N3-(19 a 22 hs) Firma Digital en SOA
Profesor: Eduardo Casanovas. Intel Argentina.
Cuestionarios
Slides
A.ABSTRACT
Las arquitecturas de las aplicaciones se ha vuelto cada vez más complejas evolucionando de mainframe centric, cliente-servidor, computación distribuida, hacia la arquitectura orientada a servicios (SOA). SOA ha ganado impulso comercial desde la introducción del enfoque basado en los estándares de Web Services, sin embargo, el uso de Web Services presenta un nuevo conjunto de retos de seguridad dado que nuestro intercambio de datos a través de XML dentro de una envoltura SOAP introduce un nuevo conjunto de vulnerabilidades. Por ello debemos tener presente otras normas de seguridad, como son WS-Security, XML-Signature, XML-Encryption. En este curso me centraré, además de desarrollar los conceptos antes mencionados, en analizar el proceso de Firma sus ventajas, desventajas y costos asociados.
B. OBJETIVOS GENERALES Y ESPECIFICOS
Objetivo General: Desarrollar los conocimientos generales y determinar los procedimientos de conformidad con las directrices y normas de nivel Nacional e Internacional para el establecimiento, generación y puesta en marcha de una estructura para soportar la Firma Digital en documentos XML. En relación este objetivo general, se proponen los siguientes objetivos específicos: Comprender los distintos aspectos tecnológicos involucrados en el proceso de Firma Digital. Producir conocimientos teóricos con el fin de resolver problemas prácticos. Determinar las bases procedimentales para el uso de Certificados Digitales como parte de un documento XML. Entender los aspectos relativos a la seguridad y la privacidad de la información digitalizada, siendo un aspecto muy importante a tener en cuenta, comprender que dentro de la estructura XML no es necesario firmar la totalidad del documento. Entender el Marco Legal que existe por detrás del proceso tecnológico.
C.PROGRAMA
Dia 1: Nivelación Fundamentos de la Seguridad Informática Funciones de Hash – Criptografía Asimétrica – RSA - Certificados Digitales X-509 V3
Dia 2: Evolucion de los servicios de Internet - SOA con Seguridad – SOAP (Simple Object Access Protocol) - OASIS (Organization for the Advancement of Structured Information Standards) WS_Security (Web Services Security) – Framework – XML-Encription.
Dia 3: Firma Digital aplicada a un documento XML IETF/W3C (XML-Signature working group). XML-Signature Syntaxis and Processing. – Security Header - Canonicalization Method
Dia 4: Laboratorio – Ejemplos - SOAP-XML Signature Validation – Formato de Mesages XML – Pruebas de performance - Metricas
Dia 5: Laboratorio – Generación de documentos firmados total y parcialmente – Uso de diferentes algoritmos Evaluación.
D. BIBLIOGRAFÍA
1.Thomas Erl - SOA Principles of Service Design - Prentice Hall; 1st edition (January 6, 2008)
2.Olaf Zimmermann, Mark R. Tomlinson, and Stefan Peuser - Perspectives on Web Services: Applying SOAP, WSDL and UDDI to Real-World Projects (Springer Professional Computing) (Hardcover - Sep 26, 2005)
3.J. Carracedo Gallardo – Seguridad en redes telemáticas – Mc Graw Hill 2004.
4.J.Rosenberg, D. Remy – Securing Web Services with WS-Security – SAMS - 2004
5.Mark O’Neil – Web Services Security – McGraw-Hill/Osborne – 2003
6.Apache WSS4J Project: http://ws.apache.org/ws-fx/wss4j.
7.Federal Information Processing Standards Publication (FIPS PUB) 180-2. Secure Hash Standard. US. Department of Commerce/National Institute of Standards and Technology-2002.
8.OASIS WS-Security Core Specification 1.1: http://www.oasisopen.org/committees/download.php/16790/wss-v1.1-spec-os-SOAPMessageSecurity.pdf
9.W3C Digital Signature Initiative http://www.w3.org/PICS/DSig/RSA-SHA1_1_0.html
10.Accelerate WSS applications with VTD-XML: http://www.javaworld.com/javaworld/jw-01-2007/jw-01-vtd.html?fsrc=rss-index
11.Extensible Markup Language (XML) 1.0 (Fourth Edition). W3C Recommendation T. Bray, E. Maler, J. Paoli, C. M. Sperberg-McQueen, F.Yergeau. 16 August 2006, edited in place 29 September 2006.
12.Performance of Web Services Security: http://grids.ucs.indiana.edu/ptliupages/publications/WSSPerf.pdf
13.Performance Comparison of Security Mechanisms for Grid Services: http://www.extreme.indiana.edu/xgws/papers/sec-perf.pdf
14.Web Services are Not Slow (Jan 2007): http://wso2.org/library/588
15.Web Services Security and Load Balancing in Grid Environment: http://www.extreme.indiana.edu/xpola/wsslbgrids.pdf
16.So You Want High Performance By: Peter Lin http://tomcat.apache.org/articles/performance.pdf
17.Performance of Web Service Security - Hongbin Liu, Shrideep Pallikara, Geoffrey Fox Community Grids Lab, Indiana University http://www.mardigrasconference.org/conf_2005/2005/Presentations/Liu.pdf
18.A Streaming Validation Model for SOAP Digital Signature - Wei Lu, Kenneth Chiu, Aleksander Slominski, Dennis Gannon - Computer Science Department, Indiana University & Department of Computer Science, State University of New York (SUNY) at Binghamton http://www.extreme.indiana.edu/~aslom/papers/hpdc05.pdf
19.Discover SOAP encoding's impact on Web service performance (whitepaper) - http://www.ibm.com/developerworks/webservices/library/ws-soapenc/
20.SSL-over-SOAP: Towards a Token-based Key Establishment Framework for Web Services_ Sebastian Gajek, Lijun Liao, Bodo Möller, and Jörg Schwenk - 2008
21.XML Encryption Syntax and Processing W3C Recommendation 10 December 2002
22.XML Signature Syntax and Processing (Second Edition) W3C Recommendation 10 June 2008_ http://www.w3.org/TR/xmldsig-core/
23.Canonical XML 1.1 W3C Candidate Recommendation 21 June 2007 http://www.w3.org/TR/2007/CR-xml-c14n11-20070621/
24.Canonical XML 1.1 W3C Candidate Recommendation 21 June 2007 http://www.w3.org/TR/2007/CR-xml-c14n11-20070621
25.Canonical XML with Comments (specification) http://www.w3.org/TR/2001/REC-xml-c14n-20010315#WithComments