Segurança Web Services

Segurança dos Web Services

A utilização do protocolo HTTP como meio de transporte das mensagens SOAP torna os Web Services mais frágeis em relação à segurança, desta forma, o desafio é manter a eficiência de suas funcionalidades e ainda proporcionar um ambiente seguro. (HARTMAN, 2003 apud SILVA e CUNHA, 2005, p.5).
Com o objetivo de tornar seguro o uso dos Serviços Web e assim garantir a sua ampla adoção, muitas propostas de segurança estão sendo submetidas a órgãos como: World Wide Web Consortium (W3C), Organization for the Advancement of Structured Information Standards (OASIS) e Web Services Interoperability Organization (WS-I). As propostas visam cobrir diversas áreas de segurança e, em conjunto com as especificações de segurança para o padrão XML, estas permitem garantir os principais requisitos de segurança. (MELLO, 2006, p.15).
Segundo Wathier (2005, p.14), "a implementação de segurança em serviços Web pode ser tratada em diferentes níveis ou camadas que são: camada de rede, camada de transporte e camada de aplicação, com os mais variados padrões para cada camada". Dependendo do modelo de segurança adotado um ou mais requisitos de segurança são atendidos, dentre os principais, Daum e Merten (2002, p. 238), destacam os seguintes:

a) Integridade: Significa que a modificação não-autorizada dos dados pode ser detectada. A integridade pode ser garantida calculando-se sínteses de mensagens.
b) Confidencialidade: Um documento confidencial não deverá ser lido por pessoas não-autorizadas. Isso pode ser garantido pela criptografia dos dados.
c) Autenticidade: A autenticação garante a origem dos dados ou a identidade das partes da comunicação. A autenticação da origem dos dados é obtida calculando-se assinaturas digitais e códigos de autenticação de mensagem (MACS). Estas são sínteses de mensagem que só podem ser calculadas e verificadas com uma chave secreta.
d) Reconhecimento: O reconhecimento combina a integridade de dado com autenticação da origem dos dados, de modo que o emissor dos dados não possa repudiar as modificações que ele ou ela aplicou aos dados, por exemplo, assinando esses dados digitalmente. Isso possibilita a amarração legal de contratos digitais.

Segundo Basiura et al (2003, p. 374), as seguintes entidades de segurança também são devidamente importantes:

a) Autoridade: é usualmente uma entidade de verificação como um banco de dados de conta usuário Windows NT ou um esquema banco de dados personalizado definido pelo aplicativo em que as credenciais podem ser verificadas.
b) Autorização: é um processo que verifica se a pessoa tem acesso ao recurso que está tentando acessar.
c) Não-repúdio: é uma técnica que proporciona uma maneira infalível de codificar e decodificar seguramente os dados, e impede a não-recusa dos dados originais dos dados codificados por mãos não autorizadas.

Algumas tecnologias utilizadas para implantar esses requisitos em Web Services são:

1 Segurança em nível de rede
a) Virtual Private Networks (VPNs)
b) Firewalls
2 Segurança em nível de transporte
a) Protocolo Secure Sockets Layer (SSL)
b) Criptografia
§ Simétrica
§ Assimétrica
c) Certificação digital
§ Certificados digitais
§ Assinatura digital
§ Funções de hash
3 Segurança em nível de Mensagens
a) WS-Security
b) WS-Reliability
4 Segurança XML
a) XML Digital Signatures - Assinatura digital em XML
b) XML Encryption - Criptografia em XML
c) Security Assertion Markup Language (SAML).

Em amplo sentido define-se que a segurança em nível de rede é implementada através das VPN?s e Firewalls. Segundo Amorim (2004, p.62), a segurança nos canais de transmissão usados para troca de mensagens SOAP é implementada através do SSL. Para manter a segurança na camada de mensagens são implementados mecanismos como WS-Security e a WS-Reliability. Por fim, para segurança XML têm-se as técnicas de Assinatura digital em XML, Criptografia em XML e a SAML.

Autor: Daniela Justiniano De Sousa

NetSaber - Artigos

Segurança Web Services

Artigos Relacionados

Buscar Artigos

Destaques Netsaber

Destaques Netsaber

Rede NetSaber

Sobre o Site