Seguridad en Web Service.

Economía y negocios.

Telecomunicaciones.


Un Web Service es una tecnología software basada en protocolos normalizados (XML, SOAP, UDDI y WSDL) para describir, identificar e intercambiar datos a través de la Web de manera consistente.

Más concretamente, un Web Service se podría considerar como un sistema software identificado por una URL cuyos interfaces públicos están definidos mediante XML (Extensible Markup Language), de forma que un software de cliente, normalmente una aplicación, puede “descubrir” las interfaces de un servidor y solicitar servicios, normalmente usando SOAP (Simple Object Access Protocol) para intercambiar mensajes y WSDL (Web Services Description Language) como lenguaje de descripción del servicio.

Dadas las características principales que definen el entorno de los Web Services, como arquitectura y administración descentralizada, tecnologías implementadas de forma heterogénea, interoperabilidad entre diversos departamentos o empresas dentro de la Internet, son necesarias medidas de seguridad para proporcionar protección.

Entre las medidas a considerar se han de tener en cuenta unos niveles básicos de seguridad, como los siguientes:

Autenticación: la solicitud de cualquier servicio en la Web debe ser autenticada por el proveedor de servicio. En el caso de los Web Services se debe autenticar además el proveedor de servicio. El WSDL, que describe el servicio Web proporcionado por un proveedor, debe incluir una firma para asegurar la integridad de los datos.

Autorización y control de acceso: Son factores de seguridad muy importantes para marcar los niveles de acceso que permiten los servicios Web. De esta forma se permite o no el acceso a determinadas funciones o métodos dentro de los servicios Web, según sean los derechos que tenga el usuario.

Single Sign On: dentro del entorno de desarrollo y despliegue de los Web Services, muchos sistemas necesitan comunicarse unos con otros y resulta poco práctico que cada sistema mantenga una lista con los controles de acceso, por lo que surge así SAML (Security Access Markup Language) que es un estándar que permite codificar la información de autenticación y autorización en formato XML, y que esta información sea compartida entre las entidades que participan en las transacciones, de tal forma que se evite el aumento en el número de veces que debe autenticarse y autorizarse un usuario.

Privacidad y encriptación de los datos: el estándar SSL de encriptación utilizando HTTPS permite privacidad punto a punto entre los usuarios de los servicios y los proveedores. Sin embargo, en el caso de los posibles escenarios de ejecución que se pueden definir con servicios Web, se encuentra el hecho de que un proveedor de servicio pueda tener a su vez el rol de usuario de otro servicio.

Por tanto, es necesario un estándar, conocido como XML Encryption que permite encriptar porciones de mensajes permitiendo que la información de la cabecera de los mensajes se utilice para enrutar, mientras la información útil queda encriptada.

No repudio: mediante el estándar XML Signature se logra evitar el problema del repudio sobre algo que se había realizado. Es decir para probar que alguien realizó alguna acción es necesario la utilización de firmas.

Por: Ing. Hjalmar Ruiz Tückler.

Consultas: hjalmar@rcr.telecom.com.ni