Niveles de Seguridad

Modelado y expresión
formal en el entorno.

Niveles de
Seguridad
 Veremos hoy

• Seguridad en un Web Service

• SSL
• WS-Security

https://www.freepik.es/fullvector
 Web Service y Seguridad

Una de las características principales de los Web Service es que son flexibles,
accesibles e interoperables, por cual deben presentar ciertos grados de seguridad.

Al momento de decir el grado de seguridad del Web Service se debe distinguir

entre aquellos servicios que requieren identificar a los participantes, firma
electrónica y cifrado de los mensaje.
 Web Service y Seguridad

Autenticación es útil para garantizar que las partes dentro de una transacción de
negocios realmente son quienes deben ser, en nuestro caso el cliente del servicio y
el proveedor del servicio.

Integridad de los datos que se intercambian en la transacción en este punto

nuestro Web Service debe garantizar que el contenido del mensaje no ha sido
alterado ni corrompido durante su transmisión en internet.

Confidencialidad tiene el propósito de garantizar que si se acceden a los datos en

transito estos no sean legibles y solo puedan ser leídos por aquellos que puedan
descifrarlos
 Niveles de seguridad

Dependiendo de la política de seguridad que se adopte se puede solicitar que

tanto proveedor como cliente se autentiquen, sobre todo si la comunicación no es
directa entre ellos.

Para la autenticación podemos utilizar métodos basados en contraseñas o

certificados.

Se pueden utilizar mecanismos basados en protocolos de transportes como http y

SSL/TLS X509 Certificate. Estos mecanismos son válidos si la comunicación es
directa

HTTP + SSL/TLS = HTTPS

canal cifrado entre el cliente y el servidor
SOAP o REST
 Niveles de seguridad

Los mecanismos basados en tokens son empleados también para la autenticación,

en este caso el tokens viaja dentro del mensaje. En este caso se utiliza el estándar
WS-Security.

WS-Security garantiza la seguridad a nivel de mensaje y tiene como objetivo

principal describir la forma de firmar y de encriptar mensajes de tipo SOAP.

Existe un gran número de tokens que pueden ser empleados Username Token,
X509 Certificate, SAML assertions, etc..
 Niveles de seguridad

WS-Security es un protocolo de comunicaciones

estandarizado que garantiza la seguridad a nivel del mensaje
en lugar de la conexión.

SSL/TLS es una solución que proporciona un sólido cifrado y

autenticación, pero solo entre Cliente y Servicio, lo que se
conoce como punto a punto, pero cuando se requiere de un
servicio intermedio que procese o examine parte del mensaje
este protocolo presenta limitaciones. WS-Security permite
mantener la seguridad, aunque se requiera pasar por varios
puntos hasta llegar al destino final dado que la seguridad va
dentro del mensaje.

La integridad del mensaje en WS-Security se consigue

mediante firmas digitales XML, que permiten garantizar que
no se han alterado partes del mensaje desde que lo firmó el
originador.