Upload
ahmad-farisi
View
32
Download
9
Embed Size (px)
DESCRIPTION
A Review of Web Services Security Based on 2 Papers
Citation preview
LITERATURE REVIEW Sistem Keamanan Data pada Web Service Menggunakan
XML Encryption
Mata Kuliah : Layanan dan Aplikasi Web Dosen Pengajar : Bayu Distiawan Trisedya, S. Kom, M. Kom
DISUSUN OLEH :
AHMAD FARISI 1406595930
MAGISTER ILMU KOMPUTER
UNIVERSITAS INDONESIA Semester Genap Tahun Akademik 2014/2015
1 | P a g e
1 DETIL LITERATUR
Judul : Sistem Keamanan Data pada Web Service menggunakan XML Encryption
Penulis : Ari Muzakir
Tahun Terbut : 2013
Jurnal : Seminar Nasional Teknologi Informasi dan Multimedia 2013
Abstrak :
Web service menggunakan teknologi XML dalam melakukan pertukaran data. Bentuk pengamanan
yang diterapkan pada web services adalah dengan penggunaan teknik kriptografi kunci-publik.
Implementasi yang telah dilakukan dengan menggunakan library keamanan akan memberikan
kemudahan dalam membangun keamanan web service karena dengan dukungan library XMLSEC
sebagai library pendukung untuk melakukan enkripsi dan dekripsi data mampu mengatasi masalah
keamanan pada jalur transport dan database khususnya untuk konfidensialitas. XML Encryption yang
memanfaatkan algoritma kriptografi RSA dengan panjang kunci 1024 bit mampu memberikan
perlindungan terhadap transmisi data antara client dan server web service sampai pada database. Hasil
yang diperoleh yaitu pesan SOAP request terenkripsi dan mampu didekripsi dengan baik serta integritas
dan keamanan data tetap terjaga.
Kata Kunci : Keamanan Data, Web Service, XML Encryption
2 PEMBAHASAN LITERATUR
2.1. Mengapa Penelitian Dilakukan?
Penelitian tentang Sistem Keamanan Data pada Web Service menggunakan XML Encryption
ini dilakukan dengan melihat web service yang hari ini sangat populer dengan kelebihannya dalam
mengintegrasikan aplikasi-aplikasi yang berbeda device dan platform dengan menggunakan dokumen
eXtensible Markup Language (XML).
Selain itu, penelitian ini menjelaskan bahwa faktor keamanan pada jalur komunikasi antara client
ke server web service belum sepenuhnya terjamin. Hal tersebut dibuktikan dengan banyaknya faktor
yang menimbulkan celah-celah ancaman keamanan terhadap web service tersebut seperti yang telah
dilakukan oleh penelitian-penelitian terdahulu. Seperti penelitian tentang spesifikasi dari keamanan web
services dan bagaimana spesifikasi tersebut menanggulangi ancaman terhadap keamanan web services.
Baik dari segi security web service masih belum matang seperti CORBA dan RMI (Adriansyah, A,
Arifandi, Wicaksono, 2005). Selanjutnya penelitian mengenai penyajian suatu metode yang
komprehensif untuk suatu jaminan layanan keamanan dalam SOA, dimana metode yang diusulkan
2 | P a g e
mendefinisikan tiga tahap yaitu security analysis, arsitektur jaminan keamanan, dan identifikasi Standar
WS-Security ( Fareghzadeh, N, 2009 ).
Kerahasiaan pesan yang dikirimkan melalui web service masih berupa data XML. Inilah yang
menyebabkan data yang tidak asli yang sampai ke penerima. Walaupun pesan telah di enkripsi
menggunakan algoritma tertentu, bukan berarti pesan yang diterima penerima benar-benar asli, karena
struktur pesan telah berubah ketika pesan dikirimkan atau ketika pesan tersebut diterima.
Inilah yang mendasari penelitian yang dilakukan. Penelitian ini mencoba menghadirkan sebuah
implementasi dari prototype keamanan web service dengan pengamanan service to services yang dapat
memproses dan mengamankan data yang diterima dari client sebelum disimpan ke database server
dengan mengenkripsi serta menyisipkan security token pada pesan SOAP request dan response dengan
memanfaatkan XML Encryption.
2.2. Bagaimana Cara Melakukannya?
Secara umum sistem yang dibangun dalam penelitian ini memanfaatkan XML Encryption dengan
algoritma kriptografi RSA dan library XMLSEC untuk pembuatan sepasang kunci publik. Kebutuhan
sistem yang diterapkan adalah sebagai berikut.
1. Kebutuhan Fungsional
Dalam implementasinya, web service dibagi menjadi :
a. Client menghasilkan web service request
b. Server mengotentikasi client dan mengembalikan response
Secara singkat, dapat dijelaskan bahwa proses yang terjadi dilakukan untuk memastikan integritas
pesan, mengotentikasi pengguna, mengenkripsi data xml, dan mendekripsi data xml tersebut.
2. Kebutuhan Non Fungsional
Dari sisi non fungsional, proses memperhatikan dua aspek sebagai berikut.
a. Waktu respon dari site internal maupun eksternal melalui web service yang tidak bisa diprediksi.
b. Proses enkripsi dan dekripsi pesan SOAP yang membutukan waktu yang tidak bisa diprediksi.
Arsitektur keamanan sistem secara umum yang dibangun pada penelitian dapat dilihat pada
Gambar 1 berikut ini.
3 | P a g e
Gambar 1. Model Keamanan antara Client service dan Service Server dari Web Service
Sistem ini dimulai dengan pengiriman data dari user menggunakan menggunakan protokol http
ke client service. Pada tahap ini data akan dienkripsi menggunakan private key milik masing-masing user
dan juga dengan menggunakan public key, kemudian data xml selanjutnya dalam keadaan aman
(terenkripsi) pada komunikasi antara client service dengan server service dari web service. Data hasil
enkripsi tadi disimpan dalam secure database dengan format data xml. Proses dekripsi dilakukan ketika
data diminta oleh user lainnya dengan menggunakan private key milik user masing-masing dan juga
dengan public key.
Perancangan mekanisme keamanan data ini bertujuan memberikan gambaran mengenai
kerahasiaan data dalam proses enkripsi dan proses dekripsi dengan kunci public RSA dan untuk
mengamanakan jalur transmisi pada web service sendiri. Rancangan ini dapat diperlihatkan pada Gambar
2 sebagai berikut.
Gambar 2. Rancangan Mekanisme Kerahasiaan Data User pada Web Service
4 | P a g e
Implementasi arsitektur keamanan pesan SOAP di atas akan disesuaikan dengan framework
NuSOAP dan menambahkan suatu library yang berisi beberapa fungsi yang dipergunakan dalam
menunjang keamanan web service. Library tersebut adalah XMLSEC yang digunakan untuk keperluan
enkripsi, dekripsi, serta digital signature yang memanfaatkan algoritma kriptografi RSA dengan panjang
kunci 1024 bit.
2.3. Bagaimana Hasil Penelitiannya?
Hasil dari penelitian ini memperlihatkan bahwa konfidensialitas dapat terpecahkan dengan
menerapkan konsep keamanan XML Encryption. Hasil pesan SOAP request pada proses pengiriman
dapat memenuhi standar keamanan web service. Pengujian yang dilakukan pada web service dengan
menerapkan model library class_wss sebagai library keamanan web service yang dibangun memberikan
hasil yang baik, yaitu pesan SOAP request pada saat dikirimkan dalam bentuk terenkripsi dan mampu
didekripsi.
3 REFERENSI
MIYAUCHI, K., 2002. XML Signature/Encryption the Basis of Web Services Security. Special Issue on Security for Network Society, 2(1), pp.3539.
Muzakir, A., 2013. SISTEM KEAMANAN DATA PADA WEB SERVICE MENGGUNAKAN XML
ENCRYPTION. Seminar Nasional Teknologi Informasi dan Multimedia 2013.