L'Architecture Orientée Services et J2EE. Ahmed ALAMI's WEBLOG. - securite

WS-Federation

noreply@blogspirit.com (alamix) — Tue, 27 Dec 2005 05:20:00 +0100

WS-Federation propose une généralisation des spécifications de WS-Trust en proposant des mécanismes de fédération et de gestion d’identité. La fédération d’identité consiste en la mise en place d’un système de SSOn (Single Sign On), permettant de propager des identités entre les différents participants à un service et d’un système SSOff (Single Sign Off ou Global Logout) qui permet de mettre fin à toutes les sessions ouvertes par les participants de la transaction. WS-Federation permet entre autres…

Concepts de sécurité SOA

noreply@blogspirit.com (alamix) — Mon, 26 Dec 2005 07:40:00 +0100

Profile

Un profile est un document qui décrit le modèle de sécurité associé à un type ou à une classe de client. Le client peut être par exemple, un navigateur classique (appelé client passif) capable d’envoyer des requêtes http classiques ou un client actif capable d’envoyer des requêtes basées sur SOAP et de comprendre le résultat.

Claim (Réclamation)

Elle spécifie une déclaration ou une revendication faite par une entité concernant par exemple, un nom, une identité,…

Modèle de sécurité SOA, J2EE, WS-*

noreply@blogspirit.com (alamix) — Wed, 21 Dec 2005 16:45:00 +0100

Dans ce chapitre on va décrire un modèle de sécurité faisant intervenir les concepts de l’architecture orientée services, des spécifications WS-* et plus particulièrement WS-Security et la plate-forme J2EE.

La sécurité des services Web fait partie intégrante de la stack des spécifications WS-*.

Plusieurs standards lui sont associés. Les plus importants et les plus stables en terme de spécifications sont cités ci-dessous. Pour plus de détails concernant chaque spécification se reporter aux autres livres blancs sur…

WS-SecurityPolicy

noreply@blogspirit.com (alamix) — Tue, 20 Dec 2005 15:55:00 +0100

WS-SecurityPolicy fait partie des spécifications relatives à WS-Policy.

WS-Policy se base sur un modèle de programmation déclarative qui permet d’attacher des pré-requis, des stratégies et des paramétrages nécessaires à des services Web. WS-SecurityPolicy spécifie des stratégies de sécurité, il définit un ensemble de types d’assertions, elles sont décrites ci-dessous :

…


wsse:SecurityToken	Spécifie un type exigible du jeton de sécurité défini par WS-Security.
wsse:Integrity	Spécifie un format de signature défini par WS-Security.
wsse:Confidentiality	Spécifie un format de

Sécurité SOA niveau transport

noreply@blogspirit.com (alamix) — Wed, 14 Dec 2005 10:25:00 +0100

La sécurité niveau transport fournit la confidentialité et l’intégrité des données transportées entre deux applications, mais aussi l’authentification de ces dernières. Le modèle de sécurité le plus utilisé dans le monde de l’Internet est la combinaison entre SSL et HTTP Basic Authentication. HTTP Basic Authentication nécessite une user Id et un mot de passe et SSL étant un protocole sécurisé de transmission de données via des méthodes de cryptage.

Le protocole SSL (Secure Socket Layer) est…

Le scénario WS-Trust

noreply@blogspirit.com (alamix) — Mon, 12 Dec 2005 07:00:00 +0100

Le scénario WS-Trust

Dans une architecture basique un Client envoie un message SOAP contenant une entête WS-Security. Le but de la Gateway (passerelle) et du STS est d'assurer que le service reçoit un message sécurisé avec des jetons valides et compréhensibles. La gateway et le STS utilisent des messages WS-Trust pour permettre un traitement interopérable entre le client et le service demandé.

La gateway se trouve en frontal des services. Les clients peuvent attaquer directement la…

WS-Trust

noreply@blogspirit.com (alamix) — Fri, 09 Dec 2005 00:20:00 +0100

Il existe plusieurs formats des jetons de sécurité (Certificats X 509, Ticket Kerberos, Assertions SAML, politiques XACML, etc), ceci nécessite de la part des acteurs d’un service Web de comprendre ces différents jetons. Par conséquent, il n’existe aucune garantie qu’un récepteur de message SOAP puisse comprendre un jeton de sécurité envoyé par un client d’un service web. Un nouveau problème se pose, celui de l’interopérabilité en terme de sécurité. Comment sera mappé un jeton de sécurité…

XML Signature (Suite)

noreply@blogspirit.com (alamix) — Mon, 31 Oct 2005 06:55:00 +0100

Les composants de XML Signature

…

Balise	Description
Reference	Chaque ressource à signer est associée à sa propre référence identifiée via l’attribut URI.
Transforms	Cet élément spécifie la liste des étapes appliquées au contenu de la ressource référencée avant de subir un digest.
DigestValue	Cet élément comporte la valeur du digest correspondant à la ressource référencée.
SignatureValue	Cet élément spécifie la valeur du digest crypté de l’élément Signedinfo
KEyInfo	Cet élément indique la clef à utiliser pour

XML Signature

noreply@blogspirit.com (alamix) — Fri, 28 Oct 2005 07:25:00 +0200

Les signatures XML sont des signatures digitales utilisées pour fournir les mécanismes d’authentification, d’intégrité des données et la non répudiation. Le dispositif les plus intéressant de XML Signature et qui lui confère une faculté de flexibilité est la capacité à signer des portions spécifiques du document XML. Cette flexibilité peut être utile pour assurer l’intégrité de certaines parties signées par plusieurs partenaires participants à une seule et même transaction.

XML Signature peut gérer plusieurs types de…

La sécurité des données

noreply@blogspirit.com (alamix) — Thu, 27 Oct 2005 13:05:00 +0200

XML est un format riche en terme de sémantique, fournit une représentation structurée des données, se décrit en fichiers texte et présente la facilité d’être utilisé dans un contexte Web. Tout ceci permet à XML de devenir un standard incontournable dans les échanges de type e-Business entre une entreprise et ses partenaires. Ceci dit, cet échange ouvre une difficulté ou un challenge, celui de sécuriser les données de ces échanges. Cette sécurisation consiste en le cryptage…