Грид технологии Лекция 4 Стандарты WS-Security, WS-Addressing, WSRF, WS-Notification Радченко Глеб Игоревич, каф. СП, ЮУрГУ
Содержание 1. Введение. Второе поколение стандартов WS 2. Безопасность и WS-Security 3. Адресация и WS-Addressing 4. Состояния WS и WSRF 5. WS-Notification 2
Введение. Второе поколение стандартов WS 1
Стандарты WS первого поколения 4 UDDI SOAP WSDL Web Службы Доступен посредством Обеспечивает поиск Связан с Обеспечивает взаимодействие между Описывает
Некоторые стандарты WS-* ( стандарты второго поколения ) 1. WS-Coordination 2. WS-Transaction (and the WS-TX TC) 3. WS-AtomicTransaction 4. WS-BusinessActivity 5. WS-BPEL 6. BPEL4WS 7. WS-ReliableMessaging (and the WS- RX TC) 8. WS-Addressing 9. WS-Attachments 10. SwA 11. DIME 12. Plain Old XML (POX) 13. Representational State Transfer (REST) 14. WS-CDL (Choreography Description Language) 15. WS-Security (and the WS-SX TC) 16. WS-Federation 17. WS-SecureConversation 18. WS-Trust 19. XML Encryption 20. XML Signature 21. XKMS 22. XACML 23. SAML 24. WS-I Basic Security Profile 25. WS-Policy 26. WS-PolicyAssertions 27. WS-PolicyAttachments 28. WS-MetadataExchange 29. WS-Eventing 30. WS-Notification 31. WS-RF (Resource Framework) 5
Некоторые стандарты WS-* ( стандарты второго поколения ) 6
Организации - разработчики стандартов WS-* Microsoft IBM Sun Oracle Globus … W3C (World Wide Consortium) OASIS (Organization for the Advancement of Structured Information Standards) GGF (Global grid Forum) DMTF (Distributed Management Task Force) WS-I (Web Services Interoperability Organization) … Коммерческие организации Консорциумы по стандартизации 7
Сферы WS-* стандартов 8 Безопасность WS-Security Microsoft, IBM, OASIS XML Encryption, XML Signature W3C … Маршрутизация и адресация WS-Addressing W3C, Microsoft WS-Attachments IBM WS-RX TC OASIS … Бизнес - процессы, Workflow WS-BPEL OASIS BPEL4WS IBM, Microsoft Управление транзакциями и контекстом WS-Coordination IBM, Microsoft WS-Transaction OASIS, IBM, Microsoft … Ориентированные на грид и другие области WSRF OASIS WS-Notification IBM WS-Eventing Microsoft …
Поли - тика Перенап - равление Цепочки SOAP- фильтров 9 Входящий SOAP- запрос Исходящий SOAP- ответ Трасси - ровка Безопас - ность Web- метод Трасси - ровка Безопас - ность Перенап - равление Поли - тика WS-Coordination WS-Security WS-Policy Девид С. Платт Платформа Microsoft М.: Русская Редакция
Безопасность WS и WS-Security 10
Проблемы с безопасностью у WS первого поколения Стандарты Web служб первого поколения не подразумевали обеспечения какой - либо безопасности. Таким образом, практическое применение WS в бизнес сфере было значительно ограничено. Отсутствовали стандартные решения аутентификации, разграничения прав доступа, шифрования и т. п. Таким образом, каждый решал задачу безопасности самостоятельно. 11
Стек протоколов обеспечения безопасности в CXA CXA - Global XML Web Services Architecture: семейство стандартов, представленных когламератом IBM+Microsoft+… Проходят стандартизацию OASIS и W3C Конкурирующий набор стандартов : SAML представлен корпорациями близкими Sun Microsystems и Oracle. 12
Стек протоколов обеспечения безопасности в CXA 13 SOAP WS-Security WS-Policy WS-PolicyFramework WS-PolicyAssertions WS-Trust WS-Privacy WS-Authorization WS-Federation WS-SecureConversation Влад Боркус. Безопасность Web-сервисного взаимодействия. – PCWEEK, 33(447)
WS-Security – комплексное решение задач безопасности WS Стандарт WS-Security ориентирован на комплексное решение задач безопасности при взаимодействии Web- служб : Идентификация Цифровые подписи Шифрование Это позволяет ответить на такие вопросы безопасности, как : Кого я авторизую ? Было ли изменено сообщение при пересылке ? Пришло ли это сообщение именно от того, от кого я думаю ? Как я спрячу конфиденциальную информацию ? WS-Sequrity – это только архитектура. Реальные операции по обеспечению безопасности она полагается на технологии PKI, Kerberos, SSL и т. п. 14 Scott Seely. Понимание WS-Security. Microsoft corp. [
WS-Security и SOAP сообщения WS-Security переносит процедуру идентификации и авторизации в пространство SOAP- сообщений. Используя маркеры безопасности (Security Tokens) SOAP сообщение может переправить следующую информацию : Идентификацию вызывающего : Я User Vasya Pupkin. Принадлежность к группе : Я разработчик PupkinSite.com. Подтверждение прав : Поскольку я разработчик PupkinSite.com, я могу создавать базы данных и добавлять Web приложения в машины PupkinSite.com. 15 Scott Seely. Понимание WS-Security. Microsoft corp. [
Процедура обеспечения безопасности при передаче сообщения 16 Клиент Web- службы Служба Маркеров Безопасности Web- служба 1. Запрос на маркер безопасности (может не иметь отношения к WS) 2. Получить маркер безопасности для SOAP сообщения 3. Подписать и послать сообщение Web-службе 5. Получить ответ 4. Подтвердить маркеры Scott Seely. Понимание WS-Security. Microsoft corp. [
Аутентификация пользователя Внедряется в заголовок SOAP- сообщения : 17 scott password... scott password...
Виды аутентификации WS-Security 1. - аутентификация пользователя посредством пары Имя пользователя - пароль аутентификация посредством сертификата X.509v3 3. Kerberos – аутентификация посредством протокола Kerberos (Kerberos Domain Controller) ( используется в Windows2000, Red Hat Linux и т. п.) 18
UsernameToken – имя пользователя и пароль scott password scott password 19 Пароль в виде простого текста ( например, при использовании SSL): scott KE6QugOpkPyT3Eo0SEgT30W4Keg= 5uW4ABku/m6/S5rnE+L7vg== T00:44:02Z scott KE6QugOpkPyT3Eo0SEgT30W4Keg= 5uW4ABku/m6/S5rnE+L7vg== T00:44:02Z Пароль в виде цифрового хэша :
X509v3 – сертификат безопасности 20 MIIHdjCCBCCAWqgAwIBAgIBGzANBgkqhkiG9w0BAQQFADBHMQ0wCwYDVQQKEwR MRwwGgYDVQQLExNDYWViZWFucyBkZXZlbG9wZXJzMRgwFgYDVQQLEw9jYWViZW Fucy5uZXQucnUwHhcNMDcxMjAxMDAwMDAwWhcNMDgwMTMxMjM1OTU5Wj... MIIHdjCCBCCAWqgAwIBAgIBGzANBgkqhkiG9w0BAQQFADBHMQ0wCwYDVQQKEwR MRwwGgYDVQQLExNDYWViZWFucyBkZXZlbG9wZXJzMRgwFgYDVQQLEw9jYWViZW Fucy5uZXQucnUwHhcNMDcxMjAxMDAwMDAwWhcNMDgwMTMxMjM1OTU5Wj... Для обеспечения безопасности при использовании сертификата надо прибегнуть к дополнительным средствам обеспечения безопасности: подпись сообщения секретным ключом сертификата ; добавление wsu:Timestamp для определения времени жизни сообщения.
Подпись сообщения Подпись сообщения лежит в рамках спецификации XML Signature. При подписи сообщения используется секретная аутентификационная информация : UsernameToken – пароль пользователя ; X.509 – секретный ключ ; Kerberos – сеансовый ключ. 21
Подпись сообщения Hp1ZkmFZ/2kQLXDJbchm5gK Hp1ZkmFZ/2kQLXDJbchm5gK *Пространство имен ds принадлежит спецификации XML Signature Влад Боркус. Безопасность Web-сервисного взаимодействия. – PCWEEK, 33(447)
Шифрование Аутентификация и подпись сообщения – это не всегда достаточная мера обеспечения безопасности, особенно при передаче конфиденциальной информации. За шифрование отвечает стандарт XML Encryption. 23
Шифрование Symmetric Key InmSSXQcBV5UiT... Y7RVZQqnPpZYMg== Symmetric Key InmSSXQcBV5UiT... Y7RVZQqnPpZYMg==... *Пространство имен xenc принадлежит спецификации XML Encryption Влад Боркус. Безопасность Web-сервисного взаимодействия. – PCWEEK, 33(447)
Адресация и WS-Addressing 25
Адресация в стандартах первого поколения (WSDL) В стандартах первого поколения полный адрес WS содержался в WSDL- описании WS в блоке. Это может доставить значительные неудобства, т. к. при изменении адреса службы приходится редактировать WSDL- файл целиком. При обмене сообщениями SOAP по стандарту первого поколения, адресация возложена на транспортный протокол ( при связывании с HTTP) и не может быть изменена непосредственно в SOAP- сообщении. 26
Пример адресации SOAP по стандарту первого поколения 27 Описание WS-Addressing ведется по презентации:Siyamed Seyhmus. WS-Addressing. SINIR SRDC Тип передаваемого сообщения:SOAP Тип передаваемого сообщения:SOAP Host URI SOAP Action
Использование WS-Addressing для обеспечения независимости от транспорта В стандарте WS-Addressing предусматривается введение полей и определяющих URI приемника сообщения и соответствующее действие : 28
Управление ответом В стандарте первого поколения подразумевается, что ответное сообщение передается по уже открытому HTTP каналу. При этом, нет стандартной поддержки асинхронной коммуникации между Web службами. Стандарт WS-Addressing вводит следующие поля :,,,, 29
Управление ответом 30 У данного сообщения есть идентификатор uuid:someid, и оно относится (related) к сообщению uuid:someotherid как Ответ (Reply) Передается адрес отправителя адрес получения ответа и адрес для извещения об ошибках
Адресация конечных точек WS-Addressing обеспечивает расширенную адресацию конечных точек. Так как WSDL не поддерживает расширение элемента «Service», в WS-Addressing определен элемент, который может быть использован в WSDL. 31
VS 32 *WSDL Service element *EndpointReference element расширяет элемент добавляя поля ReferenceProperties и Policy. Address, ServiceName и PortType уже включены в элемент.
Формирование SOAP- сообщения на основе ABCDEFG ABCDEFG ABCDEFG......
Конструкции WS-Addressing Таким образом, WS-Addressing определяет два вида конструкций, позволяющих унифицировать адресацию WS независимо от базового транспортного протокола : 34 ( описание адресации конечных точек ) Message Information Header (обеспечение асинхронного, транспортно-независимого взаимодействия между WS)
Презентация IBM Состояние WS и WSRF 35
« Состояния » и стандарты первого поколения Изначально, использование Web- служб не подразумевало существования « Состояния ». Типовой сценарий использования Web- службы : запрос – ответ – отключение. Каждый следующий запрос не зависит от предыдущего запроса. 36 Клиент Web- сервис 1515 Div(15,3) 5 Add(10,5)
WSRF Предложена в м году, утверждена в качестве стандарта OASIS в м году. Включает следующие стандарты : WS-Resource specification WS-ResourceProperties (WSRF-RP) WS-ResourceLifetime (WSRF-RL) WS-ServiceGroup (WSRF-SG) WS-BaseFaults (WSRF-BF) 37
Концепция WSRF – Web Service Resource Framework Для разработки Grid не получилось применить чистые Web- сервисы, т. к. они не обладали состоянием. WSRF является попыткой решить указанную архитектурную проблему с помощью введения понятия « состояние » в Web- сервисы, превратив их в Web- ресурсы, и указав механизмы использования этого понятия. 38 Ресурсы Клиент Web- сервис Div(3), используя ресурс B 15 4 ID: A Add(5) используя ресурс B 5 10 ID: B 15155
Web- сервис + Ресурс = WS- ресурс 39 Web- сервис Ресурсы Filename: install.xml Size: 250 Descriptors: {install} Filename : readme.txt Size: 120 Descriptors: {info} Filename: app.exe Size: 1056 Descriptors: {application} ID: 0xF5412AB ID: 0x14DC1A9 ID: 0xFF42123
1. Определение свойств ресурса 40 XML примеры Web-ресурсов из книги: Бабу Сандарам. Что такое WSRF, Часть 1. gridclub.ru
2. Базовый WSDL- файл
3. Добавление ресурса к WSDL
4. Операция на запрос ресурса
5. Запрос ресурса SAT SAT9928 Ответ :
5. Запрос состояния ресурса GetResourceProperty SAT9928 satProp:altitude GetResourceProperty SAT9928 satProp:altitude
Реализация WSRF The Globus Toolkit 4: реализация WSRF на Java и C (WS-Core). WebSphere Application Server 6.1: предоставляет среду WSRF для реализации конечных точек. Muse 2.0 (Apache Foundation): реализация на Java WSRF, WS-Notification и WSDM (Web Services Distributed Management). WSRF::Lite: реализация WSRF на perl. WSRF.NET: реализация стандарта WSRF на.NET. UNICORE 6.0: реализация стандарта WSRF 1.2 и WS- Notification на Java. 46
Презентация IBM WS-Notification 47
Ссылки и литература – перечень стандартов и спецификаций Web- служб с ссылками на организации - разработчики сборник статей по разработке и практическому применению Web- служб, включая стандарты WSRF, WS-Addressing и WS- Notification Бабу Сандарам. Что такое WSRF, Часть 1. [ /view] – пособие для разработчиков Web- служб. Леонид Черняк. Web- сервисы, grid- сервисы и другие. Открытые системы [ – отличная статья про историю взаимодействия Web- служб и грид 48
Ваши вопросы ? Спасибо за внимание ! Страница курса : Радченко Глеб Игоревич, каф. СП, ЮУрГУ