Conversação Segura de Serviços da Web
O WS-SecureConversation (Web Services Secure Conversation) fornece uma sessão segura para trocas de mensagem de execução longa e melhorar o algoritmo criptográfico simétrico.
O WS-SecureConversation fornece segurança baseada na sessão. A segurança baseada na sessão otimiza as trocas de mensagem longas, pois a criptografia simétrica pode ser usada para assinar e criptografar a mensagem. Geralmente, o algoritmo criptográfico simétrico é menos intensivo na CPU do que a criptografia assimétrica. Os algoritmos criptográficos simétricos fornecem melhor desempenho e rendimento quando comparados aos algoritmos criptográficos assimétricos.
O algoritmo criptográfico simétrico também fornece um meio de proteger outros padrões de protocolo e troca baseados em sessão, como WS-ReliableMessaging (Web Services Reliable Messaging).
Token de Contexto de Segurança para Conversação Segura
A especificação do Web Services Security define os mecanismos básicos para fornecer sistema de mensagens seguro. A especificação WS-Trust (Web Services Trust) define extensões para o Web Services Security que fornecem maneiras de estabelecer e intermediar relacionamentos confiáveis entre as duas partes. O protocolo WS-Trust define a sintaxe do pedido que pode ser enviado a um serviço de token de segurança e a resposta correspondente ou subseqüente do serviço de token de segurança. O serviço do token de segurança fornecido com o WebSphere Application Server é chamado serviço confiável.
Ao usar o protocolo WS-Trust, uma parte pode solicitar que o serviço de segurança emita um SCT (token de contexto de segurança). Em seguida, esse token pode ser usado para estabelecer uma conversação segura (WS-SecureConversation). O pedido para um token de segurança é enviado a um terminal de aplicativo. O pedido é interceptado pelo WebSphere Application Server e roteado para o serviço de confiança.
Uma política pode ser definida como o padrão para todas as operações de confiança: operações de emissão, renovação, validação ou cancelamento. além disso uma política pode ser anexada a uma URL e par de operações específicos.
O WS-SecureConversation define extensões para permitir estabelecimento e compartilhamento do contexto de segurança e derivação da chave de sessão, que permite que os contextos sejam estabelecidos e, potencialmente, que chaves mais eficientes ou novo material de chave sejam trocados. O suporte do WebSphere Application Server para WS-Trust e WS-SecureConversation enfoca a emissão, a renovação, a validação e o cancelamento do token do contexto de segurança para a conversação segura.
Conjunto de Política e Política de Auto-inicialização
Além de descrever essas funções, a submissão do rascunho do OASIS WS-SecureConversation descreve vários métodos de estabelecimento de uma sessão segura entre o inicializador e o destinatário das mensagens SOAP.
A política de segurança de auto-inicialização é a política de segurança para a parte iniciante para adquirir o token de segurança para a conversação segura proveniente do serviço de confiança, usando uma mensagem de protocolo WS-Trust ou WS-SecureConversation de emissão de token. A configuração do conjunto de política consiste na política de segurança para comunicação com o serviço de aplicativo e na política de auto-inicialização para comunicação com o serviço de confiança.
Se o compartilhamento de uma configuração de política (utilizando WS-Policy) contendo a política de auto-inicialização de conversação segura falhar, o motivo pode ser a diferença nas políticas de pedido e resposta de auto-inicialização. A proteção de parte da mensagem para a política de auto-inicialização deve ser a mesma para mensagens de auto-inicialização de pedido e resposta, porque uma única política é publicada para ambos.
O que é Suportado para Conversação Segura de Serviços da Web
- UM SCT (token de contexto de segurança) estabelecido entre a parte iniciante e a parte destinatária.
- As operações do WS-SecureConversation suportadas no SCT, como token de Emissão, token de Renovação e token de Cancelamento. O token de Validação é suportado usando o protocolo WS-Trust.
- Uma chave derivada (explícita e implícita)
O que não é Suportado para Conversação Segura de Serviços da Web
A lista a seguir ressalta algumas das principais funções não suportadas no WebSphere Application Server. A lista não é completa.
- O WS-SecureConversation não suporta o estabelecimento de um contexto de segurança por meio do token de contexto de segurança criado por um serviço de token de segurança externo (componente de confiança). Entretanto, o WebSphere Application Server suporta um serviço do token de segurança interna.
- O WebSphere Application Server não suporta o estabelecimento de um contexto de segurança por meio do token do contexto de segurança criado por uma das partes de comunicação e propagado com uma mensagem.
- O WebSphere Application Server não suporta a correção do token do contexto de segurança.
- O WebSphere Application Server não suporta a criação do token do contexto de segurança por um cliente.
- O WebSphere Application Server não fornece suporte para troca e negociação.
Cenários de Conversação Segura
- WS-SecureConversation
Este cenário é baseado no estabelecimento de um token de contexto de segurança com o destinatário e no uso da chave derivada para assinar e criptografar a mensagem. Ele descreve como estabelecer um contexto de segurança usando a segurança baseada na sessão. A segurança baseada na sessão é onde o fluxo do inicializador estabelece o token de contexto de segurança usando o protocolo WS-SecureConversation com o destinatário.
- WS-SecureConversation
com WS-ReliableMessaging
Este cenário é um cenário composto que inclui as funções necessárias para o cenário composto de WS-ReliableMessaging (Web Services Reliable Messaging), WS-SecureConversation e WS-Trust. Esse cenário descreve como usar o WS-SecureConversation com o WS-ReliableMessaging onde o fluxo é similar ao cenário anterior, mas que é da possível conversação segura. Entretanto, a principal diferença é que a sequência do WS-ReliableMessaging é protegida com o token de contexto de segurança e estende a sequência do WS-ReliableMessaging ao token de contexto de segurança. Esta descrição enfoca as trocas de mensagem que usam o token de contexto de segurança no fluxo geral.