WEB SERVICES SECURITY.                              EJEMPLO CON WSS4J                                          Victor Este...
Introducción                      Definición                        	  	  	  WS-­‐Security	  is	  a	  building	  block	  th...
Objetivos                    Auten+cación	  (Iden+dad)                       	  Comprobar	  que	  los	  usuarios	  son	  q...
Motivación              Especificación	  de	  OASIS	  (versión	  1.0)              La	  información	  de	  seguridad	  se	 ...
Características          Claim:	  declaración	  del	  cliente	  (nombre,	  iden+dad..)          Proof-­‐of-­‐possession:	 ...
Requisitos                           Múl+ples	  formatos	  de	  token	  de	  seguridad                             	  Unsi...
Security Header Block                      Mecanismo	  para	  aportar	  seguridad	  a	  la	  información                  ...
Security Header Block                           	  /Security                                   Cabecera	  del	  bloque	  p...
Security Header Block                            Ejemplo:	  UsernameToken	  Element                           /UsernameTok...
Security Header Block                           Incluir	  el	  UsernameToken	  Element	  dentro	  de	  la	  cabecera:     ...
Ejemplo WSS4J - Configuración                               11martes 10 de enero de 12
Ejemplo WSS4J - Configuración       Servidor Tomcat         Axis        WSS4J                               11martes 10 de ...
Ejemplo WSS4J - Configuración       Servidor Tomcat         Axis        WSS4J                               11martes 10 de ...
Ejemplo WSS4J - Configuración       Servidor Tomcat         Axis        WSS4J                               11martes 10 de ...
Ejemplo WSS4J - Configuración       Servidor Tomcat         Axis        WSS4J                               11martes 10 de ...
Ejemplo WSS4J - Configuración       Servidor Tomcat         Axis        WSS4J                               11martes 10 de ...
Ejemplo WSS4J - Configuración       Servidor Tomcat         Axis        WSS4J                               11martes 10 de ...
Ejemplo WSS4J - Configuración                               12martes 10 de enero de 12
Ejemplo WSS4J - Configuración                               12martes 10 de enero de 12
Ejemplo WSS4J - Configuración                               12martes 10 de enero de 12
Ejemplo WSS4J - Configuración                               12martes 10 de enero de 12
Ejemplo WSS4J - Creacción del servicio sin seguridad                                 13martes 10 de enero de 12
Ejemplo WSS4J - Creacción del servicio sin seguridad       Creacción del servicio        Descriptor de despliegue        E...
Ejemplo WSS4J - Creacción del servicio sin seguridad       Creacción del servicio        Descriptor de despliegue        E...
Ejemplo WSS4J - Creacción del servicio sin seguridad       Creacción del servicio        Descriptor de despliegue        E...
Ejemplo WSS4J - Creacción del servicio sin seguridad       Creacción del servicio        Descriptor de despliegue        E...
Ejemplo WSS4J - Creacción del servicio sin seguridad       Creacción del servicio        Descriptor de despliegue        E...
Ejemplo WSS4J - Creacción del servicio sin seguridad       Creacción del servicio        Descriptor de despliegue        E...
Ejemplo WSS4J - Creacción del servicio sin seguridad                                 14martes 10 de enero de 12
Ejemplo WSS4J - Creacción del servicio sin seguridad                                 14martes 10 de enero de 12
Ejemplo WSS4J - Creacción del servicio sin seguridad                                 14martes 10 de enero de 12
Ejemplo WSS4J - Añadir Seguridad: Autenticacion         Configurar el servicio                                 15martes 10 ...
Ejemplo WSS4J - Añadir Seguridad: Autenticacion         Configurar el servicio                                 15martes 10 ...
Ejemplo WSS4J - Añadir Seguridad: Autenticacion         Configurar el servicio                                 15martes 10 ...
Ejemplo WSS4J - Añadir Seguridad: Autenticacion         Configurar el servicio                                 15martes 10 ...
Ejemplo WSS4J - Añadir Seguridad: Autenticacion                                 16martes 10 de enero de 12
Ejemplo WSS4J - Añadir Seguridad: Autenticacion       Configurar el cliente                                 16martes 10 de ...
Ejemplo WSS4J - Añadir Seguridad: Autenticacion       Configurar el cliente                                 16martes 10 de ...
Ejemplo WSS4J - Añadir Seguridad: Autenticacion       Configurar el cliente                                 16martes 10 de ...
Ejemplo WSS4J - Añadir Seguridad: Autenticacion                                 17martes 10 de enero de 12
Ejemplo WSS4J - Añadir Seguridad: Autenticacion                                 17martes 10 de enero de 12
Ejemplo WSS4J - Añadir Seguridad: Autenticacion                                 17martes 10 de enero de 12
Ejemplo WSS4J - Añadir Seguridad: firma y encriptado                                18martes 10 de enero de 12
Ejemplo WSS4J - Añadir Seguridad: firma y encriptado         Generar almacén de claves         Creacción crypto.properties ...
Ejemplo WSS4J - Añadir Seguridad: firma y encriptado         Generar almacén de claves         Creacción crypto.properties ...
Ejemplo WSS4J - Añadir Seguridad: firma y encriptado         Generar almacén de claves         Creacción crypto.properties ...
Ejemplo WSS4J - Añadir Seguridad: firma y encriptado         Generar almacén de claves         Creacción crypto.properties ...
Ejemplo WSS4J - Añadir Seguridad: firma y encriptado         Generar almacén de claves         Creacción crypto.properties ...
Ejemplo WSS4J - Añadir Seguridad: firma y encriptado         Generar almacén de claves         Creacción crypto.properties ...
Ejemplo WSS4J - Añadir Seguridad: firma y encriptado         Generar almacén de claves         Creacción crypto.properties ...
Ejemplo WSS4J - Añadir Seguridad: firma y encriptado         Generar almacén de claves         Creacción crypto.properties ...
Ejemplo WSS4J - Añadir Seguridad: firma y encriptado                                19martes 10 de enero de 12
Ejemplo WSS4J - Añadir Seguridad: firma y encriptado                                19martes 10 de enero de 12
Ejemplo WSS4J - Añadir Seguridad: firma y encriptado                                19martes 10 de enero de 12
Ejemplo WSS4J - Añadir Seguridad: firma y encriptado                                19martes 10 de enero de 12
Ejemplo WSS4J - Añadir Seguridad: firma y encriptado                                19martes 10 de enero de 12
FIN                           20martes 10 de enero de 12
Próxima SlideShare
Cargando en…5
×

Wss

593 visualizaciones

Publicado el

0 comentarios
0 recomendaciones
Estadísticas
Notas
  • Sé el primero en comentar

  • Sé el primero en recomendar esto

Sin descargas
Visualizaciones
Visualizaciones totales
593
En SlideShare
0
De insertados
0
Número de insertados
2
Acciones
Compartido
0
Descargas
6
Comentarios
0
Recomendaciones
0
Insertados 0
No insertados

No hay notas en la diapositiva.

Wss

  1. 1. WEB SERVICES SECURITY. EJEMPLO CON WSS4J Victor Esteban Burgos Ana Aguilar 1martes 10 de enero de 12
  2. 2. Introducción Definición      WS-­‐Security  is  a  building  block  that  can  be  used  in   conjunc7on  with  other  Web  service  extensions  and   higher-­‐level  applica7on-­‐specific  protocols  to   accommodate  a  wide  variety  of  security  models  and   encryp7on  technologies.  The  4  main  concerns  of  a   security  framework  are:  authen7ca7on,   authoriza7on,  confiden7ality  and  integrity. 2martes 10 de enero de 12
  3. 3. Objetivos Auten+cación  (Iden+dad)  Comprobar  que  los  usuarios  son  quien  dicen  ser Autorización  (Control  de  acceso)    Cómo  permi+r  acceso  solo  a  los  usuarios  deseados   Confidencialidad  (Encriptación)  Cómo  proteger  la  información  ante  usuarios  no   autorizados Integridad  (Tamper  proffing)  Cómo  evitar  que  la  información  sea  modificada  durante   el  envío 3martes 10 de enero de 12
  4. 4. Motivación Especificación  de  OASIS  (versión  1.0) La  información  de  seguridad  se  incluye  dentro  del  texto  XML Trabajar  con  la  estructura  y  modelo  de  procesado  de  mensaje   de  SOAP     Propagación  de  security  tokens Amenazas:  Mensaje  escrito  o  leído  por  intrusos  Intrusos  mandan  mensajes  al  servicio  web 4martes 10 de enero de 12
  5. 5. Características Claim:  declaración  del  cliente  (nombre,  iden+dad..) Proof-­‐of-­‐possession:  protocolo  de  auten+cación   Digest:  función  hash  (checksum) Signature:  binding  criptográfico  de  un  proof-­‐of-­‐possession  y  un  digest   Security  token:  conjunto  de  claims Integrity:    XML  signature  +  security  tokens Confiden<ality:    XML  encryp+on  +  security  tokens 5martes 10 de enero de 12
  6. 6. Requisitos Múl+ples  formatos  de  token  de  seguridad  Unsigned  Security  Tokens  Signed  Security  Tokens Múl+ples  dominios  de  confianza Múl+ples  formatos  de  firma Múl+ples  tecnologías  de  encriptación Seguridad  punto  a  punto  a  nivel  de  mensaje 6martes 10 de enero de 12
  7. 7. Security Header Block Mecanismo  para  aportar  seguridad  a  la  información  Indica  los  pasos  (encriptación)  que  el  emisor  siguió   para  crear  el  mensaje   Receptor  final  o  intermediario Información  de  seguridad  definida  para  varios  receptores   debe  aparecer  en  varios  security  header  blocks 7martes 10 de enero de 12
  8. 8. Security Header Block  /Security Cabecera  del  bloque  para  enviar  la  información  de  seguridad  el  receptor  /Security/@S:actor Atributo  que  permite  iden+ficar  al  actor  SOAP  determinado  /Security/{any} Extensión  que  permite  añadir  diferentes  +pos  de  seguridad  /Security/@{any} Extensión  que  permite  añadir  atributos  adicionales  a  la  cabecera 8martes 10 de enero de 12
  9. 9. Security Header Block Ejemplo:  UsernameToken  Element /UsernameToken Elemento  usado  para  enviar  información  de  auten+cación /UsernameTaken/@Id E+queta  para  este  security  token /UsernameToken/Username Elemento  que  especifica  el  username  del  usuario /UsernameToken/Username Elemento  que  especifica  la  contraseña.  Se  recomienda  enviarlo   cuando  se  esté  usando  un  medio  seguro 9martes 10 de enero de 12
  10. 10. Security Header Block Incluir  el  UsernameToken  Element  dentro  de  la  cabecera: 10martes 10 de enero de 12
  11. 11. Ejemplo WSS4J - Configuración 11martes 10 de enero de 12
  12. 12. Ejemplo WSS4J - Configuración Servidor Tomcat Axis WSS4J 11martes 10 de enero de 12
  13. 13. Ejemplo WSS4J - Configuración Servidor Tomcat Axis WSS4J 11martes 10 de enero de 12
  14. 14. Ejemplo WSS4J - Configuración Servidor Tomcat Axis WSS4J 11martes 10 de enero de 12
  15. 15. Ejemplo WSS4J - Configuración Servidor Tomcat Axis WSS4J 11martes 10 de enero de 12
  16. 16. Ejemplo WSS4J - Configuración Servidor Tomcat Axis WSS4J 11martes 10 de enero de 12
  17. 17. Ejemplo WSS4J - Configuración Servidor Tomcat Axis WSS4J 11martes 10 de enero de 12
  18. 18. Ejemplo WSS4J - Configuración 12martes 10 de enero de 12
  19. 19. Ejemplo WSS4J - Configuración 12martes 10 de enero de 12
  20. 20. Ejemplo WSS4J - Configuración 12martes 10 de enero de 12
  21. 21. Ejemplo WSS4J - Configuración 12martes 10 de enero de 12
  22. 22. Ejemplo WSS4J - Creacción del servicio sin seguridad 13martes 10 de enero de 12
  23. 23. Ejemplo WSS4J - Creacción del servicio sin seguridad Creacción del servicio Descriptor de despliegue Ejecución del cliente 13martes 10 de enero de 12
  24. 24. Ejemplo WSS4J - Creacción del servicio sin seguridad Creacción del servicio Descriptor de despliegue Ejecución del cliente 13martes 10 de enero de 12
  25. 25. Ejemplo WSS4J - Creacción del servicio sin seguridad Creacción del servicio Descriptor de despliegue Ejecución del cliente 13martes 10 de enero de 12
  26. 26. Ejemplo WSS4J - Creacción del servicio sin seguridad Creacción del servicio Descriptor de despliegue Ejecución del cliente 13martes 10 de enero de 12
  27. 27. Ejemplo WSS4J - Creacción del servicio sin seguridad Creacción del servicio Descriptor de despliegue Ejecución del cliente 13martes 10 de enero de 12
  28. 28. Ejemplo WSS4J - Creacción del servicio sin seguridad Creacción del servicio Descriptor de despliegue Ejecución del cliente 13martes 10 de enero de 12
  29. 29. Ejemplo WSS4J - Creacción del servicio sin seguridad 14martes 10 de enero de 12
  30. 30. Ejemplo WSS4J - Creacción del servicio sin seguridad 14martes 10 de enero de 12
  31. 31. Ejemplo WSS4J - Creacción del servicio sin seguridad 14martes 10 de enero de 12
  32. 32. Ejemplo WSS4J - Añadir Seguridad: Autenticacion Configurar el servicio 15martes 10 de enero de 12
  33. 33. Ejemplo WSS4J - Añadir Seguridad: Autenticacion Configurar el servicio 15martes 10 de enero de 12
  34. 34. Ejemplo WSS4J - Añadir Seguridad: Autenticacion Configurar el servicio 15martes 10 de enero de 12
  35. 35. Ejemplo WSS4J - Añadir Seguridad: Autenticacion Configurar el servicio 15martes 10 de enero de 12
  36. 36. Ejemplo WSS4J - Añadir Seguridad: Autenticacion 16martes 10 de enero de 12
  37. 37. Ejemplo WSS4J - Añadir Seguridad: Autenticacion Configurar el cliente 16martes 10 de enero de 12
  38. 38. Ejemplo WSS4J - Añadir Seguridad: Autenticacion Configurar el cliente 16martes 10 de enero de 12
  39. 39. Ejemplo WSS4J - Añadir Seguridad: Autenticacion Configurar el cliente 16martes 10 de enero de 12
  40. 40. Ejemplo WSS4J - Añadir Seguridad: Autenticacion 17martes 10 de enero de 12
  41. 41. Ejemplo WSS4J - Añadir Seguridad: Autenticacion 17martes 10 de enero de 12
  42. 42. Ejemplo WSS4J - Añadir Seguridad: Autenticacion 17martes 10 de enero de 12
  43. 43. Ejemplo WSS4J - Añadir Seguridad: firma y encriptado 18martes 10 de enero de 12
  44. 44. Ejemplo WSS4J - Añadir Seguridad: firma y encriptado Generar almacén de claves Creacción crypto.properties Modificar descriptor del servicio Modificar descriptor del cliente 18martes 10 de enero de 12
  45. 45. Ejemplo WSS4J - Añadir Seguridad: firma y encriptado Generar almacén de claves Creacción crypto.properties Modificar descriptor del servicio Modificar descriptor del cliente 18martes 10 de enero de 12
  46. 46. Ejemplo WSS4J - Añadir Seguridad: firma y encriptado Generar almacén de claves Creacción crypto.properties Modificar descriptor del servicio Modificar descriptor del cliente 18martes 10 de enero de 12
  47. 47. Ejemplo WSS4J - Añadir Seguridad: firma y encriptado Generar almacén de claves Creacción crypto.properties Modificar descriptor del servicio Modificar descriptor del cliente 18martes 10 de enero de 12
  48. 48. Ejemplo WSS4J - Añadir Seguridad: firma y encriptado Generar almacén de claves Creacción crypto.properties Modificar descriptor del servicio Modificar descriptor del cliente 18martes 10 de enero de 12
  49. 49. Ejemplo WSS4J - Añadir Seguridad: firma y encriptado Generar almacén de claves Creacción crypto.properties Modificar descriptor del servicio Modificar descriptor del cliente 18martes 10 de enero de 12
  50. 50. Ejemplo WSS4J - Añadir Seguridad: firma y encriptado Generar almacén de claves Creacción crypto.properties Modificar descriptor del servicio Modificar descriptor del cliente 18martes 10 de enero de 12
  51. 51. Ejemplo WSS4J - Añadir Seguridad: firma y encriptado Generar almacén de claves Creacción crypto.properties Modificar descriptor del servicio Modificar descriptor del cliente 18martes 10 de enero de 12
  52. 52. Ejemplo WSS4J - Añadir Seguridad: firma y encriptado 19martes 10 de enero de 12
  53. 53. Ejemplo WSS4J - Añadir Seguridad: firma y encriptado 19martes 10 de enero de 12
  54. 54. Ejemplo WSS4J - Añadir Seguridad: firma y encriptado 19martes 10 de enero de 12
  55. 55. Ejemplo WSS4J - Añadir Seguridad: firma y encriptado 19martes 10 de enero de 12
  56. 56. Ejemplo WSS4J - Añadir Seguridad: firma y encriptado 19martes 10 de enero de 12
  57. 57. FIN 20martes 10 de enero de 12

×