Soaj2ee Security

November 2019
PDF

This document was uploaded by user and they confirmed that they have the permission to share it. If you are author or own the copyright of this book, please report to us by using this DMCA report form. Report DMCA

Overview

Download & View Soaj2ee Security as PDF for free.

More details

Words: 7,147
Pages: 23

Preview
Full text

......................................................................................................................................

Livre Blanc de sécurité SOA. v.1.0 Project Documentation

...................................................................................................................................... OpenCap - Ahmed ALAMI

18 January 2006

TABLE OF CONTENTS

i

Table of Contents ......................................................................................................................................

1

Introduction

1.1 Avant Propos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1

2

La sécurité et SOA

2.1 Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3 2.2 La démarche de sécurité . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4 2.3 Les coûts de la sécurité . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6

3

Un modèle de sécurite SOA, J2EE, WS-*

3.1 Des Concepts de base . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8 3.2 Un modéle de sécurité . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11 3.3 Questions de sécurité . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15

4

Conclusion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

5

Annexes

5.1 Où trouver les spécifications? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18 5.2 Ressources de documentation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19

©2005 OPENCAP - AHMED ALAMI • ALL RIGHTS RESERVED

TABLE OF CONTENTS

©2005 OPENCAP - AHMED ALAMI • ALL RIGHTS RESERVED

ii

1.1 AVANT PROPOS

1.1

1

Avant Propos ......................................................................................................................................

! " # $ % &"' % ( ( ) *+

! " # $

! % & '( ) * La sécurité niveau Transport ) + ' # ( ,-. ', - .#/(

+ 0 * La sécurité niveau Message ) 1 2

3

! * Sécurité niveau application ) 456

! * Sécurité niveau Données ) "0 / ! * Sécurité niveau Environnement ) 7 3 8

! # ! 9 #

! 4 # ! #

' ( ) * % 03 +:+ * %

* " 6 * 4+6 * " * - 03 * ; < 0 03

©2005 OPENCAP - AHMED ALAMI • ALL RIGHTS RESERVED

1.1 AVANT PROPOS

2

# ) *

* * * * + 4 03 0 # ! # 8 :

! 1 ! = 2 8 : ! 1 + 8 ' > (! #

) % ? '97@( 03 A !

!

/ ! = # ! B 2

WS-Security

SAML :

! % :

: Kerberos XKMS XACML : / !

+:+ !

!

©2005 OPENCAP - AHMED ALAMI • ALL RIGHTS RESERVED

2.1 INTRODUCTION

2.1

3

Introduction ......................................................................................................................................

& % CDEF+G!

: ! ! &

3 ! " / ! < ! 2 ) Protéger le référentiel de services ou les domaines de services contre les risques, et ce d’une manière qui est adaptée à l’entreprise, à son environnement et à l’état du référentiel de services.

* - ) " & + ! * ) %

2! " : 03 ! * " ) %

* 9 3 : ) 9 0! * ) %

! * ) %

!

©2005 OPENCAP - AHMED ALAMI • ALL RIGHTS RESERVED

2.2 LA DéMARCHE DE SéCURITé

2.2

4

La démarche de sécurité ......................................................................................................................................

3 H ! " 03 : & I " : ! " ! 1

2

3 03 ! ) J! %

G! %

K! %

03 D! %

03 L! 9 M! " & + 2 : 03 ! 9N ! 4 O 2 O O ! 9 : O8 : : ! K ) +) Actifs

On se demande d'abord quels processus metier sont vraiment indispensables pour que le système d’information puisse remplir sa mission. En d'autres termes, quels sont les équipements, les applications, le personnel informatique dont l'entreprise.

...................................................................................................................................... Risques

Le risque résulte de la combinaison de menaces et de vulnérabilités. Ici, on privilégie les menaces probables, ainsi que les vulnérabilités les plus pertinentes: • Menaces: la menace majeure vient-elle de l'extérieur de l'entreprise ou de l'intérieur?. Vient-elle d'interventions humaines ? • Vulnérabilités: sont-elles liées à des faiblesses de l'organisation du service informatique ? Sont-elles liées aux techniques informatiques utilisées?

...................................................................................................................................... Contre- mesures

À ce stade, on sait quels sont les vrais risques qui pèsent sur les actifs les plus importants. On sait par où commencer, quoi protéger et contre quoi. Les contre-mesures de sécurité découlent naturellement. Ici–et seulement ici–on entre dans la technique!

©2005 OPENCAP - AHMED ALAMI • ALL RIGHTS RESERVED

2.2 LA DéMARCHE DE SéCURITé

©2005 OPENCAP - AHMED ALAMI • ALL RIGHTS RESERVED

5

2.3 LES COûTS DE LA SéCURITé

2.3

6

Les coûts de la sécurité ......................................................................................................................................

< ? ! " < :

! 4

!

Les Performances

) * "P * "0 * 9 0 *

* * 4 * ,

* * -! " 2 <

3 ! "

! %

2 8

! " 8 !

La veille Technologique #

!

:

$ ! "

!

L’intégration et l’interopérabilité

©2005 OPENCAP - AHMED ALAMI • ALL RIGHTS RESERVED

2.3 LES COûTS DE LA SéCURITé

1 8 ) * 4+ 0 8 Q * " 2 Q * +

Q * " 3 Q * " Q %

! "

!

©2005 OPENCAP - AHMED ALAMI • ALL RIGHTS RESERVED

7

3.1 DES CONCEPTS DE BASE

3.1

8

Des Concepts de base ......................................................................................................................................

L’identité # : 03 ' ( R 8 !

#

! # : & # ! 9 3 ! - S = 0 T

%!

Profile 1 3 : 0 : !

8 ' (

0 8

0 8 - !

Claim (Réclamation) 4

3

A

Jeton de sécurité 1 2 : !

Jeton de sécurité signé 1 2 2 0 '

U!LVE / W (

Signature 1

0 !

©2005 OPENCAP - AHMED ALAMI • ALL RIGHTS RESERVED

3.1 DES CONCEPTS DE BASE

9

3 !

STS (Security Token Service) 1 =

2 ' 3

+=(! %

!

Principal = 8 : # !

AS (Attribute Service) 1

' (

!

Realm/Domain 1

!

Trust (Confiance) : !

Trust Domain (Domaine de confiance) 1 8

!

Fédération 1 > !

!

Fournisseur d’identité (Identity Provider) 1

! "

!

©2005 OPENCAP - AHMED ALAMI • ALL RIGHTS RESERVED

3.1 DES CONCEPTS DE BASE

10

Mapping d’identité (Identity Mapping) " : : : $ # !

Single Sign On (SSO) :

2 ! "

: !

Single Sign Off ou Global Logout : !

©2005 OPENCAP - AHMED ALAMI • ALL RIGHTS RESERVED

3.2 UN MODéLE DE SéCURITé

3.2

11

Un modéle de sécurité ......................................................................................................................................

9 3 O

+X 3 + 0 + 5G44!

/

+X! - !

+! -

!

©2005 OPENCAP - AHMED ALAMI • ALL RIGHTS RESERVED

3.2 UN MODéLE DE SéCURITé

12

O :

O " O ! 4

: ! 2 8

O ! + 3 !

©2005 OPENCAP - AHMED ALAMI • ALL RIGHTS RESERVED

3.2 UN MODéLE DE SéCURITé

13

" + J! O : O 0 8 ! 9 + 5G44

O 5 +;-"! G! 1 O 8 3 :

8! : ! -

O : O 3

9 ! K! 9 O : O 0 ' ( : O ! "

! D! O " %3 O

8 0! 4 0 0 O 0 2 O ! L! O O ! M! 1 O 2 3 O ! C! 8 -! % 0 2 : O8 ! 1 0 : O ! F! O O

0 2 O ! 1 ! " + :

!

©2005 OPENCAP - AHMED ALAMI • ALL RIGHTS RESERVED

3.2 UN MODéLE DE SéCURITé

©2005 OPENCAP - AHMED ALAMI • ALL RIGHTS RESERVED

14

3.3 QUESTIONS DE SéCURITé

3.3

15

Questions de sécurité ......................................................................................................................................

2 : ! % 2 ! + : ! " 2 !

Interception des messages 0 ! 1 8 ! 9 8

8 ! " 8 !

3 : 0 !

: 0

!

Usurpation d’identité 2 : 03 ! " 8 !

Attaques de dénis de service 9 - 8 8 0

3 # 8

! " 8 # !

Attaques de Replay "

# 0 ) ; 0 ! " : 2: 0 ! % 0

+ 0! * . ) . 2 3

©2005 OPENCAP - AHMED ALAMI • ALL RIGHTS RESERVED

3.3 QUESTIONS DE SéCURITé

16

+ 2 1 =/! 2 8 8 0 ; 0! * = ) = 8 0 ! 4 2 0 ; 0! Y#) Z! Y#) Z! " + )

<S:Envelope xmlns:S="http://www.w3.org/2001/12/soap-envelope"> <S:Header> <wsse:Security> <wsse:UsernameToken"> <wsse:Username>USER <wsse:Password Type="wsse:PasswordDigest">D2A12DFE8D <wsse:Nonce>EFD89F06CCB28C89 <wsu:Created>2005-06-02T07:41:06Z <wsu:Timestamp> <wsu:Created>2005-06-02T07:41:06Z <wsu:Expires>2005-06-02T15:41:06Z

Important : Les éléments timestamp et nonce doivent tous deux être signés. Dans le cas contraire, ils peuvent être facilement modifiés et ne peuvent plus empêcher les attaques de réexécution (replay).

Protection du jeton Nom d'utilisateur avec un mot de passe % 0 : 2 1 =/ ! 9

= U7 + 0 ! : ! =

0 : O : !

Protection des jetons de sécurité % 2 O 2! 9 : O 2 ! 2 O

: O ! O 2 ' O

: ( ! 9

2 O !

©2005 OPENCAP - AHMED ALAMI • ALL RIGHTS RESERVED

3.3 QUESTIONS DE SéCURITé

17

Vérification du certificat et l'utilisation de listes de révocation de certificats % O O 2 ! - 2 U!LVE

O O

'";(! %

: O "; "- ' "

- (!

©2005 OPENCAP - AHMED ALAMI • ALL RIGHTS RESERVED

5.1 Où TROUVER LES SPéCIFICATIONS?

5.1

18

Où trouver les spécifications? ......................................................................................................................................

SAML

http://www.oasis-open.org/committees/security/

XML-Signature

http://www.w3c.org/Signature/

...................................................................................................................................... Security Services TC http://www.oasis-open.org/committees/tc_home.php?wg_abbrev=wss ...................................................................................................................................... WS-Federation http://www-106.ibm.com/developerworks/webservices/library/ws-fedworld/ ...................................................................................................................................... WS-Security http://www.oasis-open.org/committees/tc_home.php?wg_abbrev=wss ...................................................................................................................................... WS-SecureConversation http://www-106.ibm.com/developerworks/webservices/library/ws-secon/ ...................................................................................................................................... WS-SecurityPolicy http://www-106.ibm.com/developerworks/webservices/library/ws-secpol/ ...................................................................................................................................... WS-Trust http://msdn.microsoft.com/library/en-us/dnglobspec/html/ws-trust.asp ...................................................................................................................................... XML-Encryption http://www.w3c.org/Encryption/2001/ ......................................................................................................................................

©2005 OPENCAP - AHMED ALAMI • ALL RIGHTS RESERVED

5.2 RESSOURCES DE DOCUMENTATION

5.2

19

Ressources de documentation ......................................................................................................................................

" + ! Basic Security Profile Working Group

http://www.ws-i.org/deliverables/workinggroup.aspx?wg=basicsecurity

Public Key Infrastructure (PKI) (Anglais)

http://www.pki-page.org/

Public Key Infrastructure (PKI) (Francais)

http://www.hsc.fr/ressources/cours/pki/index.html.fr

WS-Security Kerberos

http://www.oasis-open.org/committees/download.php/1049/WSS-Kerberos-03.pdf

SAML (Security Assertion Markup Language)

http://www.oasis-open.org/committees/download.php/1048/WSS-SAML-06.pdf

REL (Rights Express Language)

http://www.oasis-open.org/committees/download.php/7347/oasis-____-wss-REL-token-profile-1.0-draft08-clean.pdf

OpenSAML 1.0.1 - an Open Source Security Assertion Markup Language implementation

http://www.opensaml.org/

The XML Apache Security Project

http://xml.apache.org/security/index.html

Ehe Apache Directory Project Kerberos

http://directory.apache.org/subprojects/kerberos.html

La légion de Bouncy Castle

http://www.bouncycastle.org/fr/index.html

AXIS WSSE Security

http://axis-wsse.sourceforge.net/#home

VeriSign Offers Open Source WS-Security Implementation and Integration Toolkit

http://www.verisign.com/verisign-inc/news-and-events/news-archive/us-news-2002/page_000810.html

FIX : Financial Information eXchange protocol

http://www.fixprotocol.org

IIOP : Internet Inter-ORB Protocol

http://www.omg.org

UDDI : Universal Description, Discovery and Integration

http://www.uddi.org

SPEC

SITE

!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

©2005 OPENCAP - AHMED ALAMI • ALL RIGHTS RESERVED

Soaj2ee Security

Overview

More details

Related Documents

Soaj2ee Security

Soaj2ee Security Message

Soaj2ee Security Transport

Soaj2ee Security Data

Security

Security