Com o objetivo de tornar seguro o uso dos Serviços Web e assim garantir a sua ampla adoção, muitas propostas de segurança estão sendo submetidas a órgãos como: World Wide Web Consortium (W3C)6 , Organization for the Advancement of Structured Information Standards (OASIS)7 e Web Services Interoperability Organization (WS-I)8. As propostas visam cobrir diversas áreas de segurança e, em conjunto com as especificações de segurança para o padrão XML.
XML Signature:
O uso de assinaturas de digitais é uma forma para garantir as propriedades de integridade e autenticidade de informações digitais. A especificação XML Signature (XMLDSign) [Bartel et al. 2002], proposta conjunta entre W3C e IETF, define regras para gerar e validar assinaturas digitais expressas em XML.
XML Encryption:
A XML Encryption (XMLEnc) [Imamura et al. 2002] visa prover segurança fim-a-fim para aplicações que necessitem realizar troca de dados de forma segura. Diferentemente dos protocolos TLS/SSL [Dierks e Allen 1999, Freier et al. 1996], que só garantem a confidencialidade dos dados durante a sessão estabelecida entre duas partes, a XMLEnc garante confidencialidade persistente, garantindo assim a confidencialidade dos dados mesmo depois do término da sessão.
XACML
A autorização é uma propriedade básica de segurança que determina se um principal pode ou não executar alguma ação sobre algum recurso. Geralmente, cada sistema utiliza uma linguagem própria para definição das políticas, tornando assim um fator limitante para a concepção de sistemas distribuídos e abertos. Visando garantir a interoperabilidade entre os diversos sistemas, o órgão OASIS lançou a eXtensible Access Control Markup Language (XACML) [OASIS 2005a], um sistema de políticas de propósito geral, baseado em XML.
A autorização é uma propriedade básica de segurança que determina se um principal pode ou não executar alguma ação sobre algum recurso. Geralmente, cada sistema utiliza uma linguagem própria para definição das políticas, tornando assim um fator limitante para a concepção de sistemas distribuídos e abertos. Visando garantir a interoperabilidade entre os diversos sistemas, o órgão OASIS lançou a eXtensible Access Control Markup Language (XACML) [OASIS 2005a], um sistema de políticas de propósito geral, baseado em XML.
SAML
A Security Assertion Markup Language (SAML) [OASIS 2005c] consiste de um conjunto de especificações e esquemas XML, que juntos definem uma forma padrão para criar, trocar e interpretar asserções de segurança entre entidades de uma aplicação distribuída. No caso, são definidos meios para expressar, em XML, informações sobre autenticação, autorização e atributos de um sujeitos, porém as especificações da SAML não definem uma nova tecnologia ou forma para autenticação, mas sim uma tecnologia que visa garantir a interoperabilidade entre os diferentes sistemas de autenticação.
A Security Assertion Markup Language (SAML) [OASIS 2005c] consiste de um conjunto de especificações e esquemas XML, que juntos definem uma forma padrão para criar, trocar e interpretar asserções de segurança entre entidades de uma aplicação distribuída. No caso, são definidos meios para expressar, em XML, informações sobre autenticação, autorização e atributos de um sujeitos, porém as especificações da SAML não definem uma nova tecnologia ou forma para autenticação, mas sim uma tecnologia que visa garantir a interoperabilidade entre os diferentes sistemas de autenticação.
XKMS
Desenvolvida inicialmente pela VeriSign, em conjunto com a Microsoft e WebMethods, o padrão XML Key Management Specification (XKMS) [Hallam-Baker e Mysore 2005] é uma especificação aberta que define interfaces, baseadas em Serviços Web, visando retirar dos desenvolvedores de aplicações a complexidade em se trabalhar com Infra-estrutura de Chave Pública (ICP), podendo esta ser X.509, SPKI ou mesmo PGP [Zimmerman 1994]. A especificação é dividida em duas sub-especificações, XML Key Information Service Specification (XKISS) e XML Key Registration Service Specification (XKRSS), que juntas definem meios para gerar pares de chaves, armazenar e localizar informações sobre chaves públicas, bem como para validar assinaturas.
WS-Security
Proposta apresentada inicialmente pela IBM e Microsoft, a WS-Security [OASIS 2004c] é hoje uma especificação padronizada pela OASIS que tem como objetivo a proposição de extensões ao SOAP para permitir a construção de Serviços Web seguros. A especificação visa garantir a segurança fim-a-fim no nível de mensagem e não somente no nível de transporte, tendo três principais pontos:
• credenciais de segurança: incluir nas mensagens SOAP credenciais de segurança com informações de autenticação;
• integridade da mensagem: incluir nas mensagens SOAP informações relacionadas a assinaturas digitais de toda ou de parte da mensagem;
• confidencialidade da mensagem: mensagens SOAP podem ser cifradas, totalmente ou somente partes dela.
Proposta apresentada inicialmente pela IBM e Microsoft, a WS-Security [OASIS 2004c] é hoje uma especificação padronizada pela OASIS que tem como objetivo a proposição de extensões ao SOAP para permitir a construção de Serviços Web seguros. A especificação visa garantir a segurança fim-a-fim no nível de mensagem e não somente no nível de transporte, tendo três principais pontos:
• credenciais de segurança: incluir nas mensagens SOAP credenciais de segurança com informações de autenticação;
• integridade da mensagem: incluir nas mensagens SOAP informações relacionadas a assinaturas digitais de toda ou de parte da mensagem;
• confidencialidade da mensagem: mensagens SOAP podem ser cifradas, totalmente ou somente partes dela.
Nenhum comentário:
Postar um comentário