Målet er at give studerende en forståelse af, hvordan sikre applikationer kan realiseres i mobile enheder, hvilke specielle trusler der gør sig gældende i et sådant miljø, og hvordan man generelt kan tænke sikkerhed ind i nye og eksisterende systemer. Kurset behandler en række sikkerhedsmæssige aspekter i forbindelse med realisering af mobile applikationer, eksemplificeret med betaling via mobiltelefonen som et alternativ til traditionelle betalingskort.
Læringsmål:
En studerende, der fuldt ud har opfyldt kursets mål, vil kunne:
Identificere, analysere og vurdere sikkerhedstrusler i en konkret applikation, både på koncept- og implementerings-niveau
Opremse hvilken type sikkerhedstrusler der specielt gør sig gældende for applikationer i mobile enheder
Bedømme hvilket sikkerhedsniveau er ønsket i en given situation og hvilke kompromiser, der kan være nødvendige
Redegøre for de forudsætninger, der ligger til grund for sikre mobile applikationer
Sammenligne og udvælge sikkerhedsmetoder til brug for realisering af en sikker mobil applikation
Designe, analysere og udvikle en prototype på en sikker tjeneste til mobiltelefoner
Analysere og diskutere de begrænsninger som mobile platforme pålægger valget af kryptografiske algoritmer
Planlægge og gennemføre et softwareprojekt
Kursusindhold:
Med udgangspunkt i praktiske erfaringer indenfor it-sikkerhed, vil de studerende få en bred indsigt i hvilke sikkerhedmæssige problematikker man som civilingeniør vil komme til at skulle forholde sig til. Denne viden vil kunne anvendes uanset om man beskæftiger sig med deciderede sikkerhedssystemer, eller om man blot ønsker at designe systemer som ikke skal kunne misbruges. Med udgangspunkt i en konkret applikation til mobil betaling vil den studerende komme til at udføre en trusselsanalyse af en eksisterende Java ME applikation med henblik på at finde mulige sikkerhedshuller både på konceptniveau og evt. konkrete hacks. Derefter vil de studerende i grupper designe og udvikle en sikkerhedskritisk mobil tjeneste, redegøre for og bedømme hvilke trusler der er i systemet og argumentere for hvorvidt disse er blevet håndteret.
