Zusammenfassung
Die Bezeichnung „Web of Services“ bezieht sich nach einer Definition des W3C auf ein nachrichtenbasiertes Designprinzip, das häufig zum Entwurf von Internet-Anwendungen oder Unternehmenssoftware zum Einsatz kommt. Die beiden dominierenden Ansätze sind hier derzeit SOAP und REST. Für REST existiert jedoch keine der SOAP-Security entsprechende Sicherheitsarchitektur. Mit den zunehmenden Einsatzmöglichkeiten in verteilten Anwendungen wird eine solche „REST-Security“ jedoch immer dringender benötigt. Diese muss abstrakte Sicherheitsmethoden definieren, deren konkrete Umsetzung über die bei Webanwendungen gebräuchlichen Sicherheitsmechanismen hinausgeht. Der Beitrag gibt einen Überblick über den aktuellen Stand der Technik und formuliert offene Forschungs- und Entwicklungsaufgaben in Form von Anforderungen an REST-Security.
Literatur
W3C, Web of Services, 2014 [Online]. Available: http://www.w3.org/standards/webofservices/
A. Bassi and G. Horn, Internet of Things in 2020–A Roadmap for the Future, 2008 [Online]. Available: http://www.smart-systems-integration. org/public/documents/publications/Internet-of-Things_in_2020_ECEPoSS_Workshop_Report_2008_v3.pdf
Bundesministerium für Wirtschaft und Energie, Internet der Dinge, 2014 [Online]. Available: http://www.bmwi.de/DE/Themen/Digitale-Welt/Internet-der-Zukunft/internet-der-dinge.html
T. Erl, SOA Principles of Service Design (The Prentice Hall Service-Oriented Computing Series from Thomas Erl). Upper Saddle River, NJ, USA: Prentice Hall PTR, 2007.
M. Gudgin, M. Hadley, N. Mendelsohn, J.-J. Moreau, H. F. Nielsen, A. Karmarkar and Y. Lafon, SOAP Version 1.2 Part 1: Messaging Framework (Second Edition), W3C, Recommendation, 2007. [Online]. Available: http://www.w3.org/TR/soap12-part1/
R. Fielding, Architectural Styles and the Design of Network-based Software Architectures, Ph.D. dissertation, University of California, Irvine, 2000 [Online]. Available: http://www.ics.uci.edu/~fielding/pubs/dissertation/top.htm
OASIS, OASIS Web Services Security (WSS) TC, 2006 [Online]. https://www.oasis-open.org/committees/tc_home.php?wg_ abbrev=wss
T. Dierks and E. Rescorla, The Transport Layer Security (TLS) Protocol Version 1.2, IETF, RFC 5246, 2008 [Online]. Available: http://www.ietf.org/rfc/rfc2546.txt
P. L. Gorski, L. Lo Iacono, H. V. Nguyen and D. B. Torkian, Service Security Revisited, in: 11th IEEE International Conference on Service Computing, ser. SCC’14. Anchorage, Alaska, USA: IEEE 2014, pp. 464–471, Available: http://ieeexplore.ieee.org/xpl/articleDetails.jsp?tp=&arnumber= 6930568&queryText%3DService+Security+Revisited
C. Ochs, Emerging Trends in Software Development & Implications for IT Security: An Explorative Study, EC SPRIDE, 2014 [Online]. Available: http://www.ec-spride.tu-darmstadt.de/fileadmin/user_upload/Group_EC_Spride/files/TR_SoftwareDevelopment.pdf
T. Berners-Lee, R. Fielding and L. Masinter, Uniform Resource Identifier (URI): Generic Syntax, IETF, RFC 3986, 2005 [Online]. Available: http://www.ietf.org/rfc/rfc3986.txt
R. Fielding and J. Reschke, Hypertext Transfer Protocol (HTTP/1.1): Semantics and Content, IETF, RFC 7231, 2014 [Online]. Available: http://www.ietf.org/rfc/rfc7231.txt
D. Crockford, The application/json Media Type for JavaScript Object Notation (JSON), IETF, RFC 4627, 2006 [Online]. Available: http://www.ietf.org/rfc/rfc4627.txt
M. Lanthaler and C. Gütl, On Using JSON-LD to Create Evolvable RESTful Services, in Proceedings of the Third International Workshop on RESTful Design, ser. WS-REST’ 12. New York, NY, USA: ACM, 2012, pp. 25–32 [Online]. Available: http://doi.acm.org/10.1145/2307819.2307827
M. Jones, J. Bradley and N. Sakimura, JSON Web Signature (JWS), IETF, Internet-Draft, 2015 [Online]. Available: http://tools.ietf.org/html/draft-ietfjose-json-web-signature-41
M. Jones, E. Rescorla and J. Hildebrand, JSON Web Encryption (JWE), IETF, Internet-Draft, 2015 [Online]. Available: http://tools.ietf.org/html/draftietf-jose-json-web-encryption-40
M. Jones, JSON Web Algorithms (JWA), IETF, Internet-Draft, 2015 [Online]. Available: http://tools.ietf.org/html/draft-ietf-jose-json-web-algorithms-40
M. Jones, JSON Web Key (JWK), IETF, Internet-Draft, 2015 [Online]. Available: http://tools.ietf.org/html/draft-ietf-jose-json-web-key-41
G. Serme, A. S. de Oliveira, Y. Roudier and J. Massiera, Enabling message security for RESTful services, in 19th IEEE International Conference on Web Services, ser. ICWS’12. Honolulu, USA: IEEE, June 24–29, 2012 [Online]. Available: http://www.eurecom.fr/publication/3739
Amazon, Signing and Authenticating REST Requests, 2006 [Online]. Available: http://docs.aws.amazon.com/AmazonS3/ latest/dev/RESTAuthentication. html
M. Cavage and M. Sporny, Signing HTTP Messages, IETF, Internet-Draft, 2015 [Online]. Available: http://tools.ietf.org/html/draft-cavage-http-signatures-04
D. Hardt: The OAuth 2.0 Authorization Framework, IETF, RFC 6749, 2012 [Online]. Available: https://tools.ietf.org/html/rfc6749
Mozilla Developer Network, Persona, 2013 [Online]. Available: https://developer. mozilla.org/en-US/Persona
OpenID Foundation, OpenID Foundation, 2014 [Online]. Available: http:// openid.net/foundation/
R. Sleevi and D. Dahl, Web Cryptography API, W3C, W3C Candidate Recommendation, 2014 [Online]. Available: http://www.w3.org/TR/ WebCryptoAPI
OWASP, XML External Entity (XXE) Processing, 2013 [Online]. Available: https://www.owasp.org/index.php/XML_ External_Entity_(XXE)_Processing
N. Gruschka, M. Jensen, L. Lo Iacono and J. Schwenk, XML Signature Wrapping Angriffe, DuD 9/2009, S.553-560
Author information
Authors and Affiliations
Corresponding author
Additional information
Peter Leo Gorski ist wissenschaftlicher Mitarbeiter an der Fachhochschule Köln und arbeitet im Themenumfeld Service Security.
Luigi Lo Iacono ist Professor an der Fakultät für Informations-, Medien- und Elektrotechnik der Fachhochschule Köln.
Hoai Viet Nguyen ist wissenschaftlicher Mitarbeiter an der Fachhochschule Köln und arbeitet im Themenumfeld Service Security.
Daniel Behnam Torkian ist wissenschaftlicher Mitarbeiter an der Fachhochschule Köln und arbeitet im Themenumfeld Service Security.
Rights and permissions
About this article
Cite this article
Gorski, P.L., Lo Iacono, L., Nguyen, H.V. et al. Web of Services Security. Datenschutz Datensich 39, 317–322 (2015). https://doi.org/10.1007/s11623-015-0420-x
Published:
Issue Date:
DOI: https://doi.org/10.1007/s11623-015-0420-x