data číst, což pro jeho správnou funkci stačí, protože si po přečtení data replikuje do svého dedikovaného datového úložiště. Pro tento Read-Only přístup na úrovni batch dotazů, prováděných mimo business hours je vhodné pouze základní komunikační rozhraní - JDBC driver. V dedikovaném datovém úložišti licenčního serveru ovšem aplikace má právo s daty nakládat libovolně. Komplexita vytvoření takové SQL dotazovací vrsty aplikace by byla velmi vysoká a proto byl pro přístup k této databázi využit JPA framework, který takovouto obecnou dotazovací vrstvu poskytuje a směrem k aplikaci poskytuje Java API, které odstiňuje od low-level komunikace na úrovni SQL dotazů. Framework dotazy ale samozřejmě interně do volání API JDBC driveru překládá, takže z pohledu databází přístup vypadá shodně. Konfigurace přístupu k databázovým strojům obnáší specifikaci hostitelského stroje pomocí IP adresy nebo doménového

6.4. LDAP SERVER

65

jména, číslo TCP portu, jméno služby nebo její identifikátor, uživatelské jméno vytvořeného účtu a příslušné heslo.

6.4

LDAP server

Centrálním úložištěm informací o uživatelských účtech zaměstnanců a zákazníků SELČ je databáze na LDAP serveru. Do značné míry se tedy dá říct, že jde o třetí databázi, se kterou licenční server komunikuje. Pro přesnost je ale třeba připomenout, že jde o jmennou službu, implementující ISO normu X.500. Databáze, kterou LDAP často používá, je takzvaná “Berkley DB”. Jde o vysoce výkonnou databázi pro data typu klíč-hodnota [14]. To je velká odlišnost proti relačním SQL databázím a proto i rozhraní pro přístup k tomuto systému je naprosto odlišné. Zde ale není nutné používat framework, protože Java poskytuje knihovnu javax.naming, řešící právě přístup k adresářovým službám. Konfigurace přístupu k LDAP serveru obnáší specifikaci poskytovatele adresářových služeb, URL, typu autentizace a optimalizační parametry jako jsou timeout a referral.

66

KAPITOLA 6. NASAZENÍ

Kapitola 7

Testování 7.1

Jednotkové testy klientské knihovny

Klientská knihovna webové služby licenčního serveru je nezbytnou součástí aplikace DisMon, přesněji řečeno online módu jejího fungování. V případě, kdy se pomocí mechanismu časovače klient dozví, že server není dostupný, provádí fallback do offline módu. V tom případě je knihovna využívána minimálně, používají se pouze funkce utilit a keepalive zpráv pro testování dostupnosti serveru. V online módu je však klientská knihovna vytížena mnohonásobně víc a aplikace DisMon spoléhá na bezproblémovou komunikaci a správnost dat ze serveru. Server z pohledu aplikace DisMon musí být robustní, musí dodržovat předepsaný protokol a vracet validní data, se kterými je možno dále pracovat. To vše lze nejlépe otestovat pomocí různých vstupních dat knihovny a následnou kontrolou stanovených pravidel pro výstupy. Testovány tedy byly dvě hlavní součásti knihnovny - třída kryptografických utilit a rozhraní se serverem v podobě konzumenta webové služby.

7.1.1

Technologie

Jako vhodný nástroj pro testování funkcionality knihovny se ukázaly být jednotkové (modulové) testy. Analýzou zjištěné požadavky na knihovnu byly následně dekomponovány do několika ucelených tříd a souvisejících metod. A právě testování ucelených celků kódu je hlavní myšlenkou jednotkových testů. Během několika let vývoje se postupně vykrystalizovala rodina takzvaných xUnit frameworků, kterým dal počátek framework SUNIT pro objektový programovací jazyk Smalltalk. Použití frameworků xUnit je dnes zároveň jedním ze základních kamenů jedné z technik vývoje software, takzvaného Test Driven Development. I licenční server využívá pro testování webové služby a knihovny jako celku xUnit framework, konkrétně jUnit. jUnit je psán v jazyce Java, ve kterém se následně definují i konkrétní testy. Existují dvě verze frameworku, starší verze 3 a novější verze 4. Licenční server používá verzi 4, protože oproti svému předchůdci verze 4 poskytuje navíc: • Odstranění návazností na konkrétní třídy • Anotace pro snazší definování speciálních metod 67

68

KAPITOLA 7. TESTOVÁNÍ

• Odstranění mnohých jmenných konvencí • Statické importy takzvaných assertů • Separace testu a testovacích dat Testy knihovny webové služby přímo využívají první čtyři jmenované novinky aktuální verze frameworku. I přes odstranění omezujících konvencí a návazností se vytvořené testy snaží reflektovat třídy a metody knihovny v poměru 1:1. To zvyšuje přehlednost a napomáhá orientaci v kódu.

7.1.2

Výsledky

Kryptografické techniky a algoritmy jsou často náročné jak na čas, tak na výpočetní zdroje. Je tedy vhodné používat prověřené a optimalizované knihovny, které algoritmy implementují. Třída utilit CryptoUtil 1 je díky tomu schopna poskytnout výsledky v reálném čase, což klientská strana aplikace DisMon očekává jak v online, tak v offline módu. Výstupy algoritmů, jakými jsou například otisky z hashovacích funkcí nebo šifrový text šifrovací funkce, mají navíc mnohdy velkou délku, což dělá jejich testování trochu komplikovanějším. Testy třídy CryptoUtil byly implementovány pomocí předpočítaných hodnot otisku a šifrového textu, získaných z testovací zprávy v otevřeném textu. Protože použití asymetrické kryptografie implikuje hned dvojici klíčů, tak šifrové texty byly vytvořeny hned dva, jeden s pomocí privátního RSA klíče a druhý s pomocí veřejného RSA klíče. Pro tvorbu otisku bylo třeba definovat použitou hashovací funkci, počet iterací hashovací funkce a náhodný řetězec, který se jako "sůl"spojí se zprávou před samotným hashováním. Nezávislým výpočtem předpočítané hodnoty potom byly porovnávány s výstupy metod třídy CryptoUtil. Asi nejzajímavějším výsledkem je ověření jedné z málo známých vlastností asymetrické kryptografie, takzvané semantic security. Jde o vlastnost, pozorovatelnou při použití veřejného klíče v šifrovacím režimu. Tento režim se využívá pro posílání tajných zpráv z libovolného počtu stran té jediné straně, která vlastní privátní klíč. Semantic security potom vyžaduje, aby takto získaný šifrový text stejné vstupní zprávy byl vždy odlišný. Této zpočátku méně intuitivní skutečnosti se dosahuje pomocí různého inicializačního vektoru (IV) a její význam tkví ve skrývání skutečnosti, že dva odlišné šifrové texty nesou v otevřeném textu stejnou zprávu. Testování tedy netradičně muselo hlídat, že výsledný šifrový text nebude shodný při vícenásobné aplikaci stejného algoritmu, klíče a zprávy. Knihovna webové služby poskytuje aplikaci DisMon pouze podpůrné funkce pro její činnost. Proto je nutné, aby komunikace s knihovnou probíhala v reálném čase a aplikace DisMon se mohla soustředit na své hlavní úkoly. Testované metody proto v testech mají omezený příděl času a jeho překročení je považováno za selhání, které je nutno odstranit optimalizací metody nebo její kompletní substitucí za výpočetně rychlejší metodu. Obrázek 7.1 prozrazuje, které metody byly časově nejvíce náročnými. Není velkým překvapením, že šlo o metody, pracující nad datovým úložištěm a šifrovací/dešifrovací metody. V metodách, které pracují nad datovým úložištěm je navíc vidět citelný nárůst spotřeby 1

třída se jmenuje stejně jako serverová utilita, ovšem je upravena pro potřeby aplikace DisMon

7.2. TESTOVÁNÍ WEBOVÉHO ROZHRANÍ

69

Obrázek 7.1: Jednotkové testování

času v případě, kdy metody musí prohledat celé datové úložiště ke zjištění výsledku2 . Pomyslné nůžky potřebného výpočetního času takových metod se potom rozevírají úměrně s množstvím dat v úložišti.

7.2

Testování webového rozhraní

Webová aplikace licenčního serveru byla testována zcela odlišným způsobem než knihovna webové služby. Důvody pro použití metody regresního webového testování3 pro webovou aplikaci licenčního serveru jsou hned dva: Naturel webových aplikací. Knihovny, jako například klient webové služby licenčního serveru, neposkytují uživateli aplikace žádné rozhraní (UI). Jediná možnost, jak s nimi interagovat je prostřednictvím jejich API, které používá aplikace, která již v nějaké podobě UI poskytuje. Webové aplikace na druhé straně na grafickém uživatelském rozhraní staví. GUI je standardně tvořeno webovým prohlížečem s renderovacím enginem, který zpracovává zdrojové soubory. Aby tedy byla zachována myšlenka testování z pohledu uživatele, je třeba testovat přímo webové rozhraní prostřednictvím interakcí. Ohled na budoucnost. Aplikace, vytvářené jediným vývojářem mají mnohdy ten problém, že jim plně rozumí pouze a právě on. Potenciální ztráta takového vývojáře má za následek, že spolu s aplikací mnohdy zůstane pouze dokumentace. Ta poskytuje ovšem pouze 2 3

v našem případě šlo o pokus o přihlášení neexistujícího uživatele z angl. regression testing

70

KAPITOLA 7. TESTOVÁNÍ

statický pohled na webovou aplikaci a novým vývojářům i uživatelům dlouho trvá zorientování se v rozhraní. Jde především o správné průchody rozhraním k dosažení určitého cíle, které nová skupina zjišťuje metodou pokus-omyl. Zaznamenání správných průchodů rozhraním a správné odezvy webové aplikace v tu chvíli může ušetřit mnoho nervů i času.

7.2.1

Technologie

Mainstream v automatizovaných webových testech je framework Selenium. Tento framework nabízí nástroje pro plnou automatizaci interakcí s webovou aplikací, které nacházejí uplatnění nejen v oblasti testování. Vývojáři frameworku Vaadin si důležitost testování ve vztahu k úspoře času a nákladů uvědomují a vyvinuli nadstavbu frameworku Selenium TestBench, která ještě lépe zohledňuje specifický charakter webových aplikací vznikajících s použitím frameworku Vaadin. TestBench je postaven na myšlence distribuovaného testovacího modelu, protože testování webových aplikací může být výpočetně náročným procesem. Je totiž mnohdy třeba testovat na úrovni vyhodnocování přibližné shody vstupního a pořízeného multimediálního dokumentu. Aby testování navíc bylo produktivní, testují se různé kombinace operačních systémů a webových prohlížečů, se kterými potenciální uživatelé pracují. Distribuovaný model obsahuje několik komponent: • Recorder (Zaznamenává interakce uživatele s rozhraním) • Library (Poskytuje logiku pro kompilaci interakcí do testů) • Hub (Distribuuje testovací úkoly) • Remote control (Provádí testovací úkoly) Velké nasazení takového testovacího systému potenciálně může zahrnovat hned několik výpočetních uzlů. Pro méně náročné testovací úkony je ale možné celý systém provozovat na jediném výpočetním uzlu. A to je aktuálně i případ licenčního serveru.

7.2.2

Pořizování dat

K získávání dat byl použit Recorder, který je součástí frameworku TestBench. Jde o plugin webového prohlížeče Mozilla Firefox, podobný multimediálním rekordérům a přehrávačům. Po zahájení nahrávání sám zaznamenává akce do testovacího skriptu, který tvoří zároveň scénář průchodu rozhraním. Testovací skript obsahuje trojice (příkaz, cíl, hodnota), které jsou postupně na rozhraní při testování aplikovány. Záznam jednoho ze scénářů je zobrazen na obrázku 7.2. Zaznamenaný scénář je následně pomocí nástrojů knihovny přeložen z markupu zdrojového souboru do Java tříd, aby s ním mohlo posléze být nakládáno ekvivalentně jako s jUnit testy. Několik málo úprav buildovacího souboru a kompilace standardními nástoji docílí spustitelných jUnit testů. Z webové aplikace licenčního serveru byly pořízeny dva jednoduché testovací scénáře. První ověřuje funcionalitu přepínání locale pomocí rozhraní aplikace, které se změnám musí

7.2. TESTOVÁNÍ WEBOVÉHO ROZHRANÍ

71

Obrázek 7.2: Pořizování vstupních dat pro testování

správně přizpůsobovat. Druhý scénář ověřuje funkčnost validace vybraných formulářových dat, kdy neplatný vstup nesmí přijmout a musí uživateli zobrazit správně a kontruktivní chybové hlášení. Scénáře byly zkompilovány do jUnit testů pro kombinaci operačního systému Windows 7 s prohlížečem Mozilla Firefox 12 a Windows 7 s prohlížečem Internet Explorer 9. Výsledkem tedy jsou čtyři třídy, používající framework jUnit, které je možné spouštět při budoucích úpravách zdrojového kódu webové aplikace.

72

KAPITOLA 7. TESTOVÁNÍ

Kapitola 8

Závěr Obecně lze říct, že práce popisuje licenční server víceméně ve všech fázích jeho životního cyklu. Je třeba ale důsledně oddělit práce na webové aplikaci a práce na webové službě, protože procesy jejich vývoje se výrazně lišily. Necelý rok, po který byl server vyvíjen, byla pro webovou aplikaci aplikována kaskádová metodika, kterou je možné přirovnat k Vodopádovému modelu1 . Na druhou stranu vývoj webové služby a příslušné klientské knihovny pro komunikaci s webovou službou probíhal iterativně a inkrementálně. I přes odlišnost metodik nebyl ale vývoj obou komponent nezávislý a prolínání je ve výsledném kódu komponent pozorovatelné například na úrovni využívání sdílených objektů a dat. Vývoj webové aplikace začal poznáváním domény dopravního strojírenství a postupným zužováním této domény až do kontextu modelu fungování společnosti ŠKODA ELECTRIC, jejím návaznostem na sesterské společnosti a dodavatelsko-odběratelské vazby. Toto poznání produkovalo zároveň první rysy objektů, se kterými aplikace nakládá. Ty dávaly první zárodky datového modelu, jehož konstrukce je velkou paralelou celého vývoje2 . Pochopení vize budoucího systému odstartovalo sběr jednotlivých požadavků na hlavní funkční celky licenčního serveru jako aplikace, modelování procesů v organizaci a analytickou činnost celkově. Již předem byla vybrána technologie pro vrstvu webového rozhraní licenčního serveru - framework Vaadin. Současně s analytickými pracemi probíhalo studium framework Vaadin a první experimenty s webovým serverem. Fáze návrhu byla možná tou vůbec nejdůležitější etapou vývoje. Současných i budoucích požavků na licenční server bylo mnoho a především architekturu bylo nutné vystavět v souladu s nimi. V procesu návrhu bylo hojně využíváno návrhových vzorů a jejich dobrých vlastností. Současně s návrhem byly implementovány prototypy rozhraní k externím informačním systémům a testovací aplikace, které rozhraní využívají a potvrzují proveditelnost některých teoretických konceptů, plynoucích z analýzy. Samotnou implementaci licenčního serveru lze rozdělit na implementaci frontendu a backendu. Základ frontendu položily experimenty s frameworkem Vaadin a inspirace již hotovými projekty, veřejně dostupnými na webu. Základem backendu byla rozhraní externích informačních systemů. Implementace postupně začala převádět navrženou aplikaci do reálné funkcionality, ovládané uživateli pomocí rozhraní. Hlavní důraz byl kladen na tvorbu 1 2

z angl. Waterfall model čítač verzí datového modelu se zastavil na hodnotě 13

73

74

KAPITOLA 8. ZÁVĚR

modulu správy uživatelů modulů pro komunikaci s externími systémy. Postupně vytvářený kód webové aplikace a webové služby, včetně klientské knihovny, byl průběžně ukládán v distribuovaném verzovacím systému Mercurial. Testování aplikace ověřilo funkčnost hlavních implementovaných komponent licenčního serveru a znovupoužitelné testy byly rovněž uloženy pro případné další budoucí testování. Důležité poznatky z testování a popis implementace testů jsou uvedeny a textu práce.

8.1

Do budoucna

Server je připraven na přidávání dalších rozširujících funkcionalit, které vyplynou z postupného přechodu na nový distribuovaný systém s centrální správou uživatelů. Rozšíření lze očekávat nejen v oblasti týkající se přímo licenčního serveru, ale (byť s využitím existující platformy) i v nových doménách, např. vyhodnocování použitelnosti desktopové aplikace (UI Gesture Collector), sledování životního cyklu elektronických řídicích jednotek apod. Dokumentace API a návod ke konfiguraci aplikace a serveru umožňují hladké návazání v pracích na právě dokončený vývoj. Jeho nazávislost na operačních systémech, browserech, plná lokalizace do dvou světových jazyků a dvě rozhraní pro práci se serverem skýtají vysokou použitelnost a rozšiřují oblast potenciálních uživatelů, kteří server budou používat. Opomenuta nesmí zůstat ani bezpečnostní stránka aplikace, které byl po celou dobu vývoje přikládán velký význam. Výběr silných metod pro skrývání informací, zachování integrity a ověřování identit a práv prodlužuje potenciální životnost aplikace, protože technický pokrok zatím není ani výhledově ve fázi, kdy by narušení takto postavené bezpečnosti hrubou silou nebo s pomocí heuristik bylo proveditelné.

Literatura [1] Coffey, N.: Password-based encryption in java: salt and key derivation. 2011. http://www.javamex.com/tutorials/cryptography/pbe_salt.shtml, stav 2. 4. 2012.

z

[2] Dostálek, L., M. Vohnoutová a M. Knotek: Velký průvodce infrastrukturou PKI a technologií elektronického podpisu. strany 29–30, 2009. [cit. 25.12.2011]. ISBN 80-247-0469-2. [3] Flígl, S.: EY0XXXXP .15. 2011. Interní dokument SELČ, citováno 17. 4. 2012. [4] Fränkel, N.: Learning Vaadin. strany 52–58, 2011. [cit. 23.1.2012]. ISBN 978-1-84951522-1. [5] Grönroos, M.: Book of Vaadin: 4th Edition. strany 3–4, 2011. [cit. 19.1.2012]. ISBN 978-952-92-6754-5. [6] Kameníček, P.: Dopravní strojírenství a městská hromadná doprava. strany 7–11, 2011. [cit. 26.3.2012]. [7] Keith, M. a M. Schincariol: Pro EJB 3 Java Persistence API. strany 5–6, 2006. [cit. 23.1.2012]. ISBN 978-1-59059-645-6. [8] Lórencz, R.: Slides k předmětu Y36BEZ - přednáška č.5. 2004. http://service.felk.cvut.cz/courses/Y36BEZ/prednasky/bez5.pdf, 2. 4. 2012.

stav

z

[9] Dopravní podnik hlavního města Prahy. http://http://www.dpp.cz/, stav z 17. 4. 2012. [10] Oracle. http://www.oracle.com/, stav z 26. 3. 2012. [11] Škoda Transportation. http://skoda.cz/, stav z 26. 3. 2012. [12] Vaadin. http://www.vaadin.com/, stav z 2. 1. 2012. [13] Wikipedia - MHD. http://cs.wikipedia.org/wiki/M%C4%9Bstsk%C3%A1_hromadn%C3%A1_doprava, stav z 26. 3. 2012. 75

76

LITERATURA

[14] Zörner, S.: LDAP für Java-Entwickler. strany 81–83, 2007. [cit. 13.1.2012]. ISBN 8085839-09-1.

Příloha A

Seznam použitých zkratek AAA Authentication, Authorization, Accounting AJAX Asynchronous Javascript and XML API Application Programming Interface CPLD Complex Programmable Logic Device CPU Central Processing Unit CRUD Create, Retrieve, Update and Delete CSS Cascading Style Sheets DoS Denial of Service DDL Data Definition Language DDoS Distributed Denial of Service DML Data Manipulation Language DNS Domain Name System DSP Digital Signal Processor DQL Data Query Language EA Enterprise Architect ECU Electronic Control Unit EEPROM Electrically Erasable Programmable Read-Only Memory EIS Enterprise Information System ERP Enterprise Resource Planning FIPS Federal Information Processing Standard 77

78

PŘÍLOHA A. SEZNAM POUŽITÝCH ZKRATEK

FPGA Field-Programmable Gate Array FSM Finite State Machine FQCN Fully Qualified Class Name GNU Gnu’s Not Unix GRASP General Responsibility Assignment Software Patterns GSM Global System Mobile GUI Graphical User Interface GWT Google Web Toolkit HTML Hypertext Markup Language HTTP Hypertext Transfer Protocol HW Hardware I/O Input/Output ICT Information and Communication Technologies ID Identificator IDE Integrated Development Environment IP Internet Protocol ISO International Standard Organisation IV Initialization Vector J2EE Java 2 Enterprise Edition JAR Java Archive JAX-RS Java API for RESTful Web Services JAX-WS Java API for XML Web Services JAXB Java API for XML Binding JDBC Java Database Connectivity JDK Java Development Kit JPA Java Persistence API JS Javascript JSON Javascript Object Notation

79 JSP Java Server Pages JSR Java Specification Request JVM Java Virtual Machine MITM Man in the Middle LDAP Lightweight Directory Access Protocol MCU Multipoint Control Unit MHD Městská Hromadná Doprava MVC Model, View, Controller NIST National Institute of Standards and Technology OOP Object Oriented Programming ORM Object-Relational Mapping PKI Public Key Infrastructure POJO Plain Old Java Object RIA Rich Internet Application RPC Remote Procedure Call RSA Rivest, Shamir, Adleman RTC Realtime Clock SDK Software Development Kit SELČ ŠKODA ELECTRIC a.s. SHA Secure Hash Algorithm SLA Service Level Agreement SLS Service Level Specification SPOF Single Point Of Failure SOAP Simple Object Access Protocol SQL Structured Query Language SW Software TCL Transaction Control Language TCP Transmission Control Protocol

80

PŘÍLOHA A. SEZNAM POUŽITÝCH ZKRATEK

UDDI Universal Description, Discovery and Integration UID Unique Identification Number UIDL User Interface Definition Language UML Unified Modelling Language URL Uniform Resource Locator URI Uniform Resource Identifier W3C World Wide Web Consortium WAR Web Application Archive WSDL Web Service Definition Language WWW World Wide Web XHTML Extensible Hypertext Markup Language XML Extensible Markup Language

Příloha B

Popis použitých knihoven vaadin-6.7.4. Knihovna poskytuje jádro webového frameworku Vaadin. Framework je komponentově orientovaný a knihovna proto obsahuje množství komponent, použitelných v uživatelském rozhraní a s tím související předpřipravené layouty pro komponenty a styly v podobě dvou grafických témat. Mezi další části v jádru frameworku patří mechanismy pro zachytávání akcí, linkování zdrojů a svazování dat s komponentami. vaadin-testbench-2.4.2. Knihovna, obsahující testovací framework Testbench. Distribuována je současně se vzorovými konfiguračními soubory jednotlivých komponent a dávkovými soubory pro spouštění. ojdbc14. JDBC driver pro přístup k databázovým strojům od výrobce Oracle. Poskytuje základní funkce ovladače a v aplikaci poskytuje low-level přístup k databázi, který je třeba ve fázi ladění a troubleshootingu. eclipselink-2.3.0. Dvě knihovny, tvořící JPA framework Eclipselink. Lze ho využít jako embedded část enteprise kontejnerů nebo jako standalone v desktopových aplikacích. Třídy frameworku jsou potom dle specifikace JSR vidět v aplikaci pod balíčkem javax.persistence. METRO 2.0. Web services stack, který zároveň poskytuje základní API JAXB a JAXWS webových služeb a zároveň zjednodušuje tvorbu jejich tvorbu přístup ke službám. Licenční server využívá jeho serverové API a knihovna klientské aplikace jeho API pro konzumenty. java.util. Nativní knihovna Javy, poskytující utility pro tvorbu aplikací. Licenční server využívá například rozhraní generátoru náhodných čísel Random, třídy, potřebné k lokalizaci aplikace (Locale, Properties, ResourceBundle) a datové struktury Stack a HashMap. java.io. Knihovna pro vstupně-výstupní operace licenčního serveru, jako například ukládání RSA klíču na disk a jejich zpětné načítání, serializace objektů aplikace do posloupnosti bytů nebo čtení konfiguračních souborů a reakce na případné chyby v I/O operacích. java.security. Množina API, nástrojů a implementací bezpečnostních protokolů, mechanismů a algoritmů z oblasti kryptografie, PKI, AAA a zabezpečení komunikace. Server tuto knihovnu potřebuje pro bezpečný generátor náhodných čísel, datové struktury otisku, privátního a veřejného klíče a jejich kódování/dekódování při ukládání na disk nebo do socketu. javax.crypto. Obsahuje třídy a rozhraní pro kryptografické operace jako je šifrování, generování klíčů a vyjednávání o tajném klíči komunikačních stran. Části knihovny jsou často svázané s konkrétním providerem, ale umožňují snadné dopsání vlastních implementací. Je 81

82

PŘÍLOHA B. POPIS POUŽITÝCH KNIHOVEN

úzce provázána s knihovnou java.security a i proto ji licenční server využívá především k šifrování a zpracování při něm vzniklých chyb a problémů. javax.servlet. Framework Vaadin sice řeší obsluhu HTTP požadavků na server svým vlastním servletem, ovšem někdy je třeba tuto abstrakční vrstvu obejít a pracovat přímo na úrovni HTTP požadavků a HTTP odpovědí. Servlet API je využíváno pro vhodné nastavení referencí na aplikační třídu do vlákna tak, aby k ní mohly přistupovat i třídy ostatní. Tento návrh v aplikaci má své opodstatnění. java.sql. Interní API Java JDK pro dotazování SQL databází. Po načtení JDBC driveru je toto API použito pro vytváření dotazů, zpracování výsledků atd. java.math. Matematické funkce ve formě Java API. Licenční server používá některé datové typy jako BigInteger, BigDecimal. javax.naming. Knihovna pro přístup k adresářovým službám. Výhodou je fakt, že API je součástí JDK, a proto není třeba externí knihovna. Nevýhodou může být velká obecnost, se kterou je API vytvořeno. Abstrahuje od mnohých detailů, což ho dělá nezávislým, ale komplikovanějším pro použití.

Příloha C

Externí související systémy Baan. Manuálně aktualizovaný ERP systém, ve kterém jsou uloženy všechny zakázky a jejich funkční rozpady na nižší celky. Zodpovědnost za vývoj leží na externí firmě a ICT oddělení - společnosti ŠKODA ICT. Systém zároveň poskytuje rozhraní pro náhled do skladu. Neumožňuje zpětný import do SmarTeamu. DataRail. Systém pro ukládání diagnostických dat, které v případě chyby nebo nestandardního chování regulátoru zasílá přímo vozidlo. Vývojář si zde data vyzvedne a pracuje s nimi. Tento předepsaný způsob ukládání diagnostických dat umožňuje zatím jen malá množina vozidel. EasyArchive. Do systému Baan ukládá data, potřebná pro motorárnu. Existuje jeden klíčový uživatel, který systém obsluhuje. Systém dále pracuje s pohledy, jako jsou například číselníky Baanu atd. Issue tracking. Aplikace pro ukládání bugů a defektů aplikací. Slouží pro centralizaci sběru těchto důležitých informací. LDAP. Databáze uživatelů a zákazníků společnosti ŠKODA. Přístupná je pouze z intranetu a poskytuje autentizační službu a další údaje o uživatelích, jako jsou například kontaktní informace nebo informace o bydlišti. Oracle DB. Jedno z datových úložisť společnosti ŠKODA ELECTRIC. Aplikacím, které potřebují pro svou funkci uložiště pro data, lokální ICT oddělení vytváří izolované materializované pohledy. TeleRail. Systém pro ukládání diagnostických dat, které v případě chyby nebo nestandardního chování regulátoru zasílá přímo vozidlo. Vývojář si zde data vyzvedne a pracuje s nimi. Tento předepsaný způsob ukládání diagnostických dat umožňuje zatím jen malá množina vozidel. SmarTeam. ERP systém, sloužící pro technický úsek společnosti ŠKODA Trasportation. Obsahuje informace o zákaznících a zakázkách společnosti. Pracuje s pohledy na data, exportovanými z hlavního systému Baan.

83

84

PŘÍLOHA C. EXTERNÍ SOUVISEJÍCÍ SYSTÉMY

Příloha D

Konfigurace aplikace a serveru D.1

Deployment aplikace

Nejprve je třeba nastartovat webový kontejner1 : \$ sudo / e t c / i n i t . d/ tomcat6 s t a r t Kontejner Apache Tomcat spravuje aplikace v adresáři $CATALINA_HOME/webapps. Sem stačí webovou aplikaci ve formě archivu WAR nebo jako adresář nahrát. Webový kontejner sám periodicky kontroluje adresář webapps a o skutečnosti, kdy se aplikace dostane pod jeho správu a on pro ní vytvoří kontextovou část URL, informuje následující zprávou: \$ t a i l −f \$CATALINA_HOME/ l o g s / c a t a l i n a . out Deployment i s i n p r o g r e s s . . . d e p l o y ? c o n f i g= f i l e OK − Deployed a p p l i c a t i o n a t c o n t e x t path / L i c e n s e S e r v e r Start i s in progress . . . s t a r t ? path=/ L i c e n s e S e r v e r OK − S t a r t e d a p p l i c a t i o n a t c o n t e x t path / L i c e n s e S e r v e r

D.2

Nastavení služeb webového kontejneru

Defaultní konfigurace webového kontejneru není pro licenční server vhodná a proto je třeba hned několik úprav. Apache Tomcat rád serializuje sessions uživatelů ve chvíli, kdy se restartuje, aby mohl stav aplikace obnovit. Tato funkce v něm ale není příliš šťastně implementována a klade mnohdy nepřijatelné nároky na kód webové aplikace. Při startu/ukončení/restartu tak často dostáváme chybu NotSerializableException. Je tedy třeba upravit konfiguraci kontejneru tak, aby sessions neserializoval (v souboru $CATALINA_HOME/conf/context.xml odkomentovat uzel Manager. <Manager pathname=" " /> 1

konfigurace je uváděna v prostředí GNU/Linux

85

86

PŘÍLOHA D. KONFIGURACE APLIKACE A SERVERU

Apache Tomcat si občas stěžuje, že nemůže najit JDBC driver - což je zvláštní, protže on sám ho k ničemu nepotřebuje a aplikace ma vlastní knihovny a driver ve své classpath. Občas ale Tomcat tuto výjímku zahlásí a pro jeho spokojenost tedy do složky $CATALINA_HOME/lib/ umístíme JDBC driver (viz. příloha o knihovnách B) Na závěr je třeba server restartovat: \$ sudo / e t c / i n i t . d/ tomcat6 r e s t a r t

D.3

Konfigurace aplikace

Aplikace samotná má konfiguraci v souboru config.properties ve složce /WEB-INF, která není přístupná pro klienty webového serveru. Tento soubor obsahuje především konfigurační údaje pro spojení s externími systémy a aplikace soubor jako takový zpracovává při své incializaci. V terminologii licenčního serveru hovoříme o “konfiguraci přístupových bodů”. Fragment konfiguračního souboru vypadá následovně: # General i n s i d e I n t r a n e t=f a l s e # LDAP i n i t i a l C o n t e x t F a c t o r y=com . sun . j n d i . l d a p . LdapCtxFactory providerURL=l d a p : // skoda . c z : 3 8 9 s e c u r i t y A u t h e n t i c a t i o n=s i m p l e r e f e r r a l=f o l l o w # Baan SQL m i r r o r serverName=srv −baan−db1 . skoda . c z portNumber=1521 s i d=baan . skoda . c z username=BAAN_CA_ELC password =∗∗∗∗∗ Jedinou výjímkou u externích systémů je databáze Oracle. Použití frameworku EclipseLink nás od nutnosti psaní low-level kódu pro vytváření, udržování a ukončování spojení odstiňuje. Framework má vlastní konfigurační soubor a pro základní práci s frameworkem je nejdůležitější sekce properties, která definuje potřebné informace pro spojení s databázovým strojem. Ostatní konfigurace frameworku se většinou už týká konkrétních aplikačních tříd a je prováděna pomocí antací, které umožňují konfigurovat framework kontextově. Nedůležitější sekci konfiguračního souboru persistence.xml uvádí následující fragment XML kódu.

D.3. KONFIGURACE APLIKACE

87

88

PŘÍLOHA D. KONFIGURACE APLIKACE A SERVERU

Příloha E

Obsah přiloženého CD Zdrojové soubory spolu s dalšími náležitostmi jsou uloženy na přiloženém CD. Stromová struktura jeho obsahu vypadá následovně: |-|-| | | | | | | | | | | | | | | |-| | | | | | | | | | |

data_models LicenseClient |-- build |-- dist | ‘-- javadoc | |-- nbproject |-- src | |-- cz.skoda.alpha.security.ws.client | ‘-- META-INF | |-- test | ‘-- cz.skoda.alpha.security.ws.client.test | |-- xml-resources ‘-- build.xml LicenseServer |-- build |-- dist | ‘-- javadoc | |-- nbproject |-- src | |-- conf | |-- cz.skoda.alpha.ls | ‘-- cz.skoda.alpha.ws | |-- test

89

90

| | | | |-|-|--

PŘÍLOHA E. OBSAH PŘILOŽENÉHO CD

| ‘-- cz.skoda.alpha.ls.test | ‘-- build.xml README.TXT srv.eap text |-- figures |-- reference.bib |-- tomanek-ing-thesis-2012.tex ‘-- tomanek-ing-thesis-2012.pdf Popis jednotlivých souborů a adresářů je uveden v tabulce E.1

91

Uzel data_models LicenseClient LicenseClient/build LicenseClient/dist LicenseClient/dist/javadoc LicenseClient/nbproject LicenseClient/src LicenseClient/test LicenseClient/xml-resources LicenseClient/build.xml LicenseServer LicenseServer/build LicenseServer/dist LicenseServer/dist/javadoc LicenseServer/nbproject LicenseServer/src LicenseServer/test LicenseServer/build.xml README.TXT srv.eap text

Popis Všechny průběžně vytvářené datové modely aplikace Root projektu klientské knihovny Build knihovny JAR file s knihovnou Dokumentace knihovny Informace o projektu pro IDE Netbeans Zdrojové kódy knihovny jUnit testy Reference na webovou službu Buildfile pro knihovnu Root projektu webové aplikace a služby Build webové aplikace a služby WAR file s webovou aplikací a službou Dokumentace webové aplikace a služby Informace o projektu pro IDE Netbeans Zdrojové kódy webové aplikace (ls) a služby (ws) Vaadin TestBench testy Buildfile pro webovou aplikaci a službu Popis instalace a obsahu CD Soubor s diagramy aplikace EA Text diplomové práce včetně zdrojů ke kompilaci

Tabulka E.1: Popis souborů a adresářů na přiloženém CD