Soaj2ee Security

......................................................................................................................................
Livre Blanc de sécurité SOA. v.1.0
Project Documentation
......................................................................................................................................
OpenCap - Ahmed ALAMI 18 January 2006
TABLE OF CONTENTS i
Table of Contents
......................................................................................................................................
1 Introduction
1.1 Avant Propos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1
2 La sécurité et SOA
2.1 Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3
2.2 La démarche de sécurité . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4
2.3 Les coûts de la sécurité . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6
3 Un modèle de sécurite SOA, J2EE, WS-*

3.1 Des Concepts de base . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8
3.2 Un modéle de sécurité . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11
3.3 Questions de sécurité . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15
4 Conclusion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
5 Annexes
5.1 Où trouver les spécifications? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18
5.2 Ressources de documentation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19
©2005 OPENCAP - AHMED ALAMI • ALL RIGHTS RESERVED

TABLE OF CONTENTS ii

1.1 AVANT PROPOS 1
1.1 Avant Propos

......................................................................................................................................

!
" #

$ % &"'
% ( ( ) *+

! "

#
$

!
%
&

'(
)
* La sécurité niveau Transport ) + ' # ( ,-. ', - .#/(

+
0
* La sécurité niveau Message ) 1 2

3

!
* Sécurité niveau application )

456

!
* Sécurité niveau Données ) "0
/
!
* Sécurité niveau Environnement ) 7 3
8

!

#

! 9

#

! 4
#

!

#
'
( )
* % 03 +:+

* %

* " 6
* 4+6
* "

* -
03
* ;

<
0

03

1.1 AVANT PROPOS 2

#

)
*

*
*

*
* +
4

03

0

#
!

# 8
:

! 1

! =
2 8

: ! 1
+
8
'
> (!

#
) %
? '97@( 03 A !

!

/ !

=

#! B 2

WS-Security

SAML

:

! % :

:
Kerberos XKMS XACML

:
/
!

+:+ !

!

2.1 INTRODUCTION 3
2.1 Introduction
......................................................................................................................................
&

%
CDEF+G!

:
!

!

&

3
!
"

/

!
<

!

2
)
Protéger le référentiel de services ou les domaines de services contre les risques,

et ce d’une manière qui est adaptée à l’entreprise, à son environnement et à l’état
du référentiel de services.
* - ) "
&

+
!
*

) %

2! "

: 03 !
* " ) %

* 9 3 : ) 9

0!
* ) %

!
*
) %

!

2.2 LA DéMARCHE DE SéCURITé 4
2.2 La démarche de sécurité

......................................................................................................................................

3

H
! "
03 : &

I "
:

!
"

! 1

2

3

03
!

)
J! %

G! %

K! %
03
D! %
03
L! 9

M! "
&

+

2

:

03 !
9N

!
4

O

2
O

O !
9
:

O8

:

: !

K )

+)
Actifs On se demande d'abord quels processus metier sont vraiment indispensables pour que le système
d’information puisse remplir sa mission. En d'autres termes, quels sont les équipements, les applications,
le personnel informatique dont l'entreprise.
......................................................................................................................................
Risques Le risque résulte de la combinaison de menaces et de vulnérabilités. Ici, on privilégie les menaces
probables, ainsi que les vulnérabilités les plus pertinentes:
• Menaces: la menace majeure vient-elle de l'extérieur de l'entreprise ou de l'intérieur?. Vient-elle
d'interventions humaines ?
• Vulnérabilités: sont-elles liées à des faiblesses de l'organisation du service informatique ? Sont-elles
liées aux techniques informatiques utilisées?
......................................................................................................................................
Contre- mesures À ce stade, on sait quels sont les vrais risques qui pèsent sur les actifs les plus importants. On sait par où
commencer, quoi protéger et contre quoi. Les contre-mesures de sécurité découlent naturellement. Ici–et
seulement ici–on entre dans la technique!

2.2 LA DéMARCHE DE SéCURITé 5

2.3 LES COûTS DE LA SéCURITé 6
2.3 Les coûts de la sécurité

......................................................................................................................................

< ?
! "
< :

! 4

!
Les Performances

)
* "P
* "0
* 9
0
*

*
* 4

* ,

*
* -!
" 2

<
3
! "

!
%

2

8

!
" 8

!
La veille Technologique

#

!

:

$

! "

!
L’intégration et l’interopérabilité

2.3 LES COûTS DE LA SéCURITé 7
1

8

)
* 4+

0 8 Q
* "
2
Q
*

+

Q
* "

3

Q
* " Q
%

! "

!

3.1 DES CONCEPTS DE BASE 8
3.1 Des Concepts de base

......................................................................................................................................
L’identité

# :
03

'

( R 8 !

#

!

#
: &

# ! 9 3

!
- S = 0

T

%!
Profile
1

3

: 0 :

!

8
'
(
0 8

0 8 -

!
Claim (Réclamation)
4

3

A
Jeton de sécurité
1 2

:
!
Jeton de sécurité signé

1 2
2

0
'

U!LVE
/ W(
Signature
1

0 !

3 !
STS (Security Token Service)

1 =

2
' 3

+=(! %

!
Principal
=
8 :

#
!
AS (Attribute Service)
1

' (

!
Realm/Domain
1

!
Trust (Confiance)

:
!
Trust Domain (Domaine de confiance)

1

8

!
Fédération
1

>

!

!
Fournisseur d’identité (Identity Provider)

1

! "

!

Mapping d’identité (Identity Mapping)

"
:

:

:
$
#!
Single Sign On (SSO)

:

2
! "

:

!
Single Sign Off ou Global Logout

:

!

3.2 UN MODéLE DE SéCURITé 11
3.2 Un modéle de sécurité

......................................................................................................................................
9

3

O

+X
3 +
0 + 5G44!

/

+X!
-

!

+! -

!


O

:

O
"
O
! 4

:

!

2

8
O

!

+

3

!

" +
J!

O : O

0
8 ! 9
+ 5G44

O 5 +;-"!
G! 1 O

8

3

:

8!

:

! -

O

: O

3

9 !
K!
9
O

: O
0 '
(

: O
! "

!
D! O
" %3
O

8
0! 4 0

0 O

0 2
O
!
L! O

O !
M! 1 O
2

3 O !
C!

8 -! %
0

2
: O8 ! 1

0 : O
!
F! O
O

0 2

O

! 1

!
" +

:

!


3.3 QUESTIONS DE SéCURITé 15
3.3 Questions de sécurité

......................................................................................................................................

2
:
! %

2 !

+
:

! "
2
!
Interception des messages

0

! 1

8 ! 9

8
8
! " 8 !

3 :

0
!

:

0

!
Usurpation d’identité

2

: 03
!
"
8

!
Attaques de dénis de service

9 -
8 8 0

3

#
8

!
"
8 # !
Attaques de Replay
"

#

0 ) ; 0 ! "
: 2: 0 !
%
0

+
0!
* .
) .
2
3

+ 2 1 =/!

2
8
8 0 ; 0!
* = ) = 8 0

! 4
2
0 ; 0!
Y#) Z!

Y#)
Z!
" +

)
<S:Envelope xmlns:S="http://www.w3.org/2001/12/soap-envelope">
<S:Header>
<wsse:Security> <wsse:UsernameToken">
<wsse:Username>USER</wsse:Username>
<wsse:Password Type="wsse:PasswordDigest">D2A12DFE8D</wsse:Password>
<wsse:Nonce>EFD89F06CCB28C89</wsse:Nonce>
<wsu:Created>2005-06-02T07:41:06Z</wsu:Created>
</wsse:UsernameToken>
<wsu:Timestamp> <wsu:Created>2005-06-02T07:41:06Z</wsu:Created>
<wsu:Expires>2005-06-02T15:41:06Z</wsu:Expires> </wsu:Timestamp>
</wsse:Security>
</S:Header> </S:Envelope>
Important : Les éléments timestamp et nonce doivent tous deux être signés. Dans le cas contraire, ils
peuvent être facilement modifiés et ne peuvent plus empêcher les attaques de réexécution (replay).
Protection du jeton Nom d'utilisateur avec un mot de passe

%
0 : 2
1 =/
! 9

=
U7 +
0 !

:

! =

0 : O

:
!
Protection des jetons de sécurité

% 2 O
2! 9

: O 2

!
2
O

:

O ! O 2
'
O
:
(
! 9
2 O !

Vérification du certificat et l'utilisation de listes de révocation de certificats

%
O
O 2

! - 2 U!LVE

O O

'";(! %

:
O ";
"- ' "
-
(!

5.1 Où TROUVER LES SPéCIFICATIONS? 18
5.1 Où trouver les spécifications?

......................................................................................................................................
SAML http://www.oasis-open.org/committees/security/
......................................................................................................................................
Security Services TC http://www.oasis-open.org/committees/tc_home.php?wg_abbrev=wss
......................................................................................................................................
WS-Federation http://www-106.ibm.com/developerworks/webservices/library/ws-fedworld/
......................................................................................................................................
WS-Security http://www.oasis-open.org/committees/tc_home.php?wg_abbrev=wss
......................................................................................................................................
WS-SecureConversation http://www-106.ibm.com/developerworks/webservices/library/ws-secon/
......................................................................................................................................
WS-SecurityPolicy http://www-106.ibm.com/developerworks/webservices/library/ws-secpol/
......................................................................................................................................
WS-Trust http://msdn.microsoft.com/library/en-us/dnglobspec/html/ws-trust.asp
......................................................................................................................................
XML-Encryption http://www.w3c.org/Encryption/2001/
......................................................................................................................................
XML-Signature http://www.w3c.org/Signature/

5.2 RESSOURCES DE DOCUMENTATION 19
5.2 Ressources de documentation

......................................................................................................................................
" +

!
Basic Security Profile Working http://www.ws-i.org/deliverables/workinggroup.aspx?wg=basicsecurity

Group
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Public Key Infrastructure (PKI) http://www.pki-page.org/
(Anglais)
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Public Key Infrastructure (PKI) http://www.hsc.fr/ressources/cours/pki/index.html.fr
(Francais)
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
WS-Security Kerberos http://www.oasis-open.org/committees/download.php/1049/WSS-Kerberos-03.pdf
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
SAML (Security Assertion http://www.oasis-open.org/committees/download.php/1048/WSS-SAML-06.pdf
Markup Language)
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
REL (Rights Express Language) http://www.oasis-open.org/committees/download.php/7347/oasis-____-wss-REL-token-profile-1.0-draft08-clean.pdf
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
OpenSAML 1.0.1 - an Open http://www.opensaml.org/
Source Security Assertion
Markup Language
implementation
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
The XML Apache Security http://xml.apache.org/security/index.html
Project
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Ehe Apache Directory Project - http://directory.apache.org/subprojects/kerberos.html
Kerberos
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
La légion de Bouncy Castle http://www.bouncycastle.org/fr/index.html
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
AXIS WSSE Security http://axis-wsse.sourceforge.net/#home
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
VeriSign Offers Open Source http://www.verisign.com/verisign-inc/news-and-events/news-archive/us-news-2002/page_000810.html
WS-Security Implementation and
Integration Toolkit
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
FIX : Financial Information http://www.fixprotocol.org
eXchange protocol
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
IIOP : Internet Inter-ORB Protocol http://www.omg.org
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
UDDI : Universal Description, http://www.uddi.org
Discovery and Integration
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
SPEC SITE

Soaj2ee Security

Enviado por

Dados do documento

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Soaj2ee Security

Enviado por

Direitos autorais:

Formatos disponíveis

......................................................................................................................................

Livre Blanc de sécurité SOA. v.1.0

3 Un modèle de sécurite SOA, J2EE, WS-*

©2005 OPENCAP - AHMED ALAMI • ALL RIGHTS RESERVED

©2005 OPENCAP - AHMED ALAMI • ALL RIGHTS RESERVED

1.1 Avant Propos

% ( ( ) *+

* %    03  +:+ 

©2005 OPENCAP - AHMED ALAMI • ALL RIGHTS RESERVED

    

      

©2005 OPENCAP - AHMED ALAMI • ALL RIGHTS RESERVED

     

Protéger le référentiel de services ou les domaines de services contre les risques,

©2005 OPENCAP - AHMED ALAMI • ALL RIGHTS RESERVED

2.2 La démarche de sécurité

©2005 OPENCAP - AHMED ALAMI • ALL RIGHTS RESERVED

©2005 OPENCAP - AHMED ALAMI • ALL RIGHTS RESERVED

2.3 Les coûts de la sécurité

"    2 

"    8   

©2005 OPENCAP - AHMED ALAMI • ALL RIGHTS RESERVED

©2005 OPENCAP - AHMED ALAMI • ALL RIGHTS RESERVED

3.1 Des Concepts de base

           

-           S = 0  

Jeton de sécurité signé

©2005 OPENCAP - AHMED ALAMI • ALL RIGHTS RESERVED

            3      !

STS (Security Token Service)

Trust Domain (Domaine de confiance)

Fournisseur d’identité (Identity Provider)

©2005 OPENCAP - AHMED ALAMI • ALL RIGHTS RESERVED

Mapping d’identité (Identity Mapping)

Single Sign On (SSO)

Single Sign Off ou Global Logout

©2005 OPENCAP - AHMED ALAMI • ALL RIGHTS RESERVED

3.2 Un modéle de sécurité

-       

©2005 OPENCAP - AHMED ALAMI • ALL RIGHTS RESERVED

     

©2005 OPENCAP - AHMED ALAMI • ALL RIGHTS RESERVED

" +     

          

" +  

©2005 OPENCAP - AHMED ALAMI • ALL RIGHTS RESERVED

©2005 OPENCAP - AHMED ALAMI • ALL RIGHTS RESERVED

3.3 Questions de sécurité

Interception des messages

Attaques de dénis de service

©2005 OPENCAP - AHMED ALAMI • ALL RIGHTS RESERVED

+  2 1 =/!        

        Y#)  Z!  

" +        

Protection du jeton Nom d'utilisateur avec un mot de passe

  0      :         O 

Protection des jetons de sécurité

    

       2     O        !

©2005 OPENCAP - AHMED ALAMI • ALL RIGHTS RESERVED

Vérification du certificat et l'utilisation de listes de révocation de certificats

©2005 OPENCAP - AHMED ALAMI • ALL RIGHTS RESERVED

5.1 Où trouver les spécifications?

©2005 OPENCAP - AHMED ALAMI • ALL RIGHTS RESERVED

% ( ( ) *+

* % 03 +:+

" 2

" 8

- S = 0

3 !

-

" +

" +

+ 2 1 =/!

Y#) Z!

" +

0 : O

2 O !

" +