Web Services Secure Conversation

Web Services Secure Conversation (WS-SecureConversation) fournit une session sécurisée pour les échanges de messages de longue durée et tire parti de l'algorithme de cryptographie symétrique.

WS-SecureConversation fournit une sécurité basée sur la session. La sécurité basée sur la session optimise les échanges de message longs, dans la mesure où la cryptographie symétrique peut être utilisée pour la signature et le chiffrement du message. En général, l'algorithme de cryptographie symétrique consomme moins d'UC que la cryptographie asymétrique. Les algorithmes de cryptographie symétrique doivent fournir de meilleurs débits et performances par rapport aux algorithmes de cryptographie asymétrique.

L'algorithme de cryptographie symétrique permet également de sécuriser d'autres modèles d'échange et de protocole basés sur la session, tels que Web Services Reliable Messaging (WS-ReliableMessaging).

Jeton de contexte de sécurité pour une conversation sécurisée

La spécification Web Services Security définit les mécanismes de base fournissant une messagerie sécurisée : la spécification Web Services Trust (WS-Trust) définit des extensions de Web Services Security qui fournissent des moyens permettant d'établir des relations de confiance entre deux parties. Le protocole WS-Trust définit la syntaxe de la demande qui peut être envoyée à un service de jeton de sécurité et la syntaxe de la réponse correspondante et ultérieure du service de jeton de sécurité. Le service de jeton de sécurité fourni avec WebSphere Application Server est appelé service d'accréditation.

A l'aide du protocole WS-Trust, une partie peut demander au service d'accréditation d'émettre un jeton de contexte de sécurité (SCT). Ce jeton peut ensuite servir à établir une conversation sécurisée (WS-SecureConversation). La demande de jeton de sécurité est envoyée à un noeud final d'application. Cette demande est interceptée par WebSphere Application Server et acheminée vers le service d'accréditation.

Une règle par défaut peut être définie pour toutes les opérations sécurisées d'émission, de renouvellement, de validation ou d'annulation. En outre, une règle peut être associée à une paire d'URL et d'opération spécifique.

WS-SecureConversation définit des extensions permettant d'établir et de partager un contexte de sécurité, ainsi que la dérivation de clé de session qui permet l'établissement de contextes et potentiellement l'échange de clés plus efficaces ou d'éléments de clé nouveaux. La prise en charge de WS-Trust et de WS-SecureConversation dans WebSphere Application Server porte essentiellement sur l'établissement, le renouvellement, la validation et l'annulation du jeton de contexte de sécurité pour une conversation sécurisée.

Ensemble de règles et règle d'amorce

Outre la description des fonctions, le projet de soumission WS-SecureConversation d'OASIS décrit plusieurs méthodes permettant d'établir une session sécurisée entre l'initiateur et le destinataire des messages SOAP.

La stratégie de sécurité d'amorce est la stratégie de sécurité qui permet à l'initiateur d'acquérir auprès du service d'accréditation le jeton de sécurité destiné à la conversation sécurisée, à l'aide d'un message de protocole WS-Trust ou WS-SecureConversation d'émission de jeton. La configuration de l'ensemble de règles comprend la stratégie de sécurité pour la communication avec le service d'application, ainsi que la règle d'amorce pour la communication avec le service d'accréditation.

Si le partage d'une configuration de règles (avec WS-Policy) contenant la règle d'amorce de conversation sécurisée échoue, il se peut que ce soit parce que les règles de demande et de réponse d'amorce diffèrent. La protection de la partie du message destinée à la règle d'amorce doit être identique pour les messages d'amorce de demande et de réponse car une seule règle est publiée pour la demande et la réponse.

Eléments pris en charge pour Web Services Secure Conversation

La liste ci-dessous met en évidence quelques-unes des fonctions clés prises en charge dans WebSphere Application Server. Cette liste n'est pas exhaustive.
  • Un jeton de contexte de sécurité (SCT) établi avec le demandeur et le destinataire.
  • Les opérations WS-SecureConversation prises en charge sur le jeton de contexte de sécurité (SCT), par exemple, jeton d'émission, jeton de renouvellement et jeton d'annulation. Le jeton de validation est pris en charge à l'aide du protocole WS-Trust.
  • Une clé dérivée (explicite et implicite)

Eléments non pris en charge pour Web Services Secure Conversation

La liste ci-dessous met en évidence quelques-unes des fonctions clés qui ne sont pas prises en charge dans WebSphere Application Server. Cette liste n'est pas exhaustive.

  • WS-SecureConversation ne prend pas en charge l'établissement d'un contexte de sécurité via le jeton de contexte de sécurité créé par un service de jeton de sécurité externe (composant sécurisé). Cependant, WebSphere Application Server prend en charge un service de jeton de sécurité interne.
  • WebSphere Application Server ne prend pas en charge l'établissement d'un contexte de sécurité via le jeton de contexte de sécurité créé par une des parties qui communiquent et propagé par un message.
  • WebSphere Application Server ne prend pas en charge la modification d'un jeton de contexte de sécurité.
  • WebSphere Application Server ne prend pas en charge un client qui crée le jeton de contexte de sécurité.
  • WebSphere Application Server ne fournit aucun support pour l'échange et la négociation.

Scénarios de conversation sécurisée

Les scénarios suivants décrivent les fonctions WS-SecureConversation qui sont prises en charge par WebSphere Application Server :
  • WS-SecureConversation

    Ce scénario est basé sur l'établissement d'un jeton de contexte de sécurité avec le destinataire et l'utilisation de la clé dérivée pour la signature et le chiffrement du message. Il explique comment établir un contexte de sécurité à l'aide de la sécurité basée sur la session. La sécurité basée sur la session permet au flux du demandeur d'établir avec le destinataire le jeton de contexte de sécurité, à l'aide du protocole WS-SecureConversation.

  • WS-SecureConversation avec WS-ReliableMessaging

    Il s'agit d'un scénario composite qui inclut les fonctions requises pour le scénario de composition de Web Services Reliable Messaging (WS-ReliableMessaging), WS-SecureConversation et WS-Trust. Ce scénario explique comment utiliser WS-SecureConversation avec WS-ReliableMessaging dans le cas où le flux est similaire à celui du scénario précédent mais du point de vue de la conversation sécurisée. Cependant, la principale différence réside dans le fait que la séquence WS-ReliableMessaging est sécurisée à l'aide du jeton de contexte de sécurité et qu'elle définit la portée de la séquence WS-ReliableMessaging au jeton de contexte de sécurité. Cette description porte essentiellement sur les échanges de messages qui utilisent le jeton de contexte de sécurité dans le flux global.


Icône indiquant le type de rubrique Rubrique de concept



Icône d'horodatage Dernière mise à jour: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=cwbs_wssecureconv
Nom du fichier : cwbs_wssecureconv.html