Titel: Authentication in Ultra Large Scale REST-based Systems
Sprache: Englisch
Autor*in: Nguyen, Hoai Viet
Schlagwörter: REST; Authentication; HTTP; COAP; CREHMA; Security; CPDoS; Cache
Erscheinungsdatum: 2020-05-30
Tag der mündlichen Prüfung: 2020-10-28
Zusammenfassung: 
With the digital transformation, software systems have become an integral part of our society and economy. In every part of our life, software systems are increasingly utilized to, e.g., simplify housework or to optimize business processes. All these applications are connected to the Internet, which already includes millions of software services consumed by billions of people. Applications which process such a magnitude of users and data traffic requires to be highly scalable and are therefore denoted as Ultra Large Scale (ULS) systems. Roy Fielding has defined one of the first approaches which allows designing modern ULS software systems. In his doctoral thesis, Fielding introduced the architectural style Representational State Transfer (REST) which builds the theoretical foundation of the web. At present, the web is considered as the world's largest ULS system. Due to a large number of users and the significance of software for society and the economy, the security of ULS systems is another crucial quality factor besides high scalability.

To ensure scalability and security, web-based ULS applications mostly use Transport Layer Security (TLS) and intermediate systems such as caches. In recent years, TLS has been established as an indispensable security component of protecting HTTP messages in transit. The usage of intermediate systems has also become an essential ingredient in web applications for providing scalability as well as security. Content Delivery Networks (CDNs), for instance, operate a mesh of interconnected caching edge servers scattered around the world to speed up the page loading time. This distributed network of worldwide caching units is also an effective countermeasure for Distributed Denial of Service (DDoS) attacks, as the multitude of caches can resist against a flood of requests. Because of these reasons, TLS and intermediate systems are vital pillars for any modern REST-based ULS system. The interplay of TLS and intermediate systems, however, has one major drawback. Each intermediary must terminate the TLS connection to read and change traversing messages. Caches, e.g., require to interpret certain message parts to infer the caching policy and the cached content. Such an interruption leads to the issue that messages are not protected from end-to-end. Considering the fact that many organizations use third-party intermediate systems, the full access to traversing messages forces content providers and users to blindly trust intermediaries not to tamper or eavesdrop sensitive content. This is a critical security risk that must be taken by every user and provider of contemporary REST-based ULS applications.

This cumulative dissertation aims at addressing these issues. It studies end-to-end security means with a special focus on authentication and caching. The included papers cover large-scale investigations on REST-based authentication schemes and web caching. The findings show new insight on the interference between security and scalability. The thesis introduces a new class of attack that takes advantage of caches to sabotage all kinds of web resources. Millions of web sites were affected by this threat. Together with the affected parties possible mitigations and countermeasures have been discussed and deployed. With the knowledge from our studies in REST-based authentication and web caching, CREHMA, a cache-aware authentication scheme for high-scalable REST-based web applications is proposed. CREHMA provides end-to-end message authenticity and integrity while being compatible with caches.
Experiments show that CREHMA ensures a comprehensive end-to-end security without the loss of scalability.

Durch die Digitale Transformation sind Softwaresysteme zu einem unverzichtbaren Bestandteil unserer Gesellschaft und Berufsleben geworden.
Fast in allen Bereichen des Alltags werden vermehrt verteilte Softwaresysteme eingesetzt, um unser Leben zu erleichtern oder um Geschäftsprozesse zu optimieren. Schon heute umfasst das Internet mehrere Millionen Softwareservices, welche von Milliarden Menschen täglich genutzt werden. Da moderne verteilte Anwendungen eine Vielzahl von Nutzern und Datentraffik verarbeiten, werden sie als massive-skalierbare Softwaresysteme bezeichnet (engl. Ultra Large Scale Systems). Ein bedeutender Ansatz um massive-skalierbare Softwaresysteme zu entwickeln ist der Architekturstil Representational State Transfer (REST). Eines der prominentesten und wichtigsten Insantziierungen dieses Konzept ist das Web, das momentan (wohl) größte massive-skalierbare Softwaresystem der Welt.
Durch die hohe Anzahl an Nutzern und die Wichtigkeit von Software für die Gesellschaft und Wirtschaft ist neben der massiven Skalierbarkeit die Sicherheit ein essenzielles Qualitätsmerkmal für REST-basierte Anwendungen.

Um Skalierbarkeit und Sicherheit gewährleisten zu können, verwenden Unternehmen vermehrt Transport Layer Security (TLS) und intermediäre Systeme wie z.B. Caches. Mittlerweile hat sich TLS zu einem festen Bestandteil von Webanwendung etabliert. Auch die Verwendung von intermediären Systemen nimmt immer weiter zu. Content Delivery Networks (CDN), welche ein weltweites Netz an Cachingeinheiten umfassen, können nicht nur die Skalierbarkeit erhöhen, sondern sind auch ein effektiver Schutz gegen Distributed Denial of Service (DDoS) Angriffe.
Die Verwendung von TLS und intermediären Systemen ist daher eine Kernkomponente für die Sicherheit und Skalierbarkeit moderne Softwaresysteme.
Das Zusammenspiel zwischen TLS und intermediären Systemen hat allerdings einen entschiedenen Nachteil. Intermediäre Systeme müssen die TLS-Verbindung unterbrechen, um Nachrichten interpretieren zu können. Diese Unterbrechung führt dazu, dass kein Ende-zu-Ende Schutz sichergestellt werden kann. Zudem nutzen Unternehmen oft intermediäre Systeme oft von Drittanbietern. Daten, die von einem solchen intermediären System verarbeitet werden, liegen somit außerhalb der Kontrollbereiche der Unternehmen und unter Umständen in einem Land mit unzulässigen rechtlichen Rahmenbedingungen. Moderne Softwaresysteme sind jedoch auf TLS und intermediäre Systeme angewiesen, damit Sicherheit und Skalierbarkeit gewährleistet werden kann. Allerdings muss mit der Verwendung beider Technologien ein Sicherheitsrisiko eingegangen werden.

Diese kumulative Dissertation beschäftigt sich mit diesem Problem. Sie untersucht und erarbeitet REST-basierte Ende-zu-Ende Sicherheitsmechanismen mit einem speziellen Fokus auf Authentifikation und Caching. In den gesammelten Papern werden ausführliche Untersuchungen über REST-basierte Authentifizierungsverfahren und Webcaching dargelegt. Die Ergebnisse zeigen neue Erkenntnisse über die Wechselwirkung zwischen Sicherheit und Skalierbarkeit. Es wird eine neuartige Klasse von Angriffen vorgestellt, welche Cachingsysteme ausnutzt, um die Verfügbarkeit jeglicher Ressourcen einer Webanwendung zu unterbinden. Mehrere Millionen Webseiten waren von diesen Angriffen betroffen. Mithilfe der Erkenntnisse aus den Untersuchungen konnten Gegenmaßnahmen erarbeitet und in Zusammenarbeit mit den betroffenen Organisationen implementiert werden. Basierend auf dem Wissen über Authentifizierung und Webcaching wird ein Authentifizierungsverfahren für REST vorgestellt, welches eine ganzheitlichen Ende-zu-Ende Authentizitäts- sowie Integritätsschutz gewährleistet und zudem mit Webcachingsystemen kompatibel ist. Die empirischen Messungen zeigen, dass ein vollständiger Ende-zu-Ende Schutz sichergestellt werden kann, ohne die Skalierbarkeit zu beeinträchtigen.
URL: https://ediss.sub.uni-hamburg.de/handle/ediss/8759
URN: urn:nbn:de:gbv:18-ediss-89313
Dokumenttyp: Dissertation
Betreuer*in: Federrath, Hannes
Lo Iacono, Luigi
Fischer, Mathias
Enthalten in den Sammlungen:Elektronische Dissertationen und Habilitationen

Dateien zu dieser Ressource:
Datei Beschreibung Prüfsumme GrößeFormat  
Dissertation_Finale_Version.pdf04c2e95e59a9a500821969a282ace2916.89 MBAdobe PDFÖffnen/Anzeigen
Zur Langanzeige

Info

Seitenansichten

578
Letzte Woche
Letzten Monat
geprüft am 27.03.2024

Download(s)

1.859
Letzte Woche
Letzten Monat
geprüft am 27.03.2024
Werkzeuge

Google ScholarTM

Prüfe