Разширения на уеб услугите WSE в NET Мартин

Разширения на уеб услугите (WSE) в. NET Мартин Кулов Изпълнителен директор Code. Attest www. codeattest. com

Програма v. Сигурност при уеб услугите v. Знаци за сигурност (Security Tokens) – Автентикация – Авторизация – Цифрови подписи – Кодиране v. Издаване на знаци за сигурност v. Създаване на контекст за сигурност v. Дефиниране на политики за сигурност

Сигурност на уеб услугите v. Автентикация – кой си ти? v. Авторизация – какви права имаш? v. Сигурна комуникация – Конфиденциалност – кой може да прочете съобщението? – Интегритет – променено ли е съобщението?

Сигурна комуникация Сигурност на ниво протокол SSL Security v. Кодира цялото съобщение v. Подателя се доверява на всички посредници v. Ограничава протоколите които могат да се използват

Сигурна комуникация Сигурност на ниво съобщение v Сигурността е независима от транспортния протокол v Подържа различни протоколи и стандарти за кодиране v Кодира само части от съобщението v Подателя се доверява само на крайния получател

Демонстрация Използване на WSE Settings Tool за настройка на съществуващо приложение

Криптографски методи v. Симетрично кодиране – данните се кодират със секретен ключ v. Асиметрично кодиране – данните се кодират със двойка публичен/личен ключ v. Хеширане – еднопосочно генериране на ‘почти’ уникален низ v. Цифров подпис – хеширане и кодиране на хешът с личен ключ

Кодиране на съобщение Подател Генериран ключ Публичен ключ на получателя Симетричен Кодиране Искам да живея в сигурен свят Кодиране Кодиран ключ Py 75 c%bn&*) 9|f. De^b. DFaq #xzj. Fr@g 5= &nmd. Fg$5 kn v. Md’rkveg. Ms”

Декодиране на съобщение Получател Личен Кодиран ключ Py 75 c%bn&*) 9|f. De^b. DFaq #xzj. Fr@g 5= &nmd. Fg$5 kn v. Md’rkveg. Ms” Личен ключ на получателя Симетричен Декодиране Искам да живея в сигурен свят

Създаване на цифров подпис 128 битово извлечение Искам да живея в сигурен свят Хеш функция (SHA, MD 5) Цифров подпис Py 75 c%bn&*)9|f. De^b DFaq#xzj. Fr@g 5=&n md. Fg$5 knv. Md’rkveg Ms” Съобщение Jrf 843 kjfgf* £$&Hdif*7 o Usd*&@: <C HDFHSD(** Асиметрично кодиране Личен

Проверка на цифров подпис Цифров подпис Jrf 843 kjf gf*£$&Hd if*7 o. Usd *&@: <CHD FHSD(** Асиметрично декодиране Публичен Оригинално съобщение Искам да живея в сигурен свят Използваната хеш функция Py 75 c%bn&*) 9|f. De^b. DFaq #xzj. Fr@g 5= &nmd. Fg$5 kn v. Md’rkveg. Ms” Еднакви ли са? Py 75 c%bn&*) 9|f. De^b. DFaq #xzj. Fr@g 5= &nmd. Fg$5 kn v. Md’rkveg. Ms”

Сигурност на уеб услугите WS-Security v Структура за изграждане на сигурни протоколи – Интегритет – Конфиденциалност – Разпространение на знаци за сигурност (security tokens) v Осигурява сигурност на съобщението от подателя до получателя – Подържа различен брой посредници – Независим от протокола за пренасяне v Заменяеми алгоритми – Кодиране, Извлечение, Подпис, Canonicalization, Преобразуване

Знаци за сигурност (Security Tokens) v Знаците предявяват иск за идентичност, възможност, привилегия Неподписан Потребителско име … Подписан X. 509 Security Context SAML Kerberos Xr. ML … Доказателство Таен споделен ключ Парола

Знак с потребителско име (Username token) v. Прост метод за предаване на потребителското име v. Паролата се използва за генериране на таен ключ за подписване и кодиране v. Паролата може да се изпрати в прав текст или чрез извлечение (digest) – WSE предлага вграден механизъм за защита от replay атаки – WSE автоматично създава Windows Principal за пароли в прост текст

Автентикация на уеб услуги Управляване на знаци с потребителско име v Създаваме клас който наследява класа Username. Token. Manager – Проверяваме user credentials в база, връщаме паролата – Извличаме списък с ролите – Създаваме собствен IPrincipal обект с ролите – Закачаме IPrincipal към token. Principal v Регистрираме Token. Manager класа чрез web. config

Авторизация със знаци Принципали и роли v WSE използва Security. Token. Principal за да извърши авторизацията – Автоматично се задава за Username. Token и Kerberos. Security. Token v IPrincipal – Основа за всяка авторизация на ниво код и сигурност чрез роли – Поддръжка за собствени IPrincipal типове v Token. Managers могат да създават Generic. Principal

Авторизация Техники v. Програмируемо … if (token. Principal. Is. In. Role(“The. Usual. Suspects")) then { // } … v. Базира се на политики – WSE подържа използването на политики за авторизация чрез роли • Работи без да пишете код

Демонстрация Автентикация и авторизация чрез знак с потребителско име

Използване на знак с потребителско име v. Препоръчителна употреба – През защитена среда – Да се имплементира размяна на ключове – WSE 2. 0 SP 2 ще кодира знака автоматично

Двоични знаци X 509 знаци v. Дава начин за кодиране на X 509 сертификати v. Издават се от Certificate Authority като Windows Certificate Services v. Съдържат публичен ключ и цифров подпис от Certificate Authority v. Подържа асиметрично кодиране и подписване

Двоични знаци Kerberos знаци v. Кодирани Kerberos Tickets v. Подържа подписване и кодиране чрез симетричен ключ v. Извличат се от Kerberos Distribution Centre v. WSE автоматично създава Principal Собствени знаци v. WSE подържа собствени двоични и XML знаци

Демонстрация Подписване и кодиране чрез знак с потребителско име

Дефиниране на политика за сигурност WS-Policy v. WS-Policy описва изискванията на услугата чрез XML синтакс v. По-високо ниво от WSDL v. Политиката може да се дефинира при подателя и при получателя v. Намаля кода, който програмиста трябва да напише

Политика WS-Security. Policy v. Описва изискванията за сигурност на уеб услугата v. Дава начин за специфициране на: – Подържаните типове знаци – Изисквания за подписване и кодиране – Решения базирани на роля – Изисквания за Secure Conversation

Демонстрация Конфигуриране на политика за сигурност

Сдобиване със знаци за сигурност WS-Trust v. Дефинира протокол за издаване и сдобиване със знаци за сигурност v. Използва Security Token Service (STS) за издаване на знаци – Клиента и услугата се доверяват на STS без да е необходимо да се доверяват един на друг – STS може да разменя един тип знак за друг тип

Сдобиване със знаци за сигурност 1. RST Security Token Service О до бл ве ас ри т н е а 2. RSTR Услуга Клиент 3. Съобщение

Създаване на контекст за сигурност v. Асиметричните ключове са бавни за голям брой съобщения v. WS-Secure. Conversation дефинира знак Security. Context (SCT) – Базира се на симетричен ключ – По-бърз е за многократни извиквания

Създаване на контекст за сигурност v. Контекстът може да бъде установен по различни начини – Чрез WS-Trust – Чрез създаване от едната страна – Чрез уговаряне v. STS може да се намира при услугата или на отделна крайна точка v. WSE подържа автоматично използване на Secure Conversation

Secure Conversation Заявка за SCT се издава на клиента Клиент Серия от съобщения подписани чрез издадения SCT Сървър

Наследен знак за сигурност v. Derived. Key. Token създава различен ключ за всяко съобщение v. Гарантира, че се използва различен ключ за всяко съобщение v. Прави атака с разбиване на шифър по -трудна v. Използвайте го където е възможно

Демонстрация Използване на WS-Secure. Conversation със WSE

Преглед v WSE предоставя – Прост, разширяем, програмен модел върху WSSecurity – Сигурност на ниво съобщение върху различни протоколи – Файлове за конфигуриране и политики, които определят сигурността с минимално количество код v Използвайте знаци с потребителско име само в сигурна среда (до WSE 2. 0 SP 2) v Използвайте автоматичната поддръжка на WSE за WS-Secure. Conversation и наследени ключове

Въпроси?

Литература v http: //msdn. microsoft. com/webservices/build ing/wse v news: //microsoft. public. dotnet. framework. we bservices. enhancements v WS-Security Authentication and Digital Signatures with Web Services Enhancements v WS-Security Drilldown in Web Services Enhancements 2. 0 v Using Role-Based Security with Web Services Enhancements 2. 0

Литература v WS-Security Authentication and Digital Signatures with Web Services Enhancements v Encrypting SOAP Messages Using Web Services Enhancements v Inside the Web Services Enhancements Pipeline v Using WS-Trust and WS-Secure. Conversation v New Technologies Help You Make Your Web Services More Secure