Protegendo Aplicativos de Serviços da Web Usando as APIs WSS no Nível de Mensagem

Padrões e perfis endereçam como fornecem proteção para mensagens que são trocadas em um ambiente de serviço da Web. A Segurança de Serviços da Web é um padrão de nível de mensagem que se baseia na proteção de mensagens SOAP por meio de assinatura digital XML, confidencialidade por meio de criptografia XML, e propagação de credencial por meio de tokens de segurança.

Antes de Iniciar

Para serviços da Web seguros, você deve considerar um extenso conjunto de requisitos de segurança, incluindo autenticação, autorização, privacidade, confiança, integridade, confidencialidade, canais de comunicação segura, delegação e auditoria em uma ampla variedade de topologias de aplicativos e negócios. Um dos requisitos chave para o modelo de segurança no ambiente de negócios de hoje é a capacidade de interoperar entre tecnologias de segurança antes incompatíveis nos ambientes heterogêneos. O roteiro de tecnologia e a pilha de protocolos completos da Segurança de Serviços da Web são descritos no roteiro de serviços da Web.

Sobre Esta Tarefa

A especificação Organization for the Advancement of Structured Information Standards (OASIS) Web Services Security: SOAP Message Security Versão 1.1 é o transporte de sistema de mensagens básico para todos os serviços da Web. O SOAP 1.2 inclui extensões às extensões SOAP 1.1 existentes para que você possa construir serviços da Web seguros. As conexões podem ser incluídas nas mensagens SOAP, utilizando o perfil MTOM (Message Transmission Optimization Mechanism) e XOP (XML-binary Optimized Packaging) em vez do perfil SWA (SOAP With Attachments).

A especificação OASIS Web Services Security (WS-Security) Versão 1.1 é o bloco de construção que é usado juntamente com outros protocolos específicos de aplicativo e de serviço da Web para acomodar uma ampla variedade de modelos de segurança. A Segurança de Serviços da Web paraWebSphere Application Server se baseia em padrões específicos que estão incluídos na especificação e perfis do OASIS Web Services Security Versão 1.1.

A especificação da Versão 1.1 define os recursos adicionais para proteger a integridade e a confidencialidade de uma mensagem. A especificação da Versão 1.1 também fornece os mecanismos para associar as reivindicações relacionadas à segurança com a mensagem. Os padrões do Web Services Security Versão 1.1 que são suportados pelo WebSphere Application Server incluem a confirmação de assinatura, os elementos do cabeçalho criptografado, o Perfil de Token de Nome do Usuário e o Perfil de Token X.509. O Perfil Username Token e Perfil X.509 Token foi atualizado como perfis da Versão 1.1. Para o Perfil X.509 Certificate Token, um novo tipo de referência de token de segurança é a referência Thumbprint, que é especificada na ligação.

O Esquema XML, Parte 1 e Parte 2 são especificações que explicam como os esquemas são organizados nos documentos XML. Os dois esquemas do WS-Security Versão 1.0 foram atualizados para as especificações da Versão 1.1, além disso, um novo esquema da Versão 1.1 foi incluído. Observe que o esquema da Versão 1.1 não substitui o esquema da Versão 1.0, mas baseia-se nele, definindo um conjunto adicional de recursos dentro de um espaço de nomes da Versão 1.1.

É possível usar os seguintes métodos para configurar a Segurança dos Serviços da Web e definir tipos de políticas para proteger as mensagens SOAP:
  • Utilize o console administrativo para configurar os conjuntos de política.

    Este método utiliza a política de auto-inicialização que é definida no conjunto de política. É possível usar conjuntos de política, ou asserções sobre como os serviços são definidos, para simplificar a sua configuração de segurança para serviços da Web. É possível utilizar o console administrativo para criar, modificar e excluir os conjuntos de políticas customizados. Está disponível um conjunto de conjuntos de políticas padrão.

    Por exemplo, é possível definir a política de auto-inicialização no conjunto de política para proteger as mensagens SOAP WS-Trust (Web Services Trust).

    Também é possível usar o console administrativo para executar tarefas de gerenciamento do conjunto de políticas e para proteger serviços da Web usando criptografia, informações sobre assinatura e tokens de segurança.

    As seguintes etapas de alto nível descrevem como configurar o WebSphere Application Server para utilizar o WS-Security e para proteger as mensagens SOAP utilizando o console administrativo. As tarefas do gerador e do consumidor que são discutidas nas seguintes etapas utilizam o WS-Security Versões 1.0 e 1.1.
    • Crie e configure os conjuntos de polícia de aplicativo ou os conjuntos de políticas do sistema para o serviço de confiança.
    • Defina os tipos de política a serem utilizados para proteger as mensagens SOAP ao criar e configurar os conjuntos de política.
    • Configure a ligação do conjunto de política. Selecione a asserção de ligação simétrica ou assimétrica para descrever o tipo de token e o algoritmo a ser utilizado para proteção de mensagens.
    • Monte o seu aplicativo ativado para Segurança de Serviços da Web usando uma ferramenta do conjunto.

  • Utilize a WSS API (Web Services Security API) para configurar o contexto da mensagem SOAP (apenas para o cliente)

    O WebSphere Application Server utiliza um novo modelo de programação de API. Além do modelo de programação JAX-RPC existente, um novo modelo de programação, JAX-WS (Java™ API for XML Web Services), foi incluído. O padrão de programação JAX-WS se alinha com o modelo de sistema de mensagens centralizado em documento e substitui o modelo de programação de chamada de procedimento remoto definido pela especificação JAX-RPC (Java API for XML-based RPC).

    Por exemplo, um aplicativo poderia criar conjuntos de políticas do sistema e, em seguida, utilizar a API WebSphere Application Server WSS para adquirir o token de contexto de segurança para WS-SecureConversation (Web Services Secure Conversation) baseado em API programática.

    Também é possível usar o console administrativo para executar tarefas de configuração de criptografia, assinatura e token que as APIs WSS executam para proteger os serviços da Web.

    As seguintes etapas de alto nível descrevem como configurar o WebSphere Application Server para utilizar WS-Security para proteger as mensagens SOAP utilizando as APIs WSS. As tarefas do gerador e do consumidor que são discutidas nas seguintes etapas utilizam o WS-Security Versões 1.0 e 1.1.

    • Utilize a API WSSSignature para configurar as informações sobre assinatura para a ligação do gerador de pedido (cliente).

      Diferentes partes da mensagem podem ser especificadas na proteção da mensagem para um pedido no lado do gerador. As partes necessárias padrão são BODY, ADDRESSING_HEADERS e TIMESTAMP.

      A API WSSSignature também especifica diferentes métodos do algoritmo a serem utilizados com a assinatura para proteção de mensagens. O método de assinatura padrão é RSA_SHA1. O método de canonicalização padrão é EXC_C14N.

    • Utilize a WSSSignPart API se você deseja alterar o método de compilação e o método de transformação.

      As partes assinadas padrão são WSSSignature.BODY, WSSSignature.ADDRESSING_HEADERS e WSSSignature.TIMESTAMP.

      A API WSSSignPart também especifica os diferentes métodos de algoritmo a serem utilizados, se você incluiu ou alterou as partes assinadas. O método de compilação padrão é SHA1. O método de transformação padrão é TRANSFORM_EXC_C14N. Por exemplo, utilize a API WSSSignPart, se você deseja gerar a assinatura para a mensagem SOAP utilizando o método de compilação SHA256 em vez do valor padrão de SHA1.

    • Utilize a API WSSEncryption para configurar as informações de criptografia no gerador de pedido.

      As informações de criptografia no gerador são usadas para criptografar uma mensagem SOAP enviada para ligações do gerador de pedido (cliente). Os destinos padrão para criptografia são BODY_CONTENT e SIGNATURE.

      A API WSSEncryption também especifica diferentes métodos de algoritmo a serem utilizados para proteger o sigilo da mensagem. O método de criptografia de dados padrão é AES128. O método de criptografia de chave padrão é KW_RSA_OAEP.

    • Utilize a API WSSEncryptPart se você deseja configurar apenas o método de transformação.

      Por exemplo, se você deseja alterar o método de criptografia de dados a partir do valor padrão de AES128 para TRIPLE_DES.

      Nenhum método de algoritmo será necessário para as partes criptografadas.

    • Utilize a WSS API para configurar o token no gerador.

      Os requisitos para o token de segurança dependem do tipo de token. O Módulo de Login JAAS e o JAAS CallbackHandler são responsáveis por criar o token de segurança no gerador. Tokens diferentes independentes podem ser enviados em pedido e resposta. O token padrão é X509Token. O outro token que pode ser utilizado para assinatura é o DerivedKeyToken, que é utilizado somente com a Conversação Segura de Serviços da Web (WS-SecureConversation).

    • Utilize a API WSSVerification para verificar a assinatura para a ligação do consumidor de resposta (cliente).

      Diferentes partes da mensagem podem ser especificadas na proteção da mensagem para uma resposta no lado do consumidor. Os destinos necessários para verificação são BODY, ADDRESSING_HEADERS e TIMESTAMP.

      A API WSSVerification também especifica os diferentes métodos de algoritmo a serem utilizados para verificar a assinatura e para proteção de mensagens. O método de assinatura padrão é RSA_SHA1. O método de canonicalização padrão é EXC_C14N.

    • Utilize a API WSSVerifyPart para alterar o método de compilação e o método de transformação. As partes de verificação necessárias são WSSVerification.BODY, WSSVerification.ADDRESSING_HEADERS e WSSVerification.TIMESTAMP.

      A API WSSVerifyPart também especifica diferentes métodos de algoritmo a serem utilizados, se você incluiu ou alterou as partes de verificação. O método de compilação padrão é SHA1. O método de transformação padrão é TRANSFORM_EXC_C14N.

    • Utilize a API WSSDecryption para configurar as informações de decriptografia para a ligação do consumidor de resposta (cliente).

      As informações de decriptografia no consumidor são utilizadas para decriptografar uma mensagem SOAP de entrada. Os destinos de decriptografia são BODY_CONTENT e SIGNATURE. O método de criptografia de chave padrão é KW_RSA_OAEP.

      Nenhum método de algoritmo será necessário para decriptografia.

    • Utilize a API WSSDecryptPart, se você deseja configurar apenas o método de transformação.

      Por exemplo, se você deseja alterar o método de criptografia de dados a partir do valor padrão de AES128 para TRIPLE_DES.

      Nenhum método de algoritmo será necessário para as partes decriptografadas.

    • Utilize a WSS API para configurar o token no consumidor.

      Os requisitos para o token de segurança dependem do tipo de token. O Módulo de Login JAAS e o JAAS CallbackHandler são responsáveis por validar (autenticar) o token de segurança no lado do consumidor. Tokens diferentes independentes podem ser enviados em pedido ou resposta.

      A WSS API inclui as informações para o token candidato que é utilizado para decriptografia. O token padrão é X509Token.

  • Utilize a ferramenta de script administrativo wsadmin para configurar os conjuntos de política.

    Este método permite criar, gerenciar e excluir os conjuntos de políticas da linha de comandos ou criar os scripts para automatizar as suas tarefas. É possível utilizar a ferramenta wsadmin e grupo de comandos PolicySetManagement para gerenciar os conjuntos de políticas padrão, criar conjuntos de políticas customizados, configurar políticas e gerenciar conexões e ligações. Para obter informações adicionais, utilize os tópicos de script do conjunto de política no centro de informações.

Para proteger serviços da Web com o WebSphere Application Server, você deve configurar o gerador e as restrições de segurança do consumidor. É necessário especificar várias configurações diferentes. Embora não exista uma sequência específica para especificar estas configurações diferentes, algumas configurações fazem referência a outras configurações. Por exemplo, as configurações de decriptografia fazem referência a configurações de criptografia.

Resultados

Após concluir essas etapas de alto nível para o WebSphere Application Server, você protegeu os serviços da Web configurando conjuntos de política e usando a API WSS para configurar criptografia e decriptografia, a assinatura e informações de verificação de assinatura, e os tokens de consumidor e gerador.


Ícone que indica o tipo de tópico Tópico de Tarefa



Ícone de registro de data e hora Última atualização: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=twbs_securev6wssjaxws
Nome do arquivo: twbs_securev6wssjaxws.html