Seguridad -- básico. Subtemas. XML Web Services Security. Criptografía (transporte sobre un medio no fiable),

Transcripción

1 Según NL security labs Libro de texto de Koulouris La definicion según w3.org Seguridad -- básico Criptografía (transporte sobre un medio no fiable), clave privada, clave publica. Clave simétrica, Bitstream, bloque. Clave offline (existen que no se podrán romper). Funciones HASH Objetivo Que solo el receptor podrá ver el mensaje Identificación de cambio de documento (integrity) Autentificación Unicidad de sesión Técnica Clave (normalmente simétrica) HASH criptográfico sobre el contenido Certificado criptográfico. Agencias de emisión de certificados. Números aleatorios y timestampes encriptados/hash. UAM Firma criptográfica Encriptación del HASH del documento. Slide2_2 XML Security Web Services Security OGSA Security Subtemas Slide2_3

2 XML : DTD, Schema, XML Protocol, etc. DTD restricción de la sintaxis de XML. Like HTML Schema orientado a datos. XML Signature SAML Protocolos XML XML-RPC SOAP XML entorno: XForms, XLink, XML Query, XPath, XPointer, XSL and XSLT, Legal XML Slide2_4 XML Security vs (Network) security TLS, SSL Tradicional seguridad: H2H host-to-host o P2P point-to-point security Client/server Orientado o sesión o mensaje. XML Security Orientado a Documentos Security tokens/assertions puede encriptar parte del documento. Orientado a múltiples dominios. Orientado a confianza virtual. Virtual and dynamic trust domains security associations. Slide2_5 XML Security - Partes XML Signature XML Encryption Security Assertion SAML (Security Assertion Mark-up Language) XrML (XML Right Mark-up Language) XACML (XML Access Control Mark-up Language) XKMS (XML Key Management Specification) Slide2_6

3 Firma XML (XML Signature) Puede firmar solo un subárbol del documento. XML Puede firmar partes ya firmadas. Puede firmar solo la parte relevante al firmante. Preserva la integridad de los demás partes. Permite atributos de seguridad tokens/assertions en el documento XML y los datos, no solo en base user/client Slide2_7 XML Signature definicion <Signature ID?> <SignedInfo> <CanonicalizationMethod/> <SignatureMethod/> (<Reference URI? > (<Transforms>)? <DigestMethod> <DigestValue> </Reference>)+ </SignedInfo> <SignatureValue> (<KeyInfo>)? (<Object ID?>)* </Signature> Slide2_8 XML Servicios Web WS se basa a URI y sus interfaces públicos se basan a XML. Están destinadas a uso por otros programas. Service oriented architecture SOA Descripción de WS WSDL Intercambio de mensajes SOAP Publicación de directorios WS - UDDI Neutralidad en respeto a Lenguaje de programación, Modelo de programación, SO Normativa: XML/SOAP foundation Empresas fundadoras: Sun SunONE/J2EE (SunONE Studio) Microsoft.NET (Visual Studio.NET) IBM Dynamic e-business (AlphaWorks) XML Spy by Altova Slide2_9

4 XML WS - SOA * WSDL * SOAP based messaging over HTTP, SMTP, TCP, etc. * UDDI based Publishing/Discovery Slide2_10 WS propiedades 3 capas Slide2_11 Web Service Description Language (WSDL) WSDL is an XML document format for describing Web service as a set of endpoints operating on messages containing either document-oriented or procedure-oriented (RPC) messages. The operations and messages are described abstractly and then bound to a concrete network protocol and message format to define an endpoint Slide2_12

5 WSDL Example TimeService.wsdl WSDL Slide2_13 Web Services Security Model Security token types Username/password X.509 PKC SAML XrML XCBF Slide2_14 Web Services Security Model WS-Security model > end-to-end security (# P2P) WS security asegura (identidad, claves, permisos, capacidades. Request con petición de seguridad. Request and security demand. Otros SW pueden asegurar esta funcionalidad. Security token services broker trust by issuing security tokens. OOOOJJJJOOOOO Slide2_15

6 Web Services Security Model Security token types Username/password X.509 PKC SAML XrML XCBF Vrije 2007 Universiteit, Amsterdam, Slide2_16 WS Security Scenarios Todos se basan a SOAP/STE (security tokens exchange) Direct Trust username/password (SSL/TLS) Direct Trust con security token (ST) Security token de tercera parte (adquisicion de sec.token) ST emitido. Modelo de negocio aumentado. Enforcing business policy Mobile clients (gateway services) Access control Auditing Slide2_17 Web Services Security Architecture WS- SecureConversation WS-Policy WS-Federation WS-Trust WS-Authorisation WS-Privacy WS Security SOAP Foundation WS-Security: especifica como adjuntar firmas y cabeceras de seguridad a SOAP. Core Specification - Web Services Security: SOAP Message Security Slide2_18

7 WSS: Web Service Security WS-Policy: las capacidades y limitaciones dela seguridad de los intermediarios y los puntos finales. (ST security tokens, algoritmos de encriptacion, privacy rules) WS-Trust: infraestructura de confidencialidad. WS-Privacy: definiciones de privacidad de los datos. WS-SecureConversation: Como se preserva la parte segura del mensaje. WS-Federation: como resolver la confidencialidad (orden y conflictos). WS-Authorization: como se tratan las organizaciones de autorizacion/audit. WS-Security SOAP message structure SOAP Header SOAP Routing Security token Digital signature DigSignature description: Normalisation Transformation Signed elements DigSignature value Ref to DSign Sec token SOAP Message payload URI: Namespaces used in WSSL: SOAP S XML Digital Sign ds XML Encryption xenc XML/SOAP Routing m WSSL wsse Security element Header block targets specific receiver SOAP Actor Multiple header blocks are allowed targeted at different Actors New header block are added/appended to existing ones Slide2_20 END PART Slide2_21