Zusammenfassung
Der dem Web zugrunde liegende Architekturstil REST gilt als einer der bedeutendsten Leitfäden für den Entwurf gro§er, verteilter Anwendungssysteme. Die existierenden Ansätze für die Sicherheit von REST-basierten Anwendungen sind jedoch nur für bestimmte REST-basierte Technologien wie HTTP oder CoAP konzipiert. Um Sicherheitskonzepte für alle derzeitigen und zukünftigen REST-basierten Systeme zu gewährleisten, sind jedoch universelle und Technologie unabhängige Ansätze notwendig. Dieser Beitrag stellt einen Ansatz vor, wie allgemeingültige Sicherheitskonzepte für REST entwickelt werden können, die sich auf dem gleichem Abstraktionsniveau befinden wie der Architekturstil selbst.
Literatur
R. Fielding, ″Architectural Styles and the Design of Network-based Software Architectures”, University of California, Irvine, 2000.
P. Feiler, K. Sullivan, K. Wallnau, R. Gabriel, J. Goodenough, R. Linger, T. Longstaff, R. Kazman, M. Klein, L. Northrop, und D. Schmidt, Ultra-Large-Scale Systems: The Software Challenge of the Future. Software Engineering Institute, Carnegie Mellon University, 2006.
P. L. Gorski, L. Lo Iacono, H. V. Nguyen, und D. B. Torkian, ″SOA-Readiness of REST”, in 3rd European Conference on Service-Oriented and Cloud Computing (ESOCC), 2014.
T. Erl, B. Carlyle, C. Pautasso, und R. Balasubramanian, SOA with REST: Principles, Patterns & Constraints for Building Enterprise Solutions with REST, 1st Aufl. Upper Saddle River, NJ, USA: Prentice Hall Press, 2012.
L. Lo Iacono und H. V. Nguyen, ″Towards Conformance Testing of REST-based Web Services”, in 11th International Conference on Web Information Systems and Technologies (WEBIST), 2015.
C. C. de Melo Silva, H. G. C. Ferreira, R. T. de Sousa Júnior, F. Buiati, und L. J. G. Villalba, ″Design and Evaluation of a Services Interface for the Internet of Things”, Wireless Personal Communications, S. 1–38, 2016.
T. Dierks und E. Rescorla, ″The Transport Layer Security (TLS) Protocol Version 1.2”, IETF, RFC 5246, 2008.
E. Rescorla und N. Modadugu, ″}Datagram Transport Layer Security Version 1.2”}, RFC 634
P. L. Gorski, L. Lo Iacono, H. V. Nguyen, und D. B. Torkian, ″Service Security Revisited”, in 11th IEEE International Conference on Services Computing (SCC), 2014.
P. L. Gorski, L. Lo Iacono, H. V. Nguyen, und D. B. Torkian, ″Web of Services Security — Mehr als die Sicherheit von Webanwendungen”, DuD — Datenschutz und Datensicherheit, Bd. 05/2015, 2015.
R. Fielding, J. Gettys, J. Mogul, H. Frystyk, L. Masinter, P. Leach, und T. Berners-Lee, ″Hypertext Transfer Protocol — HTTP/1.1”, IETF, RFC 2616, 1999.
Z. Shelby, K. Hartke, und C. Borman, ″The Constrained Application Protocol (CoAP)”, IETF, RFC 7252, 2014.
P. Urien, ″Remote APDU Call Secure (RACS)”, IETF, Internet-Draft, 2016.
D. Crockford, ″The application/json Media Type for JavaScript Object Notation (JSON)”, IETF, RFC 4627, 2006.
I. Hickson, R. Berjon, S. Faulkner, T. Leithead, E. D. Navara, E. O’Connor, und S. Pfeiffer, ″HTML5 — A vocabulary and associated APIs for HTML and XHTML”, W3C, Recommendation, 2014.
T. Bray, J. Paoli, C. M. Sperberg-McQueen, E. Maler, und F. Yergeau, ″Extensible Markup Language (XML) 1.0 (Fifth Edition)”, W3C, Recommendation, 2008.
C. Bormann und P. Hoffman, ″Concise Binary Object Representation (CBOR)”, IETF, RFC 7049, 2013.
IETF JOSE Working Group, Javascript Object Signing and Encryption (JOSE). IETF, 2014.
W3C, XML Security Working Group. 2013.
L. Lo Iacono und H. V. Nguyen, ″Authentication Scheme for REST”, in International Conference on Future Network Systems and Security (FNSS), 2015.
H. V. Nguyen und L. Lo Iacono, ″REST-ful CoAP Message Authentication”, in International Workshop on Secure Internet of Things (SIoT), in conjunction with the European Symposium on Research in Computer Security (ESORICS), 2015.
H. V. Nguyen und L. Lo Iacono, ″RESTful IoT Authentication Protocols”, in Mobile Security and Privacy — Advances, Challenges and Future Research Directions, 1. Aufl., Elsevier/Syngress, 2016.
T. Imamura, B. Dillaway, E. Simon, Y. Kelvin, M. Nyström, D. Eastlake, J. Reagle, F. Hirsch, und T. Roessler, ″XML Encryption Syntax and Processing Version 1.1”, W3C, Recommendation, 2013.
M. Jones, E. Rescorla, und J. Hildebrand, ″JSON Web Encryption (JWE)”, IETF, Internet-Draft, 2014.
C. Bormann, ″Constrained Object Signing and Encryption (COSE)”, IETF, Internet-Draft, 2014.
J. Schaad, ″CBOR Encoded Message Syntax”, IETF, Internet-Draft, 2015.
Author information
Authors and Affiliations
Corresponding author
Additional information
Luigi Lo Iacono ist Leiter der Gruppe für Daten- und Anwendungssicherheit an der TH Köln.
Hoai Viet Nguyen ist wissenschaftlicher Mitarbeiter in der Gruppe für Daten- und Anwendungssicherheit an der TH Köln. Seine Arbeiten konzentrieren sich auf das Themenumfeld Service Security.
Rights and permissions
About this article
Cite this article
Nguyen, H.V., Lo Iacono, L. Sicherheit für REST-basierte Systeme. Datenschutz Datensich 41, 99–103 (2017). https://doi.org/10.1007/s11623-017-0736-9
Published:
Issue Date:
DOI: https://doi.org/10.1007/s11623-017-0736-9