FORSEC
FORSEC - SICHERHEIT HOCHGRADIG VERNETZTER IT-SYSTEME
Web Security (TP 9)
Arbeitsfeld:
C Abwehr von AngriffenWebbasierte Dienste und Anwendungen bilden heute die Basis für das Zusammenspiel vernetzter Systeme und der daraus resultierenden Informationsinfrastruktur. Die technische Realisierung entsprechender Architekturen und Protokolle, um Sicherheit insbesondere auf Anwendungsebene zu garantieren, stellt eine große Herausforderung dar; Web-Security hat sich im letzten Jahrzehnt zu einem international etablierten Forschungsgebiet entwickelt. In dem innerhalb von FORSEC geplanten Teilprojekt zu diesem Themenfeld sollen bestehende Ansätze weiterentwickelt und neue Methoden erforscht werden, um die Sicherheit der verteilten Web-Anwendungen auch in der Praxis signifikant zu erhöhen.
Der Schwerpunkt der Arbeiten liegt dabei insbesondere auf Anwendungen, die sich in dem Bereich des Internet der Dinge (Internet of Things –IoT) bewegen: Während der bisherige Einsatz von Web-Diensten meist auf eine Benutzer-Interaktion innerhalb einer Browser-Umgebung zielte, spielt der menschliche Benutzer in vernetzten Anwendungen des Internets der Dinge eine weniger signifikante Rolle: Hier „agieren“ eingebettete Systeme, und die grundlegenden Anforderungen an Anwendungen, Architekturen und Sicherheitslösungen sind andere als bei „klassischen“ Web-Services.
Die hochgradig vernetzten IoT-Systeme rücken von angestammten Paradigmen ab, indem allgegenwärtige Verfügbarkeit verlangt wird, vorrangig mobile Geräte und Benutzer (menschliche und Maschinen) eingebunden werden, die z.B. auf vernetzte stationäre Sensoren zugreifen. Dies bringt einen Wechsel der etablierten Annahmen zur Authentikation, z.B. in Form einer vermehrt gefragten machine-to-machine Authentikation, mit sich, und verlangt nach neuen Sicherheitslösungen z.B. für Session Migration zwischen Devices und Service Migration.
Im derzeitigen Internet sehen Web-Anwendungen den Browser als zentrale Anwendungsplattform vor: Das zugrunde liegende Betriebssystem des Clients ist weitgehend insignifikant, der Browser hat diese Rolle übernommen. Die Web-Anwendungen im Browser spielen die Rolle der früheren Benutzer eines Betriebssystems; der Browser übernimmt Separierung, Speichermanagement, stellt Bibliotheken und APIs bereit, usw. HTML5 erweitert laufend diese Fähigkeiten.
Die Herausforderungen, die in diesem Teilprojekt angegangen werden, sind a) die Verfeinerung existierender und die Konzeption neuer Sicherheitsmechanismen, die die sichere Nutzung verteilter Web-Anwendungen erlauben, und b) die Adaption und Ergänzung solcher Verfahren, um die für IoT-Plattformen und eingebettete Systeme spezifischen Anforderungen zu erfüllen.
Projektpartner:
- Universität Passau