Web Services Security proporciona integridad de mensajes, confidencialidad y autenticación

OASIS Web Services Security (WS-Security) es un estándar flexible que se utiliza para proteger los servicios web a nivel de mensaje dentro de varios modelos de seguridad. Puede proteger los mensajes SOAP mediante la firma digital XML, la confidencialidad mediante el cifrado XML y la propagación de credenciales mediante señales de seguridad.

La especificación WS-Security define los recursos centrales para proteger la integridad y la confidencialidad de los mensajes y proporciona los mecanismos para asociar al mensaje demandas relacionadas con la seguridad. La seguridad a nivel de mensajes, o la protección de servicios web a nivel de mensajes, tiene los mismos requisitos de seguridad que la seguridad web tradicional. Estos requisitos de seguridad son: identidad, autenticación, autorización, integridad, confidencialidad, no repudiación, intercambio básico de mensajes, etc. La seguridad web tradicional y la seguridad a nivel de mensajes comparten muchos mecanismos de manejo de seguridad como, por ejemplo, los certificados digitales, el cifrado y las firmas digitales. Aunque se puede utilizar la tecnología HTTPS y SSL (capa de sockets seguros) a nivel de transporte para proteger los servicios web, algunos casos de seguridad se gestionan con más eficacia mediante la seguridad a nivel de mensajes.

Los mecanismos de seguridad web tradicional como HTTPS puede que no sean suficientes para gestionar los requisitos de seguridad de todos los escenarios de los servicios web. Por ejemplo, cuando una aplicación envía un documento con JAX-RPC utilizando HTTPS, el mensaje se protege sólo para la conexión HTTPS, lo que significa durante el transporte del documento entre el solicitante del servicio (el cliente) y el servicio. No obstante, la aplicación puede necesitar que los datos del documento se protejan más allá de la conexión HTTPS, o incluso más allá de la capa de transporte. Al proteger los servicios web a nivel de mensajes, la seguridad a nivel de mensajes puede cumplir estos requisitos ampliados.

La seguridad a nivel de mensajes se aplica a los documentos XML que se envían como mensajes SOAP. La seguridad a nivel de mensajes hace que la seguridad forme parte del propio mensaje, incorporando toda la información de seguridad necesaria en la cabecera SOAP del mensaje. Asimismo, la seguridad a nivel de mensajes puede aplicar mecanismos de seguridad como, por ejemplo, el cifrado y la firma digital, a los datos en el propio mensaje.

Con la seguridad a nivel de mensajes, el propio mensaje SOAP contiene la información necesaria para proteger el mensaje o contiene información sobre dónde obtener la información para manejar las necesidades de seguridad. El mensaje SOAP también contiene información relevante para los protocolos y los procedimientos para procesar la seguridad a nivel de mensajes especificada. No obstante, la seguridad a nivel de mensajes no está vinculada con ningún mecanismo de transporte específico. Como la información de seguridad forma parte del mensaje, es independiente del protocolo de transporte como, por ejemplo, HTTPS.

El cliente añade a la cabecera del mensaje SOAP información de seguridad que se aplica a dicho mensaje. Cuando se recibe el mensaje, el punto final del servicio web, utilizando la información de seguridad de la cabecera, comprueba el mensaje protegido y lo valida con la política. Por ejemplo, el punto final del servicio puede verificar la firma del mensaje y comprobar que el mensaje no se haya manipulado. Es posible añadir información de cifrado y firma a las cabeceras de mensaje SOAP, así como otra información como, por ejemplo, señales de seguridad de identidad (por ejemplo, un certificado X.509) que se enlazan al contenido del mensaje SOAP.

Para WebSphere Application Server Versión 6 y posteriores, se puede aplicar la seguridad de servicios web como seguridad a nivel de transporte y seguridad a nivel de mensajes. Puede elaborar un diseño de cliente y servidor altamente seguros utilizando estos mecanismos de seguridad. La seguridad de nivel de transporte se refiere a la proteger la conexión entre una aplicación cliente y un servicio web con SSL (capa de sockets seguros).

Puede aplicar varios casos de seguridad de servicios web de acuerdo con las características de cada aplicación de servicios web. Puede seleccionar cómo desea proteger la información con Web Services Security. El mecanismo de autenticación, la integridad y la confidencialidad se pueden aplicar a nivel de mensaje o a nivel de transporte. Cuando se aplica la seguridad a nivel de mensajes, puede proteger el mensaje SOAP con una señal de seguridad, la firma digital y el cifrado.

Sin la seguridad de servicios web, el mensaje SOAP se envía en texto plano y la información personal como, por ejemplo, el ID de usuario o el número de cuenta, no está protegida. Si no se aplica seguridad de servicios web, sólo hay un cuerpo SOAP en el sobre SOAP del mensaje SOAP. Si se aplican las características de la especificación WS-Security, la cabecera de seguridad SOAP se inserta bajo el sobre SOAP en el mensaje SOAP cuando se firma y cifra el cuerpo SOAP.

Para mantener la integridad o confidencialidad del mensaje, generalmente se aplican firmas digitales y cifrado.
  • La Confidencialidad especifica las restricciones de confidencialidad que se aplican a los mensajes generados. Esto incluye especificar las partes del mensaje dentro del mensaje generado que se deben cifrar y las partes del mensaje a las que se adjuntan los elementos de indicación de la hora Nonce cifrados.
  • La integridad se proporciona aplicando una firma digital a un mensaje SOAP. La confidencialidad se aplica mediante el cifrado de mensajes SOAP. Se da soporte a varias firmas y cifrados. Asimismo, se puede aplicar tanto las firmas como el cifrado a las mismas partes como, por ejemplo, el cuerpo SOAP.

Puede añadir un mecanismo de autenticación insertando varios tipos de señales de seguridad como, por ejemplo, la señal Username (elemento <UsernameToken>). Cuando el servidor de servicios web recibe la señal Username, se extraen y verifican el nombre de usuario y la contraseña. Sólo cuando la combinación de nombre de usuario y contraseña es válida, el servidor aceptará y procesará el mensaje. Utilizar la señal Username es sólo uno de los modos de implementar la autenticación. Este mecanismo también se conoce como autenticación básica.

Además de las firmas digitales, el cifrado y la autenticación básica, hay otras formas de autenticación, como la aserción de identidad, las señales LTPA, las señales Kerberos y las señales personalizadas. Estas otras formas de autenticación también son extensiones de WebSphere Application Server. Puede configurar estos mecanismos de autenticación utilizando las herramientas de ensamblaje para implementar la autenticación.

Con las actualizaciones de Web Services Security en la especificación de la versión 1.1, puede disponer en capas funciones adicionales encima de estos mecanismos básicos. Algunos mecanismos de la versión 1.1 son ampliaciones de WebSphere Application Server como, por ejemplo, la confirmación de firma y la cabecera cifrada. Entre los perfiles de señales de seguridad a los que da soporte WebSphere Application Server se incluyen el perfil de señal Username, el perfil de señal X.509 y el perfil Kerberos. En este caso, cuando se recibe el mensaje, el punto final del servicio web, utilizando la información de seguridad de la cabecera, aplica los mecanismos de seguridad adecuados al mensaje. Pro ejemplo, el punto final del servicio puede añadir información de cifrado y firma a las cabeceras de mensaje SOAP, así como otra información como, por ejemplo, señales de seguridad, que se enlazan al contenido del mensaje SOAP. Puede implementar estos nuevos mecanismos utilizando un conjunto de políticas.

WS-SecureConversation se introdujo en WebSphere Application Server Versión 6.1 con el paquete de características para servicios web. Secure Conversation utiliza una clave de sesión para proteger los mensajes SOAP de una manera más eficaz, especialmente cuando se transmiten varios mensajes SOAP en una sesión.

Otras mejoras son:
  • Señal Kerberos, que se utiliza para la autenticación y la protección de mensajes siguiente.
  • Política dinámica, que permite al cliente recuperar la política del proveedor mediante una solicitud WSDL, o utilizando WS-MEX (Web Services MetadataExhange), para simplificar el despliegue del cliente de servicios web.

Icon that indicates the type of topic Concept topic



Timestamp icon Last updated: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=cwbs_wssmessage
File name: cwbs_wssmessage.html