Visión general de los estándares y modelos de programación para la seguridad de servicios web de nivel de mensajes

Los perfiles y estándares de la seguridad de servicios Web muestran cómo proporcionar seguridad y protección a los mensajes SOAP que se intercambian en un entorno de servicios web.

Para proteger los servicios web, debe considerar un amplio conjunto de requisitos de seguridad, incluyendo la autenticación, autorización, privacidad, confianza, integridad, confidencialidad, comunicaciones seguras, canales, delegación y auditoría a través de un espectro de topologías de aplicaciones y empresas. Uno de los requisitos clave del modelo de seguridad en el mundo de la empresa actual es la capacidad de interactuar entre tecnologías de seguridad que anteriormente eran incompatibles en entornos heterogéneos. Puede encontrar información completa sobre el mapa de tecnologías y la pila de protocolos de seguridad de servicios web en el tema Seguridad en el mundo de los servicios web: arquitectura y mapas propuestos.

Estándares de seguridad de servicios web

La especificación de seguridad de servicios web (WS-Security) de OASIS (Organization for the Advancement of Structured Information Standards) define los recursos centrales para proteger la integridad y la confidencialidad de los mensajes y proporciona los mecanismos para asociar al mensaje demandas relacionadas con la seguridad. La seguridad de servicios web es un estándar a nivel de mensajes basado en la protección de mensajes SOAP con una firma digital XML, de la confidencialidad con el cifrado XML y de la propagación de credenciales con señales de seguridad.WebSphere Application Server da soporte a la Versión 1.1 de la especificación Web Services Security, incluidas las características como la cabecera cifrada, la huella digital, el perfil de señal username y el perfil de señal X.509. Además, se ofrece soporte de caso de seguridad limitado para el perfil de señales Kerberos Versión 1.1, WS-SecureConversation Versión 1.3, WS-Trust Versión 1.3 y WS-SecurityPolicy Versión 1.2.

El tema Seguridad de servicios web: especificación de seguridad de mensajes SOAP 1.1 describe un conjunto estándar de ampliaciones 1.1 SOAP que se pueden utilizar para crear servicios web seguros. Estos estándares protegen la confidencialidad y la integridad, que se suelen implementar con tecnologías de cifrado y firma digital. Asimismo, Web Services Security proporciona un mecanismo de uso general para asociar señales de seguridad con mensajes. Un ejemplo típico de señal de seguridad es una señal de nombre de usuario, donde el nombre de usuario y la contraseña se incluyen como texto. La seguridad de los servicios web define cómo codificar las señales de seguridad binarias utilizando métodos como, por ejemplo, certificados X.509. Sin embargo, las señales de seguridad necesarias no están definidas en la especificación SOAP Message Security 1.1. Sino que las señales se definen en perfiles diferentes como, por ejemplo, el perfil de señal Username, el perfil de señal X.509, etc.

Es importante tener en cuenta que aunque la seguridad de servicios web se puede utilizar para proteger la confidencialidad y la integridad de los mensajes para las solicitudes de mensajes SOAP normales de un cliente a un servicio, y las respuestas comunes a mensajes SOAP de un servicio a un cliente, la seguridad de servicios web no se puede utilizar para proteger los mensajes de error SOAP.

Compatibilidad entre WS-Security Draft 13 y el estándar WS-Security Versiones 1.0 y 1.1

El estándar WS-Security ha evolucionado a lo largo de los años, desde un borrador hasta un estándar de OASIS. WebSphere Application Server Versión 5.02 incluyó el soporte para WS-Security Draft 13 y el soporte para WS-Security 1.0 se introdujo empezando por WebSphere Application Server Versión 6.0. Se da soporte a WS-Security Versión 1.1 en el Feature Pack para servicios web de WebSphere Application Server Versión 6.1, utilizando sólo el tiempo de ejecución de JAX-WS. En el tema Especificación de seguridad de servicios web: cronología se ofrecen más detalles sobre la evolución de este soporte.

Es importante tener en cuenta que un cliente de WS-Security Draft 13 no es compatible con los proveedores que utilizan WS-Security Versión 1.0 o Versión 1.1. Debe utilizar el cliente de Draft 13 para comunicarse con un proveedor de servicios web de Draft 13. No puede utilizar un cliente de Draft 13 para comunicarse con un proveedor de WS-Security Versión 1.0 o Versión 1.1. Este problema surge porque el formato del mensaje SOAP para el espacio de nombres y la cabecera WS-Security difiere entre una aplicación habilitada para WS-Security Draft 13 y una aplicación habilitada para WS-Security Versión 1.0 o Versión 1.1.

La versión del estándar WS-Security que se utilice tendrá también implicaciones para la versión necesaria de aplicación de Java™ Platform, Enterprise Edition (Java EE):
  • Java EE Versión 1.3 sólo se utiliza con WS-Security Draft 13.
  • Java EE Versión 1.4 y posterior se utiliza con WS-Security Versión 1.0 (JAX-RPC y JAX-WS) y con WS-Security Versión 1.1 (JAX-WS).

El diagrama siguiente ilustra estas consideraciones sobre compatibilidad:

Interacción de varios tiempos de ejecución de servicios web con J2EE

Para proteger servicios web con WebSphere Application Server, debe especificar varias configuraciones distintas. Aunque no hay una secuencia específica en la que deba especificar estas configuraciones diferentes, algunas configuraciones hacen referencia a otras configuraciones. Consulte Consideraciones relativas a la configuración de la seguridad de servicios web.

Debido a la relación entre las distintas configuraciones de seguridad de servicios web, se recomienda especificar la configuración en cada nivel de dicha configuración, en el orden que se indica en las secciones siguientes. Puede optar por configurar la seguridad de servicios web para el nivel de aplicación, el nivel de servidor o el nivel de célula ya que depende de las necesidades del entorno y de seguridad.

Modelos de programación de seguridad de servicios Web

Saque partido de la API Java™ de fácil implementación para el modelo de programación XML-Based Web Services (JAX-WS) a fin de desarrollar aplicaciones y clientes de servicios web nuevos. JAX-WS es la siguiente generación del modelo de programación de servicios web. Con JAX-WS, el desarrollo de servicios web se simplifica, y hay una mayor independencia de la plataforma para aplicaciones Java a través del uso de proxies dinámicos y anotaciones Java. JAX-WS simplifica el desarrollo de aplicaciones a través del soporte de un modelo estándar basado en anotaciones, para desarrollar aplicaciones y clientes de servicios web. Las aplicaciones JAX-WS se pueden proteger con seguridad de servicios web de dos formas. La aplicación se puede proteger utilizando conjuntos de políticas o a través del uso de la API de seguridad de servicios web (WSS API). Para proteger los servicios web utilizando el modelo de programación API de Java para servicios web XML), empiece por el tema Protección de servicios web JAX-WS utilizando la seguridad a nivel de mensajes.

La especificación Java™ API for XML-based RPC (JAX-RPC) permite desarrollar clientes de servicios web y servicios web interoperativos y portátiles basados en SOAP. JAX-RPC 1.1 proporciona API básicas para el desarrollo y el despliegue de servicios web en una plataforma Java y es una parte de la plataforma de servicios web para Java EE (Java Platform, Enterprise Edition). IBM® WebSphere® Application Server da soporte al modelo de programación JAX-WS y al modelo de programación JAX-RPC. JAX-WS es la siguiente generación del modelo de programación de servicios web, que amplía la infraestructura proporcionada por el modelo de programación JAX-RPC. Para proteger los servicios web utilizando el modelo de programación JAX-RPC (Java API for XML-based RPC), empiece por el tema Protección de servicios web JAX-RPC mediante la seguridad de nivel de mensajes.


Icon that indicates the type of topic Concept topic



Timestamp icon Last updated: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=cwbs_wssecsecureoverview
File name: cwbs_wssecsecureoverview.html