O Web Services Security fornece integridade, confidencialidade e autenticação da mensagem

O OASIS Web Services Security (WS-Security) é um padrão flexível usado para proteger serviços da Web no nível de mensagem em diversos modelos de segurança. As mensagens SOAP podem ser protegidas por meio de assinatura digital XML, sigilo por meio de criptografia XML e propagação de credenciais por meio de tokens de segurança.

A especificação WS-Security define instalações de núcleo para proteger a integridade e a confidencialidade de uma mensagem e fornece mecanismos para associar solicitações relacionadas à segurança com uma mensagem. A segurança no nível de mensagem ou a proteção de serviços da Web no nível da mensagem endereçam os mesmos requisitos de segurança que os da segurança da Web tradicional. Esses requisitos de segurança incluem: identidade, autenticação, autorização, integridade, confidencialidade, irrecusabilidade, troca de mensagens básica e assim por diante. Tanto a segurança da Web tradicional como a segurança no nível da mensagem compartilham vários dos mecanismos para manipulação da segurança, incluindo certificados digitais, criptografia e assinaturas digitais. Enquanto que a tecnologia no nível de transporte HTTPS e Secure Sockets Layer (SSL) pode ser usada para proteger serviços da Web, alguns cenários de segurança são endereçados com mais eficiência pela segurança de nível de mensagem.

Os mecanismos de segurança da Web tradicionais, como HTTPS, podem ser insuficientes para gerenciar os requisitos de segurança de todos os cenários de serviços da Web. Por exemplo, quando um aplicativo envia um documento com JAX-RPC usando HTTPS, a mensagem é protegida apenas para a conexão HTTPS, ou seja, durante o transporte do documento entre o solicitante do serviço (o cliente) e o serviço. Entretanto, o aplicativo pode requerer que os dados do documento sejam protegidos além da conexão HTTPS ou mesmo além da camada de transporte. Com a proteção dos serviços da Web no nível da mensagem, a segurança no nível da mensagem é capaz de atender a esses requisitos expandidos.

A segurança de nível de mensagem se aplica a documentos XML enviados como mensagens SOAP. A segurança de nível de mensagem torna segura parte da mensagem, incorporando todas as informações de segurança necessárias no cabeçalho SOAP de uma mensagem. Além disso, a segurança de nível de mensagem pode aplicar mecanismos de segurança, como criptografia e assinatura digital, aos dados na mensagem.

Com a segurança de nível de mensagem, a mensagem SOAP contém as informações necessárias para proteger a mensagem ou contém informações sobre onde obter essas informações para manipular as necessidades de segurança. A mensagem SOAP também contém informações relevantes para os protocolos e os procedimentos para processamento da segurança de nível de mensagem especificada. Entretanto, a segurança de nível de mensagem não está vinculada a nenhum mecanismo de transporte em particular. Como as informações de segurança fazem parte da mensagem, elas são independentes de um protocolo de transporte como HTTPS.

O cliente inclui as informações de segurança de cabeçalho da mensagem SOAP que se aplicam a essa mensagem em particular. Quando a mensagem é recebida, o terminal de serviço da Web, usando as informações de segurança no cabeçalho, verifica a mensagem assegurada e a valida com relação à política. Por exemplo, o terminal em serviço pode verificar a assinatura da mensagem e verificar se a mensagem não violada. É possível incluir assinatura e informações de criptografia aos cabeçalhos de mensagem SOAP e também outras informações como tokens de segurança para identidade (por exemplo, um certificado X.509) que são ligadas ao conteúdo de mensagem SOAP.

Para o WebSphere Application Server Versões 6 e posterior, o Web Services Security pode ser aplicado como segurança no nível de transporte e como segurança no nível da mensagem. É possível arquitetar projetos de cliente e servidor altamente seguros usando-se esses mecanismos de segurança. A segurança no nível de transporte refere-se à proteção da conexão entre um aplicativo cliente e um serviço da Web com Secure Sockets Layer (SSL).

É possível aplicar vários cenários do Web Services Security de acordo com as características de cada aplicativo de serviço da Web. Você tem opções de como proteger suas informações ao usar o Web Services Security. O mecanismo de autenticação, a integridade e o sigilo podem ser aplicados no nível da mensagem e no nível de transporte. Quando a segurança de nível de mensagem é aplicada, você pode proteger a mensagem SOAP com um token de segurança, uma assinatura digital e uma criptografia.

Sem o Web Services Security, a mensagem SOAP é enviada em texto não criptografado e as informações pessoais, como um ID de usuário ou um número de conta, não estarão protegidas. Sem a aplicação do Web Services Security, haverá apenas um corpo SOAP no envelope SOAP da mensagem SOAP. Aplicando recursos da especificação WS-Security, o cabeçalho de segurança SOAP é inserido sob o envelope SOAP na mensagem SOAP quando o corpo SOAP é assinado e criptografado.

Para manter a integridade ou o sigilo da mensagem, as assinaturas digitais e a criptografia são aplicadas, em geral.
  • Sigilo especifica as restrições de sigilo que são aplicadas às mensagens geradas. Isto inclui a especificação de quais partes da mensagem na mensagem gerada devem ser criptografadas e as partes da mensagem às quais devem ser anexados os elementos Nonce e time stamp criptografados.
  • Integridade é fornecida pela aplicação de uma assinatura digital para uma mensagem SOAP. Sigilo é aplicado pela criptografia de mensagem SOAP. São suportadas várias assinaturas e criptografias. Além disso, a assinatura e a criptografia podem ser aplicadas às mesmas partes, tais como corpo SOAP.

É possível incluir um mecanismo de autenticação inserindo vários tipos de tokens de segurança, como o Token do Nome do Usuário (elemento <UsernameToken>). Quando o token Nome do Usuário é recebido pelo servidor de serviços da Web, o nome do usuário e a senha são extraídos e verificados. Apenas quando a combinação de nome do usuário e senha é válida, a mensagem será aceita e processada no servidor. O uso do token de nome de usuário é apenas uma das maneiras de implementar a autenticação. Esse mecanismo também é conhecido como autenticação básica.

Além das assinaturas digitais, da criptografia e da autenticação básica, outras formas de autenticação incluem asserção de identidade, tokens LTPA, tokens Kerberos e tokens customizados. Essas outras formas de autenticação também são extensões doWebSphere Application Server. Você pode configurar esses mecanismos de autenticação, utilizando as ferramentas de montagem para implementar a autenticação.

Com atualizações para especificação do Web Services Security na Versão 1.1, é possível incluir funcionalidades adicionais além destes mecanismos básicos. Alguns mecanismos da Versão 1.1 são extensões do WebSphere Application Server, como confirmação de assinatura e o cabeçalho criptografado. Os perfis do token de segurança suportados pelo WebSphere Application Server incluem o perfil de token de Nome de Usuário, o perfil de token X.509 e o perfil Kerberos. Nesse caso, quando a mensagem é recebida, o terminal de serviço da Web, usando as informações de segurança do cabeçalho, aplica os mecanismos de segurança apropriados à mensagem. Por exemplo, o terminal em serviço pode incluir assinatura e informações de criptografia aos cabeçalhos de mensagem SOAP e também outras informações, como tokens de segurança, que são ligados ao conteúdo de mensagem SOAP. É possível implementar esses novos mecanismos usando um conjunto de política.

O WS-SecureConversation foi introduzido no WebSphere Application Server Versão 6.1 com o Feature Pack para Web Services. A Conversação Segura utiliza uma chave de sessão para proteger mensagens SOAP com maior eficiência, especificamente quando várias mensagens SOAP são transmitidas em uma sessão.

Outros aprimoramentos incluem:
  • O token Kerberos, utilizado para a autenticação e para a proteção subsequente de mensagens.
  • A política dinâmica, que permite que o cliente recupere a política do provedor por meio de uma solicitação WSDL ou usando o Web Services MetadataExhange (WS-MEX) para simplificar a implementação do cliente de serviços da Web.

Ícone que indica o tipo de tópico Tópico de Conceito



Ícone de registro de data e hora Última atualização: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=cwbs_wssmessage
Nome do arquivo: cwbs_wssmessage.html