Securing Web services in a user-to-application model based on certificate private extensions and smartcard technology

Abstract

Web Services are fundamental building blocks in the move to distributed computing over the Internet. Security and privacy are central issues for the acceptance of Web Services in particular and the growth of the Internet market in general. Public Key Infrastructure and X.509 Certificates have been established as the most trustworthy methods for assuring online security. In this thesis are compared the existing approaches for securing Web Services and proposed new approaches for increasing security by avoiding privacy violation using X.509 certificate private extensions and storing these certificates in smartcards. Adopting the Internet for every possible transaction has lead to a situation where a user has to enter extra information for completing his real profile. The aim of the thesis is to increase user privacy in online transactions. This is achieved through extending certificates with private extensions. Each extension holds encrypted data for user properties, such as: credit card number, insurance number, addresses, etc., and thus each online participant understands the general (public) data on the certificate and one relevant encrypted private extension.

Web-Dienste sind die fundamentalen Bausteine für verteilte Applikationen über das Internet. Sicherheit und Privatsphäre haben eine bedeutende Rolle, da von ihnen die Akzeptanz der Web-Dienste, insbesondere das Wachstum des Internet-Marktes, abhängt. Public Key Infrastructure und X.509-Zertifikate sind seit Jahren bewährte Methoden um die Sicherheit der Online Transaktionen zu erhöhen. In dieser Arbeit werden existierende Ansätze über die Sicherheit von Web-Dienste verglichen. Ausserdem werden neue Ansatze vorgestellt, wie die Sicherheit erhöht werden kann, indem die Verletzung der Privatsphäre durch Verwendung der privaten Erweiterungen in X.509 Zertifikaten und speichern dieser Zertifikate in Smartcards vermieden wird. Die Verwendung des Internets für jegliche Transaktionen hat dazu geführt, dass der Benutzer noch zusätzliche Informationen eingeben muss, um sein Benutzerprofil zu vervollständigen. Ziel dieser Arbeit ist es, die Privatsphäre der Benutzer in Online-Transaktionen zu erhöhen. Das wird erreicht durch Hinzufügen von privaten Erweiterungen in das Zertifikat. Jede Erweiterung besteht aus verschlüsselten Benutzereigenschaften wie z.B.: Kreditkartennummer, Versicherungsnummer, Anschrift, usw. Somit versteht jeder Online-Teilnehmer die allgemeinen Daten im Zertifikat und den für ihn dazugehörigen verschlüsselten Anteil.