Professional Documents
Culture Documents
R A L I S PA R :
E N C A D R PA R :
HAMZA BENDHIBA
M . YO U N S E L BO UZ E K R I E L
ID R I S S I
AYO U B B E N H A M M O U
Plan
Introduction
Les Services
Web
Web Service
Security
Caractristiqu
es
Mcanismes
Conclusion
2
INTRODUCTION
SOAP
PEUT
Traiter les requtes SOAP entrantes
SOAP Server
PEUT PAS
WS-Security : Dfinition
Publie par Microsoft, IBM et Verisign
Le 19 avril 2004, la spcification WS-Security 1.0 a t lance par
OASIS-Open.
Dfinit un modle qui permet d'appliquer la scurit aux messages
SOAP.
Intgre les spcifications mises au point par le W3C autour du
chiffrement et de la signature des documents XML - XML
Encryption et XML Signature
Utilise des jetons de scurit combins des formats de
certificat
1
WS-Security : spcifications
WSSecureConcersatio
n
WS-Federation
WS-Authorizaion
WS-Policy
WS-Trust
WS-Privacy
WS-Security
SOAP Foundation
WS-Security : Caractristiques
WS-Security : Implmentation
SOAP Envelope
Security Feeder
SOAP Envelope
SOAP Body
Security Token
Signature
SOAP Body
SOAP
Web Service
Secure
SOAP
SOAP
WSS-module
SOAP
WSS-module
Requester
WS-Security : Communication
WS-Security
La spcification WS-Security dfinit un ensemble
dextension SOAP.
WS-Security sinspire des mcanismes existants
permettant la mise en place dune infrastructure
scurise
WS-Security propose quatre mcanismes constituant un
socle flexible
de protection
des services Web :
Signature
des messages
Chiffrement des messages
Transmission de jeton de scurit
Time-Stamp
Transmission de jeton
WS-Security permet de transmettre des jetons de scurit via des
systmes htrognes par l'inclusion de jetons de scurit fonde
sur des mcanismes standards indpendants des mcanismes de
transport spcifiques.
Transmission de jeton
Mcanismes
Avantages
Inconvnients
Utilisateur/mot
de passe
Kerberos
Trs scuris.
Ne fonctionne
qu'au sein d'un
domaine Kerberos.
X.509
Trs scuris.
Interoprabilit.
SAML
Mcanismes d'change
d'information
d'authentification et
d'autorisation.
Peu
d'implmentations
existant
aujourd'hui.
1
Transmission de jeton
Jeton couple utilisateur/mot de passe
2Validation
Username/Passwor
d
Envoi Requte
Message
3Envoi Rponse
Message
Service
Client
Transmission de jeton
Certificat numrique X.509
Transmission de jeton
Certificat numrique X.509
4 Attacher le
Certifica
te Store
S
C
Certificat Client
le
au message
5 Signer
1 Rcuprer le Certificat du Message avec
cl prive
Crypter
le
6 sa
Service
2 Rcuprer le Certificat
Message avec la
du Client
cl publique du
3 Rcuprer la Cl Prive
service
7 Envoi Requte
Message
Client
Service
Transmission de jeton
Certifica
te Store
Rcuprer le Certificat du 1
ServiceRcuprer la Cl Prive
2
4 Dcrypter le
message
5 Vrifier la
7 Envoi Message
Rponse
Client
signature
Service
Transmission de jeton
Jeton binaire : Kerberos
Kerberos est un protocole standard dauthentification au sein du
domaine, se basant sur une double authentification (aussi appele
authentification mutuelle ) de lidentit de lutilisateur et des
services rseaux.
lautorit
approuve
Client
Service
Transmission de jeton
Jeton binaire : Kerberos
Chiffrement
Chiffrement
Clef de
session
Clef de service
Ticket
Clef du
client
Transmis
au client
3Signer le
1 Demander un ticket de
service
2 Rcuprer le ticket de
message
4 Crypter le
message
Client
service
Service
Chiffrement
Authentifiant
Reu par
Le client
Authentifiant
Dchiffrement
Clef du
client
Transmis
Au service
Transmission de jeton
Jeton binaire : Kerberos
Centre de
distributio
n de cls
3Signer le
1 Demander un ticket de
service
2 Rcuprer le ticket de
message
4 Crypter le
message
6 Valider le jeton
service
5 Envoi Requte
Message
Client
Service
Transmission de jeton
Jeton binaire : Kerberos
Dchiffrement
Authentifiant
Authentifiant
Reu par
Le serveur
De ressource
Dchiffrement
OUI
Clef de service
Accs
Valide ?
NON
Refus
Transmission de jeton
Jeton binaire : Kerberos
Centre de
distributio
n de cls
3Signer le
1 Demander un ticket de
service
2 Rcuprer le ticket de
message
4 Crypter le
message
service
6 Valider le jeton
7 Dcrypter le
message
8Vrifier la
signature
5 Envoi Requte
Message
Client
Envoi Message
Rponse
Service
Transmission de jeton
Jeton XML : SAML
Transmission de jeton
Jeton XML : SAML
Service
de
jetons
avec le certificat
5 Signer le
Message
avec la cl.
Vrifier la signature
du jeton SAML
Vrifier la signature
du message.
revendication
6 Envoi Requte
9
Client
Message
Envoi Message
Rponse
Service
WS-Security : Timestamp
Cest important de vrifier la fracheur du message avant de commencer
son traitement.
Timestamp est mis dans chaque message SOAP afin que vous pouvez
rduire le risque d'attaques par rejeu.
<wsu:timestamp wsu:id="Timestamp-1" xmlns:wsu="http://docs.oasisopen.org/wss/2004/01/oasis-200401-wss-wssecurity-utility-1.0.xsd">
<wsu:created>2015-01-14T12:11:41.331Z</wsu:created>
<wsu:expires>2015-01-14T12:16:41.331Z</wsu:expires>
</wsu:timestamp>
WS-Security : Timestamp
Pirate
1 Envoi Requte
Message
Client
Service
WS-Security : Timestamp
Pirate
Service
Conclusion
WS-Security
WS-Federation
WS-Privacy
WS-Security
Policy
WS-SecureConversation
WS-Trust
XML Encryption
HTTP
SSL