Tapiola-ryhmän Yhtiökokousjärjestelmä-ohjelmiston määrittely ja suunnittelu

Tässä insinöörityössä selvitettiin mahdollisuuksia parantaa Tapiola-ryhmän Yhtiökokousjärjestelmä-ohjelmiston ominaisuuksia ja tietoturvallisuutta. Järjestelmää käytetään Tapiola-ryhmän vakuutusyhtiöiden yhtiökokouksiin osallistuvien osakkaiden kirjaamiseen ja heidän äänten laskentaan. Tutkimuksen perusteella tehtiin järjestelmän määrittely ja suunnittelu, joiden tuloksena syntyivät toiminnallinen ja tekninen määrittelydokumentaatio, jotka toimivat pohjana uuden Yhtiökokousjärjestelmän toteutukselle. Työ tehtiin Tapiola-ryhmälle Tieto-Tapiola Oy:n tilauksesta. Työn alussa tutkittiin erilaisia mahdollisuuksia toteuttaa järjestelmän ohjelmisto- ja tietokanta-arkkitehtuuri, joiden perusteella määrittelyä ja suunnittelua alettiin toteuttaa. Tutkimuksen perusteella päädyttiin käyttämään Java SE -arkkitehtuuria sovelluksen toteutukseen ja SQL Server -tietokantaa järjestelmän tietovarastona. Valittuihin ratkaisuihin päädyttiin niiden hyvien tietoturvallisuus- ja kertakirjausominaisuuksien takia. Toiminnallisessa määrittelydokumentissa käydään läpi järjestelmälle asetettuja vaatimuksia ja kuvataan sen toiminnot, liiketoimintaluokkamalli, käyttöliittymä ja tulosteet. Lisäksi siinä otetaan kantaa järjestelmän käyttöympäristöön, ulkoisiin tietokantaliittymiin, käyttäjän tunnistautumiseen ja tietoturvallisuuteen sekä käydään läpi sen toiminta käyttäjien näkökulmasta. Toiminnallisen määrittelydokumentin pohjalta luotiin tekninen määrittelydokumentti. Siinä kuvataan järjestelmän ympäristö ja ohjelmisto- sekä tietokanta-arkkitehtuuri yleisellä tasolla. Tämän lisäksi järjestelmän arkkitehtuuria käydään myös tarkemmin läpi sekä kuvataan moduulit ja toiminnot niin tarkasti, että niiden perusteella voidaan toteuttaa koko järjestelmä. Työn tuloksena syntyivät kattava toiminnallinen ja tekninen määrittelydokumentaatio, joissa käydään läpi kaikki järjestelmän toteuttamiseen tarvittavat elementit sillä tarkkuudella, että järjestelmän toteuttaminen voidaan aloittaa.

802.1X-autentikoinnin käyttöönotto toimistoverkossa

Tämän insinöörityön tarkoituksena on tutkia, mitä 802.1x-autentikoinnin käyttöönotto toimistoverkossa vaatii. Aluksi tutkitaan autentikoinnissa tarvittavat komponentit ja niiden toiminta teorian kannalta. Kun teorian puolesta kaikki on selvää, on aika viedä teoria käytäntöön ja muodostaa olemassa olevien komponenttien avulla toimiva 802.1x-autentikointi. Autentikointiin tarvittavat asetukset esitetään yksityiskohtaisesti, jotta autentikointi olisi mahdollista toteuttaa myös muissa ympäristöissä. Muodostuksen jälkeen tutkitaan autentikoinnista saatavia lokeja ja selvitetään niiden tarkoitus. Jos saavutettu lopputulos on halutun kaltainen, otetaan 802.1x-autentikointi käyttöön koko toimistoverkossa.

Tietokantakäyttäjän autentikoinnin ja auktorisoinnin hallinnointi Active Directory -ympäristössä

Usean nykypäivän yrityksen tietojärjestelmäinfrastruktuuri on muotoutunut heterogeeniseksi ympäristöksi, jossa eri käyttöjärjestelmä- ja laitealustoilla toimii usean eri valmistajan toimittamia järjestelmiä. Heterogeenisen ympäristön hallitsemiseksi yritykseltä vaaditaan keskitettyä tietovarastoa, johon on tallennettu tietoa käytetystä järjestelmäympäristöstä sekä sen komponenteista. Tähän tarkoitukseen Microsoft toi markkinoille vuonna 1999 Active Directory 2000 -hakemistopalvelun. Heterogeenisessa ympäristössä käyttäjien autentikointi ja auktorisointi on erittäin vaativaa. Pahimmassa tapauksessa käyttäjällä voi olla kymmeniä käyttäjätunnus-salasana-yhdistelmiä yrityksen eri tietojärjestelmiin. Lisäksi jokaisessa tietojärjestelmässäon ylläpidettävä käyttäjäkohtaisia toimintavaltuuksia. Niin käyttäjän kuin ylläpitäjänkin näkökulmasta tällainen skenaario on painajainen. Tässä diplomityössä kartoitetaan mahdollisuuksia Oracle-tietokantojen käyttäjien autentikoinnin sekä auktorisoinnin keskittämiseksi Active Directory -hakemistopalveluun. Työssä tarkastellaan tarkoitukseen soveltuvia valmiita kaupallisia ratkaisuja sekä tutkitaan mahdollisuuksia oman ratkaisumallin toteuttamiseksi umpäristöstä löytyvien ohjelmointirajapintojen avulla.

Internet-palveluntarjoajan luotettava autentikointijärjestelmä

Internet-palveluntarjoaja haluaa tarjota palveluitaan vain omille asiakkailleen. Niinpä Internetin käyttäjien autentikointi on tärkeä osa Internet-palveluntarjoajan kokonaisjärjestelmässä. Jopa asiakkaiden laskutus saattaa perustua luotettavaan autentikointiin. Internet-palveluntarjoajan autentikointijärjestelmä perustuu usein AAA-malliin, joka pitää sisällään käyttäjien autentikoinnin, auktorisoinnin ja käyttötilastojen keräämisen. Tässä työssä esitellään AAA-mallia ja autentikointijärjestelmään läheisesti liittyviä muita teknologioita. Työn käytännön osassa tutustutaan Internet-palveluntarjoajan AAA-ohjelmiston uusimiseen. Tuloksena oli tulevaisuuden tarpeisiin paremmin sopiva AAAjärjestelmä. Samalla esitellään myös joitakin ideoita järjestelmän kehittämiseksi edelleen.

Certificate Handling Middleware for Mobile Devices

The purpose of this thesis was to study how certificates could be used to improve security of mobile devices. In the theoretical part the usage of certificates to improve security is explained. In the practical part a concept of certificate handling middleware is introduced and implemented. This is to demonstrate what kind of functionality is needed to provide an improvement over the current situation in security with mobile devices. The certificate handling middleware is a concept that would work better if implemented directly into mobile device's core functionality. Many of the mobile devices have a certificate store to some degree and often it is not used to store other people's certificates. A certificate store combined with address book and added with possibility to add attributes to the people such as group memberships would be sufficient to satisfy the needs of many emerging sharing and social applications.

Pelaajan tunnistaminen hiiri- ja näppäimistödynamiikan avulla

Usein tietokonepeleissä on tarpeen erottaa tai tunnistaan tunnettu pelaaja (esimerkiksi pelitilin omistaja) jostakin toisesta pelaajasta. Toinen pelaaja saattaa olla esimerkiksi hakkeri, kultafarmari, tai jopa jokin kolmas taho jolle pelitilin alkuperäinen omistaja on tilinsä myynyt. Tämän tyyppinen tunnistaminen (autentikointi) voidaan tehdä pelaajan biometriikkaan perustuen käyttämällä luokitteluun koneoppimisalgoritmeja. Epäilyksen herättyä pelaajan hiiri- ja näppäimistödynamiikkaan perustuva biometrinen data kerätään ja luokitellaan vertaamalla sitä pelitilin omistajan tunnettuun biometriseen dataan. Jos hiiren ja näppäimistön käytössä on merkittäviä eroja, voidaan tilanteessa epäillä epärehellisyyttä ja aloittaa tarkempi selvitys aiheesta. Pelaajan näkökulmasta tämänkaltainen datan kerääminen ja analyysi on huomaamatonta ja huoletonta. Se ei häiritse pelikokemusta, eikä se ole myöskään uhka pelaajan yksityisyydelle tai tietoturvalle. Datan keräys voidaan tehdä taustalla pelaajan huomaamatta, ja ainoastaan hiiren ja näppäimistön käyttö pelin sisällä voidaan tallentaa; tästä pitää huolen käyttöjärjestelmän tietoturvakäytännöt. On hyvä myös huomata, että tietokonepeli käyttää tätä samaa dataa joka tapauksessa pelin ohjaamiseen, joten datalle ehdotetaan nyt vain uutta käyttötarkoitusta. Pelaaja hyötyy tästä lisääntyneen tietoturvan muodossa, jolloin pelitili on paremmin turvassa luvattomalta käytöltä. Gradussa hiiri- ja näppäimistödynamiikkadata kerättiin kahdelta pelaajalta, joilla on hieman eritasoinen kokemus tietokonepeleistä (kokenut pelaaja, vähemmän kokenut pelaaja). Näin kerätty raakadata muokattiin sitten lopulliseksi datajoukoksi ja analysoitiin. Luokittelu tapahtui k:n lähimmän naapurin koneoppimismenetelmällä käyttäen jätä-yksi-pois riistiinvalidointia.