Nothing Special   »   [go: up one dir, main page]
Skip to main content
SpringerLink
Log in

Web of Services Security

Mehr als die Sicherheit von Webanwendungen

  • Aufsätze
  • Published:
Datenschutz und Datensicherheit - DuD Aims and scope Submit manuscript

Zusammenfassung

Die Bezeichnung „Web of Services“ bezieht sich nach einer Definition des W3C auf ein nachrichtenbasiertes Designprinzip, das häufig zum Entwurf von Internet-Anwendungen oder Unternehmenssoftware zum Einsatz kommt. Die beiden dominierenden Ansätze sind hier derzeit SOAP und REST. Für REST existiert jedoch keine der SOAP-Security entsprechende Sicherheitsarchitektur. Mit den zunehmenden Einsatzmöglichkeiten in verteilten Anwendungen wird eine solche „REST-Security“ jedoch immer dringender benötigt. Diese muss abstrakte Sicherheitsmethoden definieren, deren konkrete Umsetzung über die bei Webanwendungen gebräuchlichen Sicherheitsmechanismen hinausgeht. Der Beitrag gibt einen Überblick über den aktuellen Stand der Technik und formuliert offene Forschungs- und Entwicklungsaufgaben in Form von Anforderungen an REST-Security.

This is a preview of subscription content, log in via an institution to check access.

Access this article

Log in via an institution

Subscribe and save

Springer+ Basic
$34.99 /Month
  • Get 10 units per month
  • Download Article/Chapter or eBook
  • 1 Unit = 1 Article or 1 Chapter
  • Cancel anytime
Subscribe now

Buy Now

Price excludes VAT (USA)
Tax calculation will be finalised during checkout.

Instant access to the full article PDF.

Institutional subscriptions

Literatur

  1. W3C, Web of Services, 2014 [Online]. Available: http://www.w3.org/standards/webofservices/

  2. A. Bassi and G. Horn, Internet of Things in 2020–A Roadmap for the Future, 2008 [Online]. Available: http://www.smart-systems-integration. org/public/documents/publications/Internet-of-Things_in_2020_ECEPoSS_Workshop_Report_2008_v3.pdf

    Google Scholar 

  3. Bundesministerium für Wirtschaft und Energie, Internet der Dinge, 2014 [Online]. Available: http://www.bmwi.de/DE/Themen/Digitale-Welt/Internet-der-Zukunft/internet-der-dinge.html

    Google Scholar 

  4. T. Erl, SOA Principles of Service Design (The Prentice Hall Service-Oriented Computing Series from Thomas Erl). Upper Saddle River, NJ, USA: Prentice Hall PTR, 2007.

    Google Scholar 

  5. M. Gudgin, M. Hadley, N. Mendelsohn, J.-J. Moreau, H. F. Nielsen, A. Karmarkar and Y. Lafon, SOAP Version 1.2 Part 1: Messaging Framework (Second Edition), W3C, Recommendation, 2007. [Online]. Available: http://www.w3.org/TR/soap12-part1/

    Google Scholar 

  6. R. Fielding, Architectural Styles and the Design of Network-based Software Architectures, Ph.D. dissertation, University of California, Irvine, 2000 [Online]. Available: http://www.ics.uci.edu/~fielding/pubs/dissertation/top.htm

    Google Scholar 

  7. OASIS, OASIS Web Services Security (WSS) TC, 2006 [Online]. https://www.oasis-open.org/committees/tc_home.php?wg_ abbrev=wss

    Google Scholar 

  8. T. Dierks and E. Rescorla, The Transport Layer Security (TLS) Protocol Version 1.2, IETF, RFC 5246, 2008 [Online]. Available: http://www.ietf.org/rfc/rfc2546.txt

    Book  Google Scholar 

  9. P. L. Gorski, L. Lo Iacono, H. V. Nguyen and D. B. Torkian, Service Security Revisited, in: 11th IEEE International Conference on Service Computing, ser. SCC’14. Anchorage, Alaska, USA: IEEE 2014, pp. 464–471, Available: http://ieeexplore.ieee.org/xpl/articleDetails.jsp?tp=&arnumber= 6930568&queryText%3DService+Security+Revisited

    Google Scholar 

  10. C. Ochs, Emerging Trends in Software Development & Implications for IT Security: An Explorative Study, EC SPRIDE, 2014 [Online]. Available: http://www.ec-spride.tu-darmstadt.de/fileadmin/user_upload/Group_EC_Spride/files/TR_SoftwareDevelopment.pdf

    Google Scholar 

  11. T. Berners-Lee, R. Fielding and L. Masinter, Uniform Resource Identifier (URI): Generic Syntax, IETF, RFC 3986, 2005 [Online]. Available: http://www.ietf.org/rfc/rfc3986.txt

    Google Scholar 

  12. R. Fielding and J. Reschke, Hypertext Transfer Protocol (HTTP/1.1): Semantics and Content, IETF, RFC 7231, 2014 [Online]. Available: http://www.ietf.org/rfc/rfc7231.txt

    Book  Google Scholar 

  13. D. Crockford, The application/json Media Type for JavaScript Object Notation (JSON), IETF, RFC 4627, 2006 [Online]. Available: http://www.ietf.org/rfc/rfc4627.txt

    Book  Google Scholar 

  14. M. Lanthaler and C. Gütl, On Using JSON-LD to Create Evolvable RESTful Services, in Proceedings of the Third International Workshop on RESTful Design, ser. WS-REST’ 12. New York, NY, USA: ACM, 2012, pp. 25–32 [Online]. Available: http://doi.acm.org/10.1145/2307819.2307827

    Chapter  Google Scholar 

  15. M. Jones, J. Bradley and N. Sakimura, JSON Web Signature (JWS), IETF, Internet-Draft, 2015 [Online]. Available: http://tools.ietf.org/html/draft-ietfjose-json-web-signature-41

    Book  Google Scholar 

  16. M. Jones, E. Rescorla and J. Hildebrand, JSON Web Encryption (JWE), IETF, Internet-Draft, 2015 [Online]. Available: http://tools.ietf.org/html/draftietf-jose-json-web-encryption-40

    Google Scholar 

  17. M. Jones, JSON Web Algorithms (JWA), IETF, Internet-Draft, 2015 [Online]. Available: http://tools.ietf.org/html/draft-ietf-jose-json-web-algorithms-40

    Book  Google Scholar 

  18. M. Jones, JSON Web Key (JWK), IETF, Internet-Draft, 2015 [Online]. Available: http://tools.ietf.org/html/draft-ietf-jose-json-web-key-41

    Google Scholar 

  19. G. Serme, A. S. de Oliveira, Y. Roudier and J. Massiera, Enabling message security for RESTful services, in 19th IEEE International Conference on Web Services, ser. ICWS’12. Honolulu, USA: IEEE, June 24–29, 2012 [Online]. Available: http://www.eurecom.fr/publication/3739

    Google Scholar 

  20. Amazon, Signing and Authenticating REST Requests, 2006 [Online]. Available: http://docs.aws.amazon.com/AmazonS3/ latest/dev/RESTAuthentication. html

    Google Scholar 

  21. M. Cavage and M. Sporny, Signing HTTP Messages, IETF, Internet-Draft, 2015 [Online]. Available: http://tools.ietf.org/html/draft-cavage-http-signatures-04

    Google Scholar 

  22. D. Hardt: The OAuth 2.0 Authorization Framework, IETF, RFC 6749, 2012 [Online]. Available: https://tools.ietf.org/html/rfc6749

    Google Scholar 

  23. Mozilla Developer Network, Persona, 2013 [Online]. Available: https://developer. mozilla.org/en-US/Persona

    Google Scholar 

  24. OpenID Foundation, OpenID Foundation, 2014 [Online]. Available: http:// openid.net/foundation/

    Google Scholar 

  25. R. Sleevi and D. Dahl, Web Cryptography API, W3C, W3C Candidate Recommendation, 2014 [Online]. Available: http://www.w3.org/TR/ WebCryptoAPI

    Google Scholar 

  26. OWASP, XML External Entity (XXE) Processing, 2013 [Online]. Available: https://www.owasp.org/index.php/XML_ External_Entity_(XXE)_Processing

    Google Scholar 

  27. N. Gruschka, M. Jensen, L. Lo Iacono and J. Schwenk, XML Signature Wrapping Angriffe, DuD 9/2009, S.553-560

    Google Scholar 

Download references

Author information

Authors and Affiliations

  1. Köln, Deutschland

    Peter Leo Gorski, Luigi Lo Iacono & Hoai Viet Nguyen

  2. Bergisch-Gladbach, Deutschland

    Daniel Behnam Torkian

Authors
  1. Peter Leo Gorski
    View author publications

    You can also search for this author in PubMed Google Scholar

  2. Luigi Lo Iacono
    View author publications

    You can also search for this author in PubMed Google Scholar

  3. Hoai Viet Nguyen
    View author publications

    You can also search for this author in PubMed Google Scholar

  4. Daniel Behnam Torkian
    View author publications

    You can also search for this author in PubMed Google Scholar

Corresponding author

Correspondence to Peter Leo Gorski.

Additional information

Peter Leo Gorski ist wissenschaftlicher Mitarbeiter an der Fachhochschule Köln und arbeitet im Themenumfeld Service Security.

Luigi Lo Iacono ist Professor an der Fakultät für Informations-, Medien- und Elektrotechnik der Fachhochschule Köln.

Hoai Viet Nguyen ist wissenschaftlicher Mitarbeiter an der Fachhochschule Köln und arbeitet im Themenumfeld Service Security.

Daniel Behnam Torkian ist wissenschaftlicher Mitarbeiter an der Fachhochschule Köln und arbeitet im Themenumfeld Service Security.

Rights and permissions

Reprints and permissions

About this article

Check for updates. Verify currency and authenticity via CrossMark

Cite this article

Gorski, P.L., Lo Iacono, L., Nguyen, H.V. et al. Web of Services Security. Datenschutz Datensich 39, 317–322 (2015). https://doi.org/10.1007/s11623-015-0420-x

Download citation

  • Published:

  • Issue Date:

  • DOI: https://doi.org/10.1007/s11623-015-0420-x

Search

Navigation