Click here to load reader

DESENVOLVIMENTO DE UM PROTOTIPO PARA COMPOSIC¸´ filedavi da silva boger¨ desenvolvimento de um prototipo para composic¸´ ao˜ dinamica e segura de servic¸osˆ web em sistemas

  • View
    217

  • Download
    0

Embed Size (px)

Text of DESENVOLVIMENTO DE UM PROTOTIPO PARA COMPOSIC¸´ filedavi da silva boger¨...

DAVI DA SILVA BOGER

DESENVOLVIMENTO DE UM PROTOTIPO PARA COMPOSICAODINAMICA E SEGURA DE SERVICOS WEB EM SISTEMAS

ABERTOS

Florianopolis

Fevereiro de 2007

DAVI DA SILVA BOGER

DESENVOLVIMENTO DE UM PROTOTIPO PARA COMPOSICAODINAMICA E SEGURA DE SERVICOS WEB EM SISTEMAS

ABERTOS

Projeto de trabalho de conclusao de cursosubmetido como parte dos requisitos paraa obtencao da aprovacao na disciplinade Introducao ao Projeto em Ciencias daComputacao.

Orientador:

Prof. Dr. Michelle Wangham

Co-orientador:

Prof. Dr. Frank Augusto Siqueira

UNIVERSIDADE FEDERAL DE SANTA CATARINACENTRO TECNOLOGICO

DEPARTAMENTO DE INFORMATICA E ESTATISTICACURSO DEBACHARELADO EM CI ENCIA DA COMPUTACAO

Florianopolis

Fevereiro de 2007

Proposta Inicial de Trabalho de Conclusao de Curso de Ciencia da Computacao.

Ttulo: Desenvolvimento de um Prototipo para Composicao Dinamica e Segura

de ServicosWebem Sistemas Abertos

Autor: Davi da Silva Boger

Prof. Dr. Frank Augusto Siqueira (Prof. Responsavel)

LISTA DE FIGURAS

1 Diferentes tipos de ataques (MILANEZ, 2005, apud. (STALLINGS, 2000)) . . .p. 11

2 Interacao entre as entidades da AOS (CAMARGO, 2006, apud (BOOTH et

al., 2004)). . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .p. 17

3 Arquitetura dos servicosWeb(CAMARGO, 2006). . . . . . . . . . . . . . . . . . . . . . . . . . .p. 17

4 Exemplo de documento XML. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .p. 18

5 Exemplo de documento XML com definicoes de espacos de nomes. . . . . . . . . . .p. 19

6 Exemplo de mensagem SOAP (MITRA, 2003). . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .p. 22

7 Parte abstrata de uma descricao WSDL (BOOTH; LIU, 2006).. . . . . . . . . . . . . . . .p. 23

8 Parte concreta de uma descricao WSDL (BOOTH; LIU, 2006). . . . . . . . . . . . . . . .p. 24

9 Exemplo de poltica expressa na forma normal definida naWS-Policy(BAJAJ

et al., 2006b). . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .p. 25

10 Exemplos de anexacao de poltica a um elemento XML de acordo com a

WS-PolicyAttachment(BAJAJ et al., 2006a). . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .p. 26

11 Exemplos de anexacao de poltica a umendpoint(descrito segundo aWS-

Addressing(BOX et al., 2004)) usando o mecanismo de anexacao externa da

WS-PolicyAttachment(BAJAJ et al., 2006a). . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .p. 26

12 Exemplo de assinatura digital segundo aXML-Signature(BARTEL et al.,

2002). . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .p. 30

13 Exemplo de cifra segundoXML Encryption(IMAMURA; DILLAWAY; SI-

MON, 2002). . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .p. 31

14 Exemplo de chave cifrada segundo aXML Encryption(IMAMURA; DIL-

LAWAY; SIMON, 2002). . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .p. 32

15 Modelo de seguranca daWS-Trust(CAMARGO, 2006, apud (ANDERSON

et al., 2005b)). . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .p. 34

16 Estrutura de um pedido detokenao STS (ANDERSON et al., 2005b). . . . . . . . .p. 35

17 Estrutura de uma resposta a um pedido detokenao STS (ANDERSON et al.,

2005b). . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .p. 35

18 Processo de autenticacao por pseudonimos daWS-Federation(CAMARGO,

2006, apud (LOCKHART et al., 2006)). . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .p. 38

SUMARIO

1 INTRODUCAO . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .p. 7

1.1 OBJETIVOS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .p. 9

2 INTRODUCAO A SEGURANCA COMPUTACIONAL . . . . . . . . . . . . . . . . . . . . . . p. 10

2.1 PROPRIEDADES DE SISTEMAS SEGUROS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .p. 10

2.2 VULNERABILIDADES, AMEACAS E ATAQUES . . . . . . . . . . . . . . . . . . . . . . . . . . . . .p. 11

2.3 POITICAS DE SEGURANCA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .p. 12

2.4 MECANISMOS DE SEGURANCA

E CONTROLES CRIPTOGRAFICOS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .p. 12

3 SERVICOSWEB . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .p. 15

3.1 ARQUITETURA ORIENTADA A SERVICOS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .p. 16

3.2 O FORMATO XML . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .p. 17

3.2.1 ESPACOS DE NOMES EM XML. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .p. 19

3.2.2 XML INFORMATION SET. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .p. 20

3.2.3 XML SCHEMA. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .p. 21

3.3 PROTOCOLO DE COMUNICACAO ENTRE SERVICOSWEB- SOAP . . . . . . . . p. 21

3.4 DESCRICAO FUNCIONAL DE SERVICOSWEB- WSDL . . . . . . . . . . . . . . . . . . . . .p. 22

3.5 POLITICAS EM SERVICOSWEB. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .p. 24

3.5.1 ANEXOS DE POLITICA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .p. 25

3.6 SERVICO DE REGISTRO E DIVULGACAO DE SERVICOSWEB- UDDI . . . . . p. 27

4 SEGURANCA EM SERVICOS WEB . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .p. 29

4.1 ESPECIFICACOES DE SECURANCA PARA XML . . . . . . . . . . . . . . . . . . . . . . . . . . . .p. 29

4.1.1 XML-SIGNATURE. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .p. 29

4.1.2 XML ENCRYPTION. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .p. 31

4.2 WS-SECURITY. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .p. 33

4.3 WS-TRUST. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .p. 33

4.4 WS-SECURECONVERSATION. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .p. 35

4.5 WS-SECURITYPOLICY. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .p. 36

4.6 WS-FEDERATION. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .p. 37

REFERENCIAS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .p. 39

7

1 INTRODUCAO

A Internet prove uma poderosa infra-estrutura de comunicacao e, devido a isto, a realizacao

de negocios que usufruem desta cresceu muito nosultimos anos, impulsionando assim a de-

manda por aplicacoes distribudas. Diante da necessidade da interacao entre as aplicacoes

distribudas de diferentes organizacoes, que geralmente nao foram desenvolvidas para serem

interoperaveis, uma nova caracterizacao de sistemas distribudos surgiu possibilitando assim a

troca de informacoes e a integracao com os sistemas legados existentes - os ServicosWeb(BO-

OTH et al., 2004). De acordo com MELLO et al. (2006) e CARMINATI, FERRARI e HUNG

(2005), as principais caractersticas que os tornam uma tecnologia emergente e promissora para

a realizacao de transacoes comerciais, sao:

possuem um modelo fracamente acoplado e transparente que garante a interoperabilidadeentre os servicos, sem que estes necessitem ter o conhecimento previo de quais tecnolo-

gias estao presentes em cada lado da comunicacao;

usam um conjunto de padroes, como o HTTP e o XML, que permite a convergenciade funcionalidades de negocios dspares atraves de linguagens e protocolos amplamente

aceitos, resultando em uma reducao significativa nos custos totais de desenvolvimento de

aplicacoes de negocio;

usam interfaces de servicos que sao auto-descritivas e baseadas no padrao XML;

tornam mais facil a composicao ou a combinacao de diferentes provedores, visando for-mar servicos mais complexos e sofisticados.

Com um ponto de vista diferente da programacao orientada a objetos em relacao a modula-

ridade, os Servicos Web representam funcoes de negocio completas e sao usados e reutilizados

em transacoes, nao mais no nvel de um aplicativo individual ou ate mesmo de uma aplicacao

completa, mas sim no nvel da empres

Search related