Web of Services Security

ZusammenfassungDie Bezeichnung „Web of Services“ bezieht sich nach einer Definition des W3C auf ein nachrichtenbasiertes Designprinzip, das häufig zum Entwurf von Internet-Anwendungen oder Unternehmenssoftware zum Einsatz kommt. Die beiden dominierenden Ansätze sind hier derzeit SOAP und REST. Für REST existiert jedoch keine der SOAP-Security entsprechende Sicherheitsarchitektur. Mit den zunehmenden Einsatzmöglichkeiten in verteilten Anwendungen wird eine solche „REST-Security“ jedoch immer dringender benötigt. Diese muss abstrakte Sicherheitsmethoden definieren, deren konkrete Umsetzung über die bei Webanwendungen gebräuchlichen Sicherheitsmechanismen hinausgeht. Der Beitrag gibt einen Überblick über den aktuellen Stand der Technik und formuliert offene Forschungs- und Entwicklungsaufgaben in Form von Anforderungen an REST-Security.

[1]  Roy Fielding,et al.  Architectural Styles and the Design of Network-based Software Architectures"; Doctoral dissertation , 2000 .

[2]  John Linn,et al.  The Kerberos Version 5 GSS-API Mechanism , 1996, RFC.

[3]  Sam Hartman,et al.  The Kerberos Version 5 Generic Security Service Application Program Interface (GSS-API) Mechanism: Version 2 , 2005, RFC.

[4]  Dick Hardt,et al.  The OAuth 2.0 Authorization Framework , 2012, RFC.

[5]  Roy T. Fielding,et al.  Uniform Resource Identifiers (URI): Generic Syntax , 1998, RFC.

[6]  Sean Turner,et al.  Transport Layer Security , 2014, IEEE Internet Computing.

[7]  John T. Kohl,et al.  The Kerberos Network Authentication Service (V5 , 2004 .

[8]  Roy T. Fielding,et al.  Hypertext Transfer Protocol (HTTP/1.1): Semantics and Content , 2014, RFC.

[9]  Thomas Erl,et al.  SOA Principles of Service Design (The Prentice Hall Service-Oriented Computing Series from Thomas Erl) , 2007 .

[10]  Christian Gütl,et al.  On using JSON-LD to create evolvable RESTful services , 2012, WS-REST.

[11]  Jörg Schwenk,et al.  XML Signature Wrapping Angriffe , 2009, Datenschutz und Datensicherheit - DuD.

[12]  M. Jones,et al.  JSON Web Encryption (JWE) draft-ietf-jose-json-web-encryption-09 , 2013 .

[13]  Luigi Lo Iacono,et al.  Service Security Revisited , 2014, 2014 IEEE International Conference on Services Computing.

[14]  Jean Jacques Moreau,et al.  SOAP Version 1. 2 Part 1: Messaging Framework , 2003 .

[15]  Scott O. Bradner,et al.  Key words for use in RFCs to Indicate Requirement Levels , 1997, RFC.

[16]  Michael B. Jones JSON Web Algorithms (JWA) , 2015, RFC.

[17]  Anderson Santana de Oliveira,et al.  Enabling Message Security for RESTful Services , 2012, 2012 IEEE 19th International Conference on Web Services.

[18]  Michael B. Jones,et al.  JSON Web Key (JWK) , 2015, RFC.

[19]  Tim Dierks,et al.  The Transport Layer Security (TLS) Protocol Version 1.2 , 2008 .

[20]  Michael B. Jones,et al.  JSON Web Encryption (JWE) , 2015, RFC.

[21]  Phillip Hallam-Baker,et al.  Web services security: soap message security , 2003 .

[22]  Michael B. Jones,et al.  JSON Web Signature (JWS) , 2015, RFC.

[23]  C. Moorehead All rights reserved , 1997 .

[24]  SzczerbickiEdward SMART SYSTEMS INTEGRATION , 2008 .

[25]  Roy T. Fielding,et al.  Hypertext Transfer Protocol - HTTP/1.1 , 1997, RFC.

[26]  Roy T. Fielding,et al.  Uniform Resource Identifier (URI): Generic Syntax , 2005, RFC.

[27]  Douglas Crockford,et al.  The application/json Media Type for JavaScript Object Notation (JSON) , 2006, RFC.