Your SlideShare is downloading. ×
  • Like
Sécurisation des services WCF avec WS-Security
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×

Now you can save presentations on your phone or tablet

Available for both IPhone and Android

Text the download link to your phone

Standard text messaging rates apply

Sécurisation des services WCF avec WS-Security

  • 821 views
Published

 

Published in Technology
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Be the first to comment
    Be the first to like this
No Downloads

Views

Total Views
821
On SlideShare
0
From Embeds
0
Number of Embeds
0

Actions

Shares
Downloads
26
Comments
0
Likes
0

Embeds 0

No embeds

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
    No notes for slide

Transcript

  • 1. Sécurisation des services WCF avec WS-Security
  • 2. Windows Communication Foundation• Framework pour créer des applications: •Orientées services •Interopérables• Architecture modulaire et composable• Support natif des protocoles des services Webavancés WS-*
  • 3. WCF : Mécanisme de communication Client Service A B C Be C B A A B C Be A B C WSDL Point de terminaison « Behavior » Adresse « Binding » Contrat Environnement Où ? Comment ? Quoi ? d’exécution
  • 4. WCF : Structure message‘Client’ ‘Service’ Message Message SOAP Message Metadata Enveloppe Message SOAP Headers: Addressing, Security, etc Body: Payload
  • 5. DEMOCréation d’un service WCF
  • 6. Plan• Sécurité dans WCF• Sécurité mode message o WS-Security o Types dinformations didentification client• Sécurité mode transport• Conclusion
  • 7. Architecture WS-* RealibleSecurity Transactions Message Metadata Messaging XML
  • 8. Sécurité WCF Sécurité de transfertAudit Autorisation Intégrité Confidentialité AuthentificationSécurité WCF
  • 9. Sécurité de transfert Intégrité :Assurer la complétude et l’exactitude des données Signature des messages Confidentialité:Assurer la lecture des messages que par le récepteur prévu Chiffrement des données à laide dun schéma de clé publique/clé privée. Authentification:Vérifier l’identité d’une entitté déclarée e.g: Utilisation des certificats, username/password.
  • 10. Les trois fonctions de sécurité sont fournies par le transport utilisé pour transmettre des messages entre le client et le service.Message Transport Les modes Les modes de sécurité Transport avec information d’identification de message
  • 11. Sécurité mode message o WS-Security o Types dinformations didentification client
  • 12. WS-Security• Publiée par Microsoft, IBM et Verisign• Définit un modèle de sécurité de message qui permet dappliquer la sécurité aux messages SOAP.• Intégre les spécifications mises au point par le W3C autour du chiffrement et de la signature des documents XML - XML Encryption et XML Signature• Utilise des jetons de sécurité combinés au chiffrement et aux signatures numériques Créer une interface universelle permettant à des systèmes desécurité basés sur des technologies hétérogènes de sinvoquermutuellement.
  • 13. Architecture WS WS- WS-Federation WS-AuthorizaionSecureConcersation WS-Policy WS-Trust WS-Privacy WS-Security SOAP Foundation
  • 14. Implémentation WS-Security dans WCF• Sérialisation de jetons de sécurité vers et à partir de messages SOAP. SOAP Envelope Security Feeder• Authentification de jetons de sécurité. Token SOAP Envelope Security SOAP Body• Application et vérification de signatures de message. Signature SOAP Body• Chiffrement et déchiffrement de messages SOAP.
  • 15. Types dinformations didentification clientNone Windows Username Certificate Issued Token (jeton émis) •Permet les échanges dele service à exiger service à• Le client na pas besoin de•Autorise •Autorise le •Type de jeton personnalisé dinformationsque le client soit authentifié client soit fonction dune présenter messages SOAP dans le exiger que configuré en le didentification(un client avec des informations contexte de sécurité établi authentifiéstratégiedun à laide de sécurité. Le type anonyme). didentification certificat X.509 avec des informations de nom de jeton par défaut est le didentificationdutilisateur. Windows. jeton SAML (Security• WSS SOAP Message Security •WSS SOAPAssertions Markup Language). Message Le jeton est émis par un X.509 Certificate Token •WSS SOAP Message •WSS SOAP Message Security Security X.509 Certificate sécurisé. Security UsernameToken service de jetons Profile 1.1Kerberos Token Profile 1.1 Token Profile 1.1 Profile 1.1 Ou WSS SOAP Message Security X.509 •WSS SAML Token Profile 1.1 Certificate Token Profile 1.1
  • 16. Scénario d’authentification Windows
  • 17. Notion de ticket Kerberos• Une structure de données constituée d’une partie chiffrée et d’une partie claire. Chiffrement Chiffrement• Sert à authentifier les requêtes des participants du Clef de système. session Clef du serveur de ressource Ticket Transmis au client Clef du client
  • 18. Scénario d’authentification Windows Centre de distribution de Déchiffrement clés (KDC) Authentifiant Authentifiant 6 Valider le token Reçu par 1 Demander un ticket de service 7 Décrypter le Le serveur De ressource 2 Récupérer le ticket de service message3 Signer le Déchiffrement 8 Vérifier la signature message4 Crypter le OUI NON message Valide ? 5 Envoi Requête Message Accès Refus Clef du serveur de ressource 9 Envoi Message Réponse Client Service
  • 19. DEMOScénario d’authentification Windows
  • 20. Scénario d’authentification None
  • 21. Notion de Certificat X.509• Un standard de cryptographie de lUnion internationale des télécommunications pour les infrastructures à clés publiques (PKI).• Créé en 1988 dans le cadre du standard X.500.• Repose sur un système hiérarchique dautorités de certification.
  • 22. Scénario d’authentification None 1 Envoi Requête Message 2 Envoi Réponse Message ServiceClient
  • 23. DEMOScénario d’authentification None
  • 24. Scénario d’authentification Username
  • 25. Scénario d’authentification Username 2 Validation Username/Password 1 Envoi Requête Message 3 Envoi Réponse Message ServiceClient
  • 26. DEMOScénario d’authentification Username
  • 27. Scénario d’authentification Certificate
  • 28. Scénario d’authentification Certificate Côté Client Certificate 4 Attacher le Certificat Store Client au message 5 Signer le Message S C 1 Récupérer le Certificat du Service avec sa clé privée 6 Crypter le Message 2 Récupérer le Certificat du Client avec la clé publique du 3 Récupérer la Clé Privée service 7 Envoi Requête Message Client Service
  • 29. Scénario d’authentification Certificate Côté Service Certificate Store S Récupérer le Certificat du Service 1 Récupérer la Clé Privée 2 4 Décrypter le message 5 Vérifier la 7 Envoi Message Réponse signature Client Service
  • 30. DEMOCréation d’un service WCF
  • 31. Scénario d’authentification Issued Token Issued Token
  • 32. Notion de jeton SAML• Security Assertions Markup Language.• Des représentations XML de revendications.• Par défaut, les jetons SAML quutilise WCF dans les scénarios de sécurité fédérée sont des jetons émis (issued token).
  • 33. Scénario d’authentification Issued TokenService de 2 Signer le jeton SAMLjetons avec le certificat 1 Demander un jeton SAML 7 Vérifier la signature du jeton SAML 3 Récupérer le jeton SAML 85 Signer le Vérifier la signature Message 4 Récupérer la Clé de revendication du message. avec la clé. C 6 Envoi Requête Message 9 Envoi Message Réponse Client Service
  • 34. Sécurité mode transport o Présentation o Transport Vs Message
  • 35. Sécurité mode transport• S’applique au message dans son ensemble• Assure la confidentialité, intégrité et/ou l’authentification• Dépend du mécanisme utilisé par la liaison sélectionnée: HTTPS, SSL
  • 36. Scénario d’authentification None 1 Envoi Requête Message 2 Envoi Réponse Message
  • 37. DEMOScénario d’authentification None
  • 38. Message vs TransportSécurité Mode Message Sécurité Mode TransportSécurité de bout en bout Saut à saut uniquementPrise en charge de plusieurs transports Dépendance vis-à-vis du transportPrise en charge dun large jeu Jeu dinformations didentificationdinformations didentification limité et non extensiblePerformance Performance globale amelioréeImpossible dutiliser la diffusion encontinu de messages La diffusion en continu est possibleRequiert limplémentation de Sécurité indépendante du niveaumécanismes de sécurité au niveau du du XML.XML et la prise en charge de laspécification WS-Security.
  • 39. Sécurité Message Sécurité Transport
  • 40. Récapitulons Binding Security Mode Credential Type Custom Binding
  • 41. Conclusion• Lapplication directe de la sécurité au message en modifiant son contenu permet au message sécurisé dêtre autonome en ce qui concerne les aspects de la sécurité.• Le choix de mode dépend de besoins de l’architecture: Message ou Transport ou les deux, chacun a des inconvénient et des avantages.
  • 42. Merci pour votre attention