Responsable du cours : Héla Hachicha. Année Universitaire : 2011-2012



Documents pareils
Urbanisation des SI Conduite du changement IT 20/03/09. Patrick CHAMBET

Sécurité. Objectifs Gestion de PKI Signature Cryptage Web Service Security

Single Sign On. Nicolas Dewaele. Single Sign On. Page 1. et Web SSO

Web Services : Beyond the peer-to-peer architecture

Tour d horizon des différents SSO disponibles

Architectures de fédération d'identités et interopérabilité

ABB personnalise son service client avec la plate-forme en ligne One ABB on the Web Jan Anders Solvik, Håkan Wärdell, Nathan Becker

Les Services Web. Jean-Pierre BORG EFORT

plate-forme PaaS (Authentification)

Projet de Conception N 1 Automatisation d'un processus de paiement. Livrable: Spécification du système de compensation

Solutions Microsoft Identity and Access

Oauth : un protocole d'autorisation qui authentifie?

Web Services ADFS. Etudiant : Pellarin Anthony. Professeur : Litzistorf Gérald. En collaboration avec : Sogeti. Date du travail :

Filière Informatique de gestion

4. SERVICES WEB REST 46

EJBCA PKI. Yannick Quenec'hdu Reponsable BU sécurité

Shibboleth. David Verdin - JOSY "Authentification centralisée pour les applications web" - Paris - 4 février mai

La sécurité des processus métiers et des transactions. Stéphane Marcassin Bull Services Sécurité

Sécurité des réseaux IPSec

OASIS Date de publication

XML, PMML, SOAP. Rapport. EPITA SCIA Promo janvier Julien Lemoine Alexandre Thibault Nicolas Wiest-Million

WEBSERVICES. Michael Fortier. Master Informatique 2ème année. A308, Université de Paris 13

XML et Sécurité. Didier DONSEZ. Université Joseph Fourier IMA IMAG/LSR/ADELE 'LGLHU'RQVH]#LPDJIU

Formation SSO / Fédération

Sécurisation des architectures traditionnelles et des SOA

Le cadre des Web Services Partie 1 : Introduction

CIBLE DE SECURITE CSPN DU PRODUIT PASS. (Product for Advanced SSO)

SSL ET IPSEC. Licence Pro ATC Amel Guetat

EJBCA Le futur de la PKI

Sécurité des Web Services (SOAP vs REST)

MINISTÈRE DES SOLIDARITÉ ET DE LA COHÉSION SOCIALE

Introduction aux. services web 2 / 2

Authentification avec CAS sous PRONOTE.net Version du lundi 19 septembre 2011

Introduction aux architectures web de Single Sign-on

Solutions d accès sécurisées pour opérer une Market Place Saas multitenante

Qu'est ce qu'une Fédération d'identités? Définitions Fonctionnement de base Fonctionnement détaillé Les principaux composants

Classification : public 1/59

ENVOLE 1.5. Calendrier Envole

[ Sécurisation des canaux de communication

MINISTÈRE DES SOLIDARITÉ ET DE LA COHÉSION SOCIALE

PortWise Access Management Suite

Analyse des techniques et des standards pour l interopérabilité entre plateformes

Protocoles utilisant des mécanismes d'authentification: TACACS+, RADIUS et Kerberos

Le bon sens et l expérience

Single Sign-On open source avec CAS (Central Authentication Service)

Volet Synchrone pour Client Lourd

Certificats X509 & Infrastructure de Gestion de Clés. Claude Gross CNRS/UREC

PASS v2.0 : solution d authentification unique basée sur les composants Shibboleth Service Provider v2.5.1 et Identity Provider v2.3.

*Classement PAC

Supplément de renseignements : Examens d applications et pare-feux d applications web clarifiés Normes : Normes en matière de sécurité des données de

Comment assurer la gestion des identités et des accès sous forme d un service Cloud?

API Web Service TéléAlerte

ASIP Santé DST des interfaces MSSanté des Clients de messagerie v /02/ / 95

Le protocole SSH (Secure Shell)

La Latecion protection anti-intrusion Web Web Le concept «Zero effort Security» La protection des applications Extranet

SAML et services hors web

Application des Spécifications détaillées pour la Retraite, architecture portail à portail

Information sur l accés sécurisé aux services Baer Online Monaco

Protocoles d authentification

Tunnels. Plan. Pourquoi? Comment? Qu est-ce? Quelles solutions? Tunnels applicatifs ESIL INFO 2005/2006. Sophie Nicoud

Industrie des cartes de paiement (PCI) Norme de sécurité des données Récapitulatif des modifications de

Public Key Infrastructure (PKI)

Sujet 2 : Interconnexion de réseaux IP (routeurs CISCO). Sujet 3 : Implémentation d un serveur VPN avec OpenVPN.

Présentation de Active Directory

Introduction aux services Active Directory

Langage HTML (2 partie) <HyperText Markup Language> <tv>lt La Salle Avignon BTS IRIS</tv>

La sécurité dans les grilles

IPFIX (Internet Protocol Information export)

La fédération d identités, pourquoi et comment? Olivier Salaün, RENATER ANF Mathrice 2014

EA D S INNOVA TION W ORKS. Pass The Hash. Nicolas RUFF EADS-IW SE/CS nicolas.ruff (à) eads.net

DESCRIPTION DU COMPOSANT

Drupal et les SSO Nicolas Bocquet < nbocquet@linalis.com >

Introduction. aux architectures web. de Single Sign-On

Secure Java Card for Federate Identity Management

BES WEBDEVELOPER ACTIVITÉ RÔLE

Implémentation libre de Liberty Alliance. Frédéric Péters

Innovation technologique dans les établissements scolaires : l ENT, les impacts sur l organisation du travail et les risques associés

étendre l authentification unique Web à des environnements Cloud et mobiles agility made possible

Étude des architectures de sécurité orientées service. par. Alexandre Beaupré

L'AAA, késako? Bruno Bonfils, fr.org>, Novembre Sous ce terme d'apparence barbare est regroupé l'ensemble des concepts suivants :

WIFI sécurisé en entreprise (sur un Active Directory 2008)

EXPOSE. La SuisseID, qu est ce que c est? Secrétariat d Etat à l Economie SECO Pierre Hemmer, Chef du développement egovernment

A. À propos des annuaires

Attaques sur les Web Services. Renaud Bidou

Fiche technique. NCP Secure Enterprise Management, SEM. Technologie d'accès à distance au réseau nouvelle génération

Les Réseaux Privés Virtuels (VPN) Définition d'un VPN

OZSSI NORD 4 JUIN LILLE. Conférence thématique: Sécurité des applications

La démarche SOA et l interopérabilité applicative

La citadelle électronique séminaire du 14 mars 2002

Gestion des Clés. Pr Belkhir Abdelkader. 10/04/2013 Pr BELKHIR Abdelkader

Gestion de l identité en environnement Web 2.0

Présentation SafeNet Authentication Service (SAS) Octobre 2013

Petite définition : Présentation :

État Réalisé En cours Planifié

Transcription:

Chapitre 4- WS-Security Responsable du cours : Héla Hachicha Année Universitaire : 2011-2012 1 WS-Security (Microsoft) WS-Security est le standard proposé par IBM, Microsoft, VeriSign et Forum Systems pour la sécurisation des services interopérables. Plus large que SAML. Il accueille les spécifications tierces comme SAML, XrML, mais aussi Kerberos, X509... Le protocole WS-Security est maintenant officiellement appelé WSS (Web Services Security) et développé via un comité dans Oasis-Open. OASIS WSS : http://www.oasis-open.org/specs/index.php#wssv1.1 WSS s occupe de l ensemble des composantes de la sécurisation : de l'authentification des utilisateurs et des composants en présence en passant par le chiffrement, et la gestion de l'intégrité des messages par le biais de certificats WSS a été conçue pour sécuriser les échanges mis en œuvre sous forme de Web Services entre deux applications distantes. 2 1

WS-Security (Microsoft) Jeton binaire : Kerberos Kerberos est un protocole standard (RFC-1510) d authentification au sein du domaine, se basant sur une double authentification (aussi appelée authentification «mutuelle») de l identité de l utilisateur et des services réseaux. Microsoft en propose une implémentation dans ses systèmes d exploitation à partir de la version 2000 (Kerberos V5). Jeton binaire : certificat X.509 Un certificat numérique X.509 permet d indiquer précisément qui est l utilisateur en lui associant une clé publique. Il peut être employé à des fins d authentification, de signature, de confidentialité, et d intégrité. Un certificat est un document numérique contenant une clé publique, l identité de son propriétaire, le tout signé par un Tiers de confiance. C est ce dernier, appelé Autorité de certification, qui atteste la véracité du lien entre la clé et le propriétaire et il le prouve en signant le document avec sa clé privée. Les applications peuvent ainsi vérifier l authenticité de cette signature en utilisant la clé publique du Tiers de confiance. 3 XrML (extensible rights Markup Language) XrML est un langage proposé par Content Guard (joint venture entre Xerox et Microsoft), pour spécifier et protéger les droits et indiquer les conditions (licences) associées à l utilisation et à la protection du contenu. 4 2

WS-Security (Microsoft) Requester SOAP WSS-module Secure SOAP SOAP WSS-module SOAP Web Service 5 Sécurisation : WS-Security WS-Security : Ensemble de protocoles pour sécuriser les services Web Englobe les standards : XKMS (XML Key Management Specification) spécification conjointe du W3C et de l'ietf pour intégrer la gestion de clés et certificats aux applications XML. délégation du traitement de la sécurité à un service spécialisé sur Internet offrant des services de gestion de clés publiques, certificats et signatures, accessible en SOAP. XML Signature (Signature de message en XML) : authentification des interlocuteurs et l'intégrité du message. XML Encryption (Protocole d'échange de clés de cryptage) : chiffrement total ou partiel du document, 6 3

WS-Security (Microsoft) 7 Sécurisation : WS-Security WS-Security ou Web Services Security(WSS) Une spécification d une extension de SOAP Définit une façon standard de représenter l'information sur la sécurité dans un message WS-Security permet : De passer des tokens pour l authentification et l autorisation dans le header du message SOAP De signer de manière numérique tout ou une partie du message et transmettre la signature De chiffrer tout ou une partie du message De passer l information sur les clés de chiffrement et de vérification de la signature 8 4

Sécurisation : WS-Security SOAP Envelope Security Feeder SOAP Envelope SOAP Body Security Token Signature SOAP Body 9 Sécurisation : WS-Security Dans l enveloppe SOAP, l entête de sécurité inclut : Horodateur (Timestamp) Aide à prévenir les attaques de rejeu (replay) Jetons identifiant le sujet et les clés Username token: nom et mot de passe X509: nom et clé publique Autres incluant les billets Kerberos, et clés de session 10 5

Sécurisation : WS-Security Signatures Syntaxe donnée par le standard XML-DSIG Lier ensemble une liste d éléments du message, avec la clé dérivée d un jeton de sécurité Clés de chiffrement Syntaxe donnée par le standard XML-ENC Plusieurs éléments du message peuvent être chiffrés 11 Exemple d intégration des divers standards en sécurité 12 6

L élément de sécurité dans SOAP 13 Jetons de sécurité dans SOAP Un jeton de sécurité est une collection de claims une claim est une déclaration faite avec des entités, telles que nom, identité, clé, groupe, privilège, capacités, etc. username est une exemple de une jeton non signé de sécurité Un jeton de sécurité signé est un jeton qui est signé par chiffrage en relation avec une autorité de sécurité. un certificat X.509 est un jeton de sécurité signé un ticket Kerberos est aussi un jeton de sécurité signé Un jeton de sécurité XML est un jeton qui est défini par un schéma XML séparé, plutôt qu'un texte simple ou chiffré SAML et XrML en sont des exemples peut être inclus directement dans un conteneur <wsse:security> 14 7

UsernameToken Cet élément peut être utilisé pour fournir un «nom d utilisateur» à l'intérieur d un élément <wsse:security>. 15 BinarySecurityToken C est un jeton de sécurité signé, tel qu'un ticket Kerberos ou un certificat x.509, avec un contenu binaire. ils doivent être encodés pour l inclusion dans le conteneur wsse:security. <S:Envelope xmlns:s="http://www.w3.org/2002/06/soap-envelope"> <S:Header> <wsse:security xmlns:wsse= http://schemas.xmlsoap.org/ws/2003/07/secext > <wsse:binarysecuritytoken wsu:id= mytokenid ValueType= wsse:kerberosv5st EncodingType= wsse:base64binary > XIFNWZz99UUbalqIEmJZc0 </wsse:binarysecuritytoken> </wsse:security> </S:Header> <S:Body> contenu applicatif </S:Body> </S:Envelope> 16 8

Sécurisation : WS-Security 17 WS-Policy (directives) une directive est une ensemble de capacités, besoins, préférences, et de caractéristiques générales concernant des entités dans un système. les éléments d une directive («directive assertions») peuvent exprimer: Des besoins de sécurité ou des capacités Des caractéristiques diverses de Qualité de Service (QoS) n'importe quel autre sorte de directives qui sont requises WS-Policy définit une modèle général mais extensible et une grammaire ( cadre ) pour décrire des directives dans un système de services Web directives simples et déclaratives directives multiples, complexes et conditionnelles 18 9

WS-SecurityPolicy WS-SecurityPolicy fait partie de WS-Policy. Il permet d attacher des stratégies de sécurité et de définir un ensemble d assertions : wsse:integrity Spécifie un format de signature défini par WS- Security. wsse:confidentiality Spécifie un format de cryptage défini par WS- Security. wsse:visibility Spécifie les portions du message qui doivent être traitées ou visibles par un intermédiaire ou un endpoint. wsse:securityheader Spécifie l utilisation du header Security du message. wsse:messageage Spécifie la durée maximale pour invalider les messages. 19 WS-SecurityPolicy (Exemple) «Le fournisseur exige une integrité de message utilisant XML-Sig et requiert une authentification en utilisant des jetons X.509» <wsp:policy xmlns:wsp=http://schemas.xmlsoap.org/ws/2002/12/policy xmlns:wssp="http://schemas.xmlsoap.org/ws/2002/12/secext"> <wsp:all> <wssp:integrity wsp:usage="wsp:required"> <wssp:algorithm Type="wssp:AlgSignature" URI="http://www.w3.org/2000/09/xmldsig#rsa-sha1"/> </wssp:integrity> <wssp:securitytoken> <wssp:tokentype>wsse:x509v3</wssp:tokentype> </wssp:securitytoken> </wsp:all> </wsp:policy> 20 10

WS-Privacy Prévu va être un modèle pour définir les préférences de confidentialité des données personnelles, et comment les Web Services définissent et implémentent ces pratiques. 21 WS-SecureConversation Utilisé pour des échanges multiples et fréquents Pour ne pas traiter à chaque échange les spécificités de la sécurité.. Définir un contexte de sécurité partagé Pas de nécessité d échanger des info de sécurité au niveau de chaque message Les 2 parts (fournisseur et consommateur) effectuent une copie des certificats dans un contexte qui aura un identifiant unique Ensuite on aura qu à mettre cet identifiant dans le SOAP Header: <wsc:securitycontexttoken> <wsc:identifier>uuid:652d2aaa-4857-4d8c-865c-f9549e5806f0</wsc:identifier> </wsc:securitycontexttoken> 22 11

WS-Trust Pour répondre à des besoins d interopérabilité et pour installer une confiance entre les entités. WS-Trust décrit une structure destinée à gérer, évaluer et valider des relations de confiance. WS-Trust établit un système d échange basé sur un protocole (request/response). Le client envoi RequestSecurityToken au STS (Security Token Service) qui lui répond par RequestSecurityTokenResponse qui contient le nouveau jeton. (Si le client a les certificats demandés par le fournisseur) 23 WS-Federation Un réseau est composé de diverses organisations, systèmes, applications, et processus métier. Les participants comprennent clients, employés, partenaires, fournisseurs.. Nécessité d une entité unique définissant l identité, l authentification et les autorisations, etc., Comme le coût de gestion d une identité centralisée est important à la place on va gérer un ensemble d entités. On a besoin de gérer la sécurité au travers de plusieurs domaines de confiance et entre plusieurs partenaires en utilisant plusieurs autorités de gestion d identité. WS-Federation est une spécification pour résoudre ces problèmes et d autres. 24 12

WS-Federation Permet aussi le SSO Technologie concurrente à SAML. Se base sur les autres technologies Web services : WS-Policy peut être utilisé pour indiquer si un Web Service a besoin d un ensemble de claims (jetons de sécurité et éléments de message reliés) dans un ordre donné pour traitement des requêtes WS-Trust dont les mécanismes peuvent être utilisés pour acquérir des jetons de sécurité additionnels si besoin WS-Security définit les extensions SOAP utilisées pour fournir les jetons de sécurité 25 WS-Federation 1) Le client demande un jeton de son Service de jetons 2) Le client fait appel au service de jetons du service appelé pour obtenir un jeton valide 3) Le jeton est ensuite échangé et validé WS-Trust assure l échange d informations sur la politique entre les 2 organisations 26 13

Exemple général 27 Conclusion 28 14

À retenir WS-Security n est pas suffisant Les standards répondent à certains types d attaques Besoins d heuristiques pour contrevenir aux autres types d attaques (XDoS, XVirus, etc.) Une nouvelle classe d appareil réseau est nécessaire: le parefeu XML Inspecte les messages XML lorsqu ils franchissent les frontières de l organisation Ajoute un niveau de sécurité et d interopérabilité à l infrastructure Implémente les standards et les heuristiques et permettent de mettre en place les pratiques exemplaires 29 Bibliographie 30 15

Bibliographie 31 16

2026 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back