Norme Web Services Secure Conversation
Web Services Secure Conversation (WS-SecureConversation) est une norme OASIS (Organization for the Advancement of Structured Information Standards) proposée qui définit des mécanismes permettant d'établir et de partager des contextes de sécurité et de dériver des clés à partir de contextes de sécurité, afin de permettre une conversation sécurisée.
La norme WS-Security (Web Services Security) de base d'OASIS définit la procédure de signature et de chiffrement numériques du message SOAP pour fournir une protection au niveau des messages. Elle explique également comment associer et référencer un jeton de sécurité pour la signature numérique et le chiffrement. Cependant, elle ne fournit pas de protection basée sur la session lors de l'échange d'une longue série de messages connexes. La spécification WS-Security porte essentiellement sur le modèle d'authentification de message. Cette approche, qui est utile dans la plupart des situations, peut toutefois faire l'objet de plusieurs formes d'attaque.
La spécification WS-SecureConversation introduit le concept d'un contexte de sécurité et de son utilisation. Le jeton de contexte de sécurité est un nouveau type de jeton WS-Security qui représente le concept abstrait du contexte de sécurité. Le jeton est identifié par un URI et est constitué de clés négociées, ainsi que d'autres propriétés liées à la sécurité. Le modèle d'authentification de contexte authentifie une série de messages et, par conséquent, aborde ces problèmes. Le modèle d'authentification de contexte augmente les performances globales et la sécurité des échanges ultérieurs, mais il requiert des communications supplémentaires lorsque l'authentification a lieu avant des échanges d'application normaux.
La version 1.0 de la spécification OASIS WS-SecureConversation définit des extensions qui sont basées sur les normes Web Services Security (WS-Security) et Web Services Trust (WS-Trust) pour fournir une communication sécurisée sur un ou plusieurs messages.
IBM®, Microsoft et d'autres fournisseurs travaillent sur la spécification WS-SecureConversation depuis 2004. Une version provisoire de ce document a été conjointement publiée en février 2005. La version provisoire de WS-SecureConversation a été soumise à OASIS Web Service Secure Exchange Technical Committee (WS-SX TC), qui a été formé en décembre 2005, ainsi que les versions provisoires de Web Services Trust (WS-Trust) et Web Services Security Policy (WS-SecurityPolicy), afin de démarrer le processus de normalisation.
Une version 1.1 provisoire révisée de la norme de spécification WS-SecureConversation a été soumise à OASIS en février 2005 ; elle définit plus en détail les extensions de la version 1.0. Cette spécification définit des extensions permettant d'établir et de partager un contexte de sécurité, ainsi que la dérivation de clé de session. Ces extensions permettent l'établissement de contextes et l'échange de clés potentiellement plus efficaces ou d'éléments de clé nouveaux.
La version la plus récente de la spécification est la version 1.3 qui a été approuvée par le comité technique WS-SX le 1er mars 2007. Les principales exigences à ce niveau de la spécification incluent des clés dérivées et des clés par message, ainsi que des contextes de sécurité extensibles. WebSphere Application Server ajoute la prise en charge de la version 1.3 de WS-SecureConversation, introduisant une meilleure gestion des erreurs à l'aide des codes d'erreur standard comme indiqué dans la spécification.
La norme Web Services Secure Conversation (WS-SecureConversation) est un bloc de construction qui est utilisé conjointement avec les autres protocoles spécifiques aux services Web et aux applications, tels que Web Services Security et Web Services Trust, afin d'implémenter un large éventail de technologies et de modèles de sécurité. WS-SecureConversation est constitué à partir des modèles WS-Security et WS-Trust pour fournir une communication sécurisée entre les services. La spécification provisoire WS-SecureConversation explique comment établir un jeton de contexte de sécurité entre deux parties, et la spécification WS-Trust explique comment émettre et échanger des jetons de sécurité.
- décrit le jeton de contexte de sécurité ;
- définit la façon dont les contextes de sécurité sont établis ;
- explique comment les contextes de sécurité sont modifiés, renouvelés et annulés. La modification de contexte n'est pas prise en charge par WebSphere Application Server ;
- indique comment les clés dérivées sont calculés ;
- explique comment associer un contexte de sécurité particulier à une action, si plusieurs contextes de sécurité existent.
WebSphere Application Server prend en charge le client qui établit une conversation sécurisée avec le noeud final du service cible.
- un jeton de contexte de sécurité établi avec le demandeur et le destinataire ;
- les opérations prises en charge sur le jeton de contexte de sécurité, par exemple, jeton d'émission, jeton de renouvellement et jeton d'annulation ;
- la clé dérivée (explicite et implicite).
La conversation sécurisée fournie avec WebSphere Application Server ne prend pas en charge un jeton de contexte de sécurité (SCT) acquis auprès d'un serveur d'accréditation tiers et ne fournit pas de support pour un jeton de contexte de sécurité créé par le client.
- Consultez le schéma de cette spécification : Schéma WS-SecureConversation
- Reportez-vous aux préfixes d'espace de nom suivants qui sont utilisés pour WS-SecureConversation : http://schemas.xmlsoap.org/ws/2005/02/sc et http://docs.oasis-open.org/ws-sx/ws-secureconversation/200512