PDF de programación - Implementación de controles de seguridad en arquitecturas orientadas a servicios (SOA) para servicios web - Tesis Emilio Anaya Lopez

INSTITUTO POLITÉCNICO NACIONAL

UNIDAD PROFESIONAL INTERDISCIPLINARIA DE INGENIERÍA Y

CIENCIAS SOCIALES Y ADMINISTRATIVAS

SECCIÓN DE ESTUDIOS DE POSGRADO E INVESTIGACIÓN.



IMPLEMENTACIÓN DE CONTROLES DE SEGURIDAD EN

ARQUITECTURAS ORIENTADAS A SERVICIOS (SOA)

PARA SERVICIOS WEB



T E S I S



QUE PARA OBTENER EL GRADO DE:

MAESTRO EN CIENCIAS CON ESPECIALIDAD EN

INFORMÁTICA

P R E S E N T A:



EMILIO ANAYA LOPEZ.



DIRECTOR

M. EN C. RAFAEL IBAÑEZ CASTAÑEDA



MÉXICO, D.F



AÑO 2011



2



3







A mis padres por su amor y entereza.

A mi hermano por ser un ejemplo a seguir.

4







AGRADECIMIENTOS

A mi director de tesis por su apoyo y orientación durante la maestría y la elaboración de
esta tesis.

A mi comité tutorial por sus correcciones y aportaciones en el presente trabajo y su
valioso apoyo.

A mis profesores por compartirme sus conocimientos y experiencia.

A mis compañeros de trabajo por concederme las facilidades para realizar la maestría.

5





Resumen

El uso de los servicios web como una herramienta para integrar aplicaciones, intercambiar
información y realizar transacciones electrónicas en internet, ha generado nuevos
problemas y oportunidades. Esto se debe a las características de intercambio de
información y los niveles de apertura que tienen los servicios web.

Esta tesis tiene como finalidad proporcionar una solución práctica a los problemas
relacionados con la seguridad en los servicios web al intercambiar información entre dos o
más aplicaciones. Se plantea un caso práctico en el que se desarrolla una propuesta de
solución y el procedimiento detallado para resolver los problemas haciendo uso de los
estándares WS-Security, XML Signature , XML Encryption y SAML.

Como resultado de este trabajo se concluye que el uso de estándares de seguridad
basados en XML, es una alternativa segura y confiable a un bajo costo a los problemas de
seguridad a los que se encuentran expuestos los servicios web.

6





Abstract


The use of Web services as a tool to integrate applications, share information and carry
out electronic transactions on the Internet has created new problems and opportunities.
This is due to the characteristics of information exchange and opening levels that have
Web services.

This thesis aims to provide a practical solution to problems related to security in web
services to exchange information between two or more applications. It presents a case
study that develops a proposed solution and the detailed procedure to solve the problem
by using the standards WS-Security, XML Signature, XML Encryption and SAML.

The conclusion of this research is that the use of security standards based on XML is a safe
and reliable low cost alternative to resolve security problems to which Web services are
exposed.



7



Índice

RESUMEN .................................................................................................................................................... 6

ABSTRACT .................................................................................................................................................... 7

INTRODUCCIÓN ......................................................................................................................................... 12

CAPITULO 1:

SERVICIOS WEB Y DEFINICIÓN DEL PROBLEMA ................................................................. 14

1.1.

1.2.

SERVICIOS WEB ................................................................................................................................... 14
Ventajas y Desventajas ......................................................................................................... 15
Vulnerabilidades .................................................................................................................... 16
DELIMITACIÓN Y JUSTIFICACIÓN DEL PROBLEMA ........................................................................................ 17
Objetivo .................................................................................................................................. 17
Justificación del problema ..................................................................................................... 17
Alcances ................................................................................................................................. 18
Limitaciones ........................................................................................................................... 18

1.1.1.
1.1.2.

1.2.1.
1.2.2.
1.2.3.
1.2.4.

CAPITULO 2:

PLATAFORMA SOA Y SEGURIDAD EN SERVICIOS WEB ....................................................... 19

ARQUITECTURA ORIENTADA A SERVICIOS ................................................................................................ 19
Elementos .............................................................................................................................. 19
Interfaces de aplicación ................................................................................................................. 19
Servicios de Contrato ...................................................................................................................... 20
Servicios de Interfaz ....................................................................................................................... 20
Servicios de implementación ......................................................................................................... 20
Servicios de Lógica de Negocio ...................................................................................................... 21
Servicios de Datos........................................................................................................................... 21
Diseño y Tecnología ............................................................................................................... 21
SOA y los servicios web .......................................................................................................... 28
IMPLEMENTACIÓN DE SEGURIDAD EN SOAP ............................................................................................ 30
Capa de Transporte ............................................................................................................... 30
Capa de Aplicación ................................................................................................................ 31
Capa de SOAP ........................................................................................................................ 31
REQUISITOS DE SEGURIDAD DE LOS SERVICIOS WEB ................................................................................... 31
Confidencialidad .................................................................................................................... 31
Autenticación ......................................................................................................................... 32
Integridad .............................................................................................................................. 32
Autorización ........................................................................................................................... 32
No repudio ............................................................................................................................. 33
Disponibilidad ........................................................................................................................ 33
ESTÁNDARES DE SEGURIDAD EN SERVICIOS WEB ....................................................................................... 33
WS-Security ............................................................................................................................ 34
XML Encryption ...................................................................................................................... 35
XML Signature (XML DSIG) .................................................................................................... 40
Security Assertions Markup Language (SAML) ..................................................................... 46

2.1.1.
a)
b)
c)
d)
e)
f)
2.1.2.
2.1.3.

2.2.1.
2.2.2.
2.2.3.

2.3.1.
2.3.2.
2.3.3.
2.3.4.
2.3.5.
2.3.6.

2.4.1.
2.4.2.
2.4.3.
2.4.4.

2.1.

2.2.

2.3.

2.4.

8



CAPITULO 3: DISEÑO CONCEPTUAL Y FÍSICO ......................................................................................... 48

3.1.
3.2.
3.3.
3.4.

3.5.

CASO PRÁCTICO 1 ............................................................................................................................... 48
CASO PRÁCTICO 2 ............................................................................................................................... 49
PROPUESTA DE SOLUCIÓN ..................................................................................................................... 52
DISEÑO CONCEPTUAL ........................................................................................................................... 54
Definición del Servicio ........................................................................................................... 54
Servicios web ......................................................................................................................... 57
Clientes SOAP .....................................................................................................................