Recomendaciones para el cumplimiento del perfil de seguridad básico
El perfil de seguridad básico WS-I (Web Services Interoperability Organization) 1.0 promueve la interoperatividad proporcionando clarificaciones y amplificaciones para un conjunto de especificaciones de servicio web no propietario. WebSphere Application Server Web Services Security proporciona opciones de configuración para asegurar que las recomendaciones de BSP y las consideraciones de seguridad se puedan habilitar a fin de asegurar la interoperatividad. El grado de seguimiento de estas recomendaciones constituye una medida del cumplimiento del perfil de seguridad básica (BSP) de la aplicación que está configurando.
El soporte de las aplicaciones para cumplir con el perfil de seguridad básica (BSP) es una novedad en WebSphere Application Server Versión 9.0. ^Para obtener más información sobre el perfil de seguridad básico, consulte el perfil de seguridad básico (BSP) de WS-I (Web Services Interoperability Organization), Perfil de seguridad básico Versión 1.0.
Puede utilizar una lista predefinida de palabras clave o expresiones XPath para cumplir con el BSP. Las palabras clave y las expresiones XPath se especifican en el archivo de configuración del descriptor de despliegue, y se configuran utilizando una herramienta de ensamblaje.
Recomendaciones para el perfil de seguridad básico
- No utilice la transformación XPath original,
http://www.w3.org/TR/1999/REC-xpath-19991116
Cuando se hace referencia a un elemento en un SECURE_ENVELOPE que no transporta un tipo de atributo de ID de una ds:Reference en un elemento SIGNATURE, debe utilizar la transformación XPath Filter 2.0, http://www.w3.org/2002/06/xmldsig-filter2, para hacer referencia a ese elemento.
Todo atributo ds:Transform/@Algorithm en un elemento SIGNATURE debe tener uno de los siguientes valores:- http://www.w3.org/2001/10/xml-exc-c14n#
- http://www.w3.org/2002/06/xmldsig-filter2
- http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-soap-message-security-1.0#STR-Transform
- http://www.w3.org/2000/09/xmldsig#enveloped-signature
- http://docs.oasis-open.org/wss/2004/XX/oasis-2004XX-wss-swa-profile-1.0#Attachment-Content-Only-Transform
- http://docs.oasis-open.org/wss/2004/XX/oasis-2004XX-wss-swa-profile-1.0#Attachment-Complete-Transform
- No utilice el algoritmo de firma http://www.w3.org/2000/09/xmldsig#dsa-sha1.Un elemento ds:SignatureMethod/@Algorithm en un elemento SIGNATURE basado en una clave simétrica debe tener uno de los siguientes valores:
- No especifique la palabra clave digestvalue para la parte del mensaje que se va
a cifrar.
En su lugar, utilice la palabra clave de firma.
Si el valor de un elemento ds:DigestValue en un elemento SIGNATURE requiere cifrado, se debe cifrar el elemento ds:Signature padre completo. Un elemento SIGNATURE no puede tener elementos xenc:EncryptedData entre sus descendientes.
- No utilice el tipo de información de claves KEYNAME
Las referencias de KEYNAME pueden ser ambiguas y el cumplimiento con el BSP no permite el uso de KEYNAME.
Una SECURITY_TOKEN_REFERENCE no debe utilizar un nombre de clave para hacer referencia a un SECURITY_TOKEN. El elemento hijo de un elemento ds:KeyInfo en una ENCRYPTED_KEY debe ser una SECURITY_TOKEN_REFERENCE o un elemento ds:MgmtData. La utilización de un tipo de información de claves KEYNAME para una clave de cifrado da como resultado un elemento hijo KeyName de un elemento ds:KeyInfo, y no está permitido según la conformidad con BSP.
- No utilice el algoritmo de cifrado de datos de bits
http://www.w3.org/2001/04/xmlenc#aes192-cbc.Todo atributo xenc:EncryptionMethod/@Algorithm en un elemento ENCRYPTED_DATA debe tener uno de los siguientes valores:
- No utilice la envoltura de claves AES (Advanced Encryption Standard) (aes192):
http://www.w3.org/2001/04/xmlenc#kw-aes192´.Cuando se utiliza para la envoltura de claves, todo atributo xenc:EncryptionMethod/@Algorithm en un elemento ENCRYPTED_KEY debe tener uno de los siguientes valores:
Opciones de configuración para la conformidad con BSP
- Cuando se configura el elemento ds:Transforms en una firma, la lista de transformaciones debe incluir su último elemento hijo http://www.w3.org/2001/10/xml-exc-c14n# o http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-soap-message-security-1.0#STR-Transform
- Añada un elemento wsse:Nonce o wsse:Created a una señal Username para impedir la reproducción. Una vez añadido el elemento, firme la señal Username para impedir la alteración no detectada de estos campos; de lo contrario, se puede producir la reproducción.