WS Security
El WS-Security (WSS) es una extensión del protocolo SOAP que
define mecanismos para proteger la integridad y confidencialidad en los
mensajes mediante el uso de SAML, Kerberos, tokens o los certificados X.509,
además de la encriptación y las signaturas XML.
En primer lugar, tenemos que tener en cuenta que WS-Security
no es un nuevo tipo de servicios web ni de seguridad. WS-Security define cómo
utilizar mecanismos existentes para proporcionar autenticación,
confidencialidad e integridad a los Servicios Web. De este modo, en lugar de definir
un estándar desde cero, resuelve el problema de la autenticación mediante el
uso de Kerberos y certificados X.509, se cifra con el XML Encryption y se firma
con la XML Signature tras preparar los datos mediante el XML Canonicalization.
Características Principales:
· Una de las características del WS-Security es que es un
framework que integra los anteriores estándares en el mensaje de tipo SOAP de
modo que se puede aplicar tanto a trozos del documento como a su totalidad e
independientemente de los protocolos de transporte.
· WS-Security define una cabecera de SOAP para almacenar la
información de seguridad de tal modo que si se implementa una signatura
digital, esta cabecera incluirá la información necesaria asociada como, por
ejemplo, el resultado de la misma.
1. Resumen de la especificación:
EL WS-Security es una propuesta de estándar orientada a la
seguridad en el intercambio de datos en los Web Services. Para ponernos en
contexto, los Web Services son software diseñados para interoperar a través de
la red y uno de los posibles medios es a partir de los mensajes SOAP. A nivel
de Cloud, podemos poner por ejemplo una comunicación entre un cliente y un Web
Service situado en el cloud a través de mensajes SOAP, los cuales se suelen
transmitirse a partir del protocolo HTTP con un formato XML. Entonces, la
función del WS-Security consiste en proteger estos paquetes en relación con la
integridad, la confidencialidad y la autenticación.
Espero que la duda haya quedada resuelta. En todo caso, el siguiente post irá destinado a profundizar la relación y la aplicación de los mecanismos de seguridad en el Cloud.
Espero que la duda haya quedada resuelta. En todo caso, el siguiente post irá destinado a profundizar la relación y la aplicación de los mecanismos de seguridad en el Cloud.
2. Describa con un ejemplo en que caso
aplica el uso de la especificación:
El WS-Security se aplica con mucha frecuencia en el momento
que se está enviando datos sensibles de un servidor a otro, como DNI’s, Cuentas
Bancarias, Contraseñas, etc. Por ello, es bueno incluir seguridad mediante
algún tipo de procedimiento o bien la cabecera del mensaje SOAP o el cuerpo o
bien el Envelope (SOAP ENTERO). De esta manera aseguramos la integridad
del mensaje al ir firmado con una clave privada por lo tanto dará un error al
receptor mediante usuario y contraseña como por ejemplo.
3. Investigue con que tecnologías puede
desarrollar una solución que cumpla con la especificación:
WS-Security no es más que la implementación del estándar de OASIS Web Services Security TC, con lo cual está implementando los siguientes estándares:
OASIS Web Services Security: SOAP Message Security 1.0 Standard 200401, March 2004
Username Token profile V1.0
X.509 Token Profile V1.0
OASIS Web Services Security: SOAP Message Security 1.0 Standard 200401, March 2004
Username Token profile V1.0
X.509 Token Profile V1.0
Implementación de WS-Security (Para Axis):
1.-Servidor Apache Tomcat (Parte II del artículo de WS)2.- Servlet Axis (Parte II del artículo de WS)
3.- WSS4j
4.- XML Security
No hay comentarios.:
Publicar un comentario