3. Web Service Security 3.3 WS-Trust. Jörg Schwenk Lehrstuhl für Netz- und Datensicherheit

Größe: px

Ab Seite anzeigen:

Download "3. Web Service Security 3.3 WS-Trust. Jörg Schwenk Lehrstuhl für Netz- und Datensicherheit"

Björn Maurer
vor 8 Jahren
Abrufe

1 XML- und Webservice- Sicherheit 3. Web Service Security 3.3 WS-Trust

2 Gliederung 1. WS-Trust 2. WS-Trust: X.509 CustomToken 3. WS-Trust: Kerberos X.509 Literatur: J. Rosenberg and D. Remy, Securing Web Services with WS-Security. SAMS Publishing, Indianapolis, USA, es/wstrustundwssecureconversation.mspx?mfr=true

SAMS Publishing, Indianapolis, USA, 2004. http://www.microsoft.

3 Gliederung Die IBM-Microsoft-Roadmap für WS-Security WS-Secure Conversation WS-Federation WS-Authorization WS-Policy WS-Trust WS-Privacy Zeit WS-Security SOAP Foundation

4 1. WS-Trust Problem: Ein Requestor kann evtl. die in der WS-Policy des Webservice genannten Sicherheitsnachweise h it h i nicht erbringen Lösung: Ein dritter Webservice (Trust Broker) verifiziert die Security Claims des Requestors, und stellt Security Tokens aus, mit denen der Requestor dann die Anforderungen des Webservice erfüllen kann.

erbringen Lösung: Ein dritter Webservice (Trust Broker) verifiziert die Security

5 1. WS-Trust

6 2. WS-Trust: X.509 CustomToken Requestor Web Service Security Token (X.509) (CustomToken) Service Get WS-Policy WS-Policy <RequestSecurityToken> <Signature using X.509> <RequestSecurityTokenResponse> <Challenge> <RequestSecurityToken> <Signature of Challenge> <RequestSecurityTokenResponse> <CustomToken><ProofToken> <RequestService> <CustomToken> <Data>

7 2. WS-Trust <env:envelope xmlns:env="..." xmlns:wsse="..." xmlns:wsu="..." xmlns:wst="..."> <env:header>... <wsse:security> <wsse:binarysecuritytoken wsu:id="reqtoken" ValueType="...#X509v3"> MIIEZzCCA9CgAwIBAgIQEmtJZc0... </wsse:binarysecuritytoken> <ds:signature xmlns:ds="...">... <ds:keyinfo> <wsse:securitytokenreference> <wsse:reference URI="#reqToken"/> </wsse:securitytokenreference> </ds:keyinfo> </ds:signature> </wsse:security>... </env:header> <env:body> <wst:requestsecuritytoken> <wst:tokentype> </wst:tokentype> <wst:requesttype> </wst:requesttype> </wst:requestsecuritytoken> </env:body> </env:envelope>

MIIEZzCCA9CgAwIBAgIQEmtJZc0... </wsse:binarysecuritytoken> <ds:signature xmlns:ds="...">.

8 2. WS-Trust <env:envelope xmlns:env="..." xmlns:wsse="..." xmlns:wsu="..." xmlns:wst="..."> <env:header>... <wsse:security> <wsse:binarysecuritytoken wsu:id="issuertoken" ValueType="...#X509v3"> DFJHuedsujfnrnv45JZc0... </wsse:binarysecuritytoken> <ds:signature xmlns:ds="...">... </ds:signature> </wsse:security>... </env:header> <env:body> <wst:requestsecuritytokenresponse> <wst:signchallenge> <wst:challenge>huehf...</wst:challenge> </wst:signchallenge> </wst:requestsecuritytokenresponse> </env:body> </env:envelope>

.. </wsse:binarysecuritytoken> <ds:signature xmlns:ds="...">... </ds:signature> </wsse:security>.

9 2. WS-Trust <env:envelope xmlns:env="..." xmlns:wsse="..." xmlns:wsu="..." xmlns:wst="..."> <env:header>... <wsse:security> <wsse:binarysecuritytoken wsu:id="reqtoken" ValueType="...#X509v3"> MIIEZzCCA9CgAwIBAgIQEmtJZc0... </wsse:binarysecuritytoken> <ds:signature xmlns:ds="...">... </ds:signature> </wsse:security>... </env:header> <env:body> <wst:requestsecuritytokenresponse> <wst:signchallengeresponse> <wst:challenge>huehf...</wst:challenge> </wst:signchallengeresponse> </wst:requestsecuritytokenresponse> </env:body> </env:envelope>

10 2. WS-Trust <env:envelope... xmlns:wsu="..." xmlns:wst="..." xmlns:xenc="..."> <env:header>... <wsse:security> <wsse:binarysecuritytoken wsu:id="issuertoken" ValueType="...X509v3"> DFJHuedsujfnrnv45JZc0... </wsse:binarysecuritytoken> <ds:signature xmlns:ds="...">... </ds:signature> </wsse:security>... </env:header> <env:body> <wst:requestsecuritytokenresponse> <wst:requestedsecuritytoken> <xyz:customtoken xmlns:xyz="...">...</xyz:customtoken> </wst:requestedsecuritytoken> <wst:requestedprooftoken> <xenc:encryptedkey Id="newProof">...</xenc:EncryptedKey> </wst:requestedprooftoken> </wst:requestsecuritytokenresponse> </env:body> </env:envelope>

11 3. WS-Trust: Kerberos X.509 Problem: Ein Requestor kann evtl. die in der WS-Policy des Webservice genannten Sicherheitsnachweise h it h i nicht erbringen Lösung: Ein dritter Webservice (Trust Broker) verifiziert die Security Claims des Requestors, und stellt Security Tokens aus, mit denen der Requestor dann die Anforderungen des Webservice erfüllen kann.

erbringen Lösung: Ein dritter Webservice (Trust Broker) verifiziert die Security Claims

12 3. WS-Trust: Kerberos X.509 Kerberos Kerberos Basis von Microsoft Active Directory Authentifizierung über symmetrischen Schlüssel, den nur das KDC und der Client kennen X.509 Basis für PKI-basierte Lösungen, z.b. SSL mit Client- Authentifikation, S/MIME Authentifizierung über digitatle Signatur und X.509-Zertifikat

über symmetrischen Schlüssel, den nur das KDC und der Client kennen X.

13 Kerberos: Direkte Authentifizierung KDC 1 2 Client 3 Server 1. Client KDC: c, s, n 2. KDC Client: {K c,s, n}k c, {T c,s }K s 3. Client Server: {A c }K c,s, {T c,s }K s

14 Kerberos: Authentifizierung mit TGS KDC Client 4 TGS 5 Server 1. Client KDC: c, tgs, n 2. KDC Client: {K c,tgs, n}k c, {T c,tgs }K tgs 3. Client TGS: {A c } K c,tgs, {T c,tgs }K tgs, s, n 4. TGS Client: {K c,s, n}k c,tgs, {T c,s }K s 5. Client Server: {A c }K c,s, {T c,s }K s

15 3. WS-Trust: Kerberos X.509 Requestor Web Service Security Token (kerberos) (X.509) Service Get WS-Policy WS-Policy <RequestSecurityToken> <Ticket Granting Ticket> <PKCS#10-Request> <RequestService> <X.509-Zertifikat> <Challenge> <Signature of challenge> <Data> <RequestSecurityTokenResponse> <X.509-Zertifikat>

509) Service Get WS-Policy WS-Policy <RequestSecurityToken> <Ticket Granting

Ähnliche Dokumente

3. Web Service Security 3.1 WS-Security. Jörg Schwenk Lehrstuhl für Netz- und Datensicherheit

XML- und Webservice- Sicherheit 3. Web Service Security 3.1 WS-Security Gliederung 1. SOAP 2. WS-Security: Der SOAP Security Header 3. Security Tokens in WS-Security S 4. XML Signature in WS-Security 5.