Kiwiki - Príspevky používateľa [sk]

Integrita a dôvernosť komunikácie

2010-06-11T17:46:07Z

Ian: /* */

[[Kategória:Študentské práce]][[Kategória:Diplomové práce]][[Kategória:Informatika]][[Kategória:Webové služby]]
{{Praca_uvod|4|Návrh a implementácia bezpečnostnej technológie pre webové služby|XML a webové služby |XML ASP.NET webové služby|Zabezpečennie webových aplikácií|Integrita a dôvernosť komunikácie|Autentifikácia|Autorizácia webových služieb|Zabezpečenie webových služieb|XML security|SOAP Security Enhancement pre ASP.NET webové služby}}
__TOC__
=Integrita a dôvernosť komunikácie=

V tejto kapitole sa budeme venovať spôsobom, akým môžeme vytvoriť bezpečný a dôverný komunikačný kanál medzi webovým serverom a klientskou aplikáciou volajúcou napríklad webovú službu. Najrozšírenejším spôsobom je použitie technológie SSL, aj keď tento spôsob má aj svoje negatíva, o ktorých sa dozvieme neskôr. SSL nie je funkciou ASP.NET, čiže nie je realizované samotnou webovou službou, ale webovým serverom. V našom prípade službou IIS.

==Služba IIS a technológia SSL==

Ako už bolo spomenuté technológia SSL šifruje HTTP komunikáciu medzi klientskou aplikáciou a webovým serverom. SSL pracuje na nižšej vrstve, preto neovplyvňuje spracovanie HTTP požiadavky. Kryptovanie a dekryptovanie je realizované webovým serverom a komunikácia prebieha štandardne na porte 443. Pre korektné využívanie SSL, je nutné mať nainštalovaný certifikát X.509 <nowiki>[</nowiki>15<nowiki>]</nowiki>. Skôr ako si vysvetlíme samotné princíp SSL, je nutné sa oboznámiť s certifikátmi.

===Princíp certifikátov a certifikát X.509===

Certifikáty predstavujú mechanizmus na distribúciu verejného kľúča. Sú založené na asymetrickom šifrovaní. Používajú dva kľúče, verejný a súkromný. Tie sú matematicky prepojené. Súkromných kľúč je udržiavaný v tajnosti, verejný kľúč je voľne dispozícii Certifikát jeho vlastníkovi poskytuje dôkaz, že:

* Daný verejný kľúč patrí jemu.
* K verejnému kľúču vlastní aj zodpovedajúci súkromný kľúč.

====Proces vystavenia certifikátu====

Proces vystavanie certifikátu je nasledovný <nowiki>[</nowiki>35<nowiki>]</nowiki> :

1. Žiadateľ o vystavenie certifikátu si vygeneruje dvojicu kľúčov, verejný a súkromný. Žiadosť o certifikát predstavuje dátovú štruktúru obsahujúcu:

* Identifikačné údaje vlastníka,
* Verejný kľúč,
* Poprípade iné informácie.
Takúto štruktúru vlastník digitálne podpíše pomocou príslušného súkromného kľúča. To predstavuje dôkaz o vlastníctve súkromného kľúča.

2. Takáto žiadosť sa predá certifikačnej autorite. Certifikačné autority predstavujú všeobecne dôveryhodnú entitu. Medzi dve najväčšie CA v súčasnosti patrí Thawte ( [http://www.thawte.com/ http://www.thawte.com] ) a VeriSign ( [http://www.verisign.com/ http://www.verisign.com] ). Certifikačná autorita overí totožnosť žiadateľa, verifikuje digitálny podpis na žiadosti o vystavenie certifikátu, a aby overila vlastníctvo súkromného kľúča. Pokiaľ je žiadosť v poriadku certifikačný úrad vytvorí z užívateľskej žiadosti správu a podpíše ju pomocou súkromného kľúča, týmto vytvorí samotný digitálny podpis a správu zašle späť užívateľovi.

3. Použitie certifikátu je nasledovné. Užívateľ pošle web serveru svoj certifikát, ktorý je mechanizmom na distribúciu jeho verejného kľúča.

4. Web server pomocou verejného kľúča certifikačného úradu, overí podpis certifikátu. Po zistení jeho platnosti príjme verejný kľuč, ktorý sa použije na vytvorenie SLL spojenia.

Celý proces vystavenia certifikátu je znázornení na Obr. 4.1 Certifikát X.509 predstavuje medzinárodný štandard pre digitálne certifikáty používaný na autentifikáciu digitálnych podpisov. Obsahuje tieto základné informácie <nowiki>[</nowiki>35<nowiki>]</nowiki>:

* Názov certifikačnej autority,
* Sériové číslo certifikátu,
* Identifikačné údaje vlastníka (meno držiteľa certifikátu, názov firmy a jej adresu),
* Platnosť certifikátu,
* Verejný kľúč,
* Dáta na overenie platnosti certifikátu,
* Digitálny podpis CA.

[[Súbor:dp_2010_jm_5.png|framed|center|Obr. 4.1 Proces vydania certifikátu]]

Pri verifikácii certifikátu sa overujú nasledovné informácie <nowiki>[</nowiki>35<nowiki>]</nowiki>:

* Verzia, sériové číslo certifikátu, CA, platnosť, predmet,
* Verejný kľúč,
* Digitálny podpis CA.

===Princíp komunikácie prostredníctvom SSL===

Proces vytvorenia bezpečného HTTPS kanála je nasledovný <nowiki>[</nowiki>1<nowiki>]</nowiki>, <nowiki>[</nowiki>7<nowiki>]</nowiki>:

1. Klient požiada server o spojenie.

2. Webový server podpíše certifikát a zašle ho klientovi.

3. Klient overí, či certifikát vydala CA (certifikačná autorita). Klient si overí platnosť serverového certifikátu a či bol vydaní CA. Pokiaľ certifikát nebol vzdaný CA, klient je na to upozornení. Sám sa rozhodne, či bude pokračovať v komunikácii alebo ju ukončí.

4. Klient príjme komunikáciu.

5. Klient povie serveru aké podporuje kryptovacie kľúče.

6. Server vyberie ten najsilnejší a informuje o tom klienta.

7. Klient si vygeneruje náhodný kľúč symetrickej šifry a zašifruje ho verejným kľúčom servera, ktorý získa z serverového certifikátu.

8. Server ho dešifruje súkromným kľúčom.

9. Server a klient majú rovnaký tajný kľúč pre symetrické kryptovanie. Komunikácia je symetricky šifrovaná rovnakým kľúčom počas celej doby spojenia.

[[Súbor:dp_2010_jm_6.png|framed|center|Obr. 4.2 Proces vytvorenia SSL spojenia]]

Integrita a dôvernosť komunikácie

2010-06-11T17:44:51Z

Ian: /* Integrita a dôvernosť komunikácie */

[[Kategória:Študentské práce]][[Kategória:Diplomové práce]][[Kategória:Informatika]][[Kategória:Webové služby]]
{{Praca_uvod|4|Návrh a implementácia bezpečnostnej technológie pre webové služby|XML a webové služby |XML ASP.NET webové služby|Zabezpečennie webových aplikácií|Integrita a dôvernosť komunikácie|Autentifikácia|Autorizácia webových služieb|Zabezpečenie webových služieb|XML security|SOAP Security Enhancement pre ASP.NET webové služby}}
__TOC__
= =
=Integrita a dôvernosť komunikácie=

V tejto kapitole sa budeme venovať spôsobom, akým môžeme vytvoriť bezpečný a dôverný komunikačný kanál medzi webovým serverom a klientskou aplikáciou volajúcou napríklad webovú službu. Najrozšírenejším spôsobom je použitie technológie SSL, aj keď tento spôsob má aj svoje negatíva, o ktorých sa dozvieme neskôr. SSL nie je funkciou ASP.NET, čiže nie je realizované samotnou webovou službou, ale webovým serverom. V našom prípade službou IIS.

==Služba IIS a technológia SSL==

Ako už bolo spomenuté technológia SSL šifruje HTTP komunikáciu medzi klientskou aplikáciou a webovým serverom. SSL pracuje na nižšej vrstve, preto neovplyvňuje spracovanie HTTP požiadavky. Kryptovanie a dekryptovanie je realizované webovým serverom a komunikácia prebieha štandardne na porte 443. Pre korektné využívanie SSL, je nutné mať nainštalovaný certifikát X.509 <nowiki>[</nowiki>15<nowiki>]</nowiki>. Skôr ako si vysvetlíme samotné princíp SSL, je nutné sa oboznámiť s certifikátmi.

===Princíp certifikátov a certifikát X.509===

Certifikáty predstavujú mechanizmus na distribúciu verejného kľúča. Sú založené na asymetrickom šifrovaní. Používajú dva kľúče, verejný a súkromný. Tie sú matematicky prepojené. Súkromných kľúč je udržiavaný v tajnosti, verejný kľúč je voľne dispozícii Certifikát jeho vlastníkovi poskytuje dôkaz, že:

* Daný verejný kľúč patrí jemu.
* K verejnému kľúču vlastní aj zodpovedajúci súkromný kľúč.

====Proces vystavenia certifikátu====

Proces vystavanie certifikátu je nasledovný <nowiki>[</nowiki>35<nowiki>]</nowiki> :

1. Žiadateľ o vystavenie certifikátu si vygeneruje dvojicu kľúčov, verejný a súkromný. Žiadosť o certifikát predstavuje dátovú štruktúru obsahujúcu:

* Identifikačné údaje vlastníka,
* Verejný kľúč,
* Poprípade iné informácie.
Takúto štruktúru vlastník digitálne podpíše pomocou príslušného súkromného kľúča. To predstavuje dôkaz o vlastníctve súkromného kľúča.

2. Takáto žiadosť sa predá certifikačnej autorite. Certifikačné autority predstavujú všeobecne dôveryhodnú entitu. Medzi dve najväčšie CA v súčasnosti patrí Thawte ( [http://www.thawte.com/ http://www.thawte.com] ) a VeriSign ( [http://www.verisign.com/ http://www.verisign.com] ). Certifikačná autorita overí totožnosť žiadateľa, verifikuje digitálny podpis na žiadosti o vystavenie certifikátu, a aby overila vlastníctvo súkromného kľúča. Pokiaľ je žiadosť v poriadku certifikačný úrad vytvorí z užívateľskej žiadosti správu a podpíše ju pomocou súkromného kľúča, týmto vytvorí samotný digitálny podpis a správu zašle späť užívateľovi.

3. Použitie certifikátu je nasledovné. Užívateľ pošle web serveru svoj certifikát, ktorý je mechanizmom na distribúciu jeho verejného kľúča.

4. Web server pomocou verejného kľúča certifikačného úradu, overí podpis certifikátu. Po zistení jeho platnosti príjme verejný kľuč, ktorý sa použije na vytvorenie SLL spojenia.

Celý proces vystavenia certifikátu je znázornení na Obr. 4.1 Certifikát X.509 predstavuje medzinárodný štandard pre digitálne certifikáty používaný na autentifikáciu digitálnych podpisov. Obsahuje tieto základné informácie <nowiki>[</nowiki>35<nowiki>]</nowiki>:

* Názov certifikačnej autority,
* Sériové číslo certifikátu,
* Identifikačné údaje vlastníka (meno držiteľa certifikátu, názov firmy a jej adresu),
* Platnosť certifikátu,
* Verejný kľúč,
* Dáta na overenie platnosti certifikátu,
* Digitálny podpis CA.

[[Súbor:dp_2010_jm_5.png|framed|center|Obr. 4.1 Proces vydania certifikátu]]

Pri verifikácii certifikátu sa overujú nasledovné informácie <nowiki>[</nowiki>35<nowiki>]</nowiki>:

* Verzia, sériové číslo certifikátu, CA, platnosť, predmet,
* Verejný kľúč,
* Digitálny podpis CA.

===Princíp komunikácie prostredníctvom SSL===

Proces vytvorenia bezpečného HTTPS kanála je nasledovný <nowiki>[</nowiki>1<nowiki>]</nowiki>, <nowiki>[</nowiki>7<nowiki>]</nowiki>:

1. Klient požiada server o spojenie.

2. Webový server podpíše certifikát a zašle ho klientovi.

3. Klient overí, či certifikát vydala CA (certifikačná autorita). Klient si overí platnosť serverového certifikátu a či bol vydaní CA. Pokiaľ certifikát nebol vzdaný CA, klient je na to upozornení. Sám sa rozhodne, či bude pokračovať v komunikácii alebo ju ukončí.

4. Klient príjme komunikáciu.

5. Klient povie serveru aké podporuje kryptovacie kľúče.

6. Server vyberie ten najsilnejší a informuje o tom klienta.

7. Klient si vygeneruje náhodný kľúč symetrickej šifry a zašifruje ho verejným kľúčom servera, ktorý získa z serverového certifikátu.

8. Server ho dešifruje súkromným kľúčom.

9. Server a klient majú rovnaký tajný kľúč pre symetrické kryptovanie. Komunikácia je symetricky šifrovaná rovnakým kľúčom počas celej doby spojenia.

[[Súbor:dp_2010_jm_6.png|framed|center|Obr. 4.2 Proces vytvorenia SSL spojenia]]

Návrh a implementácia bezpečnostnej technológie pre webové služby

2010-06-11T12:56:02Z

Ian: /* Universal Description Discovery and Integration */

[[Kategória:Študentské práce]][[Kategória:Diplomové práce]][[Kategória:Informatika]][[Kategória:Webové služby]]
{{Hlavička_FM|{{PAGENAME}}|Bc. Ján Minárik|
Ing. Tomáš Páleník|
2009/2010
|Diplomový projekt
|Mechatronika
}}
{{Praca_uvod|1|Návrh a implementácia bezpečnostnej technológie pre webové služby|XML a webové služby |XML ASP.NET webové služby|Zabezpečennie webových aplikácií|Integrita a dôvernosť komunikácie|Autentifikácia|Autorizácia webových služieb|Zabezpečenie webových služieb|XML security|SOAP Security Enhancement pre ASP.NET webové služby}}
__TOC__
{{Abstrakt
|Webové služby predstavujú technológiu založenú na otvorených štandardoch. Stali sa vhodným nástrojom na riešenie integračných problémov v dnešnom zložitom a heterogénnom počítačovom svete. Uplatňujú sa pri budovaní podnikovej aplikačnej architektúry až po distribuovanie komplexných matematických výpočtov.
Táto práca sa zaoberá možnosťami zabezpečenia XML webových služieb a chybami, ktoré pri zabezpečovaní XML webových služieb vznikajú. Je tu prezentovaný vlastný návrh a implementácia bezpečnostnej platformy pre ASP.NET webové služby. Platforma SOAP Security Enhancement poskytuje dva spôsoby autentifikácie klientov, na základe X509 certifikátov a autentifikačných lístkov v SOAP hlavičke. SOAP Security Enhancement podporuje selektívne šifrovanie s využitím kryptografického algoritmu Advanced Encryption Standard a digitálne podpisovanie SOAP správ podľa štandardu XML Signature. Ako autorizačný mechanizmus sme zvolili programovú impersonáciu.

|The XML web services introduce technology that is based on open standards. The web service became an adequate solution for integration problems in modern heterogeneous computers networks. They find their place at business application architecture construction till the distribution of complex mathematical calculation.
The thesis deals with the possibilities of securing XML web services and weakness of XML web security. There is also presented description, design and implementation of the own security platform, called SOAP Security Enhancement. SOAP Security Enhancement offers two ways of client’s authentication with X509 certificate and authentication ticket in SOAP headers. SOAP Security Enhancement supports selectively encryption of SOAP messages with cryptographic algorithm Advanced Encryption Standard and digital sign of SOAP messages by XML Signature standards. Authorization of clients is based on programmatically impersonation.

}}

'''Úvod'''

XML webové služby predstavujú technológiu pre vytváranie distribuovaných aplikácií. Podarilo sa im vyriešiť problém interoperability a zameniteľnosti, s ktorou sa stretávame napríklad pri technológii komponentov. V praxi sú XML webové služby začleňované do servisne orientovaných architektúr. Tu sa prejaví ich hlavný nedostatok, a tým je bezpečnosť. Interoperabilita webových služieb je dosiahnutá použitím SOAP správ, v ktorých sú dáta prenášané vo forme XML. Samotný protokol SOAP nezabezpečuje nijakým spôsobom integritu a dôvernosť komunikácie medzi webovou službou a klientom.
Táto práca sa zaoberá vytvorením bezpečného komunikačného scenára medzi ASP.NET webovou službou a klientskou aplikáciou. V práci sa čitateľ oboznámi so samotnou technológiou XML webových služieb, so štandardami ktoré používa, a takisto je mu priblížené technologické pozadie ASP.NET webových služieb. Ďalej sa v práci venujeme možnostiam autentifikácie, autorizácie klientov ASP.NET webovej služby a spôsobom, akými môžeme zabezpečiť dôvernosť a integritu komunikácie. Tie predstavujú hlavné piliere bezpečnosti webových aplikácií. V kapitolách sú postupne opísané jednotlivé možnosti, vysvetlené ich výhody aj nevýhody, ktoré prináša ich použitie. Hlavná časť práce sa týka vlastnej bezpečnostnej platformy, ktorá poskytuje autentifikáciu klientov, autorizáciu na základe programovej impersonácie a zabezpečuje vytvorenie integrity a dôvernosti komunikačného kanála. Dôvernosť komunikačného kanála je zabezpečená digitálnym podpisovaním SOAP správ a integrita pomocou selektívneho šifrovania SOAP správ s využitím kryptografického algoritmu AES.

=XML webové služby=
==Porovnanie XML webových služieb s technológiou COM a CORBA==
XML webové služby môžeme definovať ako technológiu založenú na otvorených štandardoch XML, SOAP a WSDL, umožňujúcu vzdialené volanie metód v prostredí internetu. Môže sa zdať, že XML webové služby predstavujú len ďalšiu z radu technológií umožňujúcu remoting.
Na to, aby sme pochopili skutočný význam XML webových služieb, sa musíme stručne oboznámiť s technológiou komponentov, ktorá sa objavila v 90. rokoch minulého storočia. V tomto období vznikli dve dominantné technológie COM a CORBA. Ich protokoly umožňovali RPC a ich štandardy boli implementované v rôznych počítačových sieťach. Tieto technológie boli značne sofistikované, ale priniesli so sebou veľa problémov, napríklad obtiažne nastavenie v lokálnych sieťach, a takisto neumožňovali vzájomnú spoluprácu. <nowiki>[</nowiki>4<nowiki>]</nowiki> Pokiaľ sme teda chceli vybudovať distribuovaný systém, ktorý pozostával z niekoľkých operačných systémov, museli sme pre všetky počítače nadefinovať rovnaký formát paketu, prenosového protokolu atď. S masívnym rozšírením Internetu sa objavili nové problémy, ako priechodnosť protokolov DCOM a CORBA cez firewall a tak isto to, že tieto protokoly sú orientované na spojenie. To znamená, že po celú dobu komunikácie klienta so serverom sa udržuje spojenie. Na strane servera sa môžu uchovávať informácie o klientoch, čo môže predstavovať určitý problém, ak klient nekorektne ukončí spojenie sú zbytočne využívané systémové zdroje. Pokiaľ sa na server snaží pripojiť súčasne veľký počet klientov, server veľmi rýchlo vyčerpá svoju pamäť a kapacitu spojenia. <nowiki>[</nowiki>2<nowiki>]</nowiki>
Adekvátnou odpoveďou na riešenie problémov spojených s technológiou komponentov a ich využitím pri RPC sa stali XML webové služby. Platforma XML webových služieb predstavuje jednoduché, interoperabilné pracovné prostredie. XML webové služby sa stali vhodným nástrojom na riešenie integračných problémov v dnešnom heterogénnom prostredí počítačových sietí. Problém priechodnosti protokolu cez firewall je u XML webových služieb vyriešený použitím HTTP ako transportného protokolu, a tak isto protokol HTTP je bezstavový. Tým je zabezpečené, že pri nekorektnom ukončení komunikácie klienta s XML webovou službou nie sú zbytočne využívané systémové zdroje. <nowiki>[</nowiki>1<nowiki>]</nowiki>
Komunikácia klienta a XML webovej služby je založená na posielaní SOAP správ prostredníctvom HTTP kanála. Klient pošle požiadavku vo forme SOAP správy, XML webová služba ju prijme, vyvolá príslušnú webovú metódu. Výsledok je klientovi zaslaný opätovne vo forme SOAP správy. Následne je spojenie ukončené. XML webové služby dokážu komunikovať s klientmi nezávisle od platformy, na rozdiel od technológie komponentov. To znamená, že nie sú závislé na OS ani na programovacom jazyku, v ktorom boli vytvorené. Dôvod je ten, že na reprezentáciu údajov používajú XML. XML predstavuje štandard špecifikovaný konzorciom W3C pre popis štruktúrovaných dát pomocou čistého textu. V Tab. 1.1 je možné prehľadne vidieť porovnanie technológií DCOM, CORBA a XML webových služieb.

{|class="wikitable"
'''Tab. 1.1''' Porovnanie jednotlivých distribuovaných technológii <nowiki>[4</nowiki><nowiki>]</nowiki>
|-
| 
!CORBA
!DCOM
!Webová služba
|-
!Mechanizmus vzdialeného volania<br>funkcie
|align = "center"|IIOP
|align = "center"|DCE-RPC
|align = "center"|HTTP
|-
!Kódovanie
|align = "center"|CDR
|align = "center"|NDR
|align = "center"|XML
|-
!Popis rozhrania
|align = "center"|IDL
|align = "center"|IDL
|align = "center"|WSDL
|-
!Sprístupnenie
|align = "center"|Naming service<br>Tranding service
|align = "center"|Register
|align = "center"|UDDI
|-
!Prívetivosť voči firewallu
|align = "center"|Nie
|align = "center"|Nie
|align = "center"|Áno
|-
!Zložitosť protokolov
|align = "center"|Vysoká
|align = "center"|Vysoká
|align = "center"|Nízka
|-
!Použitie medzi platformami
|align = "center"|Čiastočná
|align = "center"|Nie
|align = "center"|Áno
|}

==Štandardy XML webových služieb==
Za úspechom webových služieb stoja otvorené štandardy, na ktorých sú XML webové služby vystavané. XML webové služby využívajú štandardizované :

* komunikačné protokoly,
* formáty na popis dát,
* popisné jazyky,
* mechanizmy na „objavovanie" XML webových služieb.

Pri budovaní XML webových služieb sa využívajú tieto štandardy:

* Simple Object Access Protocol,
* Web Service Description Language,
* Hypertext Transfer Protocol.
V nasledujúcej podkapitole sa budeme venovať práve štandardom XML webových služieb.

==Simple Object Access Protocol==
Ako sme už spomenuli, komunikácia XML webových služieb prebieha prostredníctvom zasielania SOAP správ cez HTTP kanál. Na to, aby sme mohli pochopiť princíp XML webových služieb, sa musíme najskôr oboznámiť so SOAP. SOAP predstavuje medziplatformový štandard, ktorý je používaný pre formátovanie správ zasielaných medzi XML webovými službami a klientskymi aplikáciami. Výhoda SOAP je v jeho flexibilite a jednoduchosti. SOAP môžeme použiť aj s iným transportným protokolom ako HTTP, napríklad SOAP správy môžeme posielať priamo cez TCP/IP spojenie. <nowiki>[</nowiki>4<nowiki>]</nowiki>
Každá SOAP správa predstavuje XML dokument. Tento XML dokument má jeden koreňový prvok '''<nowiki><</nowiki>Envelope<nowiki>></nowiki>''' , ktorý slúži ako obálka SOAP správy. Zvyšok správy je vo vnútri obálky, ktorá obsahuje hlavičku (prvok '''<nowiki><</nowiki>Header<nowiki>></nowiki>) '''a telo správy (prvok '''<nowiki><</nowiki>Body<nowiki>></nowiki>'''). Formát SOAP správy je znázornený na obrázku 1.3.1. <nowiki>[</nowiki>10<nowiki>]</nowiki>

[[Súbor:dp_2010_jm_1.png|framed|center|Obr. 1.1 SOAP správa <nowiki>[</nowiki>3<nowiki>]</nowiki>]]

Existujú dva štýly SOAP <nowiki>[</nowiki>2<nowiki>]</nowiki>:

* štýl dokumentu SOAP (document-style SOAP),
* RPC štýl SOAP.
RPC štýl SOAP je využívaný pri volaní vzdialených objektov. Štýl dokumentu SOAP

zobrazuje dáta, ktoré sú vymenované ako dokumenty, čiže každá SOAP správa obsahuje v tele XML dokument. Tento spôsob kódovania SOAP správ je flexibilnejší ako RPC štýl SOAP. Preto je využívaný XML webovými službami.

SOAP dáta môžu byť kódované dvoma spôsobmi, ako <nowiki>[</nowiki>4<nowiki>]</nowiki> :

* literal,
* SOAP sekcia 5 (SOAP section 5).
Pri kódovaní literal sú dáta kódované ako špecifická XML schéma. Pri kódovaní SOAP sekcia 5 sú dáta kódované podľa podobných, ale prísnejších pravidiel, stanovených v špecifikácii sekcie 5 štandardu SOAP. Dôvod existencie kódovania SOAP sekcia 5 je ten, že SOAP bolo vyvinuté ešte pred dokončením štandardu XML schémy. Všetky XML webové služby štandardne využívajú kódovanie literal.

V súčasnosti existujú dve verzie SOAP <nowiki>[</nowiki>10<nowiki>]</nowiki>:

* SOAP 1.1,
* SOAP 1.2.

===Štruktúra Simple Object Access Protocol===

Každá SOAP správa je uzatvorená do koreňového elementu '''<nowiki><</nowiki>Envelope<nowiki>></nowiki>'''. Vo vnútri obálky sa nachádza nepovinný element '''<nowiki><</nowiki>Header<nowiki>></nowiki> '''a povinný element '''<nowiki><</nowiki>Body<nowiki>></nowiki>'''. V Tab. 1.2 je znázornená základná štruktúra SOAP správy.

{|class="wikitable"
'''Tab. 1.2''' Základná štruktúra SOAP správ
|-
| <source lang="xml">
<soap:Envelope xmlns:soap="http://schemas.xmlsoap.org/soap/envelope/">
<soap:Header>
</soap:Header>
<soap:Body>
</soap:Body>
</soap:Envelope>
</source>
|}

==Web Service Description Language==
WSDL je jazyk založený na XML, ktorý sa používa na popis verejného rozhrania webových služieb a komunikačných protokolov, ktoré podporujú. WSDL predstavuje metajazyk popisujúci tieto charakteristiky webovej metódy <nowiki>[</nowiki>5<nowiki>]</nowiki>:

* názov webovej metódy,
* počet, typy a poradie parametrov,
* typ návratovej hodnoty,
* volajúce konvencie HTTP GET, HTTP POST a SOAP.
Výhodou WSDL je to, že nie je zviazaný so žiadnou platformou alebo objektovým modelom. Je to jazyk XML, ktorý poskytuje rozhranie pre webové služby v rámci všetkých platforiem.

===Základná štruktúra Web Service Description Language===
WSDL dokument je tvorený z piatich hlavných elementov, ktoré sa navzájom kombinujú a popisujú XML webovú službu. Prvé tri elementy '''<nowiki><</nowiki>types<nowiki>></nowiki>''', '''<nowiki><</nowiki>message<nowiki>></nowiki>''' a '''<nowiki><</nowiki>portType<nowiki>></nowiki>''' sú abstraktné. Vzájomne sa kombinujú a definujú rozhranie XML webovej služby. Posledné dva '''<nowiki><</nowiki>binding<nowiki>></nowiki>''' a '''<nowiki><</nowiki>service<nowiki>></nowiki>''' definujú protokol. WSDL dokument má jeden koreňový element '''<nowiki><</nowiki>definitions<nowiki>></nowiki>'''. Vo vnútri koreňového elementu sa nachádza päť hlavných elementov, pričom element '''<nowiki><</nowiki>message<nowiki>></nowiki> '''sa môže vyskytnúť viackrát. V Tab. 1.3 je uvedená základná štruktúra WSDL dokumentu. <nowiki>[</nowiki>5<nowiki>]</nowiki>, <nowiki>[</nowiki>6<nowiki>]</nowiki>

{|class="wikitable"
'''Tab. 1.3''' Štruktúra WSDL dokumentu
|-
|<source lang="xml">
<wsdl:definitions xmlns:soap="http://schemas.xmlsoap.org/wsdl/soap/">
<wsdl:types></wsdl:types>
<wsdl:message></wsdl:message>
<wsdl:portType ></wsdl:portType>
<wsdl:binding></wsdl:binding>
<wsdl:service></wsdl:service>
</wsdl:definitions>
</source>
|}

Popis hlavných elementov WSDL dokumentu <nowiki>[</nowiki>11<nowiki>]</nowiki>:

* '''Types'''. V tejto sekcii sú definované všetky dátové typy XML webovej služby, patria sem aj vlastné dátové typy a formáty správ.
* '''Message.''' Táto sekcia poskytuje podrobné informácie o správach a o SOAP požiadavkách a SOAP odpovediach, ktoré sú používané pri komunikácii s XML webovou službou.
* '''PortType'''. Táto sekcia zoskupuje informácie do dvojice vstupných a výstupných správ. Každá dvojica reprezentuje metódu.
* '''Binding.''' Táto sekcia poskytuje informácie o transportných protokoloch podporovaných XML webovou službou.
* '''Service.''' Táto sekcia poskytuje koncové body (URI adresy) webovej služby.
U XML webových služieb vyvíjaných v rámci firmy poprípade pre menší okruh užívateľov sa WSDL dokument generuje automaticky webovým serverom, alebo nástrojom určeným na tento účel. Existuje však spôsob vývoja XML webových služieb, ktorý sa nazýva "first WSDL" (najskôr WSDL), kedy sa najskôr vytvorí samotný WSDL dokument, popisujúci XML webovú službu a až potom samotná XML webová služba. <nowiki>[</nowiki>7<nowiki>]</nowiki> Tento spôsob slúži na zvýšenie interoperability. Táto technika vývoja XML webových služieb je nad rámec tejto práce a preto sa ňou nebudeme zaoberať.

Protokol SOAP a HTTP predstavujú spolu s WSDL tri hlavné štandardy, na ktorých sú vystavané XML webové služby. Na lokalizáciu XML webových služieb existuje niekoľko mechanizmov, ktoré umožňujú vyhľadávať webové služby podľa určitých kritérií. Najrozšírenejším je použitie servera Universal Description, Discovery and Integration.

===Universal Description Discovery and Integration===
UDDI je navrhnutý pre webové služby, ktoré sú zdieľané verejne alebo medzi organizáciami či spoločnosťami. Obsahuje mechanizmy pre registrovanie, vyhľadávanie a kategorizovanie webových služieb. V podstate funguje ako veľký adresár obsahujúci informácie o subjektoch a nimi poskytovanými službami. Základný princíp práce s UDDI je nasledovný. Developer prehľadá register nájde služby, ktoré potrebuje, a získa pre ne popis WSDL. <nowiki>[</nowiki>7<nowiki>]</nowiki>, <nowiki>[</nowiki>12<nowiki>]</nowiki>

UDDI predstavuje register, do ktorého môžu poskytovatelia webových služieb ukladať informácie o nimi poskytovaných službách a užívatelia si ich môžu potom prehliadať.

Dve centrálne databázy spravujú firmy Microsoft a IBM. V praxi sa však ukázalo, že dve tretiny informácií o webových službách v týchto databázach sú však neplatné. <nowiki>[</nowiki>5<nowiki>]</nowiki> Ďalším problémom, ktorý je výrazný, je to, že nikto nezaručuje dôveryhodnosť poskytovateľov služieb.

===WSIL===
Štandard WSIL (Web Service Inspection Language) využíva na popis webovej služby súbor nazvaný inspection.wsil. Ten býva lokalizovaný v hlavnom adresári webservera spoločnosti poskytujúcej danú webovú službu. Mechanizmus vyhľadávania pre užívateľa spočíva v tom, že si vyhľadá najskôr konkrétnu spoločnosť poskytujúcu konkrétnu službu a až potom požiada o popis rozhrania. <nowiki>[</nowiki>8<nowiki>]</nowiki>, <nowiki>[</nowiki>5<nowiki>]</nowiki>

===DISCO===
Tento štandard vytvára jediný súbor, v ktorom sú zoskupené informácie o príbuzných webových službách. Súbor býva zvyčajne umiestnený na serveri, obsahuje odkazy na poskytované služby a klienti môžu on požiadať. Je to užitočné v tom prípade, že chceme vedieť podrobnejšie informácie o službách určitej spoločnosti. Toto vyhľadávanie nie je veľmi efektívne cez Internet, ale je vhodné pre lokálne siete, kde si klient hneď po pripojení na server môže pozrieť poskytované služby. Discovery je podporovaný iba Microsoftom a plánuje sa ho nahradiť štandardom WS-Inspection. <nowiki>[</nowiki>4<nowiki>]</nowiki>, <nowiki>[</nowiki>5<nowiki>]</nowiki>

==Výhody a nevýhody webových služieb==
Webové služby riešia problémy, ako je priechodnosť cez firewall, spracovanie zložitých transportných protokolov a integrácia rôznorodých platforiem. Globálne rozšírenie Internetu zvýšilo dôležitosť a použiteľnosť distribuovaných výpočtov a webové služby predstavujú len ďalší krok vo vývoji distribuovaných komponentov.

Medzi nesporné výhody webových služieb patrí:

* Jednoduchosť a podpora pre širokú škálu platforiem.
* Webová služba môže pridávať nové metódy bez toho, aby to ovplyvnilo činnosť klienta. (Webová služba musí ale poskytovať staré metódy a parametre.)

* Webové služby sú bezstavové. Znamená to, že klient zašle požiadavku na webovú službu, tá ju spracuje, zašle späť výsledok a spojenie je ukončené. Neexistuje tu parameter spojenia.
* Prívetivosť voči firewallu. Firewally môžu predstavovať problém pri technológii distribuovaných objektov. Avšak webové služby využívajú HTTP prenos na portoch 80, 443 a HTTP protokol prakticky vždy prejde cez firewally.

Jednoduchosť webových služieb v porovnaní so sofistikovanými technológiami COM a COBRA sa prejaví aj v tom, že neobsahuje obojstrannú komunikáciu. Pokiaľ sa klient odpojil, server ho nemôže spätne zavolať.

Hlavnou nevýhodou XML webových služieb je bezpečnosť. XML webové služby neposkytujú žiaden vstavaný mechanizmus zabezpečenia na úrovni SOAP správ.

==Životný cyklus webovej služby==
Obr.1.2 zobrazuje cyklus webovej služby. Užívateľ si vyhľadá službu priamo cez URL (Uniform Resource Locator) adresu služby, použije DISCO súbor alebo UDDI.

Získa WSDL dokument, ktorý popisuje spôsob komunikácie s webovou službou. Po spustení samotnej aplikácie pošle klient SOAP správu službe, tá spustí požadovanú webovú metódu a následne je zaslaná klientovi odpoveď v podobe SOAP správy.

[[Súbor:dp_2010_jm_2.png|framed|center|Obr. 1.2 Komunikácia XML webová služba a klientska aplikácia]]

Princíp komunikácie klientskej aplikácie a XML webovej služby:

* Klientska aplikácia sa pripojí na XML webovú službu priamo cez URL adresu, prípadne použije klient UDDI.
* Klientska aplikácia získa WSDL dokument, ktorý popisuje spôsob komunikácie klienta s XML webovou službou.
* Klient pošle požiadavku vo forme SOAP správy na XML webovú službu.
* Tá spustí príslušnú webovú metódu a následne je zaslaná odpoveď klientovi vo forme SOAP správy.
* Spojenie je ukončené.

SOAP Security Enhancement pre ASP.NET webové služby

2010-06-11T12:54:43Z

Ian: /* Rozšírenie SOAP */

[[Kategória:Študentské práce]][[Kategória:Diplomové práce]][[Kategória:Informatika]][[Kategória:Webové služby]]
{{Praca_uvod|9|Návrh a implementácia bezpečnostnej technológie pre webové služby|XML a webové služby |XML ASP.NET webové služby|Zabezpečennie webových aplikácií|Integrita a dôvernosť komunikácie|Autentifikácia|Autorizácia webových služieb|Zabezpečenie webových služieb|XML security|SOAP Security Enhancement pre ASP.NET webové služby}}
__TOC__
=SOAP Security Enhancement pre ASP.NET webové služby=

V predchádzajúcich dvoch kapitolách sme si opísali teoretické možnosti zabezpečenia XML ASP.NET webových služieb a štandardy zamerané na bezpečnosť XML. Táto kapitola sa zaoberá vývojom vlastnej bezpečnostnej platformy pre XML ASP.NET webové služby v jazyku C<nowiki> </nowiki>, ktorú sme nazvali SOAP Security Enhancement (SSE) Naša bezpečnostná platforma bude predstavovať zabezpečenie na úrovni správ a tiež na úrovni aplikácie. Pri vytváraní bezpečnostného systému pre webové aplikácie treba zabezpečiť:

* Mechanizmus pre overovanie klientskych aplikácií. Možnosti overovania klientov sme si podrobne rozobrali v kapitolách 5, 5.1, 5.2, 5.3.
* Mechanizmus pre autorizáciu klientov overených webovou službou. Spôsobmi autorizácie sme sa zaoberali kapitolách 5.1, kde sme sa zaoberali autorizáciou s využitým webového servera IIS a takisto autorizáciou prostredníctvom konfiguračného súboru webovej služby, ktorú sme si opísali v kapitole 6.
* Mechanizmus pre zabezpečenie dôvernosti a integrity komunikácie. Spôsobov na vytvorenie bezpečnej komunikačnej linky je viacero. Najrozšírenejší spôsob je použitie technológie SSL, ktorou sme sa zaoberali v podkapitole 4.1. Táto technológia má aj svoje nedostatky, ktoré sme načrtli v kapitole 7 a s ktorými sa oboznámime v podkapitole 9.7.1.
V príslušných kapitolách sme vysvetlili výhody, nevýhody a oblasti použitia daných mechanizmov pre autentifikáciu, autorizáciu a zabezpečenie dôvernosti a integrity komunikácie. V tejto kapitole ponúkame vlastný komplexný spôsob, ako zabezpečiť komunikáciu medzi XML ASP.NET webovou službou a klientskou aplikáciou na platforme .NET Framework 3.5.

V Tab. 9.1 sú prehľadne opísané spôsoby a technológie, ktoré použijeme na autentifikáciu, autorizáciu a zabezpečenie dôvernosti a integrity komunikácie. Tie podrobnejšie popíšeme a vysvetlíme nasledujúcich podkapitolách.

{|class="wikitable"
'''Tab. 9.1''' Popis technológií použitých pri vlastnej bezpečnostnej platforme
|align = "justify"|'''Mechanizmus'''
|align = "justify"|'''Technológia'''
|-
|align = "justify"|Autentifikácia
|align = "justify"|'''Certifikát X509'''
|-
|align = "justify"|Autorizácia
|align = "justify"|Autorizácia bude realizovaná prostredníctvom programovej impersonácie, ktorú sme si vysvetlili v podkapitole 5.2.1.
|-
|Integrita a dôvernosť komunikácie
|align = "justify"|Integrita a dôvernosť komunikácie bude zabezpečená prostredníctvom selektívneho šifrovania SOAP správ s využitím Advanced Encryption Standard a prostredníctvom digitálneho podpisovania SOAP správ pomocou certifikátov X509 s využitím štandardu XML Signature.
|-
|}

==Štruktúra SOAP Security Enhancement z objektovo-orientovaného prístupu==

V Tab. 9.2 sú prehľadne opísané základné programové triedy bezpečnostnej platformy spolu s ich funkcionalitou. Podrobnejšie budú opísané v príslušných podkapitolách.

{|class="wikitable"
'''Tab. 9.2''' Triedy bezpečnostnej platformy
|align = "justify"|'''Názov triedy'''
|align = "justify"|'''Popis'''
|-
|align = "justify"|AbstractDatabase
|align = "justify"|Trieda vytvorená podľa návrhového vzoru Abstract Factory, ktorá umožňuje flexibilne vytvoriť triedu na prístup k databázovému úložisku podľa konkrétneho DBMS.
|-
|align = "justify"|DbProvider
|align = "justify"|Trieda pre prístup k MS SQL databázovému úložisku.
|-
|align = "justify"|SecureExtension
|align = "justify"|Trieda SOAP rozšírenia umožňuje prístup k SOAP správam v rôznych etapách spracovania.
|-
|align = "justify"|SecureExtensionAttribute
|align = "justify"|Predstavuje atribút SOAP rozšírenia, pomocou ktorého sa špecifikujú konkrétne časti (elementy) SOAP správy ktoré budú šifrované a digitálne podpísané.
|-
|align = "justify"|SecureExtensionUtilities
|align = "justify"|Táto trieda obsahuje metódy na šifrovanie, dešifrovanie, digitálne podpisovanie a verifikáciu digitálneho podpisu SOAP správ.
|-
|align = "justify"|SecureUtilities
|align = "justify"|Zabezpečuje autentifikáciu klienta, vygenerovanie parametrov AES šifry a vytvorenie konfiguračného XML dokumentu obsahujúce parametre pre bezpečnú komunikáciu.
|-
|align = "justify"|TicketIdentity
|align = "justify"|Táto trieda reprezentuje autentifikačný lístok umiestnený v SOAP hlavičke klienta.
|-
|align = "justify"|UserData
|align = "justify"|Predstavuje „data object“ reprezentujúci údaje pre šifrovanie a digitálne podpisovanie SOAP správ.
|-
|align = "justify"|UserImpersonation
|align = "justify"|TTrieda zabezpečuje mechanizmus autorizácie prostredníctvom Windows impersonácie.
|-
|}

==Autentifikácia klientov v SOAP Security Enhancement==

Možnosti na overovanie klientov pre XML ASP.NET webové služby sú značne obmedzené. Kedže webová služba neposkytuje žiaden vstavaný spôsob akým, by mohol užívateľ predložiť prihlasovacie údaje, napríklad webový formulár. Najrozšírenejšie spôsoby overovania klientov webovou službou sú tieto <nowiki>[</nowiki>1<nowiki>]</nowiki>:

* Autentifikácie Windows. Tento typ nie je veľmi flexibilný a má veľa nedostatkov, ktoré sme si opísali v kapitole 5.1.
* Vlastný typ autentifikačného procesu založeného na prihlasovacích lístkoch s využitím SOAP rozšírenia.
* Použitie klientskych certifikátov X509.

Autentifikáciu založenú na certifikátoch X509 sme zvolili z nasledujúcich dôvodov:

1. Použitie klientskych certifikátov dáva značnú kontrolu nad užívateľskými identitami, nakoľko certifikáty sú vydávané certifikačnou autoritou, ktorá býva zvyčajne pod kontrolou administrátora servera, na ktorom môže byť hosťovaná webová služba. Tak isto je možné klientske certifikáty mapovať na užívateľské účty Windows, či už priamo na webovom serveri IIS alebo priamo programovo vo webovej službe.

2. Certifikáty X509 predstavujú účinnú ochranu proti podvrhnutiu falošného verejného kľúča ( Man-in-the-Middle Attack <nowiki>[</nowiki>36<nowiki>]</nowiki> ).

3. Tak isto predstavuje účinný mechanizmus na zabezpečenie toho, že vlastník verejného kľúča má k nemu zodpovedajúci súkromný kľúč.

Certifikátom sme sa podrobnejšie venovali v podkapitole 4.1.1. Na vystavenie klientskych certifikátov sme vytvorili vlastnú testovaciu certifikačnú autoritu na operačnom systéme Windows Server 2003.

Počiatočnú autentifikáciu sme sa rozhodli teda realizovať prostredníctvom klientskych certifikátov X509. Na korektný prenos certifikátov X509 je nutný HTTPS prenos.

Kedže použitie technológie SSL má aj nedostatky a pri prenose veľkého množstva dát je náročné, rozhodli sme sa, že HTTPS kanál bude použitý pri komunikácii klienta a webovej služby iba raz, a to pri počiatočnom volaní webovej metódy, ktorá zabezpečí overenie klienta na základe klientskeho certifikátu X509. Následne bude klientovi vydaný „autentifikačný lístok", ktorý bude umiestnený do SOAP hlavičky. Lístok obsahuje 128 bitové jedinečné číslo, ktoré identifikuje užívateľa pri nasledujúcich volaniach webových metód, a je použitý na jeho overenie. Lístok sa vydáva klientovi s určitou časovou platnosťou, ktorú je možné podľa potreby a priority meniť.

Hodnota ID v autentifikačnom lístku je uložená spolu s príslušnými údajmi z klientskeho certifikátu do relačnej databázy, ktorú webová služba používa na ďalšie overovanie klienta pri volaní webových metód.

Proces prvotnej autentifikácie je nasledovný. Pri počiatočnom prístupe klienta k webovej službe musí klient zavolať webovú metódu '''CreateConnection''' webovej služby. Metóda

CreateConnection plní v komunikačnom scenári nasledujúce funkcie:

* Overenie klientskeho certifikátu.
* Vytvorenie SOAP hlavičky s užívateľským ID.
* Zápis príslušných parametrov z klientskeho certifikátu do databázy.
* Vygenerovanie a zaslanie parametrov AES, ktoré sú použité na šifrovanie SOAP správ.
Prostredníctvom vlastnosti''' Context''', ktorú trieda webovej služby získala odvodením z abstraktnej triedy WebService (pozri podkapitola 2.1), je extrahovaný klientsky certifikát.

{|class="wikitable"
'''Tab. 9.3''' Extrahovanie klientského certifikátu z vlastnosti Context
|-
|<source lang="csharp">
X509Certificate2 cert = new X509Certificate2(Context.Request.ClientCertificate.Certificate);
</source>
|}
Následne je klientsky certifikát overený na revokáciu a dôveryhodnosť certifikačnej autority.

Pokiaľ je certifikát klienta úspešne overený, webová metóda CreateConnection vygeneruje hodnotu ID v autentifikačnom lístku.

Po vygenerovaní ID pre overeného klienta sú údaje z klientskeho certifikátu (verejný kľúč a common name), ID klienta spolu s dátumom a časom vytvorenia lístka zapísané do databázy. Následne je vytvorená SOAP hlavička , do ktorej je umiestnené ID užívateľa.

Výhoda vlastného autentifikačného systému na lístkoch:

* Výhoda vytvorenia SOAP hlavičky je tá, že objekt proxy ju na strane klienta automaticky udržuje. Pokiaľ klient používa rovnakú inštanciu triedy proxy, bude automaticky pri ďalšom odosielaní SOAP správ na webovú službu posielaný aj autentifikačný lístok v SOAP hlavičke.
* Pri opätovnom volaní webových metód nemusí byť posielaný s požiadavkou aplikácie aj klientsky certifikát. Vďaka tomu nemusí byť opätovne použité aj HTTPS spojenie.
* Autentifikačný lístok môže byť aplikácii vydaný s určitou časovou platnosťou, čo zvyšuje flexibilitu systému.
Parametre AES šifry sú zaslané webovou metódou''' CreateConnection''' vo forme XML dokumentu. XML dokument je zašifrovaný pomocou RSA šifry s využitím verejného kľúča z klientskeho certifikátu.

XML dokument obsahuje parametre AES šifry a takisto verejný kľúč z certifikátu servera, na overenie digitálneho podpisu SOAP správy webovej služby.

Zašifrované XML je na strane klienta dešifrované pomocou súkromného kľúča z patričného klientskeho certifikátu.

Parametre AES šifry využíva objekt proxy na šifrovanie SOAP požiadaviek klienta.

{|class="wikitable"
'''Tab. 9.4''' Autentifikačný lístok v SOAP hlavičke
|-
|<source lang="xml">
<source lang="xml">
<soap:Envelope xmlns:soap="http://schemas.xmlsoap.org/soap/envelope/">
<soap:Header>
<TicketHeader xmlns="http://tempuri.org/">
<Ticket>f84bd797-8ea5-463c-9319-5d952ec30207</Ticket>
</TicketHeader>
</soap:Header>
<soap:Body>
</soap:Body>
</soap:Envelope>
</source>
|}

[[Súbor:dp_2010_jm_13.png|framed|center|Obr. 9.1 Autentifikačný proces]]

Popis autentifikačného procesu na Obr. 9.1 :

1. Načítanie klientskeho certifikátu z úložiska.

2. Pridanie certifikátu k objektu proxy a zavolanie webovej metódy CreateConnection.

3. Autentifikácia klientskeho certifikátu, vydanie autentifikačného lístka, ak bol certifikát prijatý.

4. Pri následnom volaní webovej metódy sa autentifikácia klienta vykoná na základe autentifikačného lístka a komunikácia prebieha cez HTTP kanál.

==Databázové úložisko==

Ako sme v predchádzajúcej podkapitole spomenuli, informácie o autentifikovanom klientovi sú na strane webovej služby uchovávané v relačnej databáze, konkrétne MS SQL. Pre komunikáciu s databázovým úložiskom sme mohli použiť nasledujúce technológie:

1. LINQ to SQL <nowiki>[</nowiki>32<nowiki>]</nowiki>,

2. ADO.NET <nowiki>[</nowiki>33<nowiki>]</nowiki>.

LINQ to SQL poskytuje niektoré pokročilé možnosti v porovnaní s ADO.NET. Avšak samotná technológia ADO.NET poskytuje dostatočnú podporu pre rôzne DBMS <nowiki>[</nowiki>33<nowiki>]</nowiki> :

* MS SQL Server,
* MS SQL Mobile Server,
* Oracle,
* MySQL,
* ODBC,
* OLEDB.
V praktickej časti sme vytvorili triedu AbstractDatabase podľa návrhového vzoru Abstract Factory, ktorá umožňuje flexibilne vytvoriť triedu na prístup k databázovému úložisku podľa konkrétneho DBMS. Tým je zabezpečená možnosť upraviť databázové úložisko pre potreby praxe. Pri komplexnej podnikovej aplikácii by bolo najvýhodnejšie použiť ORM Framework napr. NHibernate. Dosiahli by sme separáciu objektového kódu od databázového kódu a znížili závislosť logickej vrstvy od bussines vrstvy. Použitie ORM Frameworku je nad rámec tejto práce, ale považovali sme za vhodné ho spomenúť.

==Spracovanie SOAP správ==

Jedným z prvkov na zabezpečenie integrity a dôvernosti komunikácie medzi klientskou aplikáciou a XML ASP.NET webovou službou je mechanizmus šifrovania a digitálneho podpisovania SOAP správ'''. '''Predtým, než si opíšeme spôsob, akým sú šifrované a podpisované SOAP správy, sa musíme oboznámiť so spôsobom, akým sú spracovávané SOAP správy na strane webovej služby aj na strane klientskej aplikácie.

Spracovávanie SOAP správ na strane webovej služby, ale aj na strane klienta prebieha v 2 etapách <nowiki>[</nowiki>3<nowiki>]</nowiki>:

1. '''Serializácia.''' Požiadavka klienta alebo odpoveď webovej služby je serializovaná ako XML schéma.

2. '''Deserializácia'''. SOAP správa je deserializovaná na dátové typy.

Aby sme mohli pristupovať k jednotlivým etapám spracovania SOAP správ, musíme implementovať mechanizmus SOAP rozšírenia na strane webovej služby, ale aj na strane klientskej aplikácie. Prístup k etapám serializácie a deserializácie je nutná podmienka na šifrovanie a digitálne podpisovanie SOAP správ

==Rozšírenie SOAP==

Rozšírenie SOAP predstavuje mechanizmus akým môžeme manipulovať so SOAP správami na strane klienta aj na strane webovej služby. Tento spôsob je veľmi flexibilný, o čom sa presvedčíme neskôr. Pokiaľ vytvoríme SOP rozšírenie, spracovanie SOAP správ prechádza 4 etapami <nowiki>[</nowiki>3<nowiki>]</nowiki>:

* '''BeforeDeserialize'''. Táto sa spúšťa v okamihu, keď webový server, poprípade objekt proxy dostanú SOAP správu.
* '''AfterDeserialize'''. V tejto etape je nespracovaná (raw) SOAP správa prevedená na dátové typy platformy .NET Framework. Vykonáva sa ešte pred spustením webovej metódy.
* '''BeforeSerialize. '''V tejto etape sa už spracováva kód webovej metódy, ale návratová hodnota webovej metódy nie je ešte serializovaná do SOAP správy.
* '''AfterSerialize'''. V tejto etape je návratová hodnota webovej metódy serializovaná do SOAP správy, ale tá ešte nie je odoslaná na klientsku aplikáciu.
V etapách '''BeforeDeserialize '''a''' AfterSerialize '''môžeme získať celý obsah SOAP správy. SOAP rozšírenie musí byť vykonávané aj na strane klienta, a to prostredníctvom objektu proxy. Celý proces spracovania SOAP správ je na Obr. 9.2.

[[Súbor:dp_2010_jm_14.png|framed|center|Obr. 9.2 Serializácia a deserializácia SOAP správ]]

==Vytvorenie SOAP rozšírenia==

SOAP rozšírenie na platforme .NET Framework sa skladá z 2 častí <nowiki>[</nowiki>1<nowiki>]</nowiki>:

* Samotného SOAP rozšírenia, reprezentovaného vlastnou triedou, ktorá musí byť vytvorená odvodením z triedy '''System.Web.Protocols.SoapExtension'''.
* Vlastného atribútu, ktorý sa použije u webovej metódy na indikáciu, že na danú webovú metódu sa má aplikovať SOAP rozšírenie. SOAP atribút sa vytvára odvodením z triedy '''System.Web.Protocols.SoapExtensionAttribute'''.

===Atribút pre SOAP rozšírenie - SecureExtensionAttribute===

Atribút SOAP rozšírenia umožňuje spojiť konkrétne rozšírenie SOAP s metódami webovej triedy. Vytvára sa odvodením z triedy '''System.Web.Protocols.SoapExtensionAttribute. '''<nowiki>[</nowiki>1<nowiki>]</nowiki> Atribút pre SOAP rozšírenie je v našej webovej službe implementovaný prostredníctvom triedy''' SecureExtensionAttribute'''

{|class="wikitable"
'''Tab. 9.5''' Atribút SoapExtension
|-
|<source lang="csharp">
[AttributeUsage(AttributeTargets.Method)]
public class SecureExtensionAttribute : SoapExtensionAttribute
{...}
</source>
|}

Trieda pre SOAP rozšírenie obsahuje atribút AttributeUsage. Pomocou neho špecifikujeme oblasť použitia nášho atribútu. Náš atribút bude teda použitý na jednotlivé deklarácie webových metód.

V našej triede pre SOAP rozšírenie je nutné prekryť 2 abstraktné vlastnosti, ktoré trieda získala odvodením z triedy System.Web.Protocols.SoapExtensionAttribute. Ide o vlastnosti <nowiki>[</nowiki>3<nowiki>]</nowiki> :

* '''Priority'''. Slúži na nastavenie poradia, v akom sa spracujú SOAP rozšírenia, pokiaľ ich je na webovú metódu nakonfigurovaných viacero.
* '''ExtensionType.''' Vracia objekt Type, ktorý reprezentuje našu vlastnú triedu pre SOAP rozšírenia.
Trieda '''SecureExtensionAttribute''' pre atribút SOAP rozšírenia implementuje metódu '''SoapElement''', pomocou ktorej budeme konfigurovať, ktoré časti SOAP správy budú šifrované. Konfigurácia sa vykonáva prostredníctvom Xpath výrazu.

===Trieda SOAP rozšírenia - SecureExtension===

SOAP rozšírenie je implementované v našej webovej službe prostredníctvom triedy''' SecureExtension. '''Každá trieda pre SOAP rozšírenie musí byť vytvorená odvodením z '''System.Web.Protocols.SoapExtension. '''<nowiki>[</nowiki>1<nowiki>]</nowiki>. V Tab. 9.6 sú povinné metódy, ktoré musíme prekryť pri vytváraní triedy pre SOAP rozšírenie.

{|class="wikitable"
'''Tab. 9.6'''' Trieda SOAP rozšírenia
|-
|<source lang="csharp">
public class SecureExtension : SoapExtension
{...}
</source>
|}

{|class="wikitable"
'''Tab. 9.7''' Povinné metódy triedy SOAP rozšírenia
|align = "justify"|'''Metóda'''
|align = "justify"|'''Popis'''
|-
|align = "justify"|GetInitializer()
|align = "justify"|Táto metóda predáva počiatočné informácie pre SOAP rozšírenie. Je spúšťaná pri prvom vykonaní SOAP rozšírenia. To umožňuje inicializovať hodnoty niektorých dát, ktoré sa použijú pri spracovaní SOAP správ. Takisto v tejto metóde môžeme extrahovať hodnoty atribútu pre SOAP rozšírenie. Táto metóda má dve verzie. Volá sa vždy len jedna, v závislosti od toho či je SOAP rozšírenie nakonfigurované prostredníctvom atribútu alebo konfiguračného súboru.
|-
|align = "justify"|Initialize()
|align = "justify"|Metóda predáva počiatočné informácie pre SOAP rozšírenie. Je spúšťaná pri každom vykonaní SOAP rozšírenia.
|-
|align = "justify"|ProcessMessage()
|align = "justify"|Táto metóda vykonáva vlastné spracovanie SOAP rozšírenia, umožňuje modifikovať SOAP správy. V tejto metóde sú volané metódy pre šifrovanie a digitálne podpisovanie SOAP správ.
|-
|align = "justify"|ChainStream()
|align = "justify"|Metóda umožňuje získať prístup k SOAP bez prerušenia iných rozšírení.
|-
|}

Trieda SOAP rozšírenia SecureExtension implementuje v sebe dve pomocné metódy :

* '''RequestMessage'''. Jej úlohou je predať SOAP stream objektu typu SecureExtensionUtilities na dešifrovanie a overenie digitálneho podpisu SOAP požiadavky.
* '''ResponseMessage'''. Jej úlohou je predať SOAP stream objektu typu SecureExtensionUtilities na zašifrovanie a digitálne podpísanie SOAP odpovede .

SOAP rozšírenie je v podobnej forme, s malými zmenami, implementované aj na strane klienta, s malými zmenami .

===Metóda ProcessMessage===

Metóda ProcessMessage je volaná ASP.NET v týchto štyroch etapách <nowiki>[</nowiki>4<nowiki>]</nowiki>:

1. '''BeforeDeserialize,'''

2. '''AfterDeserialize,'''

3. '''BeforeSerialize,'''

4. '''AfterSerialize.'''

Etapa '''BeforeDeserialize''' je prvou etapou spracovanie SOAP požiadavky od klienta. V tejto etape sa na strane webovej služby vykonáva:

* Načítanie hodnoty autentifikačného lístka z hlavičky SOAP správy od klienta.
* Overenie platnosti autentifikačného lístka. Autentifikačný lístok sa vydáva klientovi s obmedzenou časovou platnosťou. V databáze na strane webovej služby je každá hodnota autentifikačného lístka spojená s časom, kedy bol lístok vydaný. Na základe hodnoty lístka sú načítané parametre AES šifry a verejný kľúč klienta.
* Po úspešnom overení lístka je SOAP stream predaný na dešifrovanie a overenie digitálneho podpisu prostredníctvom pomocnej metódy '''RequestMessage. '''Proces dešifrovania a overenia digitálneho podpisu je vykonávaný triedou SecureExtensionUtilities. Táto trieda bude popísaná v samostatnej podkapitole.
Spracovanie SOAP správy v etape BeforeDeserialize je znázornené na Obr. 9.3.

[[Súbor:dp_2010_jm_15.png|framed|center|Obr. 9.3 Spracovanie SOAP správy v etape BeforeDeserialize]]

Etapa''' AfterSerialize''' je poslednou etapou spracovania SOAP odpovede zasielanej na klienta. V tejto etape sa na strane webovej služby vykonáva:

* Predanie SOAP streamu na digitálne podpísanie a zašifrovanie SOAP správy prostredníctvom pomocnej metódy '''ResponseMessage'''. Samotný proces šifrovania a digitálneho podpisovania je vykonávaný triedou SecureExtensionUtilities.

Hlavnou úlohou triedy SecureExtension je:

* Počiatočná autentifikácia klienta na základe hodnoty lístka v SOAP hlavičke.
* Načítanie AES parametrov a verejného kľúča z databázy.
* Predanie SOAP streamov na spracovanie triede '''SecureExtensionUtilities'''

[[Súbor:dp_2010_jm_16.png|framed|center|Obr. 9.4 Životný cyklus triedy SecureExtension]]

==Šifrovanie a dešifrovanie==

Úlohou šifrovania je zabezpečiť dôvernosť a integritu komunikácie na komunikačnej ceste, ktorú tvorí viacero uzlov, čiže vykryť nedostatky technológie SSL. Šifrovanie SOAP správ predstavuje tzv. zabezpečenie na úrovni správ. V našej bezpečnostnej platforme je umožnené selektívne šifrovanie SOAP, ktoré sa dá podľa potreby nastavovať pomocou atribútov SOAP rozšírenia.

Šifrovanie a dešifrovanie SOAP správ je vykonávané v triede SecureExtensionUtilities. Skôr ako vysvetlíme, akým spôsobom je zabezpečená dôvernosť a integrita komunikácie, rozoberieme si nevýhody použitia samotnej technológie SSL.

===Nevýhody technológie SSL===

Veľmi rozšíreným spôsobom zabezpečenia komunikácie webových aplikácií je použitie technológie SSL, ktorú sme si popísali v podkapitole 4.1. Pre zabezpečenie webových služieb nie je táto technológia veľmi vhodná. Medzi obmedzenia SSL v spojitosti s XML webovými službami patrí:

* SSL predstavuje tzv. end - to - end zabezpečenie komunikácie. Pokrytý je len odosielateľ a príjemca správy. Pre XML webové služby je nutné zabezpečiť komunikáciu medzi každými dvoma uzlami komunikácie, ide o tzv. point – to – point zabezpečenia.
* SSL predstavuje zabezpečenie komunikácie iba na transporte. Pre webové služby je vhodnejšie zabezpečenie na úrovni správ. SSL je závislé na HTTP protokole.
* SSL šifruje celú komunikáciu, neumožňuje selektívne šifrovanie a takisto nepodporuje v plnej miere mechanizmus nepopierateľnosti. Pre webové služby, ktoré sú súčasťou SOA, je selektívne šifrovanie nutnou podmienkou.

[[Súbor:dp_2010_jm_17.png|framed|center|Obr. 9.5 Point-to-point a end-to-end zabezpečenie]]

===Advanced Encryption Standard===

Pri počiatočnej výmene konfiguračného XML dokumentu je využitá asymetrická šifra RSA s využitím kľúčov z certifikátov webovej služby a klienta. Ďalšia komunikácia je šifrovaná pomocou symetrického šifrovacieho algoritmu. Ako šifrovací algoritmus sme zvolili symetrický blokový algoritmus Rijndael, ktorý bol v roku 1997 vyhlásený americkým úradom pre štandardizáciu (NIST) ako štandard. Dodnes nie sú známe dôkazy o jeho prelomení. <nowiki>[</nowiki>23<nowiki>]</nowiki>

AES predstavuje blokový šifrovací algoritmus so šírkou bloku 128 bitov a možnými dĺžkami kľúčov 128, 192 a 256. Rijndael podporuje aj voliteľné väčšie dátové bloky a kľúče v 32- bitových prírastkoch, ale tie nie sú zahrnuté v špecifikácii štandardu AES. <nowiki>[</nowiki>22<nowiki>]</nowiki>

==Trieda SecureExtensionUtilities==

Ako už bolo spomenuté, SOAP správy sú šifrované pomocou symetrickej šifry Rijndael, ktoré časti SOAP správy budú šifrované, je určené pomocou atribútov SOAP rozšírenia. Trieda SecureExtensionUtilities zabezpečuje šifrovanie, dešifrovanie, digitálne podpisovanie a verifikáciu digitálneho podpisu SOAP správ.

SecureExtensionUtilities implementuje v sebe dve hlavné verejné metódy:

* '''InSoap,'''
* '''OutSoap,'''
a tieto pomocné privátne metódy:

* DecryptString, metóda dešifruje textový reťazec z XML dokumentu.
* DecryptSoap, dešifruje XML dokument.
* VerifySignedSoap, overuje digitálny podpis SOAP správy.
* SingSoap, digitálne podpisuje SOAP správu na základe štandardu XML Signature.
* EncryptString, metóda šifruje textový reťazec z XML dokumentu.
* EncryptSoap, šifruje XML dokument.

Metóda''' InSoap''' spracováva stream SOAP požiadavky od klienta. Táto metóda je volaná v etape BeforeDeserialize metódy ProcessMessage. Ako vstupné parametre akceptuje:

* string<nowiki>[]</nowiki> soapElement určuje, ktoré elementy SOAP správy budú šifrované.
* Stream inputStream predstavuje raw SOAP správu.
* User user, trieda User predstavuje dátový objekt obsahujúci AES parametre a verejný kľúč klienta.
Ak nie je SOAP správa šifrovaná, metóda InSoap vráti ASP.NET vstupný SOAP prúd. Celý proces spracovania je znázornený na Obr. 9.3. Pokiaľ príde k zmene SOAP správy počas prenosu cez HTTP kanál, čiže overenie digitálneho podpisu SOAP správy indikuje sfalšovanie alebo podvrhnutie, klient je upozornený a nepríde k spracovaniu SOAP správy, či už na strane webovej služby, alebo na strane klientskej aplikácie.

'''Overovanie digitálneho podpisu na strane klienta''' je '''realizované '''obdobným spôsobom, rozdiel je v tom, že podpisovanie SOAP správ realizuje objekt '''proxy''', v ktorom je implementované samotné SOAP rozšírenie. Na overovanie je použitý verejný kľúč zo serverového certifikátu webovej služby. Úlohou metódy InSoap je teda dešifrovať SOAP správu a overiť jej digitálny podpis.

Metóda''' OutSoap''' spracováva stream SOAP odpovede zasielaného na klienta. Táto metóda je volaná v etape AfterSerialize metódy ProcessMessage. Metóda OutSoap ako vstupné parametre akceptuje:

* string<nowiki>[]</nowiki> soapElement určuje, ktoré elementy SOAP správy budú šifrované.
* Stream inputStream predstavuje raw SOAP správu.
* User user, trieda User predstavuje dátový objekt obsahujúci AES parametre a verejný kľúč klienta.
* X509Certificate2 webServiceCert, objekt typu X509Certificate2 predstavuje serverový certifikát so súkromným kľúčom, ktorý sa použije na digitálne podpísanie SOAP správy.
Úlohou tejto metódy je digitálne podpísať a zašifrovať SOAP správu. Každá zašifrovaná SOAP správa od klienta má v SOAP hlavičke umiestnený dodatočný '''element IsEncrypted''', ktorý slúži na identifikáciu, či je daná SOAP správa zašifrovaná. V Tab. 9.8 je ukážka zašifrovania SOAP správy

{|class="wikitable"
'''Tab. 9.8''' Ukážka zašifrovanie SOAP správy
|-
|<source lang="xml">
<?xml version="1.0" encoding="utf-8" ?>
<soap:Envelope xmlns:soap="http://schemas.xmlsoap.org/soap/envelope/"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xmlns:xsd="http://www.w3.org/2001/XMLSchema">
<soap:Header>
<TicketHeader xmlns="http://tempuri.org/">
<Ticket>2541a182-8f4f-46c3-84f7-e667c221f494</Ticket>
</TicketHeader>
<IsEncrypted />
</soap:Header>
<soap:Body>
<SseReadPatient xmlns="http://tempuri.org/">
<id>Wk/C7PGSj/+fg2jQhQlUyg==</id>
</SseReadPatient>
</soap:Body>
<</soap:Envelope>
</source>
|}

Digitálne podpisovanie SOAP správ je realizované prostredníctvom '''štandardu XML Signature''', ktorý sme si popísali v podkapitole 8.1. SOAP správy sú podpisované na strane servera prostredníctvom súkromného kľúča zo serverového certifikátu. Na strane klienta je digitálne podpisovanie realizované prostredníctvom súkromného kľúča z klientskeho certifikátu. V Tab. 9.9 je ukážka podpísanej SOAP správy.

'''Digitálne podpisovanie na strane klienta''' je '''realizované '''obdobným spôsobom, rozdiel je v tom že podpisovanie SOAP správ realizuje objekt '''proxy''', v ktorom je implementované samotné SOAP rozšírenie. Na podpísanie SOAP správy je použitý súkromný kľúč z klientskeho certifikátu.

{|class="wikitable"
'''Tab. 9.9''' Podpísaná SOAP správa
|-
|<source lang="xml">
<soap:Envelope:xmlns:soap="http://schemas.xmlsoap.org/soap/envelope/"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xmlns:xsd="http://www.w3.org/2001/XMLSchema">
<soap:Body>
</soap:Body>
<Signature xmlns="http://www.w3.org/2000/09/xmldsig#">
<SignedInfo>
<CanonicalizationMethod Algorithm="http://www.w3.org/TR/2001/REC-xml-c14n-20010315" />
<SignatureMethod Algorithm="http://www.w3.org/2000/09/xmldsig#rsa-sha1" />
<Reference URI="">
<Transforms>
<Transform Algorithm="http://www.w3.org/2000/09/xmldsig#enveloped-signature" />
</Transforms>
<DigestMethod Algorithm="http://www.w3.org/2000/09/xmldsig#sha1" />
<DigestValue>2yfAuq6taP4kPBsFEM+J79F7ysM=</DigestValue>
</Reference>
</SignedInfo>
<SignatureValue>r2NmZyXtsku0WfbAJ4Kej/Kx0W0hAYCGAq7ltU7P5EN/NfQLYtZBCr97KHqNHkrEOqnU8Freg6
hEg1LXBhrkmF86bOApHTfOrdzpeK1WjK/tKO2G+xigjD8/PBhQszRK/qfG54gdY3kJ/y/kmn/S
F+W49scLowecDxxeIx29UeI3m4yF8GoDGL3xjB/sEN78u8owdaBVcwkH2jIHWz6CiwPHk7YNLF
c/Q0/XqE/ieBnAB2i0gLbM377AdHr9qLwMHVG/M9RVyl0JkWnUI8Viwm3Y268xz7cNlTnfa3uT
hOGHMgmVDrBboHL44zZIBAZbsNsbqSPEipTMDVc7efC0Vg==
</SignatureValue>
</Signature>
</soap:Envelope>
</source>
|}

Pri digitálnom podpisovaní sme použili kanonizačný algoritmus na element '''<nowiki><</nowiki>SignedInfo<nowiki>></nowiki>'''. Použitie je indikované prostredníctvom elementu CanonicalizationMethodAlgorithm. Je to z toho dôvodu, aby sme zabránili rozdielnym výsledkom pri overovaní digitálneho podpisu. Nakoľko textová reprezentácia XML môže byť spracovaná rozdielne v závislosti použitého dátového prúdu (prázdne tagy, white space, komentáre...), kanonizácia definuje presnú fyzickú štruktúru dokumentu.

{|class="wikitable"
'''Tab. 9.10''' Zoznam algoritmom použitých pri digitálnom podpisovaní SOAP
|align = "justify"|'''Algoritmus'''
|align = "justify"|'''Popis'''
|-
|align = "justify"|SHA1
|align = "justify"|Hašovací algoritmus použitý pri výpočte hašu.
|-
|align = "justify"|RSA
|align = "justify"|Kryptografický algoritmus použitý na vytvorenie digitálneho podpisu.
|-
|align = "justify"|REC
|align = "justify"|Kanonizačný algoritmus.
|-
|}

V tejto podkapitole sme si popísali štruktúru triedy SecureExtensionUtilities, vysvetlili sme si akým spôsobom je spracovaný SOAP stream z triedy SOAP rozšírenia, a taktiež digitálne podpisovanie, verifikáciu, šifrovanie a dešifrovanie SOAP správ.

==Autorizácia v SOAP Security Enhancement==

Selektívne šifrovanie a digitálne podpisovanie má ochrániť samotnú komunikáciu medzi webovou službou a jej klientom. Úlohou autorizácie je rozhodnúť, aké operácie bude môcť autentifikovaný užívateľ vykonávať a k akým zdrojom bude mať prístup na strane webovej služby. Pri vytváraní autorizačných pravidiel sme mali tieto možnosti:

* Vytvoriť autorizačné pravidlá v konfiguračnom súbore webovej služby. Týmto spôsobom sme sa zaoberali v podkapitole 6.1.
* Namapovať klientske certifikáty na užívateľské účty systému Windows prostredníctvom IIS.
* Použiť niektorý zo spôsobov impersonácie, ktorými sme sa zaoberali v podkapitole 5.2.1.
Použitie autorizačných pravidiel v súbore web.config je relatívne flexibilný spôsob autorizácie, ale neposkytuje také pokročilé možnosti ako impersonácia. Rozhodli sme sa použiť programovú impersonáciu, a to z nasledujúcich dôvodov :

* Umožňuje mapovanie klientskych certifikátov na užívateľské účty systému dvoma rôznymi spôsobmi :
* One – to – one,
* Many – to – one.
* Programová impersonácia nám umožní flexibilne nastaviť, ktorá časť programového kódu bude vykonávaná pod účtom Network Service a ktorá pod nami zvoleným užívateľským účtom. Tento spôsob sa prostredníctvom mapovania klientskych certifikátov na IIS nedá docieliť.
Proces programovej impersonácie je nasledovný :

* V databáze je priradený ku každému klientskemu certifikátu jeden užívateľský účet systému Windows.
* Pri úspešnej počiatočnej autentifikácii klienta prostredníctvom certifikátu, sa jeho autentifikačný lístok namapuje na užívateľský účet.
Programová impersonácia je vykonávaná triedou UserImpersonation, ktorá obsahuje tieto metódy :

* Login - získa príznak účtu užívateľa Windows.
* Impersonate - spustí proces vykonávania programového kódu v kontexte identity užívateľského účtu. Pokiaľ klientov autentifikačný lístok nie je namapovaný na užívateľský účet, programový kód bude vykonávaný pod účtom Network Service, ktorý predstavuje prednastavený účet pre spracovanie ASPNET na systéme Windows Server 2003.
* UndoImpersonate - ukončí impersonáciu programového kódu.
Prostredníctvom užívateľských účtov Windows môžeme jednotlivým klientom webovej služby vyčleniť prístup k súborom na disku, k databáze a pod. Použitie triedy UserImpersonate je znázornené v Tab. 9.11.

{|class="wikitable"
'''Tab. 9.11''' Použitie triedy UserImpersonate
|-
|<source lang="csharp">
UserImpersonation _objImp = new UserImpersonation();

_objImp.ReadUserAccount(Ticket.Ticket);

_objImp.Login();

_objImp.Impersonate();

//programový kód, ktorý ma byť vykonáný pod inou identitou

_objImp.UndoImpesonate();

</source>
|}

==Výhody SOAP Security Enhancement pre ASP.NET webové služby==

V minulosti sa na zabezpečenie ASP.NET webových služieb využívalo rozšírenie Web Services Enhancements (WSE) <nowiki>[</nowiki>25<nowiki>]</nowiki>, <nowiki>[</nowiki>26<nowiki>]</nowiki>, <nowiki>[</nowiki>27<nowiki>]</nowiki>. Súčasná verzia 3.0 nepodporuje ASP.NET webové služby. Preto je veľmi ťažké porovnať navrhovanú vlastnú bezpečnostnú platformu s nejakým oficiálnym spôsobom zabezpečenia. Jediným možným riešením bolo porovnať spôsob zabezpečenia s rozšírením WSE 2.0. Tento produkt mal veľmi veľa problémov v oblasti interoperability a takisto je zastaralý. Preto sme sa vyhli porovnaniu našej bezpečnostnej platformy s týmto rozšírením.

:Naša bezpečnostná platforma poskytuje zabezpečenie na úrovni aplikácie a taktiež na úrovni správ. Poskytuje dva spôsoby autentifikácie :

* Počiatočnú autentifikáciu založenú na certifikátoch X509. Výhodou tohto spôsobu autentifikácie je dobrá kontrola nad užívateľskými identitami.
* Autentifikáciu založenú na autentifikačných lístkoch v SOAP hlavičke. Výhodou tohto spôsobu autentifikácie je :
* Výhoda vytvorenia SOAP hlavičky je tá, že objekt proxy ju na strane klienta automaticky udržuje. Pokiaľ klient používa rovnakú inštanciu triedy proxy, bude automaticky a pri ďalšom odosielaní SOAP správ na webovú službu posielaný aj autentifikačný lístok v SOAP hlavičke.
* Pri opätovnom volaní webových metód nemusí byť posielaný s požiadavkou aplikácie aj klientsky certifikát. Vďaka tomu nemusí byť opätovne použité aj HTTPS spojenie.
* Autentifikačný lístok môže byť aplikácii vydaný s určitou časovou platnosťou, čo zvyšuje flexibilitu systému.

Integrita komunikácie je zabezpečená prostredníctvom digitálneho podpisovania na základe štandardu XML Signature. SOAP správy sú podpisované na základe privátnych kľúčov z certifikátov a overované na základe verejných kľúčov z certifikátov. Pokiaľ príde k zmene SOAP správy počas transferu cez HTTP kanál, čiže overenie digitálneho podpisu SOAP správy indikuje sfalšovanie alebo podvrhnutie, klient je upozornený a nepríde k spracovaniu SOAP správy, či už na strane webovej služby, alebo na strane klientskej aplikácie

Dôvernosť komunikácie je založená na šifrovaní SOAP správ pomocou symetrického blokového algoritmu Rijndael. Výhody:

* SOAP správy sú selektívne šifrované, chránené sú len potrebné dáta. Selektívne šifrovanie je nevyhnutná podmienka začlenenia XML webových služieb do SOA.
* Výhodou voči štandardu XML Encryption je ten, že pri našom šifrovaní nedochádza k „deformácii" XML tagov.
* Šifrovací algoritmus môže byť upravený podľa potreby praxe.
* Šifrovanie je realizované prostredníctvom SOAP rozšírenia. To znamená, že šifruje už serializované dáta. Vďaka tomu môžeme šifrovať a digitálne podpisovať aj vlastné dátové typy.
* Oproti technológii SSL predstavuje náš spôsob zabezpečenia point to point, čo je ďalšia podmienka začlenenia XML webových služieb do SOA.

Veľkú výhodu nášho zabezpečenia vidíme v spôsobe jeho samotného použitia. Celý mechanizmus ochrany SOAP správ sa aplikuje na webovú metódu prostredníctvom atribútu SOAP rozšírenia, ktorý predstavuje len dopísanie jedného riadku kódu nad webovú metódu. Náš spôsob zabezpečenia nemení spracovanie programového kódu webovej metódy.

V Tab. 9.12 je ukážka nastavenia šifrovania elementu body SOAP správy zasielanej ako odpoveď na klientsku aplikáciu. Elementy SOAP správy, ktoré majú byť zašifrované sa zadefinujú prostredníctvom Xpath výrazu pomocou vlastnosti SoapElement triedy atribútu SOAP rozšírenia.

{|class="wikitable"
'''Tab. 9.12''' Použitie atribútu SOAP rozšírenia
|-
|<source lang="csharp">
[WebMethod]
[SecureExtension(SoapElement = "//soap:Body/*/*")]
public DataSet GetDataSet()
{
//kód webovej metódy
}
</source>
|}

=Záver=
V práci sme opísali technologické pozadie XML webových služieb a ich štandardy. Zamerali sme sa na ASP.NET webové služby. Vysvetlili sme si spôsoby, akým môžeme vytvoriť bezpečnostný komunikačný scenár medzi webovou službou a jej klientom. Rozobrali sme jednotlivé možnosti autentifikácie, autorizácie klientov webovej služby, spôsoby na zabezpečenie dôvernosti a integrity komunikácie. Uviedli sme ich výhody a nevýhody, ktoré so sebou prinášajú.

Upozornili sme na hlavné chyby, ktoré vznikajú pri zabezpečovaní XML webových služieb. Ide hlavne o použitie technológie SSL a štandardu XML Encryption. Samotná technológia SSL nie je postačujúca na zabezpečenie komunikácie medzi webovou službou a jej klientom, nakoľko predstavuje zabezpečenie na úrovni komunikačného kanála a predstavuje tzv. end – to – end zabezpečenie. To nie je veľmi vhodné pre XML webové služby, kedže v praxi bývajú súčasťou SOA. SOA architektúra vyžaduje selektívne šifrovanie, ktoré nie je možné dosiahnuť so štandardom XML Encryption. Pri použití tohto štandardu dochádza taktiež k deformácii XML tagov. Cieľom bezpečnostnej platformy bolo odstránenie týchto nedostatkov. Bezpečnostná platforma predstavuje zabezpečenie na úrovni aplikácie a tiež na úrovni správ. Počiatočná autentifikácia je realizovaná na základe certifikátov X509, pri volaní ďalších webových metód je klient autentifikovaný na základe autentifikačného lístka v SOAP hlavičke. Dĺžka platnosti autentifikačného lístka sa dá flexibilne meniť podľa potreby. SOAP správy sú selektívne šifrované pomocou AES, tým je dosiahnuté utajenie komunikácie. Integrita je zabezpečená prostredníctvom digitálneho podpisovania SOAP správ. Naša bezpečnostná platforma poskytuje autorizačný mechanizmus prostredníctvom programovej impersonácie.

Na otestovanie funkčnosti zabezpečenia komunikácie XML ASP.NET webovej služby bola vytvorená WinForms klientska aplikácia.

=Použitá literatúra=
#MacDonald, Matthew., Beginning ASP.NET 3.5 in C# 2008: From Novice to Professional, Apress, 2007. ISBN 978-1590598917
#Troelsen, Andrew., Pro C# 2008 and the .NET 3.5 Platform, Apress, 2007. ISBN 978-1590598849
#Glynn, Jay., Skinner, Morgan., Professional C# 2008, Wrox, 2008. ISBN 978-0470191378
#MacDonald, Matthew., Szpuszta, Mario., Pro ASP.NET 2.0 in C# 2005, Apress, 2005. ISBN 978-1590594964
#Foggon, Damien., Maharry, Daniel., Ullman, Chris., Watson, Karli., Programming Microsoft .NET XML Web Services, Microsoft Press, 2003. ISBN 978-0735619128
#Jones, Allen ., Microsoft .NET XML Web Services Step by Step, Microsoft Press, 2002. ISBN13: 978-0735617209
#Eide, Andreas., Miller, Chris., Sempf, Bill Sempf., Professional ASP.NET Web Services, Wrox Press, 2001. ISBN 978-1861005458
#Kurt, Chris., Web Services Architecture and Its Specifications: Essentials for Understanding WS, Microsoft Press, 2005. ISBN 978-0735621626
#Krowczyk, Andrew., Greenvoss, Zach., Banerjee. Ashish., Professional C# Web Services: Building .NET Web Services with ASP.NET and .NET Remoting, Wrox Press, 2001. ISBN 978-1861004390
#www.w3.org [online]. last updated: 2007-06-05 [cit. 2009-12-19]. Dostupná z WWW: < http://www.w3.org/TR/soap/>
#www.w3.org [online]. last updated: 2001-03-14 [cit. 2009-12-19]. Dostupná z WWW: < http://www.w3.org/TR/wsdl/>
#www.oasis-open.org [online]. last updated: 2009-12-19 [cit. 2009-12-19]. Dostupná z WWW: < http://www.oasis-open.org/committees/uddi-spec/doc/tcspecs.htm>
#O'Neill, Mark., Web Services Security, McGraw-Hill Osborne Media, 2003. ISBN 978-0072224719
#Hartman, Bret., Flinn, Donald., Beznosov, Konstantin. Mastering Web Services Security, 2003. ISBN 978-0471267164
#Nantz, Brian., Expert Web Services Security in the .NET Platform, Apress, 2004. ISBN 978-1590591154
#Microsoft, Vytváříme zabezpečené aplikace v Microsoft ASP.NET, Computer Press, 2004. ISBN 80-251-0466-4
#www.w3.org [online]. last updated: 2008-06-10 [cit. 2009-12-19]. Dostupná z WWW: < http://www.w3.org/TR/xmldsig-core/ >
#www.w3.org [online]. last updated: 2002-12-13 [cit. 2009-12-19]. Dostupná z WWW: < http://www.w3.org/TR/xmlenc-core/ >
#www.w3.org [online]. last updated: 2004-03-26 [cit. 2009-12-19]. Dostupná z WWW: < http://www.w3.org/MarkUp/SGML/>
#www.oasis-open.org [online]. last updated: 2009-12-19 [cit. 2009-12-19]. Dostupná z WWW: < http://www.oasis-open.org/committees/tc_home.php?wg_abbrev=xacml>
#www.w3.org [online]. last updated: 2005-12-20 [cit. 2009-12-19]. Dostupná z WWW: < http://www.w3.org/TR/XMKS/ >
#Rijmen, Vincent., The Design of Rijndael: AES - The Advanced Encryption Standard, Springer, 2002. ISBN 978-3540425809
#Tom, Denis., Cryptography for Developers, Syngress, 2007. ISBN 978-1597491044
#www.msdn.microsoft.com [online]. last updated : 2009-12-22 [cit. 2009-12-22]. Dostupná z WWW: http://msdn.microsoft.com/en-us/library/system.security.cryptography.passwordderivebytes.aspx
#Microsoft Corporation, Web Service Security: Scenarios, Patterns, and Implementation Guidance for Web Services Enhancements (WSE) 3.0, Microsoft Press, 2006. ISBN 978-0735623149
#Hasan, Jeffrey., Expert Service-Oriented Architecture in C#: Using the Web Services Enhancements 2.0, Apress, 2004. ISBN 978-1590593905
#Evjen, Bill., Web Services Enhancements: Understanding the WSE for .NET Enterprise Applications, Wiley, 2003. ISBN 978-0764537363
#www.msdn.microsoft.com [online]. last updated : 2009-12-22 [cit. 2009-12-22]. Dostupná z WWW: http://msdn.microsoft.com/en-us/library/system.security.cryptography.passwordderivebytes.aspx
#www.msdn.microsoft.com [online]. last updated : 2010-01-07 [cit. 2010-01-07]. Dostupná z WWW: http://msdn.microsoft.com/en-us/library/72wdk8cc(VS.71).aspx
#http://www.oasis-open.org [online]. last updated : 2010-01-07 [cit. 2010-01-07]. Dostupná z WWW: http://www.oasis-open.org/committees/tc_home.php?wg_abbrev=xacml
#www.msdn.microsoft.com [online]. last updated : 2010-01-07 [cit. 2010-01-07]. Dostupná z WWW: http://msdn.microsoft.com/en-us/library/ms229335.aspx
#www.msdn.microsoft.com [online]. last updated : 2010-01-07 [cit. 2010-01-07]. Dostupná z WWW: http://msdn.microsoft.com/en-us/netframework/aa904594.aspx
#www.msdn.microsoft.com [online]. last updated : 2010-01-07 [cit. 2010-01-07]. Dostupná z WWW: http://msdn.microsoft.com/en-us/library/e80y5yhx%28VS.80%29.aspx
#www.msdn.microsoft.com [online]. last updated : 2010-01-07 [cit. 2010-01-07]. Dostupná z WWW: http://msdn.microsoft.com/en-us/library/dd0w4a2z%28VS.80%29.aspx
#Dostálek, Libor., Vohnoutová, Marta., Velký průvodce infrastrukturou PKI a technologií elektronického podpisu, 2006. ISBN 80-251-0828-7
#www.msdn.microsoft.com [online]. last updated : 2010-01-07 [cit. 2010-01-07]. Dostupná z WWW: http://msdn.microsoft.com/en-us/library/cc488021.aspx

Návrh a implementácia bezpečnostnej technológie pre webové služby

2010-06-11T12:48:55Z

Ian: /* Porovnanie XML webových služieb s technológiou COM a CORBA */

SOAP Security Enhancement pre ASP.NET webové služby

2010-06-11T12:48:36Z

Ian: /* Záver */

[[Kategória:Študentské práce]][[Kategória:Diplomové práce]][[Kategória:Informatika]][[Kategória:Webové služby]]
{{Praca_uvod|9|Návrh a implementácia bezpečnostnej technológie pre webové služby|XML a webové služby |XML ASP.NET webové služby|Zabezpečennie webových aplikácií|Integrita a dôvernosť komunikácie|Autentifikácia|Autorizácia webových služieb|Zabezpečenie webových služieb|XML security|SOAP Security Enhancement pre ASP.NET webové služby}}
__TOC__
=SOAP Security Enhancement pre ASP.NET webové služby=

V predchádzajúcich dvoch kapitolách sme si opísali teoretické možnosti zabezpečenia XML ASP.NET webových služieb a štandardy zamerané na bezpečnosť XML. Táto kapitola sa zaoberá vývojom vlastnej bezpečnostnej platformy pre XML ASP.NET webové služby v jazyku C<nowiki> </nowiki>, ktorú sme nazvali SOAP Security Enhancement (SSE) Naša bezpečnostná platforma bude predstavovať zabezpečenie na úrovni správ a tiež na úrovni aplikácie. Pri vytváraní bezpečnostného systému pre webové aplikácie treba zabezpečiť:

* Mechanizmus pre overovanie klientskych aplikácií. Možnosti overovania klientov sme si podrobne rozobrali v kapitolách 5, 5.1, 5.2, 5.3.
* Mechanizmus pre autorizáciu klientov overených webovou službou. Spôsobmi autorizácie sme sa zaoberali kapitolách 5.1, kde sme sa zaoberali autorizáciou s využitým webového servera IIS a takisto autorizáciou prostredníctvom konfiguračného súboru webovej služby, ktorú sme si opísali v kapitole 6.
* Mechanizmus pre zabezpečenie dôvernosti a integrity komunikácie. Spôsobov na vytvorenie bezpečnej komunikačnej linky je viacero. Najrozšírenejší spôsob je použitie technológie SSL, ktorou sme sa zaoberali v podkapitole 4.1. Táto technológia má aj svoje nedostatky, ktoré sme načrtli v kapitole 7 a s ktorými sa oboznámime v podkapitole 9.7.1.
V príslušných kapitolách sme vysvetlili výhody, nevýhody a oblasti použitia daných mechanizmov pre autentifikáciu, autorizáciu a zabezpečenie dôvernosti a integrity komunikácie. V tejto kapitole ponúkame vlastný komplexný spôsob, ako zabezpečiť komunikáciu medzi XML ASP.NET webovou službou a klientskou aplikáciou na platforme .NET Framework 3.5.

V Tab. 9.1 sú prehľadne opísané spôsoby a technológie, ktoré použijeme na autentifikáciu, autorizáciu a zabezpečenie dôvernosti a integrity komunikácie. Tie podrobnejšie popíšeme a vysvetlíme nasledujúcich podkapitolách.

{|class="wikitable"
'''Tab. 9.1''' Popis technológií použitých pri vlastnej bezpečnostnej platforme
|align = "justify"|'''Mechanizmus'''
|align = "justify"|'''Technológia'''
|-
|align = "justify"|Autentifikácia
|align = "justify"|'''Certifikát X509'''
|-
|align = "justify"|Autorizácia
|align = "justify"|Autorizácia bude realizovaná prostredníctvom programovej impersonácie, ktorú sme si vysvetlili v podkapitole 5.2.1.
|-
|Integrita a dôvernosť komunikácie
|align = "justify"|Integrita a dôvernosť komunikácie bude zabezpečená prostredníctvom selektívneho šifrovania SOAP správ s využitím Advanced Encryption Standard a prostredníctvom digitálneho podpisovania SOAP správ pomocou certifikátov X509 s využitím štandardu XML Signature.
|-
|}

==Štruktúra SOAP Security Enhancement z objektovo-orientovaného prístupu==

V Tab. 9.2 sú prehľadne opísané základné programové triedy bezpečnostnej platformy spolu s ich funkcionalitou. Podrobnejšie budú opísané v príslušných podkapitolách.

{|class="wikitable"
'''Tab. 9.2''' Triedy bezpečnostnej platformy
|align = "justify"|'''Názov triedy'''
|align = "justify"|'''Popis'''
|-
|align = "justify"|AbstractDatabase
|align = "justify"|Trieda vytvorená podľa návrhového vzoru Abstract Factory, ktorá umožňuje flexibilne vytvoriť triedu na prístup k databázovému úložisku podľa konkrétneho DBMS.
|-
|align = "justify"|DbProvider
|align = "justify"|Trieda pre prístup k MS SQL databázovému úložisku.
|-
|align = "justify"|SecureExtension
|align = "justify"|Trieda SOAP rozšírenia umožňuje prístup k SOAP správam v rôznych etapách spracovania.
|-
|align = "justify"|SecureExtensionAttribute
|align = "justify"|Predstavuje atribút SOAP rozšírenia, pomocou ktorého sa špecifikujú konkrétne časti (elementy) SOAP správy ktoré budú šifrované a digitálne podpísané.
|-
|align = "justify"|SecureExtensionUtilities
|align = "justify"|Táto trieda obsahuje metódy na šifrovanie, dešifrovanie, digitálne podpisovanie a verifikáciu digitálneho podpisu SOAP správ.
|-
|align = "justify"|SecureUtilities
|align = "justify"|Zabezpečuje autentifikáciu klienta, vygenerovanie parametrov AES šifry a vytvorenie konfiguračného XML dokumentu obsahujúce parametre pre bezpečnú komunikáciu.
|-
|align = "justify"|TicketIdentity
|align = "justify"|Táto trieda reprezentuje autentifikačný lístok umiestnený v SOAP hlavičke klienta.
|-
|align = "justify"|UserData
|align = "justify"|Predstavuje „data object“ reprezentujúci údaje pre šifrovanie a digitálne podpisovanie SOAP správ.
|-
|align = "justify"|UserImpersonation
|align = "justify"|TTrieda zabezpečuje mechanizmus autorizácie prostredníctvom Windows impersonácie.
|-
|}

==Autentifikácia klientov v SOAP Security Enhancement==

Možnosti na overovanie klientov pre XML ASP.NET webové služby sú značne obmedzené. Kedže webová služba neposkytuje žiaden vstavaný spôsob akým, by mohol užívateľ predložiť prihlasovacie údaje, napríklad webový formulár. Najrozšírenejšie spôsoby overovania klientov webovou službou sú tieto <nowiki>[</nowiki>1<nowiki>]</nowiki>:

* Autentifikácie Windows. Tento typ nie je veľmi flexibilný a má veľa nedostatkov, ktoré sme si opísali v kapitole 5.1.
* Vlastný typ autentifikačného procesu založeného na prihlasovacích lístkoch s využitím SOAP rozšírenia.
* Použitie klientskych certifikátov X509.

Autentifikáciu založenú na certifikátoch X509 sme zvolili z nasledujúcich dôvodov:

1. Použitie klientskych certifikátov dáva značnú kontrolu nad užívateľskými identitami, nakoľko certifikáty sú vydávané certifikačnou autoritou, ktorá býva zvyčajne pod kontrolou administrátora servera, na ktorom môže byť hosťovaná webová služba. Tak isto je možné klientske certifikáty mapovať na užívateľské účty Windows, či už priamo na webovom serveri IIS alebo priamo programovo vo webovej službe.

2. Certifikáty X509 predstavujú účinnú ochranu proti podvrhnutiu falošného verejného kľúča ( Man-in-the-Middle Attack <nowiki>[</nowiki>36<nowiki>]</nowiki> ).

3. Tak isto predstavuje účinný mechanizmus na zabezpečenie toho, že vlastník verejného kľúča má k nemu zodpovedajúci súkromný kľúč.

Certifikátom sme sa podrobnejšie venovali v podkapitole 4.1.1. Na vystavenie klientskych certifikátov sme vytvorili vlastnú testovaciu certifikačnú autoritu na operačnom systéme Windows Server 2003.

Počiatočnú autentifikáciu sme sa rozhodli teda realizovať prostredníctvom klientskych certifikátov X509. Na korektný prenos certifikátov X509 je nutný HTTPS prenos.

Kedže použitie technológie SSL má aj nedostatky a pri prenose veľkého množstva dát je náročné, rozhodli sme sa, že HTTPS kanál bude použitý pri komunikácii klienta a webovej služby iba raz, a to pri počiatočnom volaní webovej metódy, ktorá zabezpečí overenie klienta na základe klientskeho certifikátu X509. Následne bude klientovi vydaný „autentifikačný lístok", ktorý bude umiestnený do SOAP hlavičky. Lístok obsahuje 128 bitové jedinečné číslo, ktoré identifikuje užívateľa pri nasledujúcich volaniach webových metód, a je použitý na jeho overenie. Lístok sa vydáva klientovi s určitou časovou platnosťou, ktorú je možné podľa potreby a priority meniť.

Hodnota ID v autentifikačnom lístku je uložená spolu s príslušnými údajmi z klientskeho certifikátu do relačnej databázy, ktorú webová služba používa na ďalšie overovanie klienta pri volaní webových metód.

Proces prvotnej autentifikácie je nasledovný. Pri počiatočnom prístupe klienta k webovej službe musí klient zavolať webovú metódu '''CreateConnection''' webovej služby. Metóda

CreateConnection plní v komunikačnom scenári nasledujúce funkcie:

* Overenie klientskeho certifikátu.
* Vytvorenie SOAP hlavičky s užívateľským ID.
* Zápis príslušných parametrov z klientskeho certifikátu do databázy.
* Vygenerovanie a zaslanie parametrov AES, ktoré sú použité na šifrovanie SOAP správ.
Prostredníctvom vlastnosti''' Context''', ktorú trieda webovej služby získala odvodením z abstraktnej triedy WebService (pozri podkapitola 2.1), je extrahovaný klientsky certifikát.

{|class="wikitable"
'''Tab. 9.3''' Extrahovanie klientského certifikátu z vlastnosti Context
|-
|<source lang="csharp">
X509Certificate2 cert = new X509Certificate2(Context.Request.ClientCertificate.Certificate);
</source>
|}
Následne je klientsky certifikát overený na revokáciu a dôveryhodnosť certifikačnej autority.

Pokiaľ je certifikát klienta úspešne overený, webová metóda CreateConnection vygeneruje hodnotu ID v autentifikačnom lístku.

Po vygenerovaní ID pre overeného klienta sú údaje z klientskeho certifikátu (verejný kľúč a common name), ID klienta spolu s dátumom a časom vytvorenia lístka zapísané do databázy. Následne je vytvorená SOAP hlavička , do ktorej je umiestnené ID užívateľa.

Výhoda vlastného autentifikačného systému na lístkoch:

* Výhoda vytvorenia SOAP hlavičky je tá, že objekt proxy ju na strane klienta automaticky udržuje. Pokiaľ klient používa rovnakú inštanciu triedy proxy, bude automaticky pri ďalšom odosielaní SOAP správ na webovú službu posielaný aj autentifikačný lístok v SOAP hlavičke.
* Pri opätovnom volaní webových metód nemusí byť posielaný s požiadavkou aplikácie aj klientsky certifikát. Vďaka tomu nemusí byť opätovne použité aj HTTPS spojenie.
* Autentifikačný lístok môže byť aplikácii vydaný s určitou časovou platnosťou, čo zvyšuje flexibilitu systému.
Parametre AES šifry sú zaslané webovou metódou''' CreateConnection''' vo forme XML dokumentu. XML dokument je zašifrovaný pomocou RSA šifry s využitím verejného kľúča z klientskeho certifikátu.

XML dokument obsahuje parametre AES šifry a takisto verejný kľúč z certifikátu servera, na overenie digitálneho podpisu SOAP správy webovej služby.

Zašifrované XML je na strane klienta dešifrované pomocou súkromného kľúča z patričného klientskeho certifikátu.

Parametre AES šifry využíva objekt proxy na šifrovanie SOAP požiadaviek klienta.

{|class="wikitable"
'''Tab. 9.4''' Autentifikačný lístok v SOAP hlavičke
|-
|<source lang="xml">
<source lang="xml">
<soap:Envelope xmlns:soap="http://schemas.xmlsoap.org/soap/envelope/">
<soap:Header>
<TicketHeader xmlns="http://tempuri.org/">
<Ticket>f84bd797-8ea5-463c-9319-5d952ec30207</Ticket>
</TicketHeader>
</soap:Header>
<soap:Body>
</soap:Body>
</soap:Envelope>
</source>
|}

[[Súbor:dp_2010_jm_13.png|framed|center|Obr. 9.1 Autentifikačný proces]]

Popis autentifikačného procesu na Obr. 9.1 :

1. Načítanie klientskeho certifikátu z úložiska.

2. Pridanie certifikátu k objektu proxy a zavolanie webovej metódy CreateConnection.

3. Autentifikácia klientskeho certifikátu, vydanie autentifikačného lístka, ak bol certifikát prijatý.

4. Pri následnom volaní webovej metódy sa autentifikácia klienta vykoná na základe autentifikačného lístka a komunikácia prebieha cez HTTP kanál.

==Databázové úložisko==

Ako sme v predchádzajúcej podkapitole spomenuli, informácie o autentifikovanom klientovi sú na strane webovej služby uchovávané v relačnej databáze, konkrétne MS SQL. Pre komunikáciu s databázovým úložiskom sme mohli použiť nasledujúce technológie:

1. LINQ to SQL <nowiki>[</nowiki>32<nowiki>]</nowiki>,

2. ADO.NET <nowiki>[</nowiki>33<nowiki>]</nowiki>.

LINQ to SQL poskytuje niektoré pokročilé možnosti v porovnaní s ADO.NET. Avšak samotná technológia ADO.NET poskytuje dostatočnú podporu pre rôzne DBMS <nowiki>[</nowiki>33<nowiki>]</nowiki> :

* MS SQL Server,
* MS SQL Mobile Server,
* Oracle,
* MySQL,
* ODBC,
* OLEDB.
V praktickej časti sme vytvorili triedu AbstractDatabase podľa návrhového vzoru Abstract Factory, ktorá umožňuje flexibilne vytvoriť triedu na prístup k databázovému úložisku podľa konkrétneho DBMS. Tým je zabezpečená možnosť upraviť databázové úložisko pre potreby praxe. Pri komplexnej podnikovej aplikácii by bolo najvýhodnejšie použiť ORM Framework napr. NHibernate. Dosiahli by sme separáciu objektového kódu od databázového kódu a znížili závislosť logickej vrstvy od bussines vrstvy. Použitie ORM Frameworku je nad rámec tejto práce, ale považovali sme za vhodné ho spomenúť.

==Spracovanie SOAP správ==

Jedným z prvkov na zabezpečenie integrity a dôvernosti komunikácie medzi klientskou aplikáciou a XML ASP.NET webovou službou je mechanizmus šifrovania a digitálneho podpisovania SOAP správ'''. '''Predtým, než si opíšeme spôsob, akým sú šifrované a podpisované SOAP správy, sa musíme oboznámiť so spôsobom, akým sú spracovávané SOAP správy na strane webovej služby aj na strane klientskej aplikácie.

Spracovávanie SOAP správ na strane webovej služby, ale aj na strane klienta prebieha v 2 etapách <nowiki>[</nowiki>3<nowiki>]</nowiki>:

1. '''Serializácia.''' Požiadavka klienta alebo odpoveď webovej služby je serializovaná ako XML schéma.

2. '''Deserializácia'''. SOAP správa je deserializovaná na dátové typy.

Aby sme mohli pristupovať k jednotlivým etapám spracovania SOAP správ, musíme implementovať mechanizmus SOAP rozšírenia na strane webovej služby, ale aj na strane klientskej aplikácie. Prístup k etapám serializácie a deserializácie je nutná podmienka na šifrovanie a digitálne podpisovanie SOAP správ

==Rozšírenie SOAP==

Rozšírenie SOAP predstavuje mechanizmus akým môžeme manipulovať so SOAP správami na strane klienta aj na strane webovej služby. Tento spôsob je veľmi flexibilný, o čom sa presvedčíme neskôr. Pokiaľ vytvoríme SOP rozšírenie, spracovanie SOAP správ prechádza 4 etapami <nowiki>[</nowiki>3<nowiki>]</nowiki>:

* '''BeforeDeserialize'''. Táto sa spúšťa v okamihu, keď webový server, poprípade objekt proxy dostanú SOAP správu.
* '''AfterDeserialize'''. V tejto etape je nespracovaná (raw) SOAP správa prevedená na dátové typy platformy .NET Framework. Vykonáva sa ešte pred spustením webovej metódy.
* '''BeforeSerialize. '''V tejto etape sa už spracováva kód webovej metódy, ale návratová hodnota webovej metódy nie je ešte serializovaná do SOAP správy.
* '''AfterSerialize'''. V tejto etape je návratová hodnota webovej metódy serializovaná do SOAP správy, ale tá ešte nie je odoslaná na klientsku aplikáciu.
V etapách '''BeforeDeserialize '''a''' AfterSerialize '''môžeme získať celý obsah SOAP správy. SOAP rozšírenie musí byť vykonávané aj na strane klienta, a to prostredníctvom objektu proxy. Celý proces spracovania SOAP správ je na Obr. 9.2.

[[Súbor:dp_2010_jm_14.png|framed|center|Obr. 9.2 Serializácia a Deserializácia SOAP správ]]

==Vytvorenie SOAP rozšírenia==

SOAP rozšírenie na platforme .NET Framework sa skladá z 2 častí <nowiki>[</nowiki>1<nowiki>]</nowiki>:

* Samotného SOAP rozšírenia, reprezentovaného vlastnou triedou, ktorá musí byť vytvorená odvodením z triedy '''System.Web.Protocols.SoapExtension'''.
* Vlastného atribútu, ktorý sa použije u webovej metódy na indikáciu, že na danú webovú metódu sa má aplikovať SOAP rozšírenie. SOAP atribút sa vytvára odvodením z triedy '''System.Web.Protocols.SoapExtensionAttribute'''.

===Atribút pre SOAP rozšírenie - SecureExtensionAttribute===

Atribút SOAP rozšírenia umožňuje spojiť konkrétne rozšírenie SOAP s metódami webovej triedy. Vytvára sa odvodením z triedy '''System.Web.Protocols.SoapExtensionAttribute. '''<nowiki>[</nowiki>1<nowiki>]</nowiki> Atribút pre SOAP rozšírenie je v našej webovej službe implementovaný prostredníctvom triedy''' SecureExtensionAttribute'''

{|class="wikitable"
'''Tab. 9.5''' Atribút SoapExtension
|-
|<source lang="csharp">
[AttributeUsage(AttributeTargets.Method)]
public class SecureExtensionAttribute : SoapExtensionAttribute
{...}
</source>
|}

Trieda pre SOAP rozšírenie obsahuje atribút AttributeUsage. Pomocou neho špecifikujeme oblasť použitia nášho atribútu. Náš atribút bude teda použitý na jednotlivé deklarácie webových metód.

V našej triede pre SOAP rozšírenie je nutné prekryť 2 abstraktné vlastnosti, ktoré trieda získala odvodením z triedy System.Web.Protocols.SoapExtensionAttribute. Ide o vlastnosti <nowiki>[</nowiki>3<nowiki>]</nowiki> :

* '''Priority'''. Slúži na nastavenie poradia, v akom sa spracujú SOAP rozšírenia, pokiaľ ich je na webovú metódu nakonfigurovaných viacero.
* '''ExtensionType.''' Vracia objekt Type, ktorý reprezentuje našu vlastnú triedu pre SOAP rozšírenia.
Trieda '''SecureExtensionAttribute''' pre atribút SOAP rozšírenia implementuje metódu '''SoapElement''', pomocou ktorej budeme konfigurovať, ktoré časti SOAP správy budú šifrované. Konfigurácia sa vykonáva prostredníctvom Xpath výrazu.

===Trieda SOAP rozšírenia - SecureExtension===

SOAP rozšírenie je implementované v našej webovej službe prostredníctvom triedy''' SecureExtension. '''Každá trieda pre SOAP rozšírenie musí byť vytvorená odvodením z '''System.Web.Protocols.SoapExtension. '''<nowiki>[</nowiki>1<nowiki>]</nowiki>. V Tab. 9.6 sú povinné metódy, ktoré musíme prekryť pri vytváraní triedy pre SOAP rozšírenie.

{|class="wikitable"
'''Tab. 9.6'''' Trieda SOAP rozšírenia
|-
|<source lang="csharp">
public class SecureExtension : SoapExtension
{...}
</source>
|}

{|class="wikitable"
'''Tab. 9.7''' Povinné metódy triedy SOAP rozšírenia
|align = "justify"|'''Metóda'''
|align = "justify"|'''Popis'''
|-
|align = "justify"|GetInitializer()
|align = "justify"|Táto metóda predáva počiatočné informácie pre SOAP rozšírenie. Je spúšťaná pri prvom vykonaní SOAP rozšírenia. To umožňuje inicializovať hodnoty niektorých dát, ktoré sa použijú pri spracovaní SOAP správ. Takisto v tejto metóde môžeme extrahovať hodnoty atribútu pre SOAP rozšírenie. Táto metóda má dve verzie. Volá sa vždy len jedna, v závislosti od toho či je SOAP rozšírenie nakonfigurované prostredníctvom atribútu alebo konfiguračného súboru.
|-
|align = "justify"|Initialize()
|align = "justify"|Metóda predáva počiatočné informácie pre SOAP rozšírenie. Je spúšťaná pri každom vykonaní SOAP rozšírenia.
|-
|align = "justify"|ProcessMessage()
|align = "justify"|Táto metóda vykonáva vlastné spracovanie SOAP rozšírenia, umožňuje modifikovať SOAP správy. V tejto metóde sú volané metódy pre šifrovanie a digitálne podpisovanie SOAP správ.
|-
|align = "justify"|ChainStream()
|align = "justify"|Metóda umožňuje získať prístup k SOAP bez prerušenia iných rozšírení.
|-
|}

Trieda SOAP rozšírenia SecureExtension implementuje v sebe dve pomocné metódy :

* '''RequestMessage'''. Jej úlohou je predať SOAP stream objektu typu SecureExtensionUtilities na dešifrovanie a overenie digitálneho podpisu SOAP požiadavky.
* '''ResponseMessage'''. Jej úlohou je predať SOAP stream objektu typu SecureExtensionUtilities na zašifrovanie a digitálne podpísanie SOAP odpovede .

SOAP rozšírenie je v podobnej forme, s malými zmenami, implementované aj na strane klienta, s malými zmenami .

===Metóda ProcessMessage===

Metóda ProcessMessage je volaná ASP.NET v týchto štyroch etapách <nowiki>[</nowiki>4<nowiki>]</nowiki>:

1. '''BeforeDeserialize,'''

2. '''AfterDeserialize,'''

3. '''BeforeSerialize,'''

4. '''AfterSerialize.'''

Etapa '''BeforeDeserialize''' je prvou etapou spracovanie SOAP požiadavky od klienta. V tejto etape sa na strane webovej služby vykonáva:

* Načítanie hodnoty autentifikačného lístka z hlavičky SOAP správy od klienta.
* Overenie platnosti autentifikačného lístka. Autentifikačný lístok sa vydáva klientovi s obmedzenou časovou platnosťou. V databáze na strane webovej služby je každá hodnota autentifikačného lístka spojená s časom, kedy bol lístok vydaný. Na základe hodnoty lístka sú načítané parametre AES šifry a verejný kľúč klienta.
* Po úspešnom overení lístka je SOAP stream predaný na dešifrovanie a overenie digitálneho podpisu prostredníctvom pomocnej metódy '''RequestMessage. '''Proces dešifrovania a overenia digitálneho podpisu je vykonávaný triedou SecureExtensionUtilities. Táto trieda bude popísaná v samostatnej podkapitole.
Spracovanie SOAP správy v etape BeforeDeserialize je znázornené na Obr. 9.3.

[[Súbor:dp_2010_jm_15.png|framed|center|Obr. 9.3 Spracovanie SOAP správy v etape BeforeDeserialize]]

Etapa''' AfterSerialize''' je poslednou etapou spracovania SOAP odpovede zasielanej na klienta. V tejto etape sa na strane webovej služby vykonáva:

* Predanie SOAP streamu na digitálne podpísanie a zašifrovanie SOAP správy prostredníctvom pomocnej metódy '''ResponseMessage'''. Samotný proces šifrovania a digitálneho podpisovania je vykonávaný triedou SecureExtensionUtilities.

Hlavnou úlohou triedy SecureExtension je:

* Počiatočná autentifikácia klienta na základe hodnoty lístka v SOAP hlavičke.
* Načítanie AES parametrov a verejného kľúča z databázy.
* Predanie SOAP streamov na spracovanie triede '''SecureExtensionUtilities'''

[[Súbor:dp_2010_jm_16.png|framed|center|Obr. 9.4 Životný cyklus triedy SecureExtension]]

==Šifrovanie a dešifrovanie==

Úlohou šifrovania je zabezpečiť dôvernosť a integritu komunikácie na komunikačnej ceste, ktorú tvorí viacero uzlov, čiže vykryť nedostatky technológie SSL. Šifrovanie SOAP správ predstavuje tzv. zabezpečenie na úrovni správ. V našej bezpečnostnej platforme je umožnené selektívne šifrovanie SOAP, ktoré sa dá podľa potreby nastavovať pomocou atribútov SOAP rozšírenia.

Šifrovanie a dešifrovanie SOAP správ je vykonávané v triede SecureExtensionUtilities. Skôr ako vysvetlíme, akým spôsobom je zabezpečená dôvernosť a integrita komunikácie, rozoberieme si nevýhody použitia samotnej technológie SSL.

===Nevýhody technológie SSL===

Veľmi rozšíreným spôsobom zabezpečenia komunikácie webových aplikácií je použitie technológie SSL, ktorú sme si popísali v podkapitole 4.1. Pre zabezpečenie webových služieb nie je táto technológia veľmi vhodná. Medzi obmedzenia SSL v spojitosti s XML webovými službami patrí:

* SSL predstavuje tzv. end - to - end zabezpečenie komunikácie. Pokrytý je len odosielateľ a príjemca správy. Pre XML webové služby je nutné zabezpečiť komunikáciu medzi každými dvoma uzlami komunikácie, ide o tzv. point – to – point zabezpečenia.
* SSL predstavuje zabezpečenie komunikácie iba na transporte. Pre webové služby je vhodnejšie zabezpečenie na úrovni správ. SSL je závislé na HTTP protokole.
* SSL šifruje celú komunikáciu, neumožňuje selektívne šifrovanie a takisto nepodporuje v plnej miere mechanizmus nepopierateľnosti. Pre webové služby, ktoré sú súčasťou SOA, je selektívne šifrovanie nutnou podmienkou.

[[Súbor:dp_2010_jm_17.png|framed|center|Obr. 9.5 Point-to-point a end-to-end zabezpečenie]]

===Advanced Encryption Standard===

Pri počiatočnej výmene konfiguračného XML dokumentu je využitá asymetrická šifra RSA s využitím kľúčov z certifikátov webovej služby a klienta. Ďalšia komunikácia je šifrovaná pomocou symetrického šifrovacieho algoritmu. Ako šifrovací algoritmus sme zvolili symetrický blokový algoritmus Rijndael, ktorý bol v roku 1997 vyhlásený americkým úradom pre štandardizáciu (NIST) ako štandard. Dodnes nie sú známe dôkazy o jeho prelomení. <nowiki>[</nowiki>23<nowiki>]</nowiki>

AES predstavuje blokový šifrovací algoritmus so šírkou bloku 128 bitov a možnými dĺžkami kľúčov 128, 192 a 256. Rijndael podporuje aj voliteľné väčšie dátové bloky a kľúče v 32- bitových prírastkoch, ale tie nie sú zahrnuté v špecifikácii štandardu AES. <nowiki>[</nowiki>22<nowiki>]</nowiki>

==Trieda SecureExtensionUtilities==

Ako už bolo spomenuté, SOAP správy sú šifrované pomocou symetrickej šifry Rijndael, ktoré časti SOAP správy budú šifrované, je určené pomocou atribútov SOAP rozšírenia. Trieda SecureExtensionUtilities zabezpečuje šifrovanie, dešifrovanie, digitálne podpisovanie a verifikáciu digitálneho podpisu SOAP správ.

SecureExtensionUtilities implementuje v sebe dve hlavné verejné metódy:

* '''InSoap,'''
* '''OutSoap,'''
a tieto pomocné privátne metódy:

* DecryptString, metóda dešifruje textový reťazec z XML dokumentu.
* DecryptSoap, dešifruje XML dokument.
* VerifySignedSoap, overuje digitálny podpis SOAP správy.
* SingSoap, digitálne podpisuje SOAP správu na základe štandardu XML Signature.
* EncryptString, metóda šifruje textový reťazec z XML dokumentu.
* EncryptSoap, šifruje XML dokument.

Metóda''' InSoap''' spracováva stream SOAP požiadavky od klienta. Táto metóda je volaná v etape BeforeDeserialize metódy ProcessMessage. Ako vstupné parametre akceptuje:

* string<nowiki>[]</nowiki> soapElement určuje, ktoré elementy SOAP správy budú šifrované.
* Stream inputStream predstavuje raw SOAP správu.
* User user, trieda User predstavuje dátový objekt obsahujúci AES parametre a verejný kľúč klienta.
Ak nie je SOAP správa šifrovaná, metóda InSoap vráti ASP.NET vstupný SOAP prúd. Celý proces spracovania je znázornený na Obr. 9.3. Pokiaľ príde k zmene SOAP správy počas prenosu cez HTTP kanál, čiže overenie digitálneho podpisu SOAP správy indikuje sfalšovanie alebo podvrhnutie, klient je upozornený a nepríde k spracovaniu SOAP správy, či už na strane webovej služby, alebo na strane klientskej aplikácie.

'''Overovanie digitálneho podpisu na strane klienta''' je '''realizované '''obdobným spôsobom, rozdiel je v tom, že podpisovanie SOAP správ realizuje objekt '''proxy''', v ktorom je implementované samotné SOAP rozšírenie. Na overovanie je použitý verejný kľúč zo serverového certifikátu webovej služby. Úlohou metódy InSoap je teda dešifrovať SOAP správu a overiť jej digitálny podpis.

Metóda''' OutSoap''' spracováva stream SOAP odpovede zasielaného na klienta. Táto metóda je volaná v etape AfterSerialize metódy ProcessMessage. Metóda OutSoap ako vstupné parametre akceptuje:

* string<nowiki>[]</nowiki> soapElement určuje, ktoré elementy SOAP správy budú šifrované.
* Stream inputStream predstavuje raw SOAP správu.
* User user, trieda User predstavuje dátový objekt obsahujúci AES parametre a verejný kľúč klienta.
* X509Certificate2 webServiceCert, objekt typu X509Certificate2 predstavuje serverový certifikát so súkromným kľúčom, ktorý sa použije na digitálne podpísanie SOAP správy.
Úlohou tejto metódy je digitálne podpísať a zašifrovať SOAP správu. Každá zašifrovaná SOAP správa od klienta má v SOAP hlavičke umiestnený dodatočný '''element IsEncrypted''', ktorý slúži na identifikáciu, či je daná SOAP správa zašifrovaná. V Tab. 9.8 je ukážka zašifrovania SOAP správy

{|class="wikitable"
'''Tab. 9.8''' Ukážka zašifrovanie SOAP správy
|-
|<source lang="xml">
<?xml version="1.0" encoding="utf-8" ?>
<soap:Envelope xmlns:soap="http://schemas.xmlsoap.org/soap/envelope/"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xmlns:xsd="http://www.w3.org/2001/XMLSchema">
<soap:Header>
<TicketHeader xmlns="http://tempuri.org/">
<Ticket>2541a182-8f4f-46c3-84f7-e667c221f494</Ticket>
</TicketHeader>
<IsEncrypted />
</soap:Header>
<soap:Body>
<SseReadPatient xmlns="http://tempuri.org/">
<id>Wk/C7PGSj/+fg2jQhQlUyg==</id>
</SseReadPatient>
</soap:Body>
<</soap:Envelope>
</source>
|}

Digitálne podpisovanie SOAP správ je realizované prostredníctvom '''štandardu XML Signature''', ktorý sme si popísali v podkapitole 8.1. SOAP správy sú podpisované na strane servera prostredníctvom súkromného kľúča zo serverového certifikátu. Na strane klienta je digitálne podpisovanie realizované prostredníctvom súkromného kľúča z klientskeho certifikátu. V Tab. 9.9 je ukážka podpísanej SOAP správy.

'''Digitálne podpisovanie na strane klienta''' je '''realizované '''obdobným spôsobom, rozdiel je v tom že podpisovanie SOAP správ realizuje objekt '''proxy''', v ktorom je implementované samotné SOAP rozšírenie. Na podpísanie SOAP správy je použitý súkromný kľúč z klientskeho certifikátu.

{|class="wikitable"
'''Tab. 9.9''' Podpísaná SOAP správa
|-
|<source lang="xml">
<soap:Envelope:xmlns:soap="http://schemas.xmlsoap.org/soap/envelope/"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xmlns:xsd="http://www.w3.org/2001/XMLSchema">
<soap:Body>
</soap:Body>
<Signature xmlns="http://www.w3.org/2000/09/xmldsig#">
<SignedInfo>
<CanonicalizationMethod Algorithm="http://www.w3.org/TR/2001/REC-xml-c14n-20010315" />
<SignatureMethod Algorithm="http://www.w3.org/2000/09/xmldsig#rsa-sha1" />
<Reference URI="">
<Transforms>
<Transform Algorithm="http://www.w3.org/2000/09/xmldsig#enveloped-signature" />
</Transforms>
<DigestMethod Algorithm="http://www.w3.org/2000/09/xmldsig#sha1" />
<DigestValue>2yfAuq6taP4kPBsFEM+J79F7ysM=</DigestValue>
</Reference>
</SignedInfo>
<SignatureValue>r2NmZyXtsku0WfbAJ4Kej/Kx0W0hAYCGAq7ltU7P5EN/NfQLYtZBCr97KHqNHkrEOqnU8Freg6
hEg1LXBhrkmF86bOApHTfOrdzpeK1WjK/tKO2G+xigjD8/PBhQszRK/qfG54gdY3kJ/y/kmn/S
F+W49scLowecDxxeIx29UeI3m4yF8GoDGL3xjB/sEN78u8owdaBVcwkH2jIHWz6CiwPHk7YNLF
c/Q0/XqE/ieBnAB2i0gLbM377AdHr9qLwMHVG/M9RVyl0JkWnUI8Viwm3Y268xz7cNlTnfa3uT
hOGHMgmVDrBboHL44zZIBAZbsNsbqSPEipTMDVc7efC0Vg==
</SignatureValue>
</Signature>
</soap:Envelope>
</source>
|}

Pri digitálnom podpisovaní sme použili kanonizačný algoritmus na element '''<nowiki><</nowiki>SignedInfo<nowiki>></nowiki>'''. Použitie je indikované prostredníctvom elementu CanonicalizationMethodAlgorithm. Je to z toho dôvodu, aby sme zabránili rozdielnym výsledkom pri overovaní digitálneho podpisu. Nakoľko textová reprezentácia XML môže byť spracovaná rozdielne v závislosti použitého dátového prúdu (prázdne tagy, white space, komentáre...), kanonizácia definuje presnú fyzickú štruktúru dokumentu.

{|class="wikitable"
'''Tab. 9.10''' Zoznam algoritmom použitých pri digitálnom podpisovaní SOAP
|align = "justify"|'''Algoritmus'''
|align = "justify"|'''Popis'''
|-
|align = "justify"|SHA1
|align = "justify"|Hašovací algoritmus použitý pri výpočte hašu.
|-
|align = "justify"|RSA
|align = "justify"|Kryptografický algoritmus použitý na vytvorenie digitálneho podpisu.
|-
|align = "justify"|REC
|align = "justify"|Kanonizačný algoritmus.
|-
|}

V tejto podkapitole sme si popísali štruktúru triedy SecureExtensionUtilities, vysvetlili sme si akým spôsobom je spracovaný SOAP stream z triedy SOAP rozšírenia, a taktiež digitálne podpisovanie, verifikáciu, šifrovanie a dešifrovanie SOAP správ.

==Autorizácia v SOAP Security Enhancement==

Selektívne šifrovanie a digitálne podpisovanie má ochrániť samotnú komunikáciu medzi webovou službou a jej klientom. Úlohou autorizácie je rozhodnúť, aké operácie bude môcť autentifikovaný užívateľ vykonávať a k akým zdrojom bude mať prístup na strane webovej služby. Pri vytváraní autorizačných pravidiel sme mali tieto možnosti:

* Vytvoriť autorizačné pravidlá v konfiguračnom súbore webovej služby. Týmto spôsobom sme sa zaoberali v podkapitole 6.1.
* Namapovať klientske certifikáty na užívateľské účty systému Windows prostredníctvom IIS.
* Použiť niektorý zo spôsobov impersonácie, ktorými sme sa zaoberali v podkapitole 5.2.1.
Použitie autorizačných pravidiel v súbore web.config je relatívne flexibilný spôsob autorizácie, ale neposkytuje také pokročilé možnosti ako impersonácia. Rozhodli sme sa použiť programovú impersonáciu, a to z nasledujúcich dôvodov :

* Umožňuje mapovanie klientskych certifikátov na užívateľské účty systému dvoma rôznymi spôsobmi :
* One – to – one,
* Many – to – one.
* Programová impersonácia nám umožní flexibilne nastaviť, ktorá časť programového kódu bude vykonávaná pod účtom Network Service a ktorá pod nami zvoleným užívateľským účtom. Tento spôsob sa prostredníctvom mapovania klientskych certifikátov na IIS nedá docieliť.
Proces programovej impersonácie je nasledovný :

* V databáze je priradený ku každému klientskemu certifikátu jeden užívateľský účet systému Windows.
* Pri úspešnej počiatočnej autentifikácii klienta prostredníctvom certifikátu, sa jeho autentifikačný lístok namapuje na užívateľský účet.
Programová impersonácia je vykonávaná triedou UserImpersonation, ktorá obsahuje tieto metódy :

* Login - získa príznak účtu užívateľa Windows.
* Impersonate - spustí proces vykonávania programového kódu v kontexte identity užívateľského účtu. Pokiaľ klientov autentifikačný lístok nie je namapovaný na užívateľský účet, programový kód bude vykonávaný pod účtom Network Service, ktorý predstavuje prednastavený účet pre spracovanie ASPNET na systéme Windows Server 2003.
* UndoImpersonate - ukončí impersonáciu programového kódu.
Prostredníctvom užívateľských účtov Windows môžeme jednotlivým klientom webovej služby vyčleniť prístup k súborom na disku, k databáze a pod. Použitie triedy UserImpersonate je znázornené v Tab. 9.11.

{|class="wikitable"
'''Tab. 9.11''' Použitie triedy UserImpersonate
|-
|<source lang="csharp">
UserImpersonation _objImp = new UserImpersonation();

_objImp.ReadUserAccount(Ticket.Ticket);

_objImp.Login();

_objImp.Impersonate();

//programový kód, ktorý ma byť vykonáný pod inou identitou

_objImp.UndoImpesonate();

</source>
|}

==Výhody SOAP Security Enhancement pre ASP.NET webové služby==

V minulosti sa na zabezpečenie ASP.NET webových služieb využívalo rozšírenie Web Services Enhancements (WSE) <nowiki>[</nowiki>25<nowiki>]</nowiki>, <nowiki>[</nowiki>26<nowiki>]</nowiki>, <nowiki>[</nowiki>27<nowiki>]</nowiki>. Súčasná verzia 3.0 nepodporuje ASP.NET webové služby. Preto je veľmi ťažké porovnať navrhovanú vlastnú bezpečnostnú platformu s nejakým oficiálnym spôsobom zabezpečenia. Jediným možným riešením bolo porovnať spôsob zabezpečenia s rozšírením WSE 2.0. Tento produkt mal veľmi veľa problémov v oblasti interoperability a takisto je zastaralý. Preto sme sa vyhli porovnaniu našej bezpečnostnej platformy s týmto rozšírením.

:Naša bezpečnostná platforma poskytuje zabezpečenie na úrovni aplikácie a taktiež na úrovni správ. Poskytuje dva spôsoby autentifikácie :

* Počiatočnú autentifikáciu založenú na certifikátoch X509. Výhodou tohto spôsobu autentifikácie je dobrá kontrola nad užívateľskými identitami.
* Autentifikáciu založenú na autentifikačných lístkoch v SOAP hlavičke. Výhodou tohto spôsobu autentifikácie je :
* Výhoda vytvorenia SOAP hlavičky je tá, že objekt proxy ju na strane klienta automaticky udržuje. Pokiaľ klient používa rovnakú inštanciu triedy proxy, bude automaticky a pri ďalšom odosielaní SOAP správ na webovú službu posielaný aj autentifikačný lístok v SOAP hlavičke.
* Pri opätovnom volaní webových metód nemusí byť posielaný s požiadavkou aplikácie aj klientsky certifikát. Vďaka tomu nemusí byť opätovne použité aj HTTPS spojenie.
* Autentifikačný lístok môže byť aplikácii vydaný s určitou časovou platnosťou, čo zvyšuje flexibilitu systému.

Integrita komunikácie je zabezpečená prostredníctvom digitálneho podpisovania na základe štandardu XML Signature. SOAP správy sú podpisované na základe privátnych kľúčov z certifikátov a overované na základe verejných kľúčov z certifikátov. Pokiaľ príde k zmene SOAP správy počas transferu cez HTTP kanál, čiže overenie digitálneho podpisu SOAP správy indikuje sfalšovanie alebo podvrhnutie, klient je upozornený a nepríde k spracovaniu SOAP správy, či už na strane webovej služby, alebo na strane klientskej aplikácie

Dôvernosť komunikácie je založená na šifrovaní SOAP správ pomocou symetrického blokového algoritmu Rijndael. Výhody:

* SOAP správy sú selektívne šifrované, chránené sú len potrebné dáta. Selektívne šifrovanie je nevyhnutná podmienka začlenenia XML webových služieb do SOA.
* Výhodou voči štandardu XML Encryption je ten, že pri našom šifrovaní nedochádza k „deformácii" XML tagov.
* Šifrovací algoritmus môže byť upravený podľa potreby praxe.
* Šifrovanie je realizované prostredníctvom SOAP rozšírenia. To znamená, že šifruje už serializované dáta. Vďaka tomu môžeme šifrovať a digitálne podpisovať aj vlastné dátové typy.
* Oproti technológii SSL predstavuje náš spôsob zabezpečenia point to point, čo je ďalšia podmienka začlenenia XML webových služieb do SOA.

Veľkú výhodu nášho zabezpečenia vidíme v spôsobe jeho samotného použitia. Celý mechanizmus ochrany SOAP správ sa aplikuje na webovú metódu prostredníctvom atribútu SOAP rozšírenia, ktorý predstavuje len dopísanie jedného riadku kódu nad webovú metódu. Náš spôsob zabezpečenia nemení spracovanie programového kódu webovej metódy.

V Tab. 9.12 je ukážka nastavenia šifrovania elementu body SOAP správy zasielanej ako odpoveď na klientsku aplikáciu. Elementy SOAP správy, ktoré majú byť zašifrované sa zadefinujú prostredníctvom Xpath výrazu pomocou vlastnosti SoapElement triedy atribútu SOAP rozšírenia.

{|class="wikitable"
'''Tab. 9.12''' Použitie atribútu SOAP rozšírenia
|-
|<source lang="csharp">
[WebMethod]
[SecureExtension(SoapElement = "//soap:Body/*/*")]
public DataSet GetDataSet()
{
//kód webovej metódy
}
</source>
|}

=Záver=
V práci sme opísali technologické pozadie XML webových služieb a ich štandardy. Zamerali sme sa na ASP.NET webové služby. Vysvetlili sme si spôsoby, akým môžeme vytvoriť bezpečnostný komunikačný scenár medzi webovou službou a jej klientom. Rozobrali sme jednotlivé možnosti autentifikácie, autorizácie klientov webovej služby, spôsoby na zabezpečenie dôvernosti a integrity komunikácie. Uviedli sme ich výhody a nevýhody, ktoré so sebou prinášajú.

Upozornili sme na hlavné chyby, ktoré vznikajú pri zabezpečovaní XML webových služieb. Ide hlavne o použitie technológie SSL a štandardu XML Encryption. Samotná technológia SSL nie je postačujúca na zabezpečenie komunikácie medzi webovou službou a jej klientom, nakoľko predstavuje zabezpečenie na úrovni komunikačného kanála a predstavuje tzv. end – to – end zabezpečenie. To nie je veľmi vhodné pre XML webové služby, kedže v praxi bývajú súčasťou SOA. SOA architektúra vyžaduje selektívne šifrovanie, ktoré nie je možné dosiahnuť so štandardom XML Encryption. Pri použití tohto štandardu dochádza taktiež k deformácii XML tagov. Cieľom bezpečnostnej platformy bolo odstránenie týchto nedostatkov. Bezpečnostná platforma predstavuje zabezpečenie na úrovni aplikácie a tiež na úrovni správ. Počiatočná autentifikácia je realizovaná na základe certifikátov X509, pri volaní ďalších webových metód je klient autentifikovaný na základe autentifikačného lístka v SOAP hlavičke. Dĺžka platnosti autentifikačného lístka sa dá flexibilne meniť podľa potreby. SOAP správy sú selektívne šifrované pomocou AES, tým je dosiahnuté utajenie komunikácie. Integrita je zabezpečená prostredníctvom digitálneho podpisovania SOAP správ. Naša bezpečnostná platforma poskytuje autorizačný mechanizmus prostredníctvom programovej impersonácie.

Na otestovanie funkčnosti zabezpečenia komunikácie XML ASP.NET webovej služby bola vytvorená WinForms klientska aplikácia.

=Použitá literatúra=
#MacDonald, Matthew., Beginning ASP.NET 3.5 in C# 2008: From Novice to Professional, Apress, 2007. ISBN 978-1590598917
#Troelsen, Andrew., Pro C# 2008 and the .NET 3.5 Platform, Apress, 2007. ISBN 978-1590598849
#Glynn, Jay., Skinner, Morgan., Professional C# 2008, Wrox, 2008. ISBN 978-0470191378
#MacDonald, Matthew., Szpuszta, Mario., Pro ASP.NET 2.0 in C# 2005, Apress, 2005. ISBN 978-1590594964
#Foggon, Damien., Maharry, Daniel., Ullman, Chris., Watson, Karli., Programming Microsoft .NET XML Web Services, Microsoft Press, 2003. ISBN 978-0735619128
#Jones, Allen ., Microsoft .NET XML Web Services Step by Step, Microsoft Press, 2002. ISBN13: 978-0735617209
#Eide, Andreas., Miller, Chris., Sempf, Bill Sempf., Professional ASP.NET Web Services, Wrox Press, 2001. ISBN 978-1861005458
#Kurt, Chris., Web Services Architecture and Its Specifications: Essentials for Understanding WS, Microsoft Press, 2005. ISBN 978-0735621626
#Krowczyk, Andrew., Greenvoss, Zach., Banerjee. Ashish., Professional C# Web Services: Building .NET Web Services with ASP.NET and .NET Remoting, Wrox Press, 2001. ISBN 978-1861004390
#www.w3.org [online]. last updated: 2007-06-05 [cit. 2009-12-19]. Dostupná z WWW: < http://www.w3.org/TR/soap/>
#www.w3.org [online]. last updated: 2001-03-14 [cit. 2009-12-19]. Dostupná z WWW: < http://www.w3.org/TR/wsdl/>
#www.oasis-open.org [online]. last updated: 2009-12-19 [cit. 2009-12-19]. Dostupná z WWW: < http://www.oasis-open.org/committees/uddi-spec/doc/tcspecs.htm>
#O'Neill, Mark., Web Services Security, McGraw-Hill Osborne Media, 2003. ISBN 978-0072224719
#Hartman, Bret., Flinn, Donald., Beznosov, Konstantin. Mastering Web Services Security, 2003. ISBN 978-0471267164
#Nantz, Brian., Expert Web Services Security in the .NET Platform, Apress, 2004. ISBN 978-1590591154
#Microsoft, Vytváříme zabezpečené aplikace v Microsoft ASP.NET, Computer Press, 2004. ISBN 80-251-0466-4
#www.w3.org [online]. last updated: 2008-06-10 [cit. 2009-12-19]. Dostupná z WWW: < http://www.w3.org/TR/xmldsig-core/ >
#www.w3.org [online]. last updated: 2002-12-13 [cit. 2009-12-19]. Dostupná z WWW: < http://www.w3.org/TR/xmlenc-core/ >
#www.w3.org [online]. last updated: 2004-03-26 [cit. 2009-12-19]. Dostupná z WWW: < http://www.w3.org/MarkUp/SGML/>
#www.oasis-open.org [online]. last updated: 2009-12-19 [cit. 2009-12-19]. Dostupná z WWW: < http://www.oasis-open.org/committees/tc_home.php?wg_abbrev=xacml>
#www.w3.org [online]. last updated: 2005-12-20 [cit. 2009-12-19]. Dostupná z WWW: < http://www.w3.org/TR/XMKS/ >
#Rijmen, Vincent., The Design of Rijndael: AES - The Advanced Encryption Standard, Springer, 2002. ISBN 978-3540425809
#Tom, Denis., Cryptography for Developers, Syngress, 2007. ISBN 978-1597491044
#www.msdn.microsoft.com [online]. last updated : 2009-12-22 [cit. 2009-12-22]. Dostupná z WWW: http://msdn.microsoft.com/en-us/library/system.security.cryptography.passwordderivebytes.aspx
#Microsoft Corporation, Web Service Security: Scenarios, Patterns, and Implementation Guidance for Web Services Enhancements (WSE) 3.0, Microsoft Press, 2006. ISBN 978-0735623149
#Hasan, Jeffrey., Expert Service-Oriented Architecture in C#: Using the Web Services Enhancements 2.0, Apress, 2004. ISBN 978-1590593905
#Evjen, Bill., Web Services Enhancements: Understanding the WSE for .NET Enterprise Applications, Wiley, 2003. ISBN 978-0764537363
#www.msdn.microsoft.com [online]. last updated : 2009-12-22 [cit. 2009-12-22]. Dostupná z WWW: http://msdn.microsoft.com/en-us/library/system.security.cryptography.passwordderivebytes.aspx
#www.msdn.microsoft.com [online]. last updated : 2010-01-07 [cit. 2010-01-07]. Dostupná z WWW: http://msdn.microsoft.com/en-us/library/72wdk8cc(VS.71).aspx
#http://www.oasis-open.org [online]. last updated : 2010-01-07 [cit. 2010-01-07]. Dostupná z WWW: http://www.oasis-open.org/committees/tc_home.php?wg_abbrev=xacml
#www.msdn.microsoft.com [online]. last updated : 2010-01-07 [cit. 2010-01-07]. Dostupná z WWW: http://msdn.microsoft.com/en-us/library/ms229335.aspx
#www.msdn.microsoft.com [online]. last updated : 2010-01-07 [cit. 2010-01-07]. Dostupná z WWW: http://msdn.microsoft.com/en-us/netframework/aa904594.aspx
#www.msdn.microsoft.com [online]. last updated : 2010-01-07 [cit. 2010-01-07]. Dostupná z WWW: http://msdn.microsoft.com/en-us/library/e80y5yhx%28VS.80%29.aspx
#www.msdn.microsoft.com [online]. last updated : 2010-01-07 [cit. 2010-01-07]. Dostupná z WWW: http://msdn.microsoft.com/en-us/library/dd0w4a2z%28VS.80%29.aspx
#Dostálek, Libor., Vohnoutová, Marta., Velký průvodce infrastrukturou PKI a technologií elektronického podpisu, 2006. ISBN 80-251-0828-7
#www.msdn.microsoft.com [online]. last updated : 2010-01-07 [cit. 2010-01-07]. Dostupná z WWW: http://msdn.microsoft.com/en-us/library/cc488021.aspx

SOAP Security Enhancement pre ASP.NET webové služby

2010-06-11T12:46:40Z

Ian: /* SOAP Security Enhancement pre ASP.NET webové služby */

[[Kategória:Študentské práce]][[Kategória:Diplomové práce]][[Kategória:Informatika]][[Kategória:Webové služby]]
{{Praca_uvod|9|Návrh a implementácia bezpečnostnej technológie pre webové služby|XML a webové služby |XML ASP.NET webové služby|Zabezpečennie webových aplikácií|Integrita a dôvernosť komunikácie|Autentifikácia|Autorizácia webových služieb|Zabezpečenie webových služieb|XML security|SOAP Security Enhancement pre ASP.NET webové služby}}
__TOC__
=SOAP Security Enhancement pre ASP.NET webové služby=

V predchádzajúcich dvoch kapitolách sme si opísali teoretické možnosti zabezpečenia XML ASP.NET webových služieb a štandardy zamerané na bezpečnosť XML. Táto kapitola sa zaoberá vývojom vlastnej bezpečnostnej platformy pre XML ASP.NET webové služby v jazyku C<nowiki> </nowiki>, ktorú sme nazvali SOAP Security Enhancement (SSE) Naša bezpečnostná platforma bude predstavovať zabezpečenie na úrovni správ a tiež na úrovni aplikácie. Pri vytváraní bezpečnostného systému pre webové aplikácie treba zabezpečiť:

* Mechanizmus pre overovanie klientskych aplikácií. Možnosti overovania klientov sme si podrobne rozobrali v kapitolách 5, 5.1, 5.2, 5.3.
* Mechanizmus pre autorizáciu klientov overených webovou službou. Spôsobmi autorizácie sme sa zaoberali kapitolách 5.1, kde sme sa zaoberali autorizáciou s využitým webového servera IIS a takisto autorizáciou prostredníctvom konfiguračného súboru webovej služby, ktorú sme si opísali v kapitole 6.
* Mechanizmus pre zabezpečenie dôvernosti a integrity komunikácie. Spôsobov na vytvorenie bezpečnej komunikačnej linky je viacero. Najrozšírenejší spôsob je použitie technológie SSL, ktorou sme sa zaoberali v podkapitole 4.1. Táto technológia má aj svoje nedostatky, ktoré sme načrtli v kapitole 7 a s ktorými sa oboznámime v podkapitole 9.7.1.
V príslušných kapitolách sme vysvetlili výhody, nevýhody a oblasti použitia daných mechanizmov pre autentifikáciu, autorizáciu a zabezpečenie dôvernosti a integrity komunikácie. V tejto kapitole ponúkame vlastný komplexný spôsob, ako zabezpečiť komunikáciu medzi XML ASP.NET webovou službou a klientskou aplikáciou na platforme .NET Framework 3.5.

V Tab. 9.1 sú prehľadne opísané spôsoby a technológie, ktoré použijeme na autentifikáciu, autorizáciu a zabezpečenie dôvernosti a integrity komunikácie. Tie podrobnejšie popíšeme a vysvetlíme nasledujúcich podkapitolách.

{|class="wikitable"
'''Tab. 9.1''' Popis technológií použitých pri vlastnej bezpečnostnej platforme
|align = "justify"|'''Mechanizmus'''
|align = "justify"|'''Technológia'''
|-
|align = "justify"|Autentifikácia
|align = "justify"|'''Certifikát X509'''
|-
|align = "justify"|Autorizácia
|align = "justify"|Autorizácia bude realizovaná prostredníctvom programovej impersonácie, ktorú sme si vysvetlili v podkapitole 5.2.1.
|-
|Integrita a dôvernosť komunikácie
|align = "justify"|Integrita a dôvernosť komunikácie bude zabezpečená prostredníctvom selektívneho šifrovania SOAP správ s využitím Advanced Encryption Standard a prostredníctvom digitálneho podpisovania SOAP správ pomocou certifikátov X509 s využitím štandardu XML Signature.
|-
|}

==Štruktúra SOAP Security Enhancement z objektovo-orientovaného prístupu==

V Tab. 9.2 sú prehľadne opísané základné programové triedy bezpečnostnej platformy spolu s ich funkcionalitou. Podrobnejšie budú opísané v príslušných podkapitolách.

{|class="wikitable"
'''Tab. 9.2''' Triedy bezpečnostnej platformy
|align = "justify"|'''Názov triedy'''
|align = "justify"|'''Popis'''
|-
|align = "justify"|AbstractDatabase
|align = "justify"|Trieda vytvorená podľa návrhového vzoru Abstract Factory, ktorá umožňuje flexibilne vytvoriť triedu na prístup k databázovému úložisku podľa konkrétneho DBMS.
|-
|align = "justify"|DbProvider
|align = "justify"|Trieda pre prístup k MS SQL databázovému úložisku.
|-
|align = "justify"|SecureExtension
|align = "justify"|Trieda SOAP rozšírenia umožňuje prístup k SOAP správam v rôznych etapách spracovania.
|-
|align = "justify"|SecureExtensionAttribute
|align = "justify"|Predstavuje atribút SOAP rozšírenia, pomocou ktorého sa špecifikujú konkrétne časti (elementy) SOAP správy ktoré budú šifrované a digitálne podpísané.
|-
|align = "justify"|SecureExtensionUtilities
|align = "justify"|Táto trieda obsahuje metódy na šifrovanie, dešifrovanie, digitálne podpisovanie a verifikáciu digitálneho podpisu SOAP správ.
|-
|align = "justify"|SecureUtilities
|align = "justify"|Zabezpečuje autentifikáciu klienta, vygenerovanie parametrov AES šifry a vytvorenie konfiguračného XML dokumentu obsahujúce parametre pre bezpečnú komunikáciu.
|-
|align = "justify"|TicketIdentity
|align = "justify"|Táto trieda reprezentuje autentifikačný lístok umiestnený v SOAP hlavičke klienta.
|-
|align = "justify"|UserData
|align = "justify"|Predstavuje „data object“ reprezentujúci údaje pre šifrovanie a digitálne podpisovanie SOAP správ.
|-
|align = "justify"|UserImpersonation
|align = "justify"|TTrieda zabezpečuje mechanizmus autorizácie prostredníctvom Windows impersonácie.
|-
|}

==Autentifikácia klientov v SOAP Security Enhancement==

Možnosti na overovanie klientov pre XML ASP.NET webové služby sú značne obmedzené. Kedže webová služba neposkytuje žiaden vstavaný spôsob akým, by mohol užívateľ predložiť prihlasovacie údaje, napríklad webový formulár. Najrozšírenejšie spôsoby overovania klientov webovou službou sú tieto <nowiki>[</nowiki>1<nowiki>]</nowiki>:

* Autentifikácie Windows. Tento typ nie je veľmi flexibilný a má veľa nedostatkov, ktoré sme si opísali v kapitole 5.1.
* Vlastný typ autentifikačného procesu založeného na prihlasovacích lístkoch s využitím SOAP rozšírenia.
* Použitie klientskych certifikátov X509.

Autentifikáciu založenú na certifikátoch X509 sme zvolili z nasledujúcich dôvodov:

1. Použitie klientskych certifikátov dáva značnú kontrolu nad užívateľskými identitami, nakoľko certifikáty sú vydávané certifikačnou autoritou, ktorá býva zvyčajne pod kontrolou administrátora servera, na ktorom môže byť hosťovaná webová služba. Tak isto je možné klientske certifikáty mapovať na užívateľské účty Windows, či už priamo na webovom serveri IIS alebo priamo programovo vo webovej službe.

2. Certifikáty X509 predstavujú účinnú ochranu proti podvrhnutiu falošného verejného kľúča ( Man-in-the-Middle Attack <nowiki>[</nowiki>36<nowiki>]</nowiki> ).

3. Tak isto predstavuje účinný mechanizmus na zabezpečenie toho, že vlastník verejného kľúča má k nemu zodpovedajúci súkromný kľúč.

Certifikátom sme sa podrobnejšie venovali v podkapitole 4.1.1. Na vystavenie klientskych certifikátov sme vytvorili vlastnú testovaciu certifikačnú autoritu na operačnom systéme Windows Server 2003.

Počiatočnú autentifikáciu sme sa rozhodli teda realizovať prostredníctvom klientskych certifikátov X509. Na korektný prenos certifikátov X509 je nutný HTTPS prenos.

Kedže použitie technológie SSL má aj nedostatky a pri prenose veľkého množstva dát je náročné, rozhodli sme sa, že HTTPS kanál bude použitý pri komunikácii klienta a webovej služby iba raz, a to pri počiatočnom volaní webovej metódy, ktorá zabezpečí overenie klienta na základe klientskeho certifikátu X509. Následne bude klientovi vydaný „autentifikačný lístok", ktorý bude umiestnený do SOAP hlavičky. Lístok obsahuje 128 bitové jedinečné číslo, ktoré identifikuje užívateľa pri nasledujúcich volaniach webových metód, a je použitý na jeho overenie. Lístok sa vydáva klientovi s určitou časovou platnosťou, ktorú je možné podľa potreby a priority meniť.

Hodnota ID v autentifikačnom lístku je uložená spolu s príslušnými údajmi z klientskeho certifikátu do relačnej databázy, ktorú webová služba používa na ďalšie overovanie klienta pri volaní webových metód.

Proces prvotnej autentifikácie je nasledovný. Pri počiatočnom prístupe klienta k webovej službe musí klient zavolať webovú metódu '''CreateConnection''' webovej služby. Metóda

CreateConnection plní v komunikačnom scenári nasledujúce funkcie:

* Overenie klientskeho certifikátu.
* Vytvorenie SOAP hlavičky s užívateľským ID.
* Zápis príslušných parametrov z klientskeho certifikátu do databázy.
* Vygenerovanie a zaslanie parametrov AES, ktoré sú použité na šifrovanie SOAP správ.
Prostredníctvom vlastnosti''' Context''', ktorú trieda webovej služby získala odvodením z abstraktnej triedy WebService (pozri podkapitola 2.1), je extrahovaný klientsky certifikát.

{|class="wikitable"
'''Tab. 9.3''' Extrahovanie klientského certifikátu z vlastnosti Context
|-
|<source lang="csharp">
X509Certificate2 cert = new X509Certificate2(Context.Request.ClientCertificate.Certificate);
</source>
|}
Následne je klientsky certifikát overený na revokáciu a dôveryhodnosť certifikačnej autority.

Pokiaľ je certifikát klienta úspešne overený, webová metóda CreateConnection vygeneruje hodnotu ID v autentifikačnom lístku.

Po vygenerovaní ID pre overeného klienta sú údaje z klientskeho certifikátu (verejný kľúč a common name), ID klienta spolu s dátumom a časom vytvorenia lístka zapísané do databázy. Následne je vytvorená SOAP hlavička , do ktorej je umiestnené ID užívateľa.

Výhoda vlastného autentifikačného systému na lístkoch:

* Výhoda vytvorenia SOAP hlavičky je tá, že objekt proxy ju na strane klienta automaticky udržuje. Pokiaľ klient používa rovnakú inštanciu triedy proxy, bude automaticky pri ďalšom odosielaní SOAP správ na webovú službu posielaný aj autentifikačný lístok v SOAP hlavičke.
* Pri opätovnom volaní webových metód nemusí byť posielaný s požiadavkou aplikácie aj klientsky certifikát. Vďaka tomu nemusí byť opätovne použité aj HTTPS spojenie.
* Autentifikačný lístok môže byť aplikácii vydaný s určitou časovou platnosťou, čo zvyšuje flexibilitu systému.
Parametre AES šifry sú zaslané webovou metódou''' CreateConnection''' vo forme XML dokumentu. XML dokument je zašifrovaný pomocou RSA šifry s využitím verejného kľúča z klientskeho certifikátu.

XML dokument obsahuje parametre AES šifry a takisto verejný kľúč z certifikátu servera, na overenie digitálneho podpisu SOAP správy webovej služby.

Zašifrované XML je na strane klienta dešifrované pomocou súkromného kľúča z patričného klientskeho certifikátu.

Parametre AES šifry využíva objekt proxy na šifrovanie SOAP požiadaviek klienta.

{|class="wikitable"
'''Tab. 9.4''' Autentifikačný lístok v SOAP hlavičke
|-
|<source lang="xml">
<source lang="xml">
<soap:Envelope xmlns:soap="http://schemas.xmlsoap.org/soap/envelope/">
<soap:Header>
<TicketHeader xmlns="http://tempuri.org/">
<Ticket>f84bd797-8ea5-463c-9319-5d952ec30207</Ticket>
</TicketHeader>
</soap:Header>
<soap:Body>
</soap:Body>
</soap:Envelope>
</source>
|}

[[Súbor:dp_2010_jm_13.png|framed|center|Obr. 9.1 Autentifikačný proces]]

Popis autentifikačného procesu na Obr. 9.1 :

1. Načítanie klientskeho certifikátu z úložiska.

2. Pridanie certifikátu k objektu proxy a zavolanie webovej metódy CreateConnection.

3. Autentifikácia klientskeho certifikátu, vydanie autentifikačného lístka, ak bol certifikát prijatý.

4. Pri následnom volaní webovej metódy sa autentifikácia klienta vykoná na základe autentifikačného lístka a komunikácia prebieha cez HTTP kanál.

==Databázové úložisko==

Ako sme v predchádzajúcej podkapitole spomenuli, informácie o autentifikovanom klientovi sú na strane webovej služby uchovávané v relačnej databáze, konkrétne MS SQL. Pre komunikáciu s databázovým úložiskom sme mohli použiť nasledujúce technológie:

1. LINQ to SQL <nowiki>[</nowiki>32<nowiki>]</nowiki>,

2. ADO.NET <nowiki>[</nowiki>33<nowiki>]</nowiki>.

LINQ to SQL poskytuje niektoré pokročilé možnosti v porovnaní s ADO.NET. Avšak samotná technológia ADO.NET poskytuje dostatočnú podporu pre rôzne DBMS <nowiki>[</nowiki>33<nowiki>]</nowiki> :

* MS SQL Server,
* MS SQL Mobile Server,
* Oracle,
* MySQL,
* ODBC,
* OLEDB.
V praktickej časti sme vytvorili triedu AbstractDatabase podľa návrhového vzoru Abstract Factory, ktorá umožňuje flexibilne vytvoriť triedu na prístup k databázovému úložisku podľa konkrétneho DBMS. Tým je zabezpečená možnosť upraviť databázové úložisko pre potreby praxe. Pri komplexnej podnikovej aplikácii by bolo najvýhodnejšie použiť ORM Framework napr. NHibernate. Dosiahli by sme separáciu objektového kódu od databázového kódu a znížili závislosť logickej vrstvy od bussines vrstvy. Použitie ORM Frameworku je nad rámec tejto práce, ale považovali sme za vhodné ho spomenúť.

==Spracovanie SOAP správ==

Jedným z prvkov na zabezpečenie integrity a dôvernosti komunikácie medzi klientskou aplikáciou a XML ASP.NET webovou službou je mechanizmus šifrovania a digitálneho podpisovania SOAP správ'''. '''Predtým, než si opíšeme spôsob, akým sú šifrované a podpisované SOAP správy, sa musíme oboznámiť so spôsobom, akým sú spracovávané SOAP správy na strane webovej služby aj na strane klientskej aplikácie.

Spracovávanie SOAP správ na strane webovej služby, ale aj na strane klienta prebieha v 2 etapách <nowiki>[</nowiki>3<nowiki>]</nowiki>:

1. '''Serializácia.''' Požiadavka klienta alebo odpoveď webovej služby je serializovaná ako XML schéma.

2. '''Deserializácia'''. SOAP správa je deserializovaná na dátové typy.

Aby sme mohli pristupovať k jednotlivým etapám spracovania SOAP správ, musíme implementovať mechanizmus SOAP rozšírenia na strane webovej služby, ale aj na strane klientskej aplikácie. Prístup k etapám serializácie a deserializácie je nutná podmienka na šifrovanie a digitálne podpisovanie SOAP správ

==Rozšírenie SOAP==

Rozšírenie SOAP predstavuje mechanizmus akým môžeme manipulovať so SOAP správami na strane klienta aj na strane webovej služby. Tento spôsob je veľmi flexibilný, o čom sa presvedčíme neskôr. Pokiaľ vytvoríme SOP rozšírenie, spracovanie SOAP správ prechádza 4 etapami <nowiki>[</nowiki>3<nowiki>]</nowiki>:

* '''BeforeDeserialize'''. Táto sa spúšťa v okamihu, keď webový server, poprípade objekt proxy dostanú SOAP správu.
* '''AfterDeserialize'''. V tejto etape je nespracovaná (raw) SOAP správa prevedená na dátové typy platformy .NET Framework. Vykonáva sa ešte pred spustením webovej metódy.
* '''BeforeSerialize. '''V tejto etape sa už spracováva kód webovej metódy, ale návratová hodnota webovej metódy nie je ešte serializovaná do SOAP správy.
* '''AfterSerialize'''. V tejto etape je návratová hodnota webovej metódy serializovaná do SOAP správy, ale tá ešte nie je odoslaná na klientsku aplikáciu.
V etapách '''BeforeDeserialize '''a''' AfterSerialize '''môžeme získať celý obsah SOAP správy. SOAP rozšírenie musí byť vykonávané aj na strane klienta, a to prostredníctvom objektu proxy. Celý proces spracovania SOAP správ je na Obr. 9.2.

[[Súbor:dp_2010_jm_14.png|framed|center|Obr. 9.2 Serializácia a Deserializácia SOAP správ]]

==Vytvorenie SOAP rozšírenia==

SOAP rozšírenie na platforme .NET Framework sa skladá z 2 častí <nowiki>[</nowiki>1<nowiki>]</nowiki>:

* Samotného SOAP rozšírenia, reprezentovaného vlastnou triedou, ktorá musí byť vytvorená odvodením z triedy '''System.Web.Protocols.SoapExtension'''.
* Vlastného atribútu, ktorý sa použije u webovej metódy na indikáciu, že na danú webovú metódu sa má aplikovať SOAP rozšírenie. SOAP atribút sa vytvára odvodením z triedy '''System.Web.Protocols.SoapExtensionAttribute'''.

===Atribút pre SOAP rozšírenie - SecureExtensionAttribute===

Atribút SOAP rozšírenia umožňuje spojiť konkrétne rozšírenie SOAP s metódami webovej triedy. Vytvára sa odvodením z triedy '''System.Web.Protocols.SoapExtensionAttribute. '''<nowiki>[</nowiki>1<nowiki>]</nowiki> Atribút pre SOAP rozšírenie je v našej webovej službe implementovaný prostredníctvom triedy''' SecureExtensionAttribute'''

{|class="wikitable"
'''Tab. 9.5''' Atribút SoapExtension
|-
|<source lang="csharp">
[AttributeUsage(AttributeTargets.Method)]
public class SecureExtensionAttribute : SoapExtensionAttribute
{...}
</source>
|}

Trieda pre SOAP rozšírenie obsahuje atribút AttributeUsage. Pomocou neho špecifikujeme oblasť použitia nášho atribútu. Náš atribút bude teda použitý na jednotlivé deklarácie webových metód.

V našej triede pre SOAP rozšírenie je nutné prekryť 2 abstraktné vlastnosti, ktoré trieda získala odvodením z triedy System.Web.Protocols.SoapExtensionAttribute. Ide o vlastnosti <nowiki>[</nowiki>3<nowiki>]</nowiki> :

* '''Priority'''. Slúži na nastavenie poradia, v akom sa spracujú SOAP rozšírenia, pokiaľ ich je na webovú metódu nakonfigurovaných viacero.
* '''ExtensionType.''' Vracia objekt Type, ktorý reprezentuje našu vlastnú triedu pre SOAP rozšírenia.
Trieda '''SecureExtensionAttribute''' pre atribút SOAP rozšírenia implementuje metódu '''SoapElement''', pomocou ktorej budeme konfigurovať, ktoré časti SOAP správy budú šifrované. Konfigurácia sa vykonáva prostredníctvom Xpath výrazu.

===Trieda SOAP rozšírenia - SecureExtension===

SOAP rozšírenie je implementované v našej webovej službe prostredníctvom triedy''' SecureExtension. '''Každá trieda pre SOAP rozšírenie musí byť vytvorená odvodením z '''System.Web.Protocols.SoapExtension. '''<nowiki>[</nowiki>1<nowiki>]</nowiki>. V Tab. 9.6 sú povinné metódy, ktoré musíme prekryť pri vytváraní triedy pre SOAP rozšírenie.

{|class="wikitable"
'''Tab. 9.6'''' Trieda SOAP rozšírenia
|-
|<source lang="csharp">
public class SecureExtension : SoapExtension
{...}
</source>
|}

{|class="wikitable"
'''Tab. 9.7''' Povinné metódy triedy SOAP rozšírenia
|align = "justify"|'''Metóda'''
|align = "justify"|'''Popis'''
|-
|align = "justify"|GetInitializer()
|align = "justify"|Táto metóda predáva počiatočné informácie pre SOAP rozšírenie. Je spúšťaná pri prvom vykonaní SOAP rozšírenia. To umožňuje inicializovať hodnoty niektorých dát, ktoré sa použijú pri spracovaní SOAP správ. Takisto v tejto metóde môžeme extrahovať hodnoty atribútu pre SOAP rozšírenie. Táto metóda má dve verzie. Volá sa vždy len jedna, v závislosti od toho či je SOAP rozšírenie nakonfigurované prostredníctvom atribútu alebo konfiguračného súboru.
|-
|align = "justify"|Initialize()
|align = "justify"|Metóda predáva počiatočné informácie pre SOAP rozšírenie. Je spúšťaná pri každom vykonaní SOAP rozšírenia.
|-
|align = "justify"|ProcessMessage()
|align = "justify"|Táto metóda vykonáva vlastné spracovanie SOAP rozšírenia, umožňuje modifikovať SOAP správy. V tejto metóde sú volané metódy pre šifrovanie a digitálne podpisovanie SOAP správ.
|-
|align = "justify"|ChainStream()
|align = "justify"|Metóda umožňuje získať prístup k SOAP bez prerušenia iných rozšírení.
|-
|}

Trieda SOAP rozšírenia SecureExtension implementuje v sebe dve pomocné metódy :

* '''RequestMessage'''. Jej úlohou je predať SOAP stream objektu typu SecureExtensionUtilities na dešifrovanie a overenie digitálneho podpisu SOAP požiadavky.
* '''ResponseMessage'''. Jej úlohou je predať SOAP stream objektu typu SecureExtensionUtilities na zašifrovanie a digitálne podpísanie SOAP odpovede .

SOAP rozšírenie je v podobnej forme, s malými zmenami, implementované aj na strane klienta, s malými zmenami .

===Metóda ProcessMessage===

Metóda ProcessMessage je volaná ASP.NET v týchto štyroch etapách <nowiki>[</nowiki>4<nowiki>]</nowiki>:

1. '''BeforeDeserialize,'''

2. '''AfterDeserialize,'''

3. '''BeforeSerialize,'''

4. '''AfterSerialize.'''

Etapa '''BeforeDeserialize''' je prvou etapou spracovanie SOAP požiadavky od klienta. V tejto etape sa na strane webovej služby vykonáva:

* Načítanie hodnoty autentifikačného lístka z hlavičky SOAP správy od klienta.
* Overenie platnosti autentifikačného lístka. Autentifikačný lístok sa vydáva klientovi s obmedzenou časovou platnosťou. V databáze na strane webovej služby je každá hodnota autentifikačného lístka spojená s časom, kedy bol lístok vydaný. Na základe hodnoty lístka sú načítané parametre AES šifry a verejný kľúč klienta.
* Po úspešnom overení lístka je SOAP stream predaný na dešifrovanie a overenie digitálneho podpisu prostredníctvom pomocnej metódy '''RequestMessage. '''Proces dešifrovania a overenia digitálneho podpisu je vykonávaný triedou SecureExtensionUtilities. Táto trieda bude popísaná v samostatnej podkapitole.
Spracovanie SOAP správy v etape BeforeDeserialize je znázornené na Obr. 9.3.

[[Súbor:dp_2010_jm_15.png|framed|center|Obr. 9.3 Spracovanie SOAP správy v etape BeforeDeserialize]]

Etapa''' AfterSerialize''' je poslednou etapou spracovania SOAP odpovede zasielanej na klienta. V tejto etape sa na strane webovej služby vykonáva:

* Predanie SOAP streamu na digitálne podpísanie a zašifrovanie SOAP správy prostredníctvom pomocnej metódy '''ResponseMessage'''. Samotný proces šifrovania a digitálneho podpisovania je vykonávaný triedou SecureExtensionUtilities.

Hlavnou úlohou triedy SecureExtension je:

* Počiatočná autentifikácia klienta na základe hodnoty lístka v SOAP hlavičke.
* Načítanie AES parametrov a verejného kľúča z databázy.
* Predanie SOAP streamov na spracovanie triede '''SecureExtensionUtilities'''

[[Súbor:dp_2010_jm_16.png|framed|center|Obr. 9.4 Životný cyklus triedy SecureExtension]]

==Šifrovanie a dešifrovanie==

Úlohou šifrovania je zabezpečiť dôvernosť a integritu komunikácie na komunikačnej ceste, ktorú tvorí viacero uzlov, čiže vykryť nedostatky technológie SSL. Šifrovanie SOAP správ predstavuje tzv. zabezpečenie na úrovni správ. V našej bezpečnostnej platforme je umožnené selektívne šifrovanie SOAP, ktoré sa dá podľa potreby nastavovať pomocou atribútov SOAP rozšírenia.

Šifrovanie a dešifrovanie SOAP správ je vykonávané v triede SecureExtensionUtilities. Skôr ako vysvetlíme, akým spôsobom je zabezpečená dôvernosť a integrita komunikácie, rozoberieme si nevýhody použitia samotnej technológie SSL.

===Nevýhody technológie SSL===

Veľmi rozšíreným spôsobom zabezpečenia komunikácie webových aplikácií je použitie technológie SSL, ktorú sme si popísali v podkapitole 4.1. Pre zabezpečenie webových služieb nie je táto technológia veľmi vhodná. Medzi obmedzenia SSL v spojitosti s XML webovými službami patrí:

* SSL predstavuje tzv. end - to - end zabezpečenie komunikácie. Pokrytý je len odosielateľ a príjemca správy. Pre XML webové služby je nutné zabezpečiť komunikáciu medzi každými dvoma uzlami komunikácie, ide o tzv. point – to – point zabezpečenia.
* SSL predstavuje zabezpečenie komunikácie iba na transporte. Pre webové služby je vhodnejšie zabezpečenie na úrovni správ. SSL je závislé na HTTP protokole.
* SSL šifruje celú komunikáciu, neumožňuje selektívne šifrovanie a takisto nepodporuje v plnej miere mechanizmus nepopierateľnosti. Pre webové služby, ktoré sú súčasťou SOA, je selektívne šifrovanie nutnou podmienkou.

[[Súbor:dp_2010_jm_17.png|framed|center|Obr. 9.5 Point-to-point a end-to-end zabezpečenie]]

===Advanced Encryption Standard===

Pri počiatočnej výmene konfiguračného XML dokumentu je využitá asymetrická šifra RSA s využitím kľúčov z certifikátov webovej služby a klienta. Ďalšia komunikácia je šifrovaná pomocou symetrického šifrovacieho algoritmu. Ako šifrovací algoritmus sme zvolili symetrický blokový algoritmus Rijndael, ktorý bol v roku 1997 vyhlásený americkým úradom pre štandardizáciu (NIST) ako štandard. Dodnes nie sú známe dôkazy o jeho prelomení. <nowiki>[</nowiki>23<nowiki>]</nowiki>

AES predstavuje blokový šifrovací algoritmus so šírkou bloku 128 bitov a možnými dĺžkami kľúčov 128, 192 a 256. Rijndael podporuje aj voliteľné väčšie dátové bloky a kľúče v 32- bitových prírastkoch, ale tie nie sú zahrnuté v špecifikácii štandardu AES. <nowiki>[</nowiki>22<nowiki>]</nowiki>

==Trieda SecureExtensionUtilities==

Ako už bolo spomenuté, SOAP správy sú šifrované pomocou symetrickej šifry Rijndael, ktoré časti SOAP správy budú šifrované, je určené pomocou atribútov SOAP rozšírenia. Trieda SecureExtensionUtilities zabezpečuje šifrovanie, dešifrovanie, digitálne podpisovanie a verifikáciu digitálneho podpisu SOAP správ.

SecureExtensionUtilities implementuje v sebe dve hlavné verejné metódy:

* '''InSoap,'''
* '''OutSoap,'''
a tieto pomocné privátne metódy:

* DecryptString, metóda dešifruje textový reťazec z XML dokumentu.
* DecryptSoap, dešifruje XML dokument.
* VerifySignedSoap, overuje digitálny podpis SOAP správy.
* SingSoap, digitálne podpisuje SOAP správu na základe štandardu XML Signature.
* EncryptString, metóda šifruje textový reťazec z XML dokumentu.
* EncryptSoap, šifruje XML dokument.

Metóda''' InSoap''' spracováva stream SOAP požiadavky od klienta. Táto metóda je volaná v etape BeforeDeserialize metódy ProcessMessage. Ako vstupné parametre akceptuje:

* string<nowiki>[]</nowiki> soapElement určuje, ktoré elementy SOAP správy budú šifrované.
* Stream inputStream predstavuje raw SOAP správu.
* User user, trieda User predstavuje dátový objekt obsahujúci AES parametre a verejný kľúč klienta.
Ak nie je SOAP správa šifrovaná, metóda InSoap vráti ASP.NET vstupný SOAP prúd. Celý proces spracovania je znázornený na Obr. 9.3. Pokiaľ príde k zmene SOAP správy počas prenosu cez HTTP kanál, čiže overenie digitálneho podpisu SOAP správy indikuje sfalšovanie alebo podvrhnutie, klient je upozornený a nepríde k spracovaniu SOAP správy, či už na strane webovej služby, alebo na strane klientskej aplikácie.

'''Overovanie digitálneho podpisu na strane klienta''' je '''realizované '''obdobným spôsobom, rozdiel je v tom, že podpisovanie SOAP správ realizuje objekt '''proxy''', v ktorom je implementované samotné SOAP rozšírenie. Na overovanie je použitý verejný kľúč zo serverového certifikátu webovej služby. Úlohou metódy InSoap je teda dešifrovať SOAP správu a overiť jej digitálny podpis.

Metóda''' OutSoap''' spracováva stream SOAP odpovede zasielaného na klienta. Táto metóda je volaná v etape AfterSerialize metódy ProcessMessage. Metóda OutSoap ako vstupné parametre akceptuje:

* string<nowiki>[]</nowiki> soapElement určuje, ktoré elementy SOAP správy budú šifrované.
* Stream inputStream predstavuje raw SOAP správu.
* User user, trieda User predstavuje dátový objekt obsahujúci AES parametre a verejný kľúč klienta.
* X509Certificate2 webServiceCert, objekt typu X509Certificate2 predstavuje serverový certifikát so súkromným kľúčom, ktorý sa použije na digitálne podpísanie SOAP správy.
Úlohou tejto metódy je digitálne podpísať a zašifrovať SOAP správu. Každá zašifrovaná SOAP správa od klienta má v SOAP hlavičke umiestnený dodatočný '''element IsEncrypted''', ktorý slúži na identifikáciu, či je daná SOAP správa zašifrovaná. V Tab. 9.8 je ukážka zašifrovania SOAP správy

{|class="wikitable"
'''Tab. 9.8''' Ukážka zašifrovanie SOAP správy
|-
|<source lang="xml">
<?xml version="1.0" encoding="utf-8" ?>
<soap:Envelope xmlns:soap="http://schemas.xmlsoap.org/soap/envelope/"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xmlns:xsd="http://www.w3.org/2001/XMLSchema">
<soap:Header>
<TicketHeader xmlns="http://tempuri.org/">
<Ticket>2541a182-8f4f-46c3-84f7-e667c221f494</Ticket>
</TicketHeader>
<IsEncrypted />
</soap:Header>
<soap:Body>
<SseReadPatient xmlns="http://tempuri.org/">
<id>Wk/C7PGSj/+fg2jQhQlUyg==</id>
</SseReadPatient>
</soap:Body>
<</soap:Envelope>
</source>
|}

Digitálne podpisovanie SOAP správ je realizované prostredníctvom '''štandardu XML Signature''', ktorý sme si popísali v podkapitole 8.1. SOAP správy sú podpisované na strane servera prostredníctvom súkromného kľúča zo serverového certifikátu. Na strane klienta je digitálne podpisovanie realizované prostredníctvom súkromného kľúča z klientskeho certifikátu. V Tab. 9.9 je ukážka podpísanej SOAP správy.

'''Digitálne podpisovanie na strane klienta''' je '''realizované '''obdobným spôsobom, rozdiel je v tom že podpisovanie SOAP správ realizuje objekt '''proxy''', v ktorom je implementované samotné SOAP rozšírenie. Na podpísanie SOAP správy je použitý súkromný kľúč z klientskeho certifikátu.

{|class="wikitable"
'''Tab. 9.9''' Podpísaná SOAP správa
|-
|<source lang="xml">
<soap:Envelope:xmlns:soap="http://schemas.xmlsoap.org/soap/envelope/"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xmlns:xsd="http://www.w3.org/2001/XMLSchema">
<soap:Body>
</soap:Body>
<Signature xmlns="http://www.w3.org/2000/09/xmldsig#">
<SignedInfo>
<CanonicalizationMethod Algorithm="http://www.w3.org/TR/2001/REC-xml-c14n-20010315" />
<SignatureMethod Algorithm="http://www.w3.org/2000/09/xmldsig#rsa-sha1" />
<Reference URI="">
<Transforms>
<Transform Algorithm="http://www.w3.org/2000/09/xmldsig#enveloped-signature" />
</Transforms>
<DigestMethod Algorithm="http://www.w3.org/2000/09/xmldsig#sha1" />
<DigestValue>2yfAuq6taP4kPBsFEM+J79F7ysM=</DigestValue>
</Reference>
</SignedInfo>
<SignatureValue>r2NmZyXtsku0WfbAJ4Kej/Kx0W0hAYCGAq7ltU7P5EN/NfQLYtZBCr97KHqNHkrEOqnU8Freg6
hEg1LXBhrkmF86bOApHTfOrdzpeK1WjK/tKO2G+xigjD8/PBhQszRK/qfG54gdY3kJ/y/kmn/S
F+W49scLowecDxxeIx29UeI3m4yF8GoDGL3xjB/sEN78u8owdaBVcwkH2jIHWz6CiwPHk7YNLF
c/Q0/XqE/ieBnAB2i0gLbM377AdHr9qLwMHVG/M9RVyl0JkWnUI8Viwm3Y268xz7cNlTnfa3uT
hOGHMgmVDrBboHL44zZIBAZbsNsbqSPEipTMDVc7efC0Vg==
</SignatureValue>
</Signature>
</soap:Envelope>
</source>
|}

Pri digitálnom podpisovaní sme použili kanonizačný algoritmus na element '''<nowiki><</nowiki>SignedInfo<nowiki>></nowiki>'''. Použitie je indikované prostredníctvom elementu CanonicalizationMethodAlgorithm. Je to z toho dôvodu, aby sme zabránili rozdielnym výsledkom pri overovaní digitálneho podpisu. Nakoľko textová reprezentácia XML môže byť spracovaná rozdielne v závislosti použitého dátového prúdu (prázdne tagy, white space, komentáre...), kanonizácia definuje presnú fyzickú štruktúru dokumentu.

{|class="wikitable"
'''Tab. 9.10''' Zoznam algoritmom použitých pri digitálnom podpisovaní SOAP
|align = "justify"|'''Algoritmus'''
|align = "justify"|'''Popis'''
|-
|align = "justify"|SHA1
|align = "justify"|Hašovací algoritmus použitý pri výpočte hašu.
|-
|align = "justify"|RSA
|align = "justify"|Kryptografický algoritmus použitý na vytvorenie digitálneho podpisu.
|-
|align = "justify"|REC
|align = "justify"|Kanonizačný algoritmus.
|-
|}

V tejto podkapitole sme si popísali štruktúru triedy SecureExtensionUtilities, vysvetlili sme si akým spôsobom je spracovaný SOAP stream z triedy SOAP rozšírenia, a taktiež digitálne podpisovanie, verifikáciu, šifrovanie a dešifrovanie SOAP správ.

==Autorizácia v SOAP Security Enhancement==

Selektívne šifrovanie a digitálne podpisovanie má ochrániť samotnú komunikáciu medzi webovou službou a jej klientom. Úlohou autorizácie je rozhodnúť, aké operácie bude môcť autentifikovaný užívateľ vykonávať a k akým zdrojom bude mať prístup na strane webovej služby. Pri vytváraní autorizačných pravidiel sme mali tieto možnosti:

* Vytvoriť autorizačné pravidlá v konfiguračnom súbore webovej služby. Týmto spôsobom sme sa zaoberali v podkapitole 6.1.
* Namapovať klientske certifikáty na užívateľské účty systému Windows prostredníctvom IIS.
* Použiť niektorý zo spôsobov impersonácie, ktorými sme sa zaoberali v podkapitole 5.2.1.
Použitie autorizačných pravidiel v súbore web.config je relatívne flexibilný spôsob autorizácie, ale neposkytuje také pokročilé možnosti ako impersonácia. Rozhodli sme sa použiť programovú impersonáciu, a to z nasledujúcich dôvodov :

* Umožňuje mapovanie klientskych certifikátov na užívateľské účty systému dvoma rôznymi spôsobmi :
* One – to – one,
* Many – to – one.
* Programová impersonácia nám umožní flexibilne nastaviť, ktorá časť programového kódu bude vykonávaná pod účtom Network Service a ktorá pod nami zvoleným užívateľským účtom. Tento spôsob sa prostredníctvom mapovania klientskych certifikátov na IIS nedá docieliť.
Proces programovej impersonácie je nasledovný :

* V databáze je priradený ku každému klientskemu certifikátu jeden užívateľský účet systému Windows.
* Pri úspešnej počiatočnej autentifikácii klienta prostredníctvom certifikátu, sa jeho autentifikačný lístok namapuje na užívateľský účet.
Programová impersonácia je vykonávaná triedou UserImpersonation, ktorá obsahuje tieto metódy :

* Login - získa príznak účtu užívateľa Windows.
* Impersonate - spustí proces vykonávania programového kódu v kontexte identity užívateľského účtu. Pokiaľ klientov autentifikačný lístok nie je namapovaný na užívateľský účet, programový kód bude vykonávaný pod účtom Network Service, ktorý predstavuje prednastavený účet pre spracovanie ASPNET na systéme Windows Server 2003.
* UndoImpersonate - ukončí impersonáciu programového kódu.
Prostredníctvom užívateľských účtov Windows môžeme jednotlivým klientom webovej služby vyčleniť prístup k súborom na disku, k databáze a pod. Použitie triedy UserImpersonate je znázornené v Tab. 9.11.

{|class="wikitable"
'''Tab. 9.11''' Použitie triedy UserImpersonate
|-
|<source lang="csharp">
UserImpersonation _objImp = new UserImpersonation();

_objImp.ReadUserAccount(Ticket.Ticket);

_objImp.Login();

_objImp.Impersonate();

//programový kód, ktorý ma byť vykonáný pod inou identitou

_objImp.UndoImpesonate();

</source>
|}

==Výhody SOAP Security Enhancement pre ASP.NET webové služby==

V minulosti sa na zabezpečenie ASP.NET webových služieb využívalo rozšírenie Web Services Enhancements (WSE) <nowiki>[</nowiki>25<nowiki>]</nowiki>, <nowiki>[</nowiki>26<nowiki>]</nowiki>, <nowiki>[</nowiki>27<nowiki>]</nowiki>. Súčasná verzia 3.0 nepodporuje ASP.NET webové služby. Preto je veľmi ťažké porovnať navrhovanú vlastnú bezpečnostnú platformu s nejakým oficiálnym spôsobom zabezpečenia. Jediným možným riešením bolo porovnať spôsob zabezpečenia s rozšírením WSE 2.0. Tento produkt mal veľmi veľa problémov v oblasti interoperability a takisto je zastaralý. Preto sme sa vyhli porovnaniu našej bezpečnostnej platformy s týmto rozšírením.

:Naša bezpečnostná platforma poskytuje zabezpečenie na úrovni aplikácie a taktiež na úrovni správ. Poskytuje dva spôsoby autentifikácie :

* Počiatočnú autentifikáciu založenú na certifikátoch X509. Výhodou tohto spôsobu autentifikácie je dobrá kontrola nad užívateľskými identitami.
* Autentifikáciu založenú na autentifikačných lístkoch v SOAP hlavičke. Výhodou tohto spôsobu autentifikácie je :
* Výhoda vytvorenia SOAP hlavičky je tá, že objekt proxy ju na strane klienta automaticky udržuje. Pokiaľ klient používa rovnakú inštanciu triedy proxy, bude automaticky a pri ďalšom odosielaní SOAP správ na webovú službu posielaný aj autentifikačný lístok v SOAP hlavičke.
* Pri opätovnom volaní webových metód nemusí byť posielaný s požiadavkou aplikácie aj klientsky certifikát. Vďaka tomu nemusí byť opätovne použité aj HTTPS spojenie.
* Autentifikačný lístok môže byť aplikácii vydaný s určitou časovou platnosťou, čo zvyšuje flexibilitu systému.

Integrita komunikácie je zabezpečená prostredníctvom digitálneho podpisovania na základe štandardu XML Signature. SOAP správy sú podpisované na základe privátnych kľúčov z certifikátov a overované na základe verejných kľúčov z certifikátov. Pokiaľ príde k zmene SOAP správy počas transferu cez HTTP kanál, čiže overenie digitálneho podpisu SOAP správy indikuje sfalšovanie alebo podvrhnutie, klient je upozornený a nepríde k spracovaniu SOAP správy, či už na strane webovej služby, alebo na strane klientskej aplikácie

Dôvernosť komunikácie je založená na šifrovaní SOAP správ pomocou symetrického blokového algoritmu Rijndael. Výhody:

* SOAP správy sú selektívne šifrované, chránené sú len potrebné dáta. Selektívne šifrovanie je nevyhnutná podmienka začlenenia XML webových služieb do SOA.
* Výhodou voči štandardu XML Encryption je ten, že pri našom šifrovaní nedochádza k „deformácii" XML tagov.
* Šifrovací algoritmus môže byť upravený podľa potreby praxe.
* Šifrovanie je realizované prostredníctvom SOAP rozšírenia. To znamená, že šifruje už serializované dáta. Vďaka tomu môžeme šifrovať a digitálne podpisovať aj vlastné dátové typy.
* Oproti technológii SSL predstavuje náš spôsob zabezpečenia point to point, čo je ďalšia podmienka začlenenia XML webových služieb do SOA.

Veľkú výhodu nášho zabezpečenia vidíme v spôsobe jeho samotného použitia. Celý mechanizmus ochrany SOAP správ sa aplikuje na webovú metódu prostredníctvom atribútu SOAP rozšírenia, ktorý predstavuje len dopísanie jedného riadku kódu nad webovú metódu. Náš spôsob zabezpečenia nemení spracovanie programového kódu webovej metódy.

V Tab. 9.12 je ukážka nastavenia šifrovania elementu body SOAP správy zasielanej ako odpoveď na klientsku aplikáciu. Elementy SOAP správy, ktoré majú byť zašifrované sa zadefinujú prostredníctvom Xpath výrazu pomocou vlastnosti SoapElement triedy atribútu SOAP rozšírenia.

{|class="wikitable"
'''Tab. 9.12''' Použitie atribútu SOAP rozšírenia
|-
|<source lang="csharp">
[WebMethod]
[SecureExtension(SoapElement = "//soap:Body/*/*")]
public DataSet GetDataSet()
{
//kód webovej metódy
}
</source>
|}

=Záver=
V práci sme opísali technologické pozadie XML webových služieb a ich štandardy. Zamerali sme sa na ASP.NET webové služby. Vysvetlili sme si spôsoby, akým môžeme vytvoriť bezpečnostný komunikačný scenár medzi webovou službou a jej klientom. Rozobrali sme jednotlivé možnosti autentifikácie, autorizácie klientov webovej služby, spôsoby na zabezpečenie dôvernosti a integrity komunikácie. Uviedli sme ich výhody a nevýhody, ktoré so sebou prinášajú.

Ďalej sme upozornili na hlavné chyby, ktoré vznikajú pri zabezpečovaní XML webových služieb. Jedná sa hlavne o použitie technológie SSL a štandardu XML Encryption. Samotná technológia SSL nie je postačujúce na zabezpečenie komunikácia medzi webovou službou a jej klientom, nakoľko predstavuje zabezpečenie na úrovni komunikačného kanála a predstavuje tzv. end – to – end zabezpečenie. To nie je veľmi vhodné pre XML webové služby, nakoľko v praxi bývajú súčasť SOA. SOA architektúra tiež vyžaduje selektívne šifrovanie, ktoré nie je možné dosiahnuť so štandardom XML Encryption. Pri použití toho štandardu dochádza taktiež k deformácii XML tagov. Cieľom bezpečnostnej platformy bolo odstránenie týchto nedostatkov. Bezpečnostná platforma predstavuje zabezpečenie na úrovni aplikácie a tiež na úrovni správ. Počiatočná autentifikácia je realizovaná na základe certifikátov X509, pri volaní ďalších webových metód je klient autentifikovaný na základe autentifikačného lístka v SOAP hlavičke. Dĺžka platnosti autentifikačného lístka sa dá flexibilne meniť podľa potreby. SOAP správy sú selektívne šifrované pomocou AES, tým je dosiahnuté utajenie komunikácie. Integrita je zabezpečené prostredníctvom digitálneho podpisovania SOAP správ. Naša bezpečnostná platforma poskytuje autorizáčný mechanizmus prostredníctvom programovej impersonácie.

Na otestovanie funkčnosti zabezpečenia komunikácie XML ASP.NET webovej služby bola vytvorená Winforms klientska aplikácia. Programové knižnice predstavujúce bezpečnostnú platformu aj klientska aplikácia sú súčasťou DVD prílohy.

=Použitá literatúra=
#MacDonald, Matthew., Beginning ASP.NET 3.5 in C# 2008: From Novice to Professional, Apress, 2007. ISBN 978-1590598917
#Troelsen, Andrew., Pro C# 2008 and the .NET 3.5 Platform, Apress, 2007. ISBN 978-1590598849
#Glynn, Jay., Skinner, Morgan., Professional C# 2008, Wrox, 2008. ISBN 978-0470191378
#MacDonald, Matthew., Szpuszta, Mario., Pro ASP.NET 2.0 in C# 2005, Apress, 2005. ISBN 978-1590594964
#Foggon, Damien., Maharry, Daniel., Ullman, Chris., Watson, Karli., Programming Microsoft .NET XML Web Services, Microsoft Press, 2003. ISBN 978-0735619128
#Jones, Allen ., Microsoft .NET XML Web Services Step by Step, Microsoft Press, 2002. ISBN13: 978-0735617209
#Eide, Andreas., Miller, Chris., Sempf, Bill Sempf., Professional ASP.NET Web Services, Wrox Press, 2001. ISBN 978-1861005458
#Kurt, Chris., Web Services Architecture and Its Specifications: Essentials for Understanding WS, Microsoft Press, 2005. ISBN 978-0735621626
#Krowczyk, Andrew., Greenvoss, Zach., Banerjee. Ashish., Professional C# Web Services: Building .NET Web Services with ASP.NET and .NET Remoting, Wrox Press, 2001. ISBN 978-1861004390
#www.w3.org [online]. last updated: 2007-06-05 [cit. 2009-12-19]. Dostupná z WWW: < http://www.w3.org/TR/soap/>
#www.w3.org [online]. last updated: 2001-03-14 [cit. 2009-12-19]. Dostupná z WWW: < http://www.w3.org/TR/wsdl/>
#www.oasis-open.org [online]. last updated: 2009-12-19 [cit. 2009-12-19]. Dostupná z WWW: < http://www.oasis-open.org/committees/uddi-spec/doc/tcspecs.htm>
#O'Neill, Mark., Web Services Security, McGraw-Hill Osborne Media, 2003. ISBN 978-0072224719
#Hartman, Bret., Flinn, Donald., Beznosov, Konstantin. Mastering Web Services Security, 2003. ISBN 978-0471267164
#Nantz, Brian., Expert Web Services Security in the .NET Platform, Apress, 2004. ISBN 978-1590591154
#Microsoft, Vytváříme zabezpečené aplikace v Microsoft ASP.NET, Computer Press, 2004. ISBN 80-251-0466-4
#www.w3.org [online]. last updated: 2008-06-10 [cit. 2009-12-19]. Dostupná z WWW: < http://www.w3.org/TR/xmldsig-core/ >
#www.w3.org [online]. last updated: 2002-12-13 [cit. 2009-12-19]. Dostupná z WWW: < http://www.w3.org/TR/xmlenc-core/ >
#www.w3.org [online]. last updated: 2004-03-26 [cit. 2009-12-19]. Dostupná z WWW: < http://www.w3.org/MarkUp/SGML/>
#www.oasis-open.org [online]. last updated: 2009-12-19 [cit. 2009-12-19]. Dostupná z WWW: < http://www.oasis-open.org/committees/tc_home.php?wg_abbrev=xacml>
#www.w3.org [online]. last updated: 2005-12-20 [cit. 2009-12-19]. Dostupná z WWW: < http://www.w3.org/TR/XMKS/ >
#Rijmen, Vincent., The Design of Rijndael: AES - The Advanced Encryption Standard, Springer, 2002. ISBN 978-3540425809
#Tom, Denis., Cryptography for Developers, Syngress, 2007. ISBN 978-1597491044
#www.msdn.microsoft.com [online]. last updated : 2009-12-22 [cit. 2009-12-22]. Dostupná z WWW: http://msdn.microsoft.com/en-us/library/system.security.cryptography.passwordderivebytes.aspx
#Microsoft Corporation, Web Service Security: Scenarios, Patterns, and Implementation Guidance for Web Services Enhancements (WSE) 3.0, Microsoft Press, 2006. ISBN 978-0735623149
#Hasan, Jeffrey., Expert Service-Oriented Architecture in C#: Using the Web Services Enhancements 2.0, Apress, 2004. ISBN 978-1590593905
#Evjen, Bill., Web Services Enhancements: Understanding the WSE for .NET Enterprise Applications, Wiley, 2003. ISBN 978-0764537363
#www.msdn.microsoft.com [online]. last updated : 2009-12-22 [cit. 2009-12-22]. Dostupná z WWW: http://msdn.microsoft.com/en-us/library/system.security.cryptography.passwordderivebytes.aspx
#www.msdn.microsoft.com [online]. last updated : 2010-01-07 [cit. 2010-01-07]. Dostupná z WWW: http://msdn.microsoft.com/en-us/library/72wdk8cc(VS.71).aspx
#http://www.oasis-open.org [online]. last updated : 2010-01-07 [cit. 2010-01-07]. Dostupná z WWW: http://www.oasis-open.org/committees/tc_home.php?wg_abbrev=xacml
#www.msdn.microsoft.com [online]. last updated : 2010-01-07 [cit. 2010-01-07]. Dostupná z WWW: http://msdn.microsoft.com/en-us/library/ms229335.aspx
#www.msdn.microsoft.com [online]. last updated : 2010-01-07 [cit. 2010-01-07]. Dostupná z WWW: http://msdn.microsoft.com/en-us/netframework/aa904594.aspx
#www.msdn.microsoft.com [online]. last updated : 2010-01-07 [cit. 2010-01-07]. Dostupná z WWW: http://msdn.microsoft.com/en-us/library/e80y5yhx%28VS.80%29.aspx
#www.msdn.microsoft.com [online]. last updated : 2010-01-07 [cit. 2010-01-07]. Dostupná z WWW: http://msdn.microsoft.com/en-us/library/dd0w4a2z%28VS.80%29.aspx
#Dostálek, Libor., Vohnoutová, Marta., Velký průvodce infrastrukturou PKI a technologií elektronického podpisu, 2006. ISBN 80-251-0828-7
#www.msdn.microsoft.com [online]. last updated : 2010-01-07 [cit. 2010-01-07]. Dostupná z WWW: http://msdn.microsoft.com/en-us/library/cc488021.aspx

SOAP Security Enhancement pre ASP.NET webové služby

2010-06-11T12:45:21Z

Ian: /* */

[[Kategória:Študentské práce]][[Kategória:Diplomové práce]][[Kategória:Informatika]][[Kategória:Webové služby]]
{{Praca_uvod|9|Návrh a implementácia bezpečnostnej technológie pre webové služby|XML a webové služby |XML ASP.NET webové služby|Zabezpečennie webových aplikácií|Integrita a dôvernosť komunikácie|Autentifikácia|Autorizácia webových služieb|Zabezpečenie webových služieb|XML security|SOAP Security Enhancement pre ASP.NET webové služby}}
__TOC__
=SOAP Security Enhancement pre ASP.NET webové služby=

V predchádzajúcich dvoch kapitolách sme si opísali teoretické možnosti zabezpečenia XML ASP.NET webových služieb a štandardy zamerané na bezpečnosť XML. Táto kapitola sa zaoberá vývojom vlastnej bezpečnostnej platformy pre XML ASP.NET webové služby v jazyku C<nowiki> </nowiki>, ktorú sme nazvali SOAP Security Enhancement (SSE) Naša bezpečnostná platforma bude predstavovať zabezpečenie na úrovni správ a tiež na úrovni aplikácie. Pri vytváraní bezpečnostného systému pre webové aplikácie treba zabezpečiť:

* Mechanizmus pre overovanie klientskych aplikácií. Možnosti overovania klientov sme si podrobne rozobrali v kapitolách 5, 5.1, 5.2, 5.3.
* Mechanizmus pre autorizáciu klientov overených webovou službou. Spôsobmi autorizácie sme sa zaoberali kapitolách 5.1, kde sme sa zaoberali autorizáciou s využitým webového servera IIS a takisto autorizáciou prostredníctvom konfiguračného súboru webovej služby, ktorú sme si opísali v kapitole 6.
* Mechanizmus pre zabezpečenie dôvernosti a integrity komunikácie. Spôsobov na vytvorenie bezpečnej komunikačnej linky je viacero. Najrozšírenejší spôsob je použitie technológie SSL, ktorou sme sa zaoberali v podkapitole 4.1. Táto technológia má aj svoje nedostatky, ktoré sme načrtli v kapitole 7 a s ktorými sa oboznámime v podkapitole 9.7.1.
V príslušných kapitolách sme vysvetlili výhody, nevýhody a oblasti použitia daných mechanizmov pre autentifikáciu, autorizáciu a zabezpečenie dôvernosti a integrity komunikácie. V tejto kapitole ponúkame vlastný komplexný spôsob, ako zabezpečiť komunikáciu medzi XML ASP.NET webovou službou a klientskou aplikáciou na platforme .NET Framework 3.5.

V Tab. 9.1 sú prehľadne opísané spôsoby a technológie, ktoré použijeme na autentifikáciu, autorizáciu a zabezpečenie dôvernosti a integrity komunikácie. Tie podrobnejšie popíšeme a vysvetlíme nasledujúcich podkapitolách.

{|class="wikitable"
'''Tab. 9.1''' Popis technológií použitých pri vlastnej bezpečnostnej platforme
|align = "justify"|'''Mechanizmus'''
|align = "justify"|'''Technológia'''
|-
|align = "justify"|Autentifikácia
|align = "justify"|'''Certifikát X509'''
|-
|align = "justify"|Autorizácia
|align = "justify"|Autorizácia bude realizovaná prostredníctvom programovej impersonácie, ktorú sme si vysvetlili v podkapitole 5.2.1.
|-
|Integrita a dôvernosť komunikácie
|align = "justify"|Integrita a dôvernosť komunikácie bude zabezpečená prostredníctvom selektívneho šifrovania SOAP správ s využitím Advanced Encryption Standard a prostredníctvom digitálneho podpisovania SOAP správ pomocou certifikátov X509 s využitím štandardu XML Signature.
|-
|}

==Štruktúra SOAP Security Enhancement z objektovo-orientovaného prístupu==

V Tab. 9.2 sú prehľadne opísané základné programové triedy bezpečnostnej platformy spolu s ich funkcionalitou. Podrobnejšie budú opísané v príslušných podkapitolách.

{|class="wikitable"
'''Tab. 9.2''' Triedy bezpečnostnej platformy
|align = "justify"|'''Názov triedy'''
|align = "justify"|'''Popis'''
|-
|align = "justify"|AbstractDatabase
|align = "justify"|Trieda vytvorená podľa návrhového vzoru Abstract Factory, ktorá umožňuje flexibilne vytvoriť triedu na prístup k databázovému úložisku podľa konkrétneho DBMS.
|-
|align = "justify"|DbProvider
|align = "justify"|Trieda pre prístup k MS SQL databázovému úložisku.
|-
|align = "justify"|SecureExtension
|align = "justify"|Trieda SOAP rozšírenia umožňuje prístup k SOAP správam v rôznych etapách spracovania.
|-
|align = "justify"|SecureExtensionAttribute
|align = "justify"|Predstavuje atribút SOAP rozšírenia, pomocou ktorého sa špecifikujú konkrétne časti (elementy) SOAP správy ktoré budú šifrované a digitálne podpísané.
|-
|align = "justify"|SecureExtensionUtilities
|align = "justify"|Táto trieda obsahuje metódy na šifrovanie, dešifrovanie, digitálne podpisovanie a verifikáciu digitálneho podpisu SOAP správ.
|-
|align = "justify"|SecureUtilities
|align = "justify"|Zabezpečuje autentifikáciu klienta, vygenerovanie parametrov AES šifry a vytvorenie konfiguračného XML dokumentu obsahujúce parametre pre bezpečnú komunikáciu.
|-
|align = "justify"|TicketIdentity
|align = "justify"|Táto trieda reprezentuje autentifikačný lístok umiestnený v SOAP hlavičke klienta.
|-
|align = "justify"|UserData
|align = "justify"|Predstavuje „data object“ reprezentujúci údaje pre šifrovanie a digitálne podpisovanie SOAP správ.
|-
|align = "justify"|UserImpersonation
|align = "justify"|TTrieda zabezpečuje mechanizmus autorizácie prostredníctvom Windows impersonácie.
|-
|}

==Autentifikácia klientov v SOAP Security Enhancement==

Možnosti na overovanie klientov pre XML ASP.NET webové služby sú značne obmedzené. Kedže webová služba neposkytuje žiaden vstavaný spôsob akým, by mohol užívateľ predložiť prihlasovacie údaje, napríklad webový formulár. Najrozšírenejšie spôsoby overovania klientov webovou službou sú tieto <nowiki>[</nowiki>1<nowiki>]</nowiki>:

* Autentifikácie Windows. Tento typ nie je veľmi flexibilný a má veľa nedostatkov, ktoré sme si opísali v kapitole 5.1.
* Vlastný typ autentifikačného procesu založeného na prihlasovacích lístkoch s využitím SOAP rozšírenia.
* Použitie klientskych certifikátov X509.

Autentifikáciu založenú na certifikátoch X509 sme zvolili z nasledujúcich dôvodov:

1. Použitie klientskych certifikátov dáva značnú kontrolu nad užívateľskými identitami, nakoľko certifikáty sú vydávané certifikačnou autoritou, ktorá býva zvyčajne pod kontrolou administrátora servera, na ktorom môže byť hosťovaná webová služba. Tak isto je možné klientske certifikáty mapovať na užívateľské účty Windows, či už priamo na webovom serveri IIS alebo priamo programovo vo webovej službe.

2. Certifikáty X509 predstavujú účinnú ochranu proti podvrhnutiu falošného verejného kľúča ( Man-in-the-Middle Attack <nowiki>[</nowiki>36<nowiki>]</nowiki> ).

3. Tak isto predstavuje účinný mechanizmus na zabezpečenie toho, že vlastník verejného kľúča má k nemu zodpovedajúci súkromný kľúč.

Certifikátom sme sa podrobnejšie venovali v podkapitole 4.1.1. Na vystavenie klientskych certifikátov sme vytvorili vlastnú testovaciu certifikačnú autoritu na operačnom systéme Windows Server 2003.

Počiatočnú autentifikáciu sme sa rozhodli teda realizovať prostredníctvom klientskych certifikátov X509. Na korektný prenos certifikátov X509 je nutný HTTPS prenos.

Kedže použitie technológie SSL má aj nedostatky a pri prenose veľkého množstva dát je náročné, rozhodli sme sa, že HTTPS kanál bude použitý pri komunikácii klienta a webovej služby iba raz, a to pri počiatočnom volaní webovej metódy, ktorá zabezpečí overenie klienta na základe klientskeho certifikátu X509. Následne bude klientovi vydaný „autentifikačný lístok", ktorý bude umiestnený do SOAP hlavičky. Lístok obsahuje 128 bitové jedinečné číslo, ktoré identifikuje užívateľa pri nasledujúcich volaniach webových metód, a je použitý na jeho overenie. Lístok sa vydáva klientovi s určitou časovou platnosťou, ktorú je možné podľa potreby a priority meniť.

Hodnota ID v autentifikačnom lístku je uložená spolu s príslušnými údajmi z klientskeho certifikátu do relačnej databázy, ktorú webová služba používa na ďalšie overovanie klienta pri volaní webových metód.

Proces prvotnej autentifikácie je nasledovný. Pri počiatočnom prístupe klienta k webovej službe musí klient zavolať webovú metódu '''CreateConnection''' webovej služby. Metóda

CreateConnection plní v komunikačnom scenári nasledujúce funkcie:

* Overenie klientskeho certifikátu.
* Vytvorenie SOAP hlavičky s užívateľským ID.
* Zápis príslušných parametrov z klientskeho certifikátu do databázy.
* Vygenerovanie a zaslanie parametrov AES, ktoré sú použité na šifrovanie SOAP správ.
Prostredníctvom vlastnosti''' Context''', ktorú trieda webovej služby získala odvodením z abstraktnej triedy WebService (pozri podkapitola 2.1), je extrahovaný klientsky certifikát.

{|class="wikitable"
'''Tab. 9.3''' Extrahovanie klientského certifikátu z vlastnosti Context
|-
|<source lang="csharp">
X509Certificate2 cert = new X509Certificate2(Context.Request.ClientCertificate.Certificate);
</source>
|}
Následne je klientsky certifikát overený na revokáciu a dôveryhodnosť certifikačnej autority.

Pokiaľ je certifikát klienta úspešne overený, webová metóda CreateConnection vygeneruje hodnotu ID v autentifikačnom lístku.

Po vygenerovaní ID pre overeného klienta sú údaje z klientskeho certifikátu (verejný kľúč a common name), ID klienta spolu s dátumom a časom vytvorenia lístka zapísané do databázy. Následne je vytvorená SOAP hlavička , do ktorej je umiestnené ID užívateľa.

Výhoda vlastného autentifikačného systému na lístkoch:

* Výhoda vytvorenia SOAP hlavičky je tá, že objekt proxy ju na strane klienta automaticky udržuje. Pokiaľ klient používa rovnakú inštanciu triedy proxy, bude automaticky pri ďalšom odosielaní SOAP správ na webovú službu posielaný aj autentifikačný lístok v SOAP hlavičke.
* Pri opätovnom volaní webových metód nemusí byť posielaný s požiadavkou aplikácie aj klientsky certifikát. Vďaka tomu nemusí byť opätovne použité aj HTTPS spojenie.
* Autentifikačný lístok môže byť aplikácii vydaný s určitou časovou platnosťou, čo zvyšuje flexibilitu systému.
Parametre AES šifry sú zaslané webovou metódou''' CreateConnection''' vo forme XML dokumentu. XML dokument je zašifrovaný pomocou RSA šifry s využitím verejného kľúča z klientskeho certifikátu.

XML dokument obsahuje parametre AES šifry a takisto verejný kľúč z certifikátu servera, na overenie digitálneho podpisu SOAP správy webovej služby.

Zašifrované XML je na strane klienta dešifrované pomocou súkromného kľúča z patričného klientskeho certifikátu.

Parametre AES šifry využíva objekt proxy na šifrovanie SOAP požiadaviek klienta.

{|class="wikitable"
'''Tab. 9.4''' Autentifikačný lístok v SOAP hlavičke
|-
|<source lang="xml">
<source lang="xml">
<soap:Envelope xmlns:soap="http://schemas.xmlsoap.org/soap/envelope/">
<soap:Header>
<TicketHeader xmlns="http://tempuri.org/">
<Ticket>f84bd797-8ea5-463c-9319-5d952ec30207</Ticket>
</TicketHeader>
</soap:Header>
<soap:Body>
</soap:Body>
</soap:Envelope>
</source>
|}

[[Súbor:dp_2010_jm_13.png|framed|center|Obr. 9.1 Autentifikačný proces]]

Popis autentifikačného procesu na Obr. 9.1 :

1. Načítanie klientskeho certifikátu z úložiska.

2. Pridanie certifikátu k objektu proxy a zavolanie webovej metódy CreateConnection.

3. Autentifikácia klientskeho certifikátu, vydanie autentifikačného lístka, ak bol certifikát prijatý.

4. Pri následnom volaní webovej metódy sa autentifikácia klienta vykoná na základe autentifikačného lístka a komunikácia prebieha cez HTTP kanál.

==Databázové úložisko==

Ako sme v predchádzajúcej podkapitole spomenuli, informácie o autentifikovanom klientovi sú na strane webovej služby uchovávané v relačnej databáze, konkrétne MS SQL. Pre komunikáciu s databázovým úložiskom sme mohli použiť nasledujúce technológie:

1. LINQ to SQL <nowiki>[</nowiki>32<nowiki>]</nowiki>,

2. ADO.NET <nowiki>[</nowiki>33<nowiki>]</nowiki>.

LINQ to SQL poskytuje niektoré pokročilé možnosti v porovnaní s ADO.NET. Avšak samotná technológia ADO.NET poskytuje dostatočnú podporu pre rôzne DBMS <nowiki>[</nowiki>33<nowiki>]</nowiki> :

* MS SQL Server,
* MS SQL Mobile Server,
* Oracle,
* MySQL,
* ODBC,
* OLEDB.
V praktickej časti sme vytvorili triedu AbstractDatabase podľa návrhového vzoru Abstract Factory, ktorá umožňuje flexibilne vytvoriť triedu na prístup k databázovému úložisku podľa konkrétneho DBMS. Tým je zabezpečená možnosť upraviť databázové úložisko pre potreby praxe. Pri komplexnej podnikovej aplikácii by bolo najvýhodnejšie použiť ORM Framework napr. NHibernate. Dosiahli by sme separáciu objektového kódu od databázového kódu a znížili závislosť logickej vrstvy od bussines vrstvy. Použitie ORM Frameworku je nad rámec tejto práce, ale považovali sme za vhodné ho spomenúť.

==Spracovanie SOAP správ==

Jedným z prvkov na zabezpečenie integrity a dôvernosti komunikácie medzi klientskou aplikáciou a XML ASP.NET webovou službou je mechanizmus šifrovania a digitálneho podpisovania SOAP správ'''. '''Predtým, než si opíšeme spôsob, akým sú šifrované a podpisované SOAP správy, sa musíme oboznámiť so spôsobom, akým sú spracovávané SOAP správy na strane webovej služby aj na strane klientskej aplikácie.

Spracovávanie SOAP správ na strane webovej služby, ale aj na strane klienta prebieha v 2 etapách <nowiki>[</nowiki>3<nowiki>]</nowiki>:

1. '''Serializácia.''' Požiadavka klienta alebo odpoveď webovej služby je serializovaná ako XML schéma.

2. '''Deserializácia'''. SOAP správa je deserializovaná na dátové typy.

Aby sme mohli pristupovať k jednotlivým etapám spracovania SOAP správ, musíme implementovať mechanizmus SOAP rozšírenia na strane webovej služby, ale aj na strane klientskej aplikácie. Prístup k etapám serializácie a deserializácie je nutná podmienka na šifrovanie a digitálne podpisovanie SOAP správ

==Rozšírenie SOAP==

Rozšírenie SOAP predstavuje mechanizmus akým môžeme manipulovať so SOAP správami na strane klienta aj na strane webovej služby. Tento spôsob je veľmi flexibilný, o čom sa presvedčíme neskôr. Pokiaľ vytvoríme SOP rozšírenie, spracovanie SOAP správ prechádza 4 etapami <nowiki>[</nowiki>3<nowiki>]</nowiki>:

* '''BeforeDeserialize'''. Táto sa spúšťa v okamihu, keď webový server, poprípade objekt proxy dostanú SOAP správu.
* '''AfterDeserialize'''. V tejto etape je nespracovaná (raw) SOAP správa prevedená na dátové typy platformy .NET Framework. Vykonáva sa ešte pred spustením webovej metódy.
* '''BeforeSerialize. '''V tejto etape sa už spracováva kód webovej metódy, ale návratová hodnota webovej metódy nie je ešte serializovaná do SOAP správy.
* '''AfterSerialize'''. V tejto etape je návratová hodnota webovej metódy serializovaná do SOAP správy, ale tá ešte nie je odoslaná na klientsku aplikáciu.
V etapách '''BeforeDeserialize '''a''' AfterSerialize '''môžeme získať celý obsah SOAP správy. SOAP rozšírenie musí byť vykonávané aj na strane klienta, a to prostredníctvom objektu proxy. Celý proces spracovania SOAP správ je na Obr. 9.2.

[[Súbor:dp_2010_jm_14.png|framed|center|Obr. 9.2 Serializácia a Deserializácia SOAP správ]]

==Vytvorenie SOAP rozšírenia==

SOAP rozšírenie na platforme .NET Framework sa skladá z 2 častí <nowiki>[</nowiki>1<nowiki>]</nowiki>:

* Samotného SOAP rozšírenia, reprezentovaného vlastnou triedou, ktorá musí byť vytvorená odvodením z triedy '''System.Web.Protocols.SoapExtension'''.
* Vlastného atribútu, ktorý sa použije u webovej metódy na indikáciu, že na danú webovú metódu sa má aplikovať SOAP rozšírenie. SOAP atribút sa vytvára odvodením z triedy '''System.Web.Protocols.SoapExtensionAttribute'''.

===Atribút pre SOAP rozšírenie - SecureExtensionAttribute===

Atribút SOAP rozšírenia umožňuje spojiť konkrétne rozšírenie SOAP s metódami webovej triedy. Vytvára sa odvodením z triedy '''System.Web.Protocols.SoapExtensionAttribute. '''<nowiki>[</nowiki>1<nowiki>]</nowiki> Atribút pre SOAP rozšírenie je v našej webovej službe implementovaný prostredníctvom triedy''' SecureExtensionAttribute'''

{|class="wikitable"
'''Tab. 9.5''' Atribút SoapExtension
|-
|<source lang="csharp">
[AttributeUsage(AttributeTargets.Method)]
public class SecureExtensionAttribute : SoapExtensionAttribute
{...}
</source>
|}

Trieda pre SOAP rozšírenie obsahuje atribút AttributeUsage. Pomocou neho špecifikujeme oblasť použitia nášho atribútu. Náš atribút bude teda použitý na jednotlivé deklarácie webových metód.

V našej triede pre SOAP rozšírenie je nutné prekryť 2 abstraktné vlastnosti, ktoré trieda získala odvodením z triedy System.Web.Protocols.SoapExtensionAttribute. Ide o vlastnosti <nowiki>[</nowiki>3<nowiki>]</nowiki> :

* '''Priority'''. Slúži na nastavenie poradia, v akom sa spracujú SOAP rozšírenia, pokiaľ ich je na webovú metódu nakonfigurovaných viacero.
* '''ExtensionType.''' Vracia objekt Type, ktorý reprezentuje našu vlastnú triedu pre SOAP rozšírenia.
Trieda '''SecureExtensionAttribute''' pre atribút SOAP rozšírenia implementuje metódu '''SoapElement''', pomocou ktorej budeme konfigurovať, ktoré časti SOAP správy budú šifrované. Konfigurácia sa vykonáva prostredníctvom Xpath výrazu.

===Trieda SOAP rozšírenia - SecureExtension===

SOAP rozšírenie je implementované v našej webovej službe prostredníctvom triedy''' SecureExtension. '''Každá trieda pre SOAP rozšírenie musí byť vytvorená odvodením z '''System.Web.Protocols.SoapExtension. '''<nowiki>[</nowiki>1<nowiki>]</nowiki>. V Tab. 9.6 sú povinné metódy, ktoré musíme prekryť pri vytváraní triedy pre SOAP rozšírenie.

{|class="wikitable"
'''Tab. 9.6'''' Trieda SOAP rozšírenia
|-
|<source lang="csharp">
public class SecureExtension : SoapExtension
{...}
</source>
|}

{|class="wikitable"
'''Tab. 9.7''' Povinné metódy triedy SOAP rozšírenia
|align = "justify"|'''Metóda'''
|align = "justify"|'''Popis'''
|-
|align = "justify"|GetInitializer()
|align = "justify"|Táto metóda predáva počiatočné informácie pre SOAP rozšírenie. Je spúšťaná pri prvom vykonaní SOAP rozšírenia. To umožňuje inicializovať hodnoty niektorých dát, ktoré sa použijú pri spracovaní SOAP správ. Takisto v tejto metóde môžeme extrahovať hodnoty atribútu pre SOAP rozšírenie. Táto metóda má dve verzie. Volá sa vždy len jedna, v závislosti od toho či je SOAP rozšírenie nakonfigurované prostredníctvom atribútu alebo konfiguračného súboru.
|-
|align = "justify"|Initialize()
|align = "justify"|Metóda predáva počiatočné informácie pre SOAP rozšírenie. Je spúšťaná pri každom vykonaní SOAP rozšírenia.
|-
|align = "justify"|ProcessMessage()
|align = "justify"|Táto metóda vykonáva vlastné spracovanie SOAP rozšírenia, umožňuje modifikovať SOAP správy. V tejto metóde sú volané metódy pre šifrovanie a digitálne podpisovanie SOAP správ.
|-
|align = "justify"|ChainStream()
|align = "justify"|Metóda umožňuje získať prístup k SOAP bez prerušenia iných rozšírení.
|-
|}

Trieda SOAP rozšírenia SecureExtension implementuje v sebe dve pomocné metódy :

* '''RequestMessage'''. Jej úlohou je predať SOAP stream objektu typu SecureExtensionUtilities na dešifrovanie a overenie digitálneho podpisu SOAP požiadavky.
* '''ResponseMessage'''. Jej úlohou je predať SOAP stream objektu typu SecureExtensionUtilities na zašifrovanie a digitálne podpísanie SOAP odpovede .

SOAP rozšírenie je v podobnej forme, s malými zmenami, implementované aj na strane klienta, s malými zmenami .

===Metóda ProcessMessage===

Metóda ProcessMessage je volaná ASP.NET v týchto štyroch etapách <nowiki>[</nowiki>4<nowiki>]</nowiki>:

1. '''BeforeDeserialize,'''

2. '''AfterDeserialize,'''

3. '''BeforeSerialize,'''

4. '''AfterSerialize.'''

Etapa '''BeforeDeserialize''' je prvou etapou spracovanie SOAP požiadavky od klienta. V tejto etape sa na strane webovej služby vykonáva:

* Načítanie hodnoty autentifikačného lístka z hlavičky SOAP správy od klienta.
* Overenie platnosti autentifikačného lístka. Autentifikačný lístok sa vydáva klientovi s obmedzenou časovou platnosťou. V databáze na strane webovej služby je každá hodnota autentifikačného lístka spojená s časom, kedy bol lístok vydaný. Na základe hodnoty lístka sú načítané parametre AES šifry a verejný kľúč klienta.
* Po úspešnom overení lístka je SOAP stream predaný na dešifrovanie a overenie digitálneho podpisu prostredníctvom pomocnej metódy '''RequestMessage. '''Proces dešifrovania a overenia digitálneho podpisu je vykonávaný triedou SecureExtensionUtilities. Táto trieda bude popísaná v samostatnej podkapitole.
Spracovanie SOAP správy v etape BeforeDeserialize je znázornené na Obr. 9.3.

[[Súbor:dp_2010_jm_15.png|framed|center|Obr. 9.3 Spracovanie SOAP správy v etape BeforeDeserialize]]

Etapa''' AfterSerialize''' je poslednou etapou spracovania SOAP odpovede zasielanej na klienta. V tejto etape sa na strane webovej služby vykonáva:

* Predanie SOAP streamu na digitálne podpísanie a zašifrovanie SOAP správy prostredníctvom pomocnej metódy '''ResponseMessage'''. Samotný proces šifrovania a digitálneho podpisovania je vykonávaný triedou SecureExtensionUtilities.

Hlavnou úlohou triedy SecureExtension je:

* Počiatočná autentifikácia klienta na základe hodnoty lístka v SOAP hlavičke.
* Načítanie AES parametrov a verejného kľúča z databázy.
* Predanie SOAP streamov na spracovanie triede '''SecureExtensionUtilities'''

[[Súbor:dp_2010_jm_16.png|framed|center|Obr. 9.4 Životný cyklus triedy SecureExtension]]

==Šifrovanie a dešifrovanie==

Úlohou šifrovania je zabezpečiť dôvernosť a integritu komunikácie na komunikačnej ceste, ktorú tvorí viacero uzlov, čiže vykryť nedostatky technológie SSL. Šifrovanie SOAP správ predstavuje tzv. zabezpečenie na úrovni správ. V našej bezpečnostnej platforme je umožnené selektívne šifrovanie SOAP, ktoré sa dá podľa potreby nastavovať pomocou atribútov SOAP rozšírenia.

Šifrovanie a dešifrovanie SOAP správ je vykonávané v triede SecureExtensionUtilities. Skôr ako vysvetlíme, akým spôsobom je zabezpečená dôvernosť a integrita komunikácie, rozoberieme si nevýhody použitia samotnej technológie SSL.

===Nevýhody technológie SSL===

Veľmi rozšíreným spôsobom zabezpečenia komunikácie webových aplikácií je použitie technológie SSL, ktorú sme si popísali v podkapitole 4.1. Pre zabezpečenie webových služieb nie je táto technológia veľmi vhodná. Medzi obmedzenia SSL v spojitosti s XML webovými službami patrí:

* SSL predstavuje tzv. end - to - end zabezpečenie komunikácie. Pokrytý je len odosielateľ a príjemca správy. Pre XML webové služby je nutné zabezpečiť komunikáciu medzi každými dvoma uzlami komunikácie, ide o tzv. point – to – point zabezpečenia.
* SSL predstavuje zabezpečenie komunikácie iba na transporte. Pre webové služby je vhodnejšie zabezpečenie na úrovni správ. SSL je závislé na HTTP protokole.
* SSL šifruje celú komunikáciu, neumožňuje selektívne šifrovanie a takisto nepodporuje v plnej miere mechanizmus nepopierateľnosti. Pre webové služby, ktoré sú súčasťou SOA, je selektívne šifrovanie nutnou podmienkou.

[[Súbor:dp_2010_jm_17.png|framed|center|Obr. 9.5 Point-to-point a end-to-end zabezpečenie]]

===Advanced Encryption Standard===

Pri počiatočnej výmene konfiguračného XML dokumentu je využitá asymetrická šifra RSA s využitím kľúčov z certifikátov webovej služby a klienta. Ďalšia komunikácia je šifrovaná pomocou symetrického šifrovacieho algoritmu. Ako šifrovací algoritmus sme zvolili symetrický blokový algoritmus Rijndael, ktorý bol v roku 1997 vyhlásený americkým úradom pre štandardizáciu (NIST) ako štandard. Dodnes nie sú známe dôkazy o jeho prelomení. <nowiki>[</nowiki>23<nowiki>]</nowiki>

AES predstavuje blokový šifrovací algoritmus so šírkou bloku 128 bitov a možnými dĺžkami kľúčov 128, 192 a 256. Rijndael podporuje aj voliteľné väčšie dátové bloky a kľúče v 32- bitových prírastkoch, ale tie nie sú zahrnuté v špecifikácii štandardu AES. <nowiki>[</nowiki>22<nowiki>]</nowiki>

==Trieda SecureExtensionUtilities==

Ako už bolo spomenuté, SOAP správy sú šifrované pomocou symetrickej šifry Rijndael, ktoré časti SOAP správy budú šifrované, je určené pomocou atribútov SOAP rozšírenia. Trieda SecureExtensionUtilities zabezpečuje šifrovanie, dešifrovanie, digitálne podpisovanie a verifikáciu digitálneho podpisu SOAP správ.

SecureExtensionUtilities implementuje v sebe dve hlavné verejné metódy:

* '''InSoap,'''
* '''OutSoap,'''
a tieto pomocné privátne metódy:

* DecryptString, metóda dešifruje textový reťazec z XML dokumentu.
* DecryptSoap, dešifruje XML dokument.
* VerifySignedSoap, overuje digitálny podpis SOAP správy.
* SingSoap, digitálne podpisuje SOAP správu na základe štandardu XML Signature.
* EncryptString, metóda šifruje textový reťazec z XML dokumentu.
* EncryptSoap, šifruje XML dokument.

Metóda''' InSoap''' spracováva stream SOAP požiadavky od klienta. Táto metóda je volaná v etape BeforeDeserialize metódy ProcessMessage. Ako vstupné parametre akceptuje:

* string<nowiki>[]</nowiki> soapElement určuje, ktoré elementy SOAP správy budú šifrované.
* Stream inputStream predstavuje raw SOAP správu.
* User user, trieda User predstavuje dátový objekt obsahujúci AES parametre a verejný kľúč klienta.
Ak nie je SOAP správa šifrovaná, metóda InSoap vráti ASP.NET vstupný SOAP prúd. Celý proces spracovania je znázornený na Obr. 9.3. Pokiaľ príde k zmene SOAP správy počas prenosu cez HTTP kanál, čiže overenie digitálneho podpisu SOAP správy indikuje sfalšovanie alebo podvrhnutie, klient je upozornený a nepríde k spracovaniu SOAP správy, či už na strane webovej služby, alebo na strane klientskej aplikácie.

'''Overovanie digitálneho podpisu na strane klienta''' je '''realizované '''obdobným spôsobom, rozdiel je v tom, že podpisovanie SOAP správ realizuje objekt '''proxy''', v ktorom je implementované samotné SOAP rozšírenie. Na overovanie je použitý verejný kľúč zo serverového certifikátu webovej služby. Úlohou metódy InSoap je teda dešifrovať SOAP správu a overiť jej digitálny podpis.

Metóda''' OutSoap''' spracováva stream SOAP odpovede zasielaného na klienta. Táto metóda je volaná v etape AfterSerialize metódy ProcessMessage. Metóda OutSoap ako vstupné parametre akceptuje:

* string<nowiki>[]</nowiki> soapElement určuje, ktoré elementy SOAP správy budú šifrované.
* Stream inputStream predstavuje raw SOAP správu.
* User user, trieda User predstavuje dátový objekt obsahujúci AES parametre a verejný kľúč klienta.
* X509Certificate2 webServiceCert, objekt typu X509Certificate2 predstavuje serverový certifikát so súkromným kľúčom, ktorý sa použije na digitálne podpísanie SOAP správy.
Úlohou tejto metódy je digitálne podpísať a zašifrovať SOAP správu. Každá zašifrovaná SOAP správa od klienta má v SOAP hlavičke umiestnený dodatočný '''element IsEncrypted''', ktorý slúži na identifikáciu, či je daná SOAP správa zašifrovaná. V Tab. 9.8 je ukážka zašifrovania SOAP správy

{|class="wikitable"
'''Tab. 9.8''' Ukážka zašifrovanie SOAP správy
|-
|<source lang="xml">
<?xml version="1.0" encoding="utf-8" ?>
<soap:Envelope xmlns:soap="http://schemas.xmlsoap.org/soap/envelope/"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xmlns:xsd="http://www.w3.org/2001/XMLSchema">
<soap:Header>
<TicketHeader xmlns="http://tempuri.org/">
<Ticket>2541a182-8f4f-46c3-84f7-e667c221f494</Ticket>
</TicketHeader>
<IsEncrypted />
</soap:Header>
<soap:Body>
<SseReadPatient xmlns="http://tempuri.org/">
<id>Wk/C7PGSj/+fg2jQhQlUyg==</id>
</SseReadPatient>
</soap:Body>
<</soap:Envelope>
</source>
|}

Digitálne podpisovanie SOAP správ je realizované prostredníctvom '''štandardu XML Signature''', ktorý sme si popísali v podkapitole 8.1. SOAP správy sú podpisované na strane servera prostredníctvom súkromného kľúča zo serverového certifikátu. Na strane klienta je digitálne podpisovanie realizované prostredníctvom súkromného kľúča z klientskeho certifikátu. V Tab. 9.9 je ukážka podpísanej SOAP správy.

'''Digitálne podpisovanie na strane klienta''' je '''realizované '''obdobným spôsobom, rozdiel je v tom že podpisovanie SOAP správ realizuje objekt '''proxy''', v ktorom je implementované samotné SOAP rozšírenie. Na podpísanie SOAP správy je použitý súkromný kľúč z klientskeho certifikátu.

{|class="wikitable"
'''Tab. 9.9''' Podpísaná SOAP správa
|-
|<source lang="xml">
<soap:Envelope:xmlns:soap="http://schemas.xmlsoap.org/soap/envelope/"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xmlns:xsd="http://www.w3.org/2001/XMLSchema">
<soap:Body>
</soap:Body>
<Signature xmlns="http://www.w3.org/2000/09/xmldsig#">
<SignedInfo>
<CanonicalizationMethod Algorithm="http://www.w3.org/TR/2001/REC-xml-c14n-20010315" />
<SignatureMethod Algorithm="http://www.w3.org/2000/09/xmldsig#rsa-sha1" />
<Reference URI="">
<Transforms>
<Transform Algorithm="http://www.w3.org/2000/09/xmldsig#enveloped-signature" />
</Transforms>
<DigestMethod Algorithm="http://www.w3.org/2000/09/xmldsig#sha1" />
<DigestValue>2yfAuq6taP4kPBsFEM+J79F7ysM=</DigestValue>
</Reference>
</SignedInfo>
<SignatureValue>r2NmZyXtsku0WfbAJ4Kej/Kx0W0hAYCGAq7ltU7P5EN/NfQLYtZBCr97KHqNHkrEOqnU8Freg6
hEg1LXBhrkmF86bOApHTfOrdzpeK1WjK/tKO2G+xigjD8/PBhQszRK/qfG54gdY3kJ/y/kmn/S
F+W49scLowecDxxeIx29UeI3m4yF8GoDGL3xjB/sEN78u8owdaBVcwkH2jIHWz6CiwPHk7YNLF
c/Q0/XqE/ieBnAB2i0gLbM377AdHr9qLwMHVG/M9RVyl0JkWnUI8Viwm3Y268xz7cNlTnfa3uT
hOGHMgmVDrBboHL44zZIBAZbsNsbqSPEipTMDVc7efC0Vg==
</SignatureValue>
</Signature>
</soap:Envelope>
</source>
|}

Pri digitálnom podpisovaní sme použili kanonizačný algoritmus na element '''<nowiki><</nowiki>SignedInfo<nowiki>></nowiki>'''. Použitie je indikované prostredníctvom elementu CanonicalizationMethodAlgorithm. Je to z toho dôvodu, aby sme zabránili rozdielnym výsledkom pri overovaní digitálneho podpisu. Nakoľko textová reprezentácia XML môže byť spracovaná rozdielne v závislosti použitého dátového prúdu (prázdne tagy, white space, komentáre...), kanonizácia definuje presnú fyzickú štruktúru dokumentu.

{|class="wikitable"
'''Tab. 9.10''' Zoznam algoritmom použitých pri digitálnom podpisovaní SOAP
|align = "justify"|'''Algoritmus'''
|align = "justify"|'''Popis'''
|-
|align = "justify"|SHA1
|align = "justify"|Hašovací algoritmus použitý pri výpočte hašu.
|-
|align = "justify"|RSA
|align = "justify"|Kryptografický algoritmus použitý na vytvorenie digitálneho podpisu.
|-
|align = "justify"|REC
|align = "justify"|Kanonizačný algoritmus.
|-
|}

V tejto podkapitole sme si popísali štruktúru triedy SecureExtensionUtilities, vysvetlili sme si akým spôsobom je spracovaný SOAP stream z triedy SOAP rozšírenia, a taktiež digitálne podpisovanie, verifikáciu, šifrovanie a dešifrovanie SOAP správ.

==Autorizácia v SOAP Security Enhancement==

Selektívne šifrovanie a digitálne podpisovanie má ochrániť samotnú komunikáciu medzi webovou službou a jej klientom. Úlohou autorizácie je rozhodnúť, aké operácie bude môcť autentifikovaný užívateľ vykonávať a k akým zdrojom bude mať prístup na strane webovej služby. Pri vytváraní autorizačných pravidiel sme mali tieto možnosti:

* Vytvoriť autorizačné pravidlá v konfiguračnom súbore webovej služby. Týmto spôsobom sme sa zaoberali v podkapitole 6.1.
* Namapovať klientske certifikáty na užívateľské účty systému Windows prostredníctvom IIS.
* Použiť niektorý zo spôsobov impersonácie, ktorými sme sa zaoberali v podkapitole 5.2.1.
Použitie autorizačných pravidiel v súbore web.config je relatívne flexibilný spôsob autorizácie, ale neposkytuje také pokročilé možnosti ako impersonácia. Rozhodli sme sa použiť programovú impersonáciu, a to z nasledujúcich dôvodov :

* Umožňuje mapovanie klientskych certifikátov na užívateľské účty systému dvoma rôznymi spôsobmi :
* One – to – one,
* Many – to – one.
* Programová impersonácia nám umožní flexibilne nastaviť, ktorá časť programového kódu bude vykonávaná pod účtom Network Service a ktorá pod nami zvoleným užívateľským účtom. Tento spôsob sa prostredníctvom mapovania klientskych certifikátov na IIS nedá docieliť.
Proces programovej impersonácie je nasledovný :

* V databáze je priradený ku každému klientskemu certifikátu jeden užívateľský účet systému Windows.
* Pri úspešnej počiatočnej autentifikácii klienta prostredníctvom certifikátu, sa jeho autentifikačný lístok namapuje na užívateľský účet.
Programová impersonácia je vykonávaná triedou UserImpersonation, ktorá obsahuje tieto metódy :

* Login - získa príznak účtu užívateľa Windows.
* Impersonate - spustí proces vykonávania programového kódu v kontexte identity užívateľského účtu. Pokiaľ klientov autentifikačný lístok nie je namapovaný na užívateľský účet, programový kód bude vykonávaný pod účtom Network Service, ktorý predstavuje prednastavený účet pre spracovanie ASPNET na systéme Windows Server 2003.
* UndoImpersonate - ukončí impersonáciu programového kódu.
Prostredníctvom užívateľských účtov Windows môžeme jednotlivým klientom webovej služby vyčleniť prístup k súborom na disku, k databáze a pod. Použitie triedy UserImpersonate je znázornené v Tab. 9.11.

{|class="wikitable"
'''Tab. 9.11''' Použitie triedy UserImpersonate
|-
|<source lang="csharp">
UserImpersonation _objImp = new UserImpersonation();

_objImp.ReadUserAccount(Ticket.Ticket);

_objImp.Login();

_objImp.Impersonate();

//programový kód, ktorý ma byť vykonáný pod inou identitou

_objImp.UndoImpesonate();

</source>
|}

==Výhody SOAP Security Enhancement pre ASP.NET webové služby==

V minulosti sa na zabezpečenie ASP.NET webových služieb využívalo rozšírenie Web Services Enhancements (WSE) <nowiki>[</nowiki>25<nowiki>]</nowiki>, <nowiki>[</nowiki>26<nowiki>]</nowiki>, <nowiki>[</nowiki>27<nowiki>]</nowiki>. Súčasná verzia 3.0 nepodporuje ASP.NET webové služby. Preto je veľmi ťažké porovnať navrhovanú vlastnú bezpečnostnú platformu s nejakým oficiálnym spôsobom zabezpečenia. Jediným možným riešením bolo porovnať spôsob zabezpečenia s rozšírením WSE 2.0. Tento produkt mal veľmi veľa problémov v oblasti interoperability a takisto je zastaralý. Preto sme sa vyhli porovnaniu našej bezpečnostnej platformy s týmto rozšírením.

:Naša bezpečnostná platforma poskytuje zabezpečenie na úrovni aplikácie a taktiež na úrovni správ. Poskytuje dva spôsoby autentifikácie :

* Počiatočnú autentifikáciu založenú na certifikátoch X509. Výhodou tohto spôsobu autentifikácie je dobrá kontrola nad užívateľskými identitami.
* Autentifikáciu založenú na autentifikačných lístkoch v SOAP hlavičke. Výhodou tohto spôsobu autentifikácie je :
* Výhoda vytvorenia SOAP hlavičky je tá, že objekt proxy ju na strane klienta automaticky udržuje. Pokiaľ klient používa rovnakú inštanciu triedy proxy, bude automaticky a pri ďalšom odosielaní SOAP správ na webovú službu posielaný aj autentifikačný lístok v SOAP hlavičke.
* Pri opätovnom volaní webových metód nemusí byť posielaný s požiadavkou aplikácie aj klientsky certifikát. Vďaka tomu nemusí byť opätovne použité aj HTTPS spojenie.
* Autentifikačný lístok môže byť aplikácii vydaný s určitou časovou platnosťou, čo zvyšuje flexibilitu systému.

Integrita komunikácie je zabezpečená prostredníctvom digitálneho podpisovania na základe štandardu XML Signature. SOAP správy sú podpisované na základe privátnych kľúčov z certifikátov a overované na základe verejných kľúčov z certifikátov. Pokiaľ príde k zmene SOAP správy počas transferu cez HTTP kanál, čiže overenie digitálneho podpisu SOAP správy indikuje sfalšovanie alebo podvrhnutie, klient je upozornený a nepríde k spracovaniu SOAP správy, či už na strane webovej služby, alebo na strane klientskej aplikácie

Dôvernosť komunikácie je založená na šifrovaní SOAP správ pomocou symetrického blokového algoritmu Rijndael. Výhody:

* SOAP správy sú selektívne šifrované, chránené sú len potrebné dáta. Selektívne šifrovanie je nevyhnutná podmienka začlenenia XML webových služieb do SOA.
* Výhodou voči štandardu XML Encryption je ten, že pri našom šifrovaní nedochádza k „deformácii" XML tagov.
* Šifrovací algoritmus môže byť upravený podľa potreby praxe.
* Šifrovanie je realizované prostredníctvom SOAP rozšírenia. To znamená, že šifruje už serializované dáta. Vďaka tomu môžeme šifrovať a digitálne podpisovať aj vlastné dátové typy.
* Oproti technológii SSL predstavuje náš spôsob zabezpečenia point to point, čo je ďalšia podmienka začlenenia XML webových služieb do SOA.

Veľkú výhodu nášho zabezpečenia vidíme v spôsobe jeho samotného použitia. Celý mechanizmus ochrany SOAP správ sa aplikuje na webovú metódu prostredníctvom atribútu SOAP rozšírenia, ktorý predstavuje len dopísanie jedného riadku kódu nad webovú metódu. Náš spôsob zabezpečenia nemení spracovanie programového kódu webovej metódy.

V Tab. 9.12 je ukážka nastavenia šifrovania elementu body SOAP správy zasielanej ako odpoveď na klientsku aplikáciu. Elementy SOAP správy, ktoré majú byť zašifrované sa zadefinujú prostredníctvom Xpath výrazu pomocou vlastnosti SoapElement triedy atribútu SOAP rozšírenia.

{|class="wikitable"
'''Tab. 9.12''' Použitie atribútu SOAP rozšírenia
|-
|<source lang="csharp">
[WebMethod]
[SecureExtension(SoapElement = "//soap:Body/*/*")]
public DataSet GetDataSet()
{
//kód webovej metódy
}
</source>
|}

=Záver=
V práci sme opísali technologické pozadie XML webových služieb a ich štandardy. Zamerali sme sa na ASP.NET webové služby. Vysvetlili sme si spôsoby, akým môžeme vytvoriť bezpečnostný komunikačný scenár medzi webovou službou a jej klientom. Rozobrali sme jednotlivé možnosti autentifikácie, autorizácie klientov webovej služby, spôsoby na zabezpečenie dôvernosti a integrity komunikácie. Uviedli sme ich výhody a nevýhody, ktoré so sebou prinášajú.

Ďalej sme upozornili na hlavné chyby, ktoré vznikajú pri zabezpečovaní XML webových služieb. Jedná sa hlavne o použitie technológie SSL a štandardu XML Encryption. Samotná technológia SSL nie je postačujúce na zabezpečenie komunikácia medzi webovou službou a jej klientom, nakoľko predstavuje zabezpečenie na úrovni komunikačného kanála a predstavuje tzv. end – to – end zabezpečenie. To nie je veľmi vhodné pre XML webové služby, nakoľko v praxi bývajú súčasť SOA. SOA architektúra tiež vyžaduje selektívne šifrovanie, ktoré nie je možné dosiahnuť so štandardom XML Encryption. Pri použití toho štandardu dochádza taktiež k deformácii XML tagov. Cieľom bezpečnostnej platformy bolo odstránenie týchto nedostatkov. Bezpečnostná platforma predstavuje zabezpečenie na úrovni aplikácie a tiež na úrovni správ. Počiatočná autentifikácia je realizovaná na základe certifikátov X509, pri volaní ďalších webových metód je klient autentifikovaný na základe autentifikačného lístka v SOAP hlavičke. Dĺžka platnosti autentifikačného lístka sa dá flexibilne meniť podľa potreby. SOAP správy sú selektívne šifrované pomocou AES, tým je dosiahnuté utajenie komunikácie. Integrita je zabezpečené prostredníctvom digitálneho podpisovania SOAP správ. Naša bezpečnostná platforma poskytuje autorizáčný mechanizmus prostredníctvom programovej impersonácie.

Na otestovanie funkčnosti zabezpečenia komunikácie XML ASP.NET webovej služby bola vytvorená Winforms klientska aplikácia. Programové knižnice predstavujúce bezpečnostnú platformu aj klientska aplikácia sú súčasťou DVD prílohy.

=Použitá literatúra=
#MacDonald, Matthew., Beginning ASP.NET 3.5 in C# 2008: From Novice to Professional, Apress, 2007. ISBN 978-1590598917
#Troelsen, Andrew., Pro C# 2008 and the .NET 3.5 Platform, Apress, 2007. ISBN 978-1590598849
#Glynn, Jay., Skinner, Morgan., Professional C# 2008, Wrox, 2008. ISBN 978-0470191378
#MacDonald, Matthew., Szpuszta, Mario., Pro ASP.NET 2.0 in C# 2005, Apress, 2005. ISBN 978-1590594964
#Foggon, Damien., Maharry, Daniel., Ullman, Chris., Watson, Karli., Programming Microsoft .NET XML Web Services, Microsoft Press, 2003. ISBN 978-0735619128
#Jones, Allen ., Microsoft .NET XML Web Services Step by Step, Microsoft Press, 2002. ISBN13: 978-0735617209
#Eide, Andreas., Miller, Chris., Sempf, Bill Sempf., Professional ASP.NET Web Services, Wrox Press, 2001. ISBN 978-1861005458
#Kurt, Chris., Web Services Architecture and Its Specifications: Essentials for Understanding WS, Microsoft Press, 2005. ISBN 978-0735621626
#Krowczyk, Andrew., Greenvoss, Zach., Banerjee. Ashish., Professional C# Web Services: Building .NET Web Services with ASP.NET and .NET Remoting, Wrox Press, 2001. ISBN 978-1861004390
#www.w3.org [online]. last updated: 2007-06-05 [cit. 2009-12-19]. Dostupná z WWW: < http://www.w3.org/TR/soap/>
#www.w3.org [online]. last updated: 2001-03-14 [cit. 2009-12-19]. Dostupná z WWW: < http://www.w3.org/TR/wsdl/>
#www.oasis-open.org [online]. last updated: 2009-12-19 [cit. 2009-12-19]. Dostupná z WWW: < http://www.oasis-open.org/committees/uddi-spec/doc/tcspecs.htm>
#O'Neill, Mark., Web Services Security, McGraw-Hill Osborne Media, 2003. ISBN 978-0072224719
#Hartman, Bret., Flinn, Donald., Beznosov, Konstantin. Mastering Web Services Security, 2003. ISBN 978-0471267164
#Nantz, Brian., Expert Web Services Security in the .NET Platform, Apress, 2004. ISBN 978-1590591154
#Microsoft, Vytváříme zabezpečené aplikace v Microsoft ASP.NET, Computer Press, 2004. ISBN 80-251-0466-4
#www.w3.org [online]. last updated: 2008-06-10 [cit. 2009-12-19]. Dostupná z WWW: < http://www.w3.org/TR/xmldsig-core/ >
#www.w3.org [online]. last updated: 2002-12-13 [cit. 2009-12-19]. Dostupná z WWW: < http://www.w3.org/TR/xmlenc-core/ >
#www.w3.org [online]. last updated: 2004-03-26 [cit. 2009-12-19]. Dostupná z WWW: < http://www.w3.org/MarkUp/SGML/>
#www.oasis-open.org [online]. last updated: 2009-12-19 [cit. 2009-12-19]. Dostupná z WWW: < http://www.oasis-open.org/committees/tc_home.php?wg_abbrev=xacml>
#www.w3.org [online]. last updated: 2005-12-20 [cit. 2009-12-19]. Dostupná z WWW: < http://www.w3.org/TR/XMKS/ >
#Rijmen, Vincent., The Design of Rijndael: AES - The Advanced Encryption Standard, Springer, 2002. ISBN 978-3540425809
#Tom, Denis., Cryptography for Developers, Syngress, 2007. ISBN 978-1597491044
#www.msdn.microsoft.com [online]. last updated : 2009-12-22 [cit. 2009-12-22]. Dostupná z WWW: http://msdn.microsoft.com/en-us/library/system.security.cryptography.passwordderivebytes.aspx
#Microsoft Corporation, Web Service Security: Scenarios, Patterns, and Implementation Guidance for Web Services Enhancements (WSE) 3.0, Microsoft Press, 2006. ISBN 978-0735623149
#Hasan, Jeffrey., Expert Service-Oriented Architecture in C#: Using the Web Services Enhancements 2.0, Apress, 2004. ISBN 978-1590593905
#Evjen, Bill., Web Services Enhancements: Understanding the WSE for .NET Enterprise Applications, Wiley, 2003. ISBN 978-0764537363
#www.msdn.microsoft.com [online]. last updated : 2009-12-22 [cit. 2009-12-22]. Dostupná z WWW: http://msdn.microsoft.com/en-us/library/system.security.cryptography.passwordderivebytes.aspx
#www.msdn.microsoft.com [online]. last updated : 2010-01-07 [cit. 2010-01-07]. Dostupná z WWW: http://msdn.microsoft.com/en-us/library/72wdk8cc(VS.71).aspx
#http://www.oasis-open.org [online]. last updated : 2010-01-07 [cit. 2010-01-07]. Dostupná z WWW: http://www.oasis-open.org/committees/tc_home.php?wg_abbrev=xacml
#www.msdn.microsoft.com [online]. last updated : 2010-01-07 [cit. 2010-01-07]. Dostupná z WWW: http://msdn.microsoft.com/en-us/library/ms229335.aspx
#www.msdn.microsoft.com [online]. last updated : 2010-01-07 [cit. 2010-01-07]. Dostupná z WWW: http://msdn.microsoft.com/en-us/netframework/aa904594.aspx
#www.msdn.microsoft.com [online]. last updated : 2010-01-07 [cit. 2010-01-07]. Dostupná z WWW: http://msdn.microsoft.com/en-us/library/e80y5yhx%28VS.80%29.aspx
#www.msdn.microsoft.com [online]. last updated : 2010-01-07 [cit. 2010-01-07]. Dostupná z WWW: http://msdn.microsoft.com/en-us/library/dd0w4a2z%28VS.80%29.aspx
#Dostálek, Libor., Vohnoutová, Marta., Velký průvodce infrastrukturou PKI a technologií elektronického podpisu, 2006. ISBN 80-251-0828-7
#www.msdn.microsoft.com [online]. last updated : 2010-01-07 [cit. 2010-01-07]. Dostupná z WWW: http://msdn.microsoft.com/en-us/library/cc488021.aspx

SOAP Security Enhancement pre ASP.NET webové služby

2010-06-11T12:45:12Z

Ian: /* SOAP Security Enhancement pre ASP.NET webové služby */

[[Kategória:Študentské práce]][[Kategória:Diplomové práce]][[Kategória:Informatika]][[Kategória:Webové služby]]
{{Praca_uvod|9|Návrh a implementácia bezpečnostnej technológie pre webové služby|XML a webové služby |XML ASP.NET webové služby|Zabezpečennie webových aplikácií|Integrita a dôvernosť komunikácie|Autentifikácia|Autorizácia webových služieb|Zabezpečenie webových služieb|XML security|SOAP Security Enhancement pre ASP.NET webové služby}}
__TOC__
= =
=SOAP Security Enhancement pre ASP.NET webové služby=

V predchádzajúcich dvoch kapitolách sme si opísali teoretické možnosti zabezpečenia XML ASP.NET webových služieb a štandardy zamerané na bezpečnosť XML. Táto kapitola sa zaoberá vývojom vlastnej bezpečnostnej platformy pre XML ASP.NET webové služby v jazyku C<nowiki> </nowiki>, ktorú sme nazvali SOAP Security Enhancement (SSE) Naša bezpečnostná platforma bude predstavovať zabezpečenie na úrovni správ a tiež na úrovni aplikácie. Pri vytváraní bezpečnostného systému pre webové aplikácie treba zabezpečiť:

* Mechanizmus pre overovanie klientskych aplikácií. Možnosti overovania klientov sme si podrobne rozobrali v kapitolách 5, 5.1, 5.2, 5.3.
* Mechanizmus pre autorizáciu klientov overených webovou službou. Spôsobmi autorizácie sme sa zaoberali kapitolách 5.1, kde sme sa zaoberali autorizáciou s využitým webového servera IIS a takisto autorizáciou prostredníctvom konfiguračného súboru webovej služby, ktorú sme si opísali v kapitole 6.
* Mechanizmus pre zabezpečenie dôvernosti a integrity komunikácie. Spôsobov na vytvorenie bezpečnej komunikačnej linky je viacero. Najrozšírenejší spôsob je použitie technológie SSL, ktorou sme sa zaoberali v podkapitole 4.1. Táto technológia má aj svoje nedostatky, ktoré sme načrtli v kapitole 7 a s ktorými sa oboznámime v podkapitole 9.7.1.
V príslušných kapitolách sme vysvetlili výhody, nevýhody a oblasti použitia daných mechanizmov pre autentifikáciu, autorizáciu a zabezpečenie dôvernosti a integrity komunikácie. V tejto kapitole ponúkame vlastný komplexný spôsob, ako zabezpečiť komunikáciu medzi XML ASP.NET webovou službou a klientskou aplikáciou na platforme .NET Framework 3.5.

V Tab. 9.1 sú prehľadne opísané spôsoby a technológie, ktoré použijeme na autentifikáciu, autorizáciu a zabezpečenie dôvernosti a integrity komunikácie. Tie podrobnejšie popíšeme a vysvetlíme nasledujúcich podkapitolách.

{|class="wikitable"
'''Tab. 9.1''' Popis technológií použitých pri vlastnej bezpečnostnej platforme
|align = "justify"|'''Mechanizmus'''
|align = "justify"|'''Technológia'''
|-
|align = "justify"|Autentifikácia
|align = "justify"|'''Certifikát X509'''
|-
|align = "justify"|Autorizácia
|align = "justify"|Autorizácia bude realizovaná prostredníctvom programovej impersonácie, ktorú sme si vysvetlili v podkapitole 5.2.1.
|-
|Integrita a dôvernosť komunikácie
|align = "justify"|Integrita a dôvernosť komunikácie bude zabezpečená prostredníctvom selektívneho šifrovania SOAP správ s využitím Advanced Encryption Standard a prostredníctvom digitálneho podpisovania SOAP správ pomocou certifikátov X509 s využitím štandardu XML Signature.
|-
|}

==Štruktúra SOAP Security Enhancement z objektovo-orientovaného prístupu==

V Tab. 9.2 sú prehľadne opísané základné programové triedy bezpečnostnej platformy spolu s ich funkcionalitou. Podrobnejšie budú opísané v príslušných podkapitolách.

{|class="wikitable"
'''Tab. 9.2''' Triedy bezpečnostnej platformy
|align = "justify"|'''Názov triedy'''
|align = "justify"|'''Popis'''
|-
|align = "justify"|AbstractDatabase
|align = "justify"|Trieda vytvorená podľa návrhového vzoru Abstract Factory, ktorá umožňuje flexibilne vytvoriť triedu na prístup k databázovému úložisku podľa konkrétneho DBMS.
|-
|align = "justify"|DbProvider
|align = "justify"|Trieda pre prístup k MS SQL databázovému úložisku.
|-
|align = "justify"|SecureExtension
|align = "justify"|Trieda SOAP rozšírenia umožňuje prístup k SOAP správam v rôznych etapách spracovania.
|-
|align = "justify"|SecureExtensionAttribute
|align = "justify"|Predstavuje atribút SOAP rozšírenia, pomocou ktorého sa špecifikujú konkrétne časti (elementy) SOAP správy ktoré budú šifrované a digitálne podpísané.
|-
|align = "justify"|SecureExtensionUtilities
|align = "justify"|Táto trieda obsahuje metódy na šifrovanie, dešifrovanie, digitálne podpisovanie a verifikáciu digitálneho podpisu SOAP správ.
|-
|align = "justify"|SecureUtilities
|align = "justify"|Zabezpečuje autentifikáciu klienta, vygenerovanie parametrov AES šifry a vytvorenie konfiguračného XML dokumentu obsahujúce parametre pre bezpečnú komunikáciu.
|-
|align = "justify"|TicketIdentity
|align = "justify"|Táto trieda reprezentuje autentifikačný lístok umiestnený v SOAP hlavičke klienta.
|-
|align = "justify"|UserData
|align = "justify"|Predstavuje „data object“ reprezentujúci údaje pre šifrovanie a digitálne podpisovanie SOAP správ.
|-
|align = "justify"|UserImpersonation
|align = "justify"|TTrieda zabezpečuje mechanizmus autorizácie prostredníctvom Windows impersonácie.
|-
|}

==Autentifikácia klientov v SOAP Security Enhancement==

Možnosti na overovanie klientov pre XML ASP.NET webové služby sú značne obmedzené. Kedže webová služba neposkytuje žiaden vstavaný spôsob akým, by mohol užívateľ predložiť prihlasovacie údaje, napríklad webový formulár. Najrozšírenejšie spôsoby overovania klientov webovou službou sú tieto <nowiki>[</nowiki>1<nowiki>]</nowiki>:

* Autentifikácie Windows. Tento typ nie je veľmi flexibilný a má veľa nedostatkov, ktoré sme si opísali v kapitole 5.1.
* Vlastný typ autentifikačného procesu založeného na prihlasovacích lístkoch s využitím SOAP rozšírenia.
* Použitie klientskych certifikátov X509.

Autentifikáciu založenú na certifikátoch X509 sme zvolili z nasledujúcich dôvodov:

1. Použitie klientskych certifikátov dáva značnú kontrolu nad užívateľskými identitami, nakoľko certifikáty sú vydávané certifikačnou autoritou, ktorá býva zvyčajne pod kontrolou administrátora servera, na ktorom môže byť hosťovaná webová služba. Tak isto je možné klientske certifikáty mapovať na užívateľské účty Windows, či už priamo na webovom serveri IIS alebo priamo programovo vo webovej službe.

2. Certifikáty X509 predstavujú účinnú ochranu proti podvrhnutiu falošného verejného kľúča ( Man-in-the-Middle Attack <nowiki>[</nowiki>36<nowiki>]</nowiki> ).

3. Tak isto predstavuje účinný mechanizmus na zabezpečenie toho, že vlastník verejného kľúča má k nemu zodpovedajúci súkromný kľúč.

Certifikátom sme sa podrobnejšie venovali v podkapitole 4.1.1. Na vystavenie klientskych certifikátov sme vytvorili vlastnú testovaciu certifikačnú autoritu na operačnom systéme Windows Server 2003.

Počiatočnú autentifikáciu sme sa rozhodli teda realizovať prostredníctvom klientskych certifikátov X509. Na korektný prenos certifikátov X509 je nutný HTTPS prenos.

Kedže použitie technológie SSL má aj nedostatky a pri prenose veľkého množstva dát je náročné, rozhodli sme sa, že HTTPS kanál bude použitý pri komunikácii klienta a webovej služby iba raz, a to pri počiatočnom volaní webovej metódy, ktorá zabezpečí overenie klienta na základe klientskeho certifikátu X509. Následne bude klientovi vydaný „autentifikačný lístok", ktorý bude umiestnený do SOAP hlavičky. Lístok obsahuje 128 bitové jedinečné číslo, ktoré identifikuje užívateľa pri nasledujúcich volaniach webových metód, a je použitý na jeho overenie. Lístok sa vydáva klientovi s určitou časovou platnosťou, ktorú je možné podľa potreby a priority meniť.

Hodnota ID v autentifikačnom lístku je uložená spolu s príslušnými údajmi z klientskeho certifikátu do relačnej databázy, ktorú webová služba používa na ďalšie overovanie klienta pri volaní webových metód.

Proces prvotnej autentifikácie je nasledovný. Pri počiatočnom prístupe klienta k webovej službe musí klient zavolať webovú metódu '''CreateConnection''' webovej služby. Metóda

CreateConnection plní v komunikačnom scenári nasledujúce funkcie:

* Overenie klientskeho certifikátu.
* Vytvorenie SOAP hlavičky s užívateľským ID.
* Zápis príslušných parametrov z klientskeho certifikátu do databázy.
* Vygenerovanie a zaslanie parametrov AES, ktoré sú použité na šifrovanie SOAP správ.
Prostredníctvom vlastnosti''' Context''', ktorú trieda webovej služby získala odvodením z abstraktnej triedy WebService (pozri podkapitola 2.1), je extrahovaný klientsky certifikát.

{|class="wikitable"
'''Tab. 9.3''' Extrahovanie klientského certifikátu z vlastnosti Context
|-
|<source lang="csharp">
X509Certificate2 cert = new X509Certificate2(Context.Request.ClientCertificate.Certificate);
</source>
|}
Následne je klientsky certifikát overený na revokáciu a dôveryhodnosť certifikačnej autority.

Pokiaľ je certifikát klienta úspešne overený, webová metóda CreateConnection vygeneruje hodnotu ID v autentifikačnom lístku.

Po vygenerovaní ID pre overeného klienta sú údaje z klientskeho certifikátu (verejný kľúč a common name), ID klienta spolu s dátumom a časom vytvorenia lístka zapísané do databázy. Následne je vytvorená SOAP hlavička , do ktorej je umiestnené ID užívateľa.

Výhoda vlastného autentifikačného systému na lístkoch:

* Výhoda vytvorenia SOAP hlavičky je tá, že objekt proxy ju na strane klienta automaticky udržuje. Pokiaľ klient používa rovnakú inštanciu triedy proxy, bude automaticky pri ďalšom odosielaní SOAP správ na webovú službu posielaný aj autentifikačný lístok v SOAP hlavičke.
* Pri opätovnom volaní webových metód nemusí byť posielaný s požiadavkou aplikácie aj klientsky certifikát. Vďaka tomu nemusí byť opätovne použité aj HTTPS spojenie.
* Autentifikačný lístok môže byť aplikácii vydaný s určitou časovou platnosťou, čo zvyšuje flexibilitu systému.
Parametre AES šifry sú zaslané webovou metódou''' CreateConnection''' vo forme XML dokumentu. XML dokument je zašifrovaný pomocou RSA šifry s využitím verejného kľúča z klientskeho certifikátu.

XML dokument obsahuje parametre AES šifry a takisto verejný kľúč z certifikátu servera, na overenie digitálneho podpisu SOAP správy webovej služby.

Zašifrované XML je na strane klienta dešifrované pomocou súkromného kľúča z patričného klientskeho certifikátu.

Parametre AES šifry využíva objekt proxy na šifrovanie SOAP požiadaviek klienta.

{|class="wikitable"
'''Tab. 9.4''' Autentifikačný lístok v SOAP hlavičke
|-
|<source lang="xml">
<source lang="xml">
<soap:Envelope xmlns:soap="http://schemas.xmlsoap.org/soap/envelope/">
<soap:Header>
<TicketHeader xmlns="http://tempuri.org/">
<Ticket>f84bd797-8ea5-463c-9319-5d952ec30207</Ticket>
</TicketHeader>
</soap:Header>
<soap:Body>
</soap:Body>
</soap:Envelope>
</source>
|}

[[Súbor:dp_2010_jm_13.png|framed|center|Obr. 9.1 Autentifikačný proces]]

Popis autentifikačného procesu na Obr. 9.1 :

1. Načítanie klientskeho certifikátu z úložiska.

2. Pridanie certifikátu k objektu proxy a zavolanie webovej metódy CreateConnection.

3. Autentifikácia klientskeho certifikátu, vydanie autentifikačného lístka, ak bol certifikát prijatý.

4. Pri následnom volaní webovej metódy sa autentifikácia klienta vykoná na základe autentifikačného lístka a komunikácia prebieha cez HTTP kanál.

==Databázové úložisko==

Ako sme v predchádzajúcej podkapitole spomenuli, informácie o autentifikovanom klientovi sú na strane webovej služby uchovávané v relačnej databáze, konkrétne MS SQL. Pre komunikáciu s databázovým úložiskom sme mohli použiť nasledujúce technológie:

1. LINQ to SQL <nowiki>[</nowiki>32<nowiki>]</nowiki>,

2. ADO.NET <nowiki>[</nowiki>33<nowiki>]</nowiki>.

LINQ to SQL poskytuje niektoré pokročilé možnosti v porovnaní s ADO.NET. Avšak samotná technológia ADO.NET poskytuje dostatočnú podporu pre rôzne DBMS <nowiki>[</nowiki>33<nowiki>]</nowiki> :

* MS SQL Server,
* MS SQL Mobile Server,
* Oracle,
* MySQL,
* ODBC,
* OLEDB.
V praktickej časti sme vytvorili triedu AbstractDatabase podľa návrhového vzoru Abstract Factory, ktorá umožňuje flexibilne vytvoriť triedu na prístup k databázovému úložisku podľa konkrétneho DBMS. Tým je zabezpečená možnosť upraviť databázové úložisko pre potreby praxe. Pri komplexnej podnikovej aplikácii by bolo najvýhodnejšie použiť ORM Framework napr. NHibernate. Dosiahli by sme separáciu objektového kódu od databázového kódu a znížili závislosť logickej vrstvy od bussines vrstvy. Použitie ORM Frameworku je nad rámec tejto práce, ale považovali sme za vhodné ho spomenúť.

==Spracovanie SOAP správ==

Jedným z prvkov na zabezpečenie integrity a dôvernosti komunikácie medzi klientskou aplikáciou a XML ASP.NET webovou službou je mechanizmus šifrovania a digitálneho podpisovania SOAP správ'''. '''Predtým, než si opíšeme spôsob, akým sú šifrované a podpisované SOAP správy, sa musíme oboznámiť so spôsobom, akým sú spracovávané SOAP správy na strane webovej služby aj na strane klientskej aplikácie.

Spracovávanie SOAP správ na strane webovej služby, ale aj na strane klienta prebieha v 2 etapách <nowiki>[</nowiki>3<nowiki>]</nowiki>:

1. '''Serializácia.''' Požiadavka klienta alebo odpoveď webovej služby je serializovaná ako XML schéma.

2. '''Deserializácia'''. SOAP správa je deserializovaná na dátové typy.

Aby sme mohli pristupovať k jednotlivým etapám spracovania SOAP správ, musíme implementovať mechanizmus SOAP rozšírenia na strane webovej služby, ale aj na strane klientskej aplikácie. Prístup k etapám serializácie a deserializácie je nutná podmienka na šifrovanie a digitálne podpisovanie SOAP správ

==Rozšírenie SOAP==

Rozšírenie SOAP predstavuje mechanizmus akým môžeme manipulovať so SOAP správami na strane klienta aj na strane webovej služby. Tento spôsob je veľmi flexibilný, o čom sa presvedčíme neskôr. Pokiaľ vytvoríme SOP rozšírenie, spracovanie SOAP správ prechádza 4 etapami <nowiki>[</nowiki>3<nowiki>]</nowiki>:

* '''BeforeDeserialize'''. Táto sa spúšťa v okamihu, keď webový server, poprípade objekt proxy dostanú SOAP správu.
* '''AfterDeserialize'''. V tejto etape je nespracovaná (raw) SOAP správa prevedená na dátové typy platformy .NET Framework. Vykonáva sa ešte pred spustením webovej metódy.
* '''BeforeSerialize. '''V tejto etape sa už spracováva kód webovej metódy, ale návratová hodnota webovej metódy nie je ešte serializovaná do SOAP správy.
* '''AfterSerialize'''. V tejto etape je návratová hodnota webovej metódy serializovaná do SOAP správy, ale tá ešte nie je odoslaná na klientsku aplikáciu.
V etapách '''BeforeDeserialize '''a''' AfterSerialize '''môžeme získať celý obsah SOAP správy. SOAP rozšírenie musí byť vykonávané aj na strane klienta, a to prostredníctvom objektu proxy. Celý proces spracovania SOAP správ je na Obr. 9.2.

[[Súbor:dp_2010_jm_14.png|framed|center|Obr. 9.2 Serializácia a Deserializácia SOAP správ]]

==Vytvorenie SOAP rozšírenia==

SOAP rozšírenie na platforme .NET Framework sa skladá z 2 častí <nowiki>[</nowiki>1<nowiki>]</nowiki>:

* Samotného SOAP rozšírenia, reprezentovaného vlastnou triedou, ktorá musí byť vytvorená odvodením z triedy '''System.Web.Protocols.SoapExtension'''.
* Vlastného atribútu, ktorý sa použije u webovej metódy na indikáciu, že na danú webovú metódu sa má aplikovať SOAP rozšírenie. SOAP atribút sa vytvára odvodením z triedy '''System.Web.Protocols.SoapExtensionAttribute'''.

===Atribút pre SOAP rozšírenie - SecureExtensionAttribute===

Atribút SOAP rozšírenia umožňuje spojiť konkrétne rozšírenie SOAP s metódami webovej triedy. Vytvára sa odvodením z triedy '''System.Web.Protocols.SoapExtensionAttribute. '''<nowiki>[</nowiki>1<nowiki>]</nowiki> Atribút pre SOAP rozšírenie je v našej webovej službe implementovaný prostredníctvom triedy''' SecureExtensionAttribute'''

{|class="wikitable"
'''Tab. 9.5''' Atribút SoapExtension
|-
|<source lang="csharp">
[AttributeUsage(AttributeTargets.Method)]
public class SecureExtensionAttribute : SoapExtensionAttribute
{...}
</source>
|}

Trieda pre SOAP rozšírenie obsahuje atribút AttributeUsage. Pomocou neho špecifikujeme oblasť použitia nášho atribútu. Náš atribút bude teda použitý na jednotlivé deklarácie webových metód.

V našej triede pre SOAP rozšírenie je nutné prekryť 2 abstraktné vlastnosti, ktoré trieda získala odvodením z triedy System.Web.Protocols.SoapExtensionAttribute. Ide o vlastnosti <nowiki>[</nowiki>3<nowiki>]</nowiki> :

* '''Priority'''. Slúži na nastavenie poradia, v akom sa spracujú SOAP rozšírenia, pokiaľ ich je na webovú metódu nakonfigurovaných viacero.
* '''ExtensionType.''' Vracia objekt Type, ktorý reprezentuje našu vlastnú triedu pre SOAP rozšírenia.
Trieda '''SecureExtensionAttribute''' pre atribút SOAP rozšírenia implementuje metódu '''SoapElement''', pomocou ktorej budeme konfigurovať, ktoré časti SOAP správy budú šifrované. Konfigurácia sa vykonáva prostredníctvom Xpath výrazu.

===Trieda SOAP rozšírenia - SecureExtension===

SOAP rozšírenie je implementované v našej webovej službe prostredníctvom triedy''' SecureExtension. '''Každá trieda pre SOAP rozšírenie musí byť vytvorená odvodením z '''System.Web.Protocols.SoapExtension. '''<nowiki>[</nowiki>1<nowiki>]</nowiki>. V Tab. 9.6 sú povinné metódy, ktoré musíme prekryť pri vytváraní triedy pre SOAP rozšírenie.

{|class="wikitable"
'''Tab. 9.6'''' Trieda SOAP rozšírenia
|-
|<source lang="csharp">
public class SecureExtension : SoapExtension
{...}
</source>
|}

{|class="wikitable"
'''Tab. 9.7''' Povinné metódy triedy SOAP rozšírenia
|align = "justify"|'''Metóda'''
|align = "justify"|'''Popis'''
|-
|align = "justify"|GetInitializer()
|align = "justify"|Táto metóda predáva počiatočné informácie pre SOAP rozšírenie. Je spúšťaná pri prvom vykonaní SOAP rozšírenia. To umožňuje inicializovať hodnoty niektorých dát, ktoré sa použijú pri spracovaní SOAP správ. Takisto v tejto metóde môžeme extrahovať hodnoty atribútu pre SOAP rozšírenie. Táto metóda má dve verzie. Volá sa vždy len jedna, v závislosti od toho či je SOAP rozšírenie nakonfigurované prostredníctvom atribútu alebo konfiguračného súboru.
|-
|align = "justify"|Initialize()
|align = "justify"|Metóda predáva počiatočné informácie pre SOAP rozšírenie. Je spúšťaná pri každom vykonaní SOAP rozšírenia.
|-
|align = "justify"|ProcessMessage()
|align = "justify"|Táto metóda vykonáva vlastné spracovanie SOAP rozšírenia, umožňuje modifikovať SOAP správy. V tejto metóde sú volané metódy pre šifrovanie a digitálne podpisovanie SOAP správ.
|-
|align = "justify"|ChainStream()
|align = "justify"|Metóda umožňuje získať prístup k SOAP bez prerušenia iných rozšírení.
|-
|}

Trieda SOAP rozšírenia SecureExtension implementuje v sebe dve pomocné metódy :

* '''RequestMessage'''. Jej úlohou je predať SOAP stream objektu typu SecureExtensionUtilities na dešifrovanie a overenie digitálneho podpisu SOAP požiadavky.
* '''ResponseMessage'''. Jej úlohou je predať SOAP stream objektu typu SecureExtensionUtilities na zašifrovanie a digitálne podpísanie SOAP odpovede .

SOAP rozšírenie je v podobnej forme, s malými zmenami, implementované aj na strane klienta, s malými zmenami .

===Metóda ProcessMessage===

Metóda ProcessMessage je volaná ASP.NET v týchto štyroch etapách <nowiki>[</nowiki>4<nowiki>]</nowiki>:

1. '''BeforeDeserialize,'''

2. '''AfterDeserialize,'''

3. '''BeforeSerialize,'''

4. '''AfterSerialize.'''

Etapa '''BeforeDeserialize''' je prvou etapou spracovanie SOAP požiadavky od klienta. V tejto etape sa na strane webovej služby vykonáva:

* Načítanie hodnoty autentifikačného lístka z hlavičky SOAP správy od klienta.
* Overenie platnosti autentifikačného lístka. Autentifikačný lístok sa vydáva klientovi s obmedzenou časovou platnosťou. V databáze na strane webovej služby je každá hodnota autentifikačného lístka spojená s časom, kedy bol lístok vydaný. Na základe hodnoty lístka sú načítané parametre AES šifry a verejný kľúč klienta.
* Po úspešnom overení lístka je SOAP stream predaný na dešifrovanie a overenie digitálneho podpisu prostredníctvom pomocnej metódy '''RequestMessage. '''Proces dešifrovania a overenia digitálneho podpisu je vykonávaný triedou SecureExtensionUtilities. Táto trieda bude popísaná v samostatnej podkapitole.
Spracovanie SOAP správy v etape BeforeDeserialize je znázornené na Obr. 9.3.

[[Súbor:dp_2010_jm_15.png|framed|center|Obr. 9.3 Spracovanie SOAP správy v etape BeforeDeserialize]]

Etapa''' AfterSerialize''' je poslednou etapou spracovania SOAP odpovede zasielanej na klienta. V tejto etape sa na strane webovej služby vykonáva:

* Predanie SOAP streamu na digitálne podpísanie a zašifrovanie SOAP správy prostredníctvom pomocnej metódy '''ResponseMessage'''. Samotný proces šifrovania a digitálneho podpisovania je vykonávaný triedou SecureExtensionUtilities.

Hlavnou úlohou triedy SecureExtension je:

* Počiatočná autentifikácia klienta na základe hodnoty lístka v SOAP hlavičke.
* Načítanie AES parametrov a verejného kľúča z databázy.
* Predanie SOAP streamov na spracovanie triede '''SecureExtensionUtilities'''

[[Súbor:dp_2010_jm_16.png|framed|center|Obr. 9.4 Životný cyklus triedy SecureExtension]]

==Šifrovanie a dešifrovanie==

Úlohou šifrovania je zabezpečiť dôvernosť a integritu komunikácie na komunikačnej ceste, ktorú tvorí viacero uzlov, čiže vykryť nedostatky technológie SSL. Šifrovanie SOAP správ predstavuje tzv. zabezpečenie na úrovni správ. V našej bezpečnostnej platforme je umožnené selektívne šifrovanie SOAP, ktoré sa dá podľa potreby nastavovať pomocou atribútov SOAP rozšírenia.

Šifrovanie a dešifrovanie SOAP správ je vykonávané v triede SecureExtensionUtilities. Skôr ako vysvetlíme, akým spôsobom je zabezpečená dôvernosť a integrita komunikácie, rozoberieme si nevýhody použitia samotnej technológie SSL.

===Nevýhody technológie SSL===

Veľmi rozšíreným spôsobom zabezpečenia komunikácie webových aplikácií je použitie technológie SSL, ktorú sme si popísali v podkapitole 4.1. Pre zabezpečenie webových služieb nie je táto technológia veľmi vhodná. Medzi obmedzenia SSL v spojitosti s XML webovými službami patrí:

* SSL predstavuje tzv. end - to - end zabezpečenie komunikácie. Pokrytý je len odosielateľ a príjemca správy. Pre XML webové služby je nutné zabezpečiť komunikáciu medzi každými dvoma uzlami komunikácie, ide o tzv. point – to – point zabezpečenia.
* SSL predstavuje zabezpečenie komunikácie iba na transporte. Pre webové služby je vhodnejšie zabezpečenie na úrovni správ. SSL je závislé na HTTP protokole.
* SSL šifruje celú komunikáciu, neumožňuje selektívne šifrovanie a takisto nepodporuje v plnej miere mechanizmus nepopierateľnosti. Pre webové služby, ktoré sú súčasťou SOA, je selektívne šifrovanie nutnou podmienkou.

[[Súbor:dp_2010_jm_17.png|framed|center|Obr. 9.5 Point-to-point a end-to-end zabezpečenie]]

===Advanced Encryption Standard===

Pri počiatočnej výmene konfiguračného XML dokumentu je využitá asymetrická šifra RSA s využitím kľúčov z certifikátov webovej služby a klienta. Ďalšia komunikácia je šifrovaná pomocou symetrického šifrovacieho algoritmu. Ako šifrovací algoritmus sme zvolili symetrický blokový algoritmus Rijndael, ktorý bol v roku 1997 vyhlásený americkým úradom pre štandardizáciu (NIST) ako štandard. Dodnes nie sú známe dôkazy o jeho prelomení. <nowiki>[</nowiki>23<nowiki>]</nowiki>

AES predstavuje blokový šifrovací algoritmus so šírkou bloku 128 bitov a možnými dĺžkami kľúčov 128, 192 a 256. Rijndael podporuje aj voliteľné väčšie dátové bloky a kľúče v 32- bitových prírastkoch, ale tie nie sú zahrnuté v špecifikácii štandardu AES. <nowiki>[</nowiki>22<nowiki>]</nowiki>

==Trieda SecureExtensionUtilities==

Ako už bolo spomenuté, SOAP správy sú šifrované pomocou symetrickej šifry Rijndael, ktoré časti SOAP správy budú šifrované, je určené pomocou atribútov SOAP rozšírenia. Trieda SecureExtensionUtilities zabezpečuje šifrovanie, dešifrovanie, digitálne podpisovanie a verifikáciu digitálneho podpisu SOAP správ.

SecureExtensionUtilities implementuje v sebe dve hlavné verejné metódy:

* '''InSoap,'''
* '''OutSoap,'''
a tieto pomocné privátne metódy:

* DecryptString, metóda dešifruje textový reťazec z XML dokumentu.
* DecryptSoap, dešifruje XML dokument.
* VerifySignedSoap, overuje digitálny podpis SOAP správy.
* SingSoap, digitálne podpisuje SOAP správu na základe štandardu XML Signature.
* EncryptString, metóda šifruje textový reťazec z XML dokumentu.
* EncryptSoap, šifruje XML dokument.

Metóda''' InSoap''' spracováva stream SOAP požiadavky od klienta. Táto metóda je volaná v etape BeforeDeserialize metódy ProcessMessage. Ako vstupné parametre akceptuje:

* string<nowiki>[]</nowiki> soapElement určuje, ktoré elementy SOAP správy budú šifrované.
* Stream inputStream predstavuje raw SOAP správu.
* User user, trieda User predstavuje dátový objekt obsahujúci AES parametre a verejný kľúč klienta.
Ak nie je SOAP správa šifrovaná, metóda InSoap vráti ASP.NET vstupný SOAP prúd. Celý proces spracovania je znázornený na Obr. 9.3. Pokiaľ príde k zmene SOAP správy počas prenosu cez HTTP kanál, čiže overenie digitálneho podpisu SOAP správy indikuje sfalšovanie alebo podvrhnutie, klient je upozornený a nepríde k spracovaniu SOAP správy, či už na strane webovej služby, alebo na strane klientskej aplikácie.

'''Overovanie digitálneho podpisu na strane klienta''' je '''realizované '''obdobným spôsobom, rozdiel je v tom, že podpisovanie SOAP správ realizuje objekt '''proxy''', v ktorom je implementované samotné SOAP rozšírenie. Na overovanie je použitý verejný kľúč zo serverového certifikátu webovej služby. Úlohou metódy InSoap je teda dešifrovať SOAP správu a overiť jej digitálny podpis.

Metóda''' OutSoap''' spracováva stream SOAP odpovede zasielaného na klienta. Táto metóda je volaná v etape AfterSerialize metódy ProcessMessage. Metóda OutSoap ako vstupné parametre akceptuje:

* string<nowiki>[]</nowiki> soapElement určuje, ktoré elementy SOAP správy budú šifrované.
* Stream inputStream predstavuje raw SOAP správu.
* User user, trieda User predstavuje dátový objekt obsahujúci AES parametre a verejný kľúč klienta.
* X509Certificate2 webServiceCert, objekt typu X509Certificate2 predstavuje serverový certifikát so súkromným kľúčom, ktorý sa použije na digitálne podpísanie SOAP správy.
Úlohou tejto metódy je digitálne podpísať a zašifrovať SOAP správu. Každá zašifrovaná SOAP správa od klienta má v SOAP hlavičke umiestnený dodatočný '''element IsEncrypted''', ktorý slúži na identifikáciu, či je daná SOAP správa zašifrovaná. V Tab. 9.8 je ukážka zašifrovania SOAP správy

{|class="wikitable"
'''Tab. 9.8''' Ukážka zašifrovanie SOAP správy
|-
|<source lang="xml">
<?xml version="1.0" encoding="utf-8" ?>
<soap:Envelope xmlns:soap="http://schemas.xmlsoap.org/soap/envelope/"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xmlns:xsd="http://www.w3.org/2001/XMLSchema">
<soap:Header>
<TicketHeader xmlns="http://tempuri.org/">
<Ticket>2541a182-8f4f-46c3-84f7-e667c221f494</Ticket>
</TicketHeader>
<IsEncrypted />
</soap:Header>
<soap:Body>
<SseReadPatient xmlns="http://tempuri.org/">
<id>Wk/C7PGSj/+fg2jQhQlUyg==</id>
</SseReadPatient>
</soap:Body>
<</soap:Envelope>
</source>
|}

Digitálne podpisovanie SOAP správ je realizované prostredníctvom '''štandardu XML Signature''', ktorý sme si popísali v podkapitole 8.1. SOAP správy sú podpisované na strane servera prostredníctvom súkromného kľúča zo serverového certifikátu. Na strane klienta je digitálne podpisovanie realizované prostredníctvom súkromného kľúča z klientskeho certifikátu. V Tab. 9.9 je ukážka podpísanej SOAP správy.

'''Digitálne podpisovanie na strane klienta''' je '''realizované '''obdobným spôsobom, rozdiel je v tom že podpisovanie SOAP správ realizuje objekt '''proxy''', v ktorom je implementované samotné SOAP rozšírenie. Na podpísanie SOAP správy je použitý súkromný kľúč z klientskeho certifikátu.

{|class="wikitable"
'''Tab. 9.9''' Podpísaná SOAP správa
|-
|<source lang="xml">
<soap:Envelope:xmlns:soap="http://schemas.xmlsoap.org/soap/envelope/"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xmlns:xsd="http://www.w3.org/2001/XMLSchema">
<soap:Body>
</soap:Body>
<Signature xmlns="http://www.w3.org/2000/09/xmldsig#">
<SignedInfo>
<CanonicalizationMethod Algorithm="http://www.w3.org/TR/2001/REC-xml-c14n-20010315" />
<SignatureMethod Algorithm="http://www.w3.org/2000/09/xmldsig#rsa-sha1" />
<Reference URI="">
<Transforms>
<Transform Algorithm="http://www.w3.org/2000/09/xmldsig#enveloped-signature" />
</Transforms>
<DigestMethod Algorithm="http://www.w3.org/2000/09/xmldsig#sha1" />
<DigestValue>2yfAuq6taP4kPBsFEM+J79F7ysM=</DigestValue>
</Reference>
</SignedInfo>
<SignatureValue>r2NmZyXtsku0WfbAJ4Kej/Kx0W0hAYCGAq7ltU7P5EN/NfQLYtZBCr97KHqNHkrEOqnU8Freg6
hEg1LXBhrkmF86bOApHTfOrdzpeK1WjK/tKO2G+xigjD8/PBhQszRK/qfG54gdY3kJ/y/kmn/S
F+W49scLowecDxxeIx29UeI3m4yF8GoDGL3xjB/sEN78u8owdaBVcwkH2jIHWz6CiwPHk7YNLF
c/Q0/XqE/ieBnAB2i0gLbM377AdHr9qLwMHVG/M9RVyl0JkWnUI8Viwm3Y268xz7cNlTnfa3uT
hOGHMgmVDrBboHL44zZIBAZbsNsbqSPEipTMDVc7efC0Vg==
</SignatureValue>
</Signature>
</soap:Envelope>
</source>
|}

Pri digitálnom podpisovaní sme použili kanonizačný algoritmus na element '''<nowiki><</nowiki>SignedInfo<nowiki>></nowiki>'''. Použitie je indikované prostredníctvom elementu CanonicalizationMethodAlgorithm. Je to z toho dôvodu, aby sme zabránili rozdielnym výsledkom pri overovaní digitálneho podpisu. Nakoľko textová reprezentácia XML môže byť spracovaná rozdielne v závislosti použitého dátového prúdu (prázdne tagy, white space, komentáre...), kanonizácia definuje presnú fyzickú štruktúru dokumentu.

{|class="wikitable"
'''Tab. 9.10''' Zoznam algoritmom použitých pri digitálnom podpisovaní SOAP
|align = "justify"|'''Algoritmus'''
|align = "justify"|'''Popis'''
|-
|align = "justify"|SHA1
|align = "justify"|Hašovací algoritmus použitý pri výpočte hašu.
|-
|align = "justify"|RSA
|align = "justify"|Kryptografický algoritmus použitý na vytvorenie digitálneho podpisu.
|-
|align = "justify"|REC
|align = "justify"|Kanonizačný algoritmus.
|-
|}

V tejto podkapitole sme si popísali štruktúru triedy SecureExtensionUtilities, vysvetlili sme si akým spôsobom je spracovaný SOAP stream z triedy SOAP rozšírenia, a taktiež digitálne podpisovanie, verifikáciu, šifrovanie a dešifrovanie SOAP správ.

==Autorizácia v SOAP Security Enhancement==

Selektívne šifrovanie a digitálne podpisovanie má ochrániť samotnú komunikáciu medzi webovou službou a jej klientom. Úlohou autorizácie je rozhodnúť, aké operácie bude môcť autentifikovaný užívateľ vykonávať a k akým zdrojom bude mať prístup na strane webovej služby. Pri vytváraní autorizačných pravidiel sme mali tieto možnosti:

* Vytvoriť autorizačné pravidlá v konfiguračnom súbore webovej služby. Týmto spôsobom sme sa zaoberali v podkapitole 6.1.
* Namapovať klientske certifikáty na užívateľské účty systému Windows prostredníctvom IIS.
* Použiť niektorý zo spôsobov impersonácie, ktorými sme sa zaoberali v podkapitole 5.2.1.
Použitie autorizačných pravidiel v súbore web.config je relatívne flexibilný spôsob autorizácie, ale neposkytuje také pokročilé možnosti ako impersonácia. Rozhodli sme sa použiť programovú impersonáciu, a to z nasledujúcich dôvodov :

* Umožňuje mapovanie klientskych certifikátov na užívateľské účty systému dvoma rôznymi spôsobmi :
* One – to – one,
* Many – to – one.
* Programová impersonácia nám umožní flexibilne nastaviť, ktorá časť programového kódu bude vykonávaná pod účtom Network Service a ktorá pod nami zvoleným užívateľským účtom. Tento spôsob sa prostredníctvom mapovania klientskych certifikátov na IIS nedá docieliť.
Proces programovej impersonácie je nasledovný :

* V databáze je priradený ku každému klientskemu certifikátu jeden užívateľský účet systému Windows.
* Pri úspešnej počiatočnej autentifikácii klienta prostredníctvom certifikátu, sa jeho autentifikačný lístok namapuje na užívateľský účet.
Programová impersonácia je vykonávaná triedou UserImpersonation, ktorá obsahuje tieto metódy :

* Login - získa príznak účtu užívateľa Windows.
* Impersonate - spustí proces vykonávania programového kódu v kontexte identity užívateľského účtu. Pokiaľ klientov autentifikačný lístok nie je namapovaný na užívateľský účet, programový kód bude vykonávaný pod účtom Network Service, ktorý predstavuje prednastavený účet pre spracovanie ASPNET na systéme Windows Server 2003.
* UndoImpersonate - ukončí impersonáciu programového kódu.
Prostredníctvom užívateľských účtov Windows môžeme jednotlivým klientom webovej služby vyčleniť prístup k súborom na disku, k databáze a pod. Použitie triedy UserImpersonate je znázornené v Tab. 9.11.

{|class="wikitable"
'''Tab. 9.11''' Použitie triedy UserImpersonate
|-
|<source lang="csharp">
UserImpersonation _objImp = new UserImpersonation();

_objImp.ReadUserAccount(Ticket.Ticket);

_objImp.Login();

_objImp.Impersonate();

//programový kód, ktorý ma byť vykonáný pod inou identitou

_objImp.UndoImpesonate();

</source>
|}

==Výhody SOAP Security Enhancement pre ASP.NET webové služby==

V minulosti sa na zabezpečenie ASP.NET webových služieb využívalo rozšírenie Web Services Enhancements (WSE) <nowiki>[</nowiki>25<nowiki>]</nowiki>, <nowiki>[</nowiki>26<nowiki>]</nowiki>, <nowiki>[</nowiki>27<nowiki>]</nowiki>. Súčasná verzia 3.0 nepodporuje ASP.NET webové služby. Preto je veľmi ťažké porovnať navrhovanú vlastnú bezpečnostnú platformu s nejakým oficiálnym spôsobom zabezpečenia. Jediným možným riešením bolo porovnať spôsob zabezpečenia s rozšírením WSE 2.0. Tento produkt mal veľmi veľa problémov v oblasti interoperability a takisto je zastaralý. Preto sme sa vyhli porovnaniu našej bezpečnostnej platformy s týmto rozšírením.

:Naša bezpečnostná platforma poskytuje zabezpečenie na úrovni aplikácie a taktiež na úrovni správ. Poskytuje dva spôsoby autentifikácie :

* Počiatočnú autentifikáciu založenú na certifikátoch X509. Výhodou tohto spôsobu autentifikácie je dobrá kontrola nad užívateľskými identitami.
* Autentifikáciu založenú na autentifikačných lístkoch v SOAP hlavičke. Výhodou tohto spôsobu autentifikácie je :
* Výhoda vytvorenia SOAP hlavičky je tá, že objekt proxy ju na strane klienta automaticky udržuje. Pokiaľ klient používa rovnakú inštanciu triedy proxy, bude automaticky a pri ďalšom odosielaní SOAP správ na webovú službu posielaný aj autentifikačný lístok v SOAP hlavičke.
* Pri opätovnom volaní webových metód nemusí byť posielaný s požiadavkou aplikácie aj klientsky certifikát. Vďaka tomu nemusí byť opätovne použité aj HTTPS spojenie.
* Autentifikačný lístok môže byť aplikácii vydaný s určitou časovou platnosťou, čo zvyšuje flexibilitu systému.

Integrita komunikácie je zabezpečená prostredníctvom digitálneho podpisovania na základe štandardu XML Signature. SOAP správy sú podpisované na základe privátnych kľúčov z certifikátov a overované na základe verejných kľúčov z certifikátov. Pokiaľ príde k zmene SOAP správy počas transferu cez HTTP kanál, čiže overenie digitálneho podpisu SOAP správy indikuje sfalšovanie alebo podvrhnutie, klient je upozornený a nepríde k spracovaniu SOAP správy, či už na strane webovej služby, alebo na strane klientskej aplikácie

Dôvernosť komunikácie je založená na šifrovaní SOAP správ pomocou symetrického blokového algoritmu Rijndael. Výhody:

* SOAP správy sú selektívne šifrované, chránené sú len potrebné dáta. Selektívne šifrovanie je nevyhnutná podmienka začlenenia XML webových služieb do SOA.
* Výhodou voči štandardu XML Encryption je ten, že pri našom šifrovaní nedochádza k „deformácii" XML tagov.
* Šifrovací algoritmus môže byť upravený podľa potreby praxe.
* Šifrovanie je realizované prostredníctvom SOAP rozšírenia. To znamená, že šifruje už serializované dáta. Vďaka tomu môžeme šifrovať a digitálne podpisovať aj vlastné dátové typy.
* Oproti technológii SSL predstavuje náš spôsob zabezpečenia point to point, čo je ďalšia podmienka začlenenia XML webových služieb do SOA.

Veľkú výhodu nášho zabezpečenia vidíme v spôsobe jeho samotného použitia. Celý mechanizmus ochrany SOAP správ sa aplikuje na webovú metódu prostredníctvom atribútu SOAP rozšírenia, ktorý predstavuje len dopísanie jedného riadku kódu nad webovú metódu. Náš spôsob zabezpečenia nemení spracovanie programového kódu webovej metódy.

V Tab. 9.12 je ukážka nastavenia šifrovania elementu body SOAP správy zasielanej ako odpoveď na klientsku aplikáciu. Elementy SOAP správy, ktoré majú byť zašifrované sa zadefinujú prostredníctvom Xpath výrazu pomocou vlastnosti SoapElement triedy atribútu SOAP rozšírenia.

{|class="wikitable"
'''Tab. 9.12''' Použitie atribútu SOAP rozšírenia
|-
|<source lang="csharp">
[WebMethod]
[SecureExtension(SoapElement = "//soap:Body/*/*")]
public DataSet GetDataSet()
{
//kód webovej metódy
}
</source>
|}

=Záver=
V práci sme opísali technologické pozadie XML webových služieb a ich štandardy. Zamerali sme sa na ASP.NET webové služby. Vysvetlili sme si spôsoby, akým môžeme vytvoriť bezpečnostný komunikačný scenár medzi webovou službou a jej klientom. Rozobrali sme jednotlivé možnosti autentifikácie, autorizácie klientov webovej služby, spôsoby na zabezpečenie dôvernosti a integrity komunikácie. Uviedli sme ich výhody a nevýhody, ktoré so sebou prinášajú.

Ďalej sme upozornili na hlavné chyby, ktoré vznikajú pri zabezpečovaní XML webových služieb. Jedná sa hlavne o použitie technológie SSL a štandardu XML Encryption. Samotná technológia SSL nie je postačujúce na zabezpečenie komunikácia medzi webovou službou a jej klientom, nakoľko predstavuje zabezpečenie na úrovni komunikačného kanála a predstavuje tzv. end – to – end zabezpečenie. To nie je veľmi vhodné pre XML webové služby, nakoľko v praxi bývajú súčasť SOA. SOA architektúra tiež vyžaduje selektívne šifrovanie, ktoré nie je možné dosiahnuť so štandardom XML Encryption. Pri použití toho štandardu dochádza taktiež k deformácii XML tagov. Cieľom bezpečnostnej platformy bolo odstránenie týchto nedostatkov. Bezpečnostná platforma predstavuje zabezpečenie na úrovni aplikácie a tiež na úrovni správ. Počiatočná autentifikácia je realizovaná na základe certifikátov X509, pri volaní ďalších webových metód je klient autentifikovaný na základe autentifikačného lístka v SOAP hlavičke. Dĺžka platnosti autentifikačného lístka sa dá flexibilne meniť podľa potreby. SOAP správy sú selektívne šifrované pomocou AES, tým je dosiahnuté utajenie komunikácie. Integrita je zabezpečené prostredníctvom digitálneho podpisovania SOAP správ. Naša bezpečnostná platforma poskytuje autorizáčný mechanizmus prostredníctvom programovej impersonácie.

Na otestovanie funkčnosti zabezpečenia komunikácie XML ASP.NET webovej služby bola vytvorená Winforms klientska aplikácia. Programové knižnice predstavujúce bezpečnostnú platformu aj klientska aplikácia sú súčasťou DVD prílohy.

=Použitá literatúra=
#MacDonald, Matthew., Beginning ASP.NET 3.5 in C# 2008: From Novice to Professional, Apress, 2007. ISBN 978-1590598917
#Troelsen, Andrew., Pro C# 2008 and the .NET 3.5 Platform, Apress, 2007. ISBN 978-1590598849
#Glynn, Jay., Skinner, Morgan., Professional C# 2008, Wrox, 2008. ISBN 978-0470191378
#MacDonald, Matthew., Szpuszta, Mario., Pro ASP.NET 2.0 in C# 2005, Apress, 2005. ISBN 978-1590594964
#Foggon, Damien., Maharry, Daniel., Ullman, Chris., Watson, Karli., Programming Microsoft .NET XML Web Services, Microsoft Press, 2003. ISBN 978-0735619128
#Jones, Allen ., Microsoft .NET XML Web Services Step by Step, Microsoft Press, 2002. ISBN13: 978-0735617209
#Eide, Andreas., Miller, Chris., Sempf, Bill Sempf., Professional ASP.NET Web Services, Wrox Press, 2001. ISBN 978-1861005458
#Kurt, Chris., Web Services Architecture and Its Specifications: Essentials for Understanding WS, Microsoft Press, 2005. ISBN 978-0735621626
#Krowczyk, Andrew., Greenvoss, Zach., Banerjee. Ashish., Professional C# Web Services: Building .NET Web Services with ASP.NET and .NET Remoting, Wrox Press, 2001. ISBN 978-1861004390
#www.w3.org [online]. last updated: 2007-06-05 [cit. 2009-12-19]. Dostupná z WWW: < http://www.w3.org/TR/soap/>
#www.w3.org [online]. last updated: 2001-03-14 [cit. 2009-12-19]. Dostupná z WWW: < http://www.w3.org/TR/wsdl/>
#www.oasis-open.org [online]. last updated: 2009-12-19 [cit. 2009-12-19]. Dostupná z WWW: < http://www.oasis-open.org/committees/uddi-spec/doc/tcspecs.htm>
#O'Neill, Mark., Web Services Security, McGraw-Hill Osborne Media, 2003. ISBN 978-0072224719
#Hartman, Bret., Flinn, Donald., Beznosov, Konstantin. Mastering Web Services Security, 2003. ISBN 978-0471267164
#Nantz, Brian., Expert Web Services Security in the .NET Platform, Apress, 2004. ISBN 978-1590591154
#Microsoft, Vytváříme zabezpečené aplikace v Microsoft ASP.NET, Computer Press, 2004. ISBN 80-251-0466-4
#www.w3.org [online]. last updated: 2008-06-10 [cit. 2009-12-19]. Dostupná z WWW: < http://www.w3.org/TR/xmldsig-core/ >
#www.w3.org [online]. last updated: 2002-12-13 [cit. 2009-12-19]. Dostupná z WWW: < http://www.w3.org/TR/xmlenc-core/ >
#www.w3.org [online]. last updated: 2004-03-26 [cit. 2009-12-19]. Dostupná z WWW: < http://www.w3.org/MarkUp/SGML/>
#www.oasis-open.org [online]. last updated: 2009-12-19 [cit. 2009-12-19]. Dostupná z WWW: < http://www.oasis-open.org/committees/tc_home.php?wg_abbrev=xacml>
#www.w3.org [online]. last updated: 2005-12-20 [cit. 2009-12-19]. Dostupná z WWW: < http://www.w3.org/TR/XMKS/ >
#Rijmen, Vincent., The Design of Rijndael: AES - The Advanced Encryption Standard, Springer, 2002. ISBN 978-3540425809
#Tom, Denis., Cryptography for Developers, Syngress, 2007. ISBN 978-1597491044
#www.msdn.microsoft.com [online]. last updated : 2009-12-22 [cit. 2009-12-22]. Dostupná z WWW: http://msdn.microsoft.com/en-us/library/system.security.cryptography.passwordderivebytes.aspx
#Microsoft Corporation, Web Service Security: Scenarios, Patterns, and Implementation Guidance for Web Services Enhancements (WSE) 3.0, Microsoft Press, 2006. ISBN 978-0735623149
#Hasan, Jeffrey., Expert Service-Oriented Architecture in C#: Using the Web Services Enhancements 2.0, Apress, 2004. ISBN 978-1590593905
#Evjen, Bill., Web Services Enhancements: Understanding the WSE for .NET Enterprise Applications, Wiley, 2003. ISBN 978-0764537363
#www.msdn.microsoft.com [online]. last updated : 2009-12-22 [cit. 2009-12-22]. Dostupná z WWW: http://msdn.microsoft.com/en-us/library/system.security.cryptography.passwordderivebytes.aspx
#www.msdn.microsoft.com [online]. last updated : 2010-01-07 [cit. 2010-01-07]. Dostupná z WWW: http://msdn.microsoft.com/en-us/library/72wdk8cc(VS.71).aspx
#http://www.oasis-open.org [online]. last updated : 2010-01-07 [cit. 2010-01-07]. Dostupná z WWW: http://www.oasis-open.org/committees/tc_home.php?wg_abbrev=xacml
#www.msdn.microsoft.com [online]. last updated : 2010-01-07 [cit. 2010-01-07]. Dostupná z WWW: http://msdn.microsoft.com/en-us/library/ms229335.aspx
#www.msdn.microsoft.com [online]. last updated : 2010-01-07 [cit. 2010-01-07]. Dostupná z WWW: http://msdn.microsoft.com/en-us/netframework/aa904594.aspx
#www.msdn.microsoft.com [online]. last updated : 2010-01-07 [cit. 2010-01-07]. Dostupná z WWW: http://msdn.microsoft.com/en-us/library/e80y5yhx%28VS.80%29.aspx
#www.msdn.microsoft.com [online]. last updated : 2010-01-07 [cit. 2010-01-07]. Dostupná z WWW: http://msdn.microsoft.com/en-us/library/dd0w4a2z%28VS.80%29.aspx
#Dostálek, Libor., Vohnoutová, Marta., Velký průvodce infrastrukturou PKI a technologií elektronického podpisu, 2006. ISBN 80-251-0828-7
#www.msdn.microsoft.com [online]. last updated : 2010-01-07 [cit. 2010-01-07]. Dostupná z WWW: http://msdn.microsoft.com/en-us/library/cc488021.aspx

XML security

2010-06-11T12:27:55Z

Ian: /* SAML */

[[Kategória:Študentské práce]][[Kategória:Diplomové práce]][[Kategória:Informatika]][[Kategória:Webové služby]]
{{Praca_uvod|8|Návrh a implementácia bezpečnostnej technológie pre webové služby|XML a webové služby |XML ASP.NET webové služby|Zabezpečennie webových aplikácií|Integrita a dôvernosť komunikácie|Autentifikácia|Autorizácia webových služieb|Zabezpečenie webových služieb|XML security|SOAP Security Enhancement pre ASP.NET webové služby}}
__TOC__
=XML Security=

Ako sme už spomenuli, komunikácia webových služieb a klientskych aplikácií prebieha prostredníctvom SOAP správ. Na komunikáciu je použitý typ SOAP správ nazývaný '''document-style''' (štýl dokument). Tento typ SOAP zobrazuje dáta, ktoré sú vymenované ako dokumenty, čiže každá SOAP správa obsahuje v tele '''XML dokument'''. Z toho dôvodu môžeme využiť pri zabezpečovaní SOAP správ technológie zamerané na bezpečnosť XML.

XML Security predstavuje rozšírenie samotného XML o bezpečnostné mechanizmy. '''XML Security '''tvorí päť častí <nowiki>[</nowiki>14<nowiki>]</nowiki>, <nowiki>[</nowiki>15<nowiki>]</nowiki>:

* XML Signature (XS),
* XML Encryption (XE),
* Security Assertion Markup Language (SAML),
* XML Access Control Markup Language (XACML),
* XML Key Managment Specification (XKMS).

==XML Signature==

XML Signature je štandard definujúci XML schému pre uloženie výsledku operácie digitálneho podpisu aplikovaného na ľubovoľné (XML) dáta. XML podpisy sú najčastejšie využívané pri XML transakciách. Digitálne podpisovanie XML poskytuje mechanizmus na <nowiki>[</nowiki>15<nowiki>]</nowiki>:

* autentifikáciu,
* kontrolu integrity a dôvernosti dát,
* na podporu neopakovateľnosti ( non repundation).
XML Signature umožňuje podpísať <nowiki>[</nowiki>17<nowiki>]</nowiki>:

* celý XML dokument,
* vybrané časti XML dokumentu.
Možnosť podpísať len vybranú časť XML stromu umožňuje veľkú flexibilitu. Napríklad v situácii, kde rozličné časti XML dokumentu boli vytvorené viacerými autoritami, každá autorita môže podpísať len svoju časť XML dokumentu.

Schéma XML digitálneho podpisu je v Tab. 8.1.

{|class="wikitable"
'''Tab. 8.1''' XML Signature<nowiki>[</nowiki>17<nowiki>]</nowiki>
|-
|<source lang="xml">
<Signature xmlns="http://www.w3.org/2000/09/xmldsig#">
<SignedInfo>
<CanonicalizationMethod Algorithm=""/>
<SignatureMethod Algorithm=""/>
<Reference URI="">
<Transforms>
<Transform Algorithm=""/>
</Transforms>
<DigestMethod Algorithm=""/>
<DigestValue></DigestValue>
</Reference>
</SignedInfo>
<</Signature>
</source>
|}

Popis dôležitých elementov XML Signature <nowiki>[</nowiki>17<nowiki>]</nowiki>:

* '''Reference - '''Každý zdroj, ktorý má byť digitálne podpísaný má svoj vlastný Reference element, reprezentovaný URI adresou.
* '''Transform''' - Je zoznam procesov ktoré sa aplikujú na obsah XML dokumentu pred jeho digitálnym podpísaním.
* '''Digest - '''Tento element obsahuje hodnotu digest odkazovaného zdroja.
* '''SignatureValue - '''Obsahuje hodnotu zašifrovaného digest elementu '''SignedInfo'''.

'''XML Signature ''' môže obsahovať ešte nepovinný element KeyInfo, ktorý určuje typ kľúča potrebného k overeniu digitálneho podpisu XML dokumentu.

Technológiu XML Signature použijeme pri zabezpečovaní komunikácie vo vlastnej bezpečnostnej platforme.

==XML Encryption==

XML Encryption je štandard definujúci XML schému pre uloženie výsledku operácie digitálneho šifrovania aplikovaného na ľubovoľné (XML) dáta. Takisto ako XML Signature aj XML Encryption umožňuje šifrovať <nowiki>[</nowiki>18<nowiki>]</nowiki>:

* celý XML dokument,
* vybrané časti XML dokumentu.
XML Encryption predstavuje point-to-point zabezpečenie, odstraňuje určité nedostatky technológie SSL alebo TLS.

Tento štandard nebude použitý pri vytváraní vlastnej bezpečnostnej platformy, nakoľko sme sa rozhodli ponúknuť vlastný alternatívny spôsob ako selektívne šifrovať časti XML s použitím veľmi bezpečného '''Advanced Encryption Standard. Dôvod vlastného spôsobu šifrovania XML je ten, že pri XML Encryption dochádza k zašifrovaniu tagov XML a tým sa stráca určitá funkčnosť XML dokumentu, v našom prípade SOAP správy.'''

Schéma XML Encrypt je v Tab. 8.2.

{|class="wikitable"
'''Tab. 8.2''' XML Encrypt <nowiki>[</nowiki>18<nowiki>]</nowiki>
|-
|<source lang="xml">
<?xml version='1.0'?>
<EncryptedData xmlns='http://www.w3.org/2001/04/xmlenc#'
MimeType='text/xml'>
<CipherData>
<CipherValue>A23B45C56</CipherValue>
</CipherData>
<</EncryptedData>
</source>
|}

Pre viac informácií odporúčame <nowiki>[</nowiki>18<nowiki>]</nowiki>.

==SAML==

Štandard SAML umožňuje zdieľanie autentifikačných a autorizačných informácií v rámci určitého systému. Medzi autentifikačné a autorizačné informácie patria roly a certifikáty. Dokument SAML môže byť digitálne podpísaný pomocou XML Signature. <nowiki>[</nowiki>15<nowiki>]</nowiki>

1. Webový portál overí identitu užívateľa na základe klientskeho certifikátu. Užívateľovi pridelí určitú identitu, rolu.

2. Rola užívateľa je pripojená do SOAP správy, ktorá je digitálne podpísaná webovým portálom.

3. Webová služba overí identitu webového portálu, skontroluje digitálny podpis a následne zakáže alebo povolí klientovi prístup.

Štandard SAML sa skladá z troch častí <nowiki>[</nowiki>19<nowiki>]</nowiki>:

1. Definuje syntax a sémantiku správ obsahujúcich assertion (tvrdenia) vo forme XML.

2. Definuje protokoly pre výmenu bezpečnostných informácií.

3. Definuje pravidlá pre použitie assertion, štandardy pre transport. Napríklad SOAP tvrdenie môže byť poslané v SOAP správe cez HTTP kanál.

Security Assertion Markup Language sa dá využiť v týchto 3 nasledujúcich scenároch <nowiki>[</nowiki>19<nowiki>]</nowiki>:

* '''Single sing-on''' (Jediné prihlásenie),

[[Súbor:dp_2010_jm_12.png|framed|center|Obr. 8.2 SSO ]]

1. Klient je autentifikovaný prostredníctvom certifikátu na webovom portáli 1.

2. Pri prístupe na webový portál 2 by musel znova predložiť certifikát.

3. Pokiaľ je použitý SAML, webový portál 2 overí identitu na webovom portáli 1 a na základe toho sa rozhodne, či dovolí alebo odmietne prístup klientovi.

* '''Distribuované transakcie,'''
* '''Autorizačná služba.'''

==XACML==

Tento štandard úzko súvisí so SAML, ktorý slúži ako mechanizmus na šírenie autentifikačných a autorizačných informácií. XACML je autentifikačná a autorizačná informácia. Predstavuje XML metajazyk, ktorého úlohou je štandardizovať popis autentifikačných a autorizačných politík. Definuje slovník pre popis práv a podmienok subjektu.

Nakoľko štandard XACML nebude v bezpečnostnej platforme použitý, nebudeme sa ním podrobnejšie zaoberať. Pre viac informácií odporúčame <nowiki>[</nowiki>30<nowiki>]</nowiki>.

==XMKS==

XMKS špecifikuje protokol pre hospodárenie s verejnými kryptografickými kľúčmi konkrétne pre <nowiki>[</nowiki>21<nowiki>]</nowiki>:

* registráciu,
* rušenie platnosti,
* obnovu kľúčov,
* vydanie nového kľúča.

XMKS sa skladá z troch častí <nowiki>[</nowiki>21<nowiki>]</nowiki>:

1. '''XML Key Information Service Specification (X - KISS).''' Podporuje služby pre používanie kryptografických kľúčov.

2. '''XML Key Registration Service Specification (X – KRSS). '''Podporuje služby spojené s držiteľom kryptografických kľúčov (obnova, registrácia).

3. '''Bulk Key Regisration ( X- Bulk)''' predstavuje rozšírenie X – KRSS pre hromadnú registráciu kryptografických kľúčov. Tieto protokoly môžu byť použité spolu so SOAP

XML security

2010-06-11T12:27:10Z

Ian: /* */

[[Kategória:Študentské práce]][[Kategória:Diplomové práce]][[Kategória:Informatika]][[Kategória:Webové služby]]
{{Praca_uvod|8|Návrh a implementácia bezpečnostnej technológie pre webové služby|XML a webové služby |XML ASP.NET webové služby|Zabezpečennie webových aplikácií|Integrita a dôvernosť komunikácie|Autentifikácia|Autorizácia webových služieb|Zabezpečenie webových služieb|XML security|SOAP Security Enhancement pre ASP.NET webové služby}}
__TOC__
=XML Security=

Ako sme už spomenuli, komunikácia webových služieb a klientskych aplikácií prebieha prostredníctvom SOAP správ. Na komunikáciu je použitý typ SOAP správ nazývaný '''document-style''' (štýl dokument). Tento typ SOAP zobrazuje dáta, ktoré sú vymenované ako dokumenty, čiže každá SOAP správa obsahuje v tele '''XML dokument'''. Z toho dôvodu môžeme využiť pri zabezpečovaní SOAP správ technológie zamerané na bezpečnosť XML.

XML Security predstavuje rozšírenie samotného XML o bezpečnostné mechanizmy. '''XML Security '''tvorí päť častí <nowiki>[</nowiki>14<nowiki>]</nowiki>, <nowiki>[</nowiki>15<nowiki>]</nowiki>:

* XML Signature (XS),
* XML Encryption (XE),
* Security Assertion Markup Language (SAML),
* XML Access Control Markup Language (XACML),
* XML Key Managment Specification (XKMS).

==XML Signature==

XML Signature je štandard definujúci XML schému pre uloženie výsledku operácie digitálneho podpisu aplikovaného na ľubovoľné (XML) dáta. XML podpisy sú najčastejšie využívané pri XML transakciách. Digitálne podpisovanie XML poskytuje mechanizmus na <nowiki>[</nowiki>15<nowiki>]</nowiki>:

* autentifikáciu,
* kontrolu integrity a dôvernosti dát,
* na podporu neopakovateľnosti ( non repundation).
XML Signature umožňuje podpísať <nowiki>[</nowiki>17<nowiki>]</nowiki>:

* celý XML dokument,
* vybrané časti XML dokumentu.
Možnosť podpísať len vybranú časť XML stromu umožňuje veľkú flexibilitu. Napríklad v situácii, kde rozličné časti XML dokumentu boli vytvorené viacerými autoritami, každá autorita môže podpísať len svoju časť XML dokumentu.

Schéma XML digitálneho podpisu je v Tab. 8.1.

{|class="wikitable"
'''Tab. 8.1''' XML Signature<nowiki>[</nowiki>17<nowiki>]</nowiki>
|-
|<source lang="xml">
<Signature xmlns="http://www.w3.org/2000/09/xmldsig#">
<SignedInfo>
<CanonicalizationMethod Algorithm=""/>
<SignatureMethod Algorithm=""/>
<Reference URI="">
<Transforms>
<Transform Algorithm=""/>
</Transforms>
<DigestMethod Algorithm=""/>
<DigestValue></DigestValue>
</Reference>
</SignedInfo>
<</Signature>
</source>
|}

Popis dôležitých elementov XML Signature <nowiki>[</nowiki>17<nowiki>]</nowiki>:

* '''Reference - '''Každý zdroj, ktorý má byť digitálne podpísaný má svoj vlastný Reference element, reprezentovaný URI adresou.
* '''Transform''' - Je zoznam procesov ktoré sa aplikujú na obsah XML dokumentu pred jeho digitálnym podpísaním.
* '''Digest - '''Tento element obsahuje hodnotu digest odkazovaného zdroja.
* '''SignatureValue - '''Obsahuje hodnotu zašifrovaného digest elementu '''SignedInfo'''.

'''XML Signature ''' môže obsahovať ešte nepovinný element KeyInfo, ktorý určuje typ kľúča potrebného k overeniu digitálneho podpisu XML dokumentu.

Technológiu XML Signature použijeme pri zabezpečovaní komunikácie vo vlastnej bezpečnostnej platforme.

==XML Encryption==

XML Encryption je štandard definujúci XML schému pre uloženie výsledku operácie digitálneho šifrovania aplikovaného na ľubovoľné (XML) dáta. Takisto ako XML Signature aj XML Encryption umožňuje šifrovať <nowiki>[</nowiki>18<nowiki>]</nowiki>:

* celý XML dokument,
* vybrané časti XML dokumentu.
XML Encryption predstavuje point-to-point zabezpečenie, odstraňuje určité nedostatky technológie SSL alebo TLS.

Tento štandard nebude použitý pri vytváraní vlastnej bezpečnostnej platformy, nakoľko sme sa rozhodli ponúknuť vlastný alternatívny spôsob ako selektívne šifrovať časti XML s použitím veľmi bezpečného '''Advanced Encryption Standard. Dôvod vlastného spôsobu šifrovania XML je ten, že pri XML Encryption dochádza k zašifrovaniu tagov XML a tým sa stráca určitá funkčnosť XML dokumentu, v našom prípade SOAP správy.'''

Schéma XML Encrypt je v Tab. 8.2.

{|class="wikitable"
'''Tab. 8.2''' XML Encrypt <nowiki>[</nowiki>18<nowiki>]</nowiki>
|-
|<source lang="xml">
<?xml version='1.0'?>
<EncryptedData xmlns='http://www.w3.org/2001/04/xmlenc#'
MimeType='text/xml'>
<CipherData>
<CipherValue>A23B45C56</CipherValue>
</CipherData>
<</EncryptedData>
</source>
|}

Pre viac informácií odporúčame <nowiki>[</nowiki>18<nowiki>]</nowiki>.

==SAML==

Štandard SAML umožňuje zdieľanie autentifikačných a autorizačných informácií v rámci určitého systému. Medzi autentifikačné a autorizačné informácie patria roly a certifikáty. Dokument SAML môže byť digitálne podpísaný pomocou XML Signature. <nowiki>[</nowiki>15<nowiki>]</nowiki>

1. Webový portál overí identitu užívateľa na základe klientskeho certifikátu. Užívateľovi pridelí určitú identitu, rolu.

2. Rola užívateľa je pripojená do SOAP správy, ktorá je digitálne podpísaná webovým portálom.

3. Webová služba overí identitu webového portálu, skontroluje digitálny podpis a následne zakáže alebo povolí klientovi prístup.

Štandard SAML sa skladá z troch častí <nowiki>[</nowiki>19<nowiki>]</nowiki>:

1. Definuje syntax a sémantiku správ obsahujúcich assertion (tvrdenia) vo forme XML.

2. Definuje protokoly pre výmenu bezpečnostných informácií.

3. Definuje pravidlá pre použitie assertion, štandardy pre transport. Napríklad SOAP tvrdenie môže byť poslané v SOAP správe cez HTTP kanál.

Security Assertion Markup Language sa dá využiť v týchto 3 nasledujúcich scenároch <nowiki>[</nowiki>19<nowiki>]</nowiki>:

• '''Single sing-on''' (Jediné prihlásenie),

[[Súbor:dp_2010_jm_12.png|framed|center|Obr. 8.2 SSO ]]

1. Klient je autentifikovaný prostredníctvom certifikátu na webovom portáli 1.

2. Pri prístupe na webový portál 2 by musel znova predložiť certifikát.

3. Pokiaľ je použitý SAML, webový portál 2 overí identitu na webovom portáli 1 a na základe toho sa rozhodne, či dovolí alebo odmietne prístup klientovi.

* '''Distribuované transakcie,'''
* '''Autorizačná služba.'''

==XACML==

Tento štandard úzko súvisí so SAML, ktorý slúži ako mechanizmus na šírenie autentifikačných a autorizačných informácií. XACML je autentifikačná a autorizačná informácia. Predstavuje XML metajazyk, ktorého úlohou je štandardizovať popis autentifikačných a autorizačných politík. Definuje slovník pre popis práv a podmienok subjektu.

Nakoľko štandard XACML nebude v bezpečnostnej platforme použitý, nebudeme sa ním podrobnejšie zaoberať. Pre viac informácií odporúčame <nowiki>[</nowiki>30<nowiki>]</nowiki>.

==XMKS==

XMKS špecifikuje protokol pre hospodárenie s verejnými kryptografickými kľúčmi konkrétne pre <nowiki>[</nowiki>21<nowiki>]</nowiki>:

* registráciu,
* rušenie platnosti,
* obnovu kľúčov,
* vydanie nového kľúča.

XMKS sa skladá z troch častí <nowiki>[</nowiki>21<nowiki>]</nowiki>:

1. '''XML Key Information Service Specification (X - KISS).''' Podporuje služby pre používanie kryptografických kľúčov.

2. '''XML Key Registration Service Specification (X – KRSS). '''Podporuje služby spojené s držiteľom kryptografických kľúčov (obnova, registrácia).

3. '''Bulk Key Regisration ( X- Bulk)''' predstavuje rozšírenie X – KRSS pre hromadnú registráciu kryptografických kľúčov. Tieto protokoly môžu byť použité spolu so SOAP

XML security

2010-06-11T12:26:48Z

Ian: /* XML Security */

[[Kategória:Študentské práce]][[Kategória:Diplomové práce]][[Kategória:Informatika]][[Kategória:Webové služby]]
{{Praca_uvod|8|Návrh a implementácia bezpečnostnej technológie pre webové služby|XML a webové služby |XML ASP.NET webové služby|Zabezpečennie webových aplikácií|Integrita a dôvernosť komunikácie|Autentifikácia|Autorizácia webových služieb|Zabezpečenie webových služieb|XML security|SOAP Security Enhancement pre ASP.NET webové služby}}
__TOC__
= =
=XML Security=

Ako sme už spomenuli, komunikácia webových služieb a klientskych aplikácií prebieha prostredníctvom SOAP správ. Na komunikáciu je použitý typ SOAP správ nazývaný '''document-style''' (štýl dokument). Tento typ SOAP zobrazuje dáta, ktoré sú vymenované ako dokumenty, čiže každá SOAP správa obsahuje v tele '''XML dokument'''. Z toho dôvodu môžeme využiť pri zabezpečovaní SOAP správ technológie zamerané na bezpečnosť XML.

XML Security predstavuje rozšírenie samotného XML o bezpečnostné mechanizmy. '''XML Security '''tvorí päť častí <nowiki>[</nowiki>14<nowiki>]</nowiki>, <nowiki>[</nowiki>15<nowiki>]</nowiki>:

* XML Signature (XS),
* XML Encryption (XE),
* Security Assertion Markup Language (SAML),
* XML Access Control Markup Language (XACML),
* XML Key Managment Specification (XKMS).

==XML Signature==

XML Signature je štandard definujúci XML schému pre uloženie výsledku operácie digitálneho podpisu aplikovaného na ľubovoľné (XML) dáta. XML podpisy sú najčastejšie využívané pri XML transakciách. Digitálne podpisovanie XML poskytuje mechanizmus na <nowiki>[</nowiki>15<nowiki>]</nowiki>:

* autentifikáciu,
* kontrolu integrity a dôvernosti dát,
* na podporu neopakovateľnosti ( non repundation).
XML Signature umožňuje podpísať <nowiki>[</nowiki>17<nowiki>]</nowiki>:

* celý XML dokument,
* vybrané časti XML dokumentu.
Možnosť podpísať len vybranú časť XML stromu umožňuje veľkú flexibilitu. Napríklad v situácii, kde rozličné časti XML dokumentu boli vytvorené viacerými autoritami, každá autorita môže podpísať len svoju časť XML dokumentu.

Schéma XML digitálneho podpisu je v Tab. 8.1.

{|class="wikitable"
'''Tab. 8.1''' XML Signature<nowiki>[</nowiki>17<nowiki>]</nowiki>
|-
|<source lang="xml">
<Signature xmlns="http://www.w3.org/2000/09/xmldsig#">
<SignedInfo>
<CanonicalizationMethod Algorithm=""/>
<SignatureMethod Algorithm=""/>
<Reference URI="">
<Transforms>
<Transform Algorithm=""/>
</Transforms>
<DigestMethod Algorithm=""/>
<DigestValue></DigestValue>
</Reference>
</SignedInfo>
<</Signature>
</source>
|}

Popis dôležitých elementov XML Signature <nowiki>[</nowiki>17<nowiki>]</nowiki>:

* '''Reference - '''Každý zdroj, ktorý má byť digitálne podpísaný má svoj vlastný Reference element, reprezentovaný URI adresou.
* '''Transform''' - Je zoznam procesov ktoré sa aplikujú na obsah XML dokumentu pred jeho digitálnym podpísaním.
* '''Digest - '''Tento element obsahuje hodnotu digest odkazovaného zdroja.
* '''SignatureValue - '''Obsahuje hodnotu zašifrovaného digest elementu '''SignedInfo'''.

'''XML Signature ''' môže obsahovať ešte nepovinný element KeyInfo, ktorý určuje typ kľúča potrebného k overeniu digitálneho podpisu XML dokumentu.

Technológiu XML Signature použijeme pri zabezpečovaní komunikácie vo vlastnej bezpečnostnej platforme.

==XML Encryption==

XML Encryption je štandard definujúci XML schému pre uloženie výsledku operácie digitálneho šifrovania aplikovaného na ľubovoľné (XML) dáta. Takisto ako XML Signature aj XML Encryption umožňuje šifrovať <nowiki>[</nowiki>18<nowiki>]</nowiki>:

* celý XML dokument,
* vybrané časti XML dokumentu.
XML Encryption predstavuje point-to-point zabezpečenie, odstraňuje určité nedostatky technológie SSL alebo TLS.

Tento štandard nebude použitý pri vytváraní vlastnej bezpečnostnej platformy, nakoľko sme sa rozhodli ponúknuť vlastný alternatívny spôsob ako selektívne šifrovať časti XML s použitím veľmi bezpečného '''Advanced Encryption Standard. Dôvod vlastného spôsobu šifrovania XML je ten, že pri XML Encryption dochádza k zašifrovaniu tagov XML a tým sa stráca určitá funkčnosť XML dokumentu, v našom prípade SOAP správy.'''

Schéma XML Encrypt je v Tab. 8.2.

{|class="wikitable"
'''Tab. 8.2''' XML Encrypt <nowiki>[</nowiki>18<nowiki>]</nowiki>
|-
|<source lang="xml">
<?xml version='1.0'?>
<EncryptedData xmlns='http://www.w3.org/2001/04/xmlenc#'
MimeType='text/xml'>
<CipherData>
<CipherValue>A23B45C56</CipherValue>
</CipherData>
<</EncryptedData>
</source>
|}

Pre viac informácií odporúčame <nowiki>[</nowiki>18<nowiki>]</nowiki>.

==SAML==

Štandard SAML umožňuje zdieľanie autentifikačných a autorizačných informácií v rámci určitého systému. Medzi autentifikačné a autorizačné informácie patria roly a certifikáty. Dokument SAML môže byť digitálne podpísaný pomocou XML Signature. <nowiki>[</nowiki>15<nowiki>]</nowiki>

1. Webový portál overí identitu užívateľa na základe klientskeho certifikátu. Užívateľovi pridelí určitú identitu, rolu.

2. Rola užívateľa je pripojená do SOAP správy, ktorá je digitálne podpísaná webovým portálom.

3. Webová služba overí identitu webového portálu, skontroluje digitálny podpis a následne zakáže alebo povolí klientovi prístup.

Štandard SAML sa skladá z troch častí <nowiki>[</nowiki>19<nowiki>]</nowiki>:

1. Definuje syntax a sémantiku správ obsahujúcich assertion (tvrdenia) vo forme XML.

2. Definuje protokoly pre výmenu bezpečnostných informácií.

3. Definuje pravidlá pre použitie assertion, štandardy pre transport. Napríklad SOAP tvrdenie môže byť poslané v SOAP správe cez HTTP kanál.

Security Assertion Markup Language sa dá využiť v týchto 3 nasledujúcich scenároch <nowiki>[</nowiki>19<nowiki>]</nowiki>:

• '''Single sing-on''' (Jediné prihlásenie),

[[Súbor:dp_2010_jm_12.png|framed|center|Obr. 8.2 SSO ]]

1. Klient je autentifikovaný prostredníctvom certifikátu na webovom portáli 1.

2. Pri prístupe na webový portál 2 by musel znova predložiť certifikát.

3. Pokiaľ je použitý SAML, webový portál 2 overí identitu na webovom portáli 1 a na základe toho sa rozhodne, či dovolí alebo odmietne prístup klientovi.

* '''Distribuované transakcie,'''
* '''Autorizačná služba.'''

==XACML==

Tento štandard úzko súvisí so SAML, ktorý slúži ako mechanizmus na šírenie autentifikačných a autorizačných informácií. XACML je autentifikačná a autorizačná informácia. Predstavuje XML metajazyk, ktorého úlohou je štandardizovať popis autentifikačných a autorizačných politík. Definuje slovník pre popis práv a podmienok subjektu.

Nakoľko štandard XACML nebude v bezpečnostnej platforme použitý, nebudeme sa ním podrobnejšie zaoberať. Pre viac informácií odporúčame <nowiki>[</nowiki>30<nowiki>]</nowiki>.

==XMKS==

XMKS špecifikuje protokol pre hospodárenie s verejnými kryptografickými kľúčmi konkrétne pre <nowiki>[</nowiki>21<nowiki>]</nowiki>:

* registráciu,
* rušenie platnosti,
* obnovu kľúčov,
* vydanie nového kľúča.

XMKS sa skladá z troch častí <nowiki>[</nowiki>21<nowiki>]</nowiki>:

1. '''XML Key Information Service Specification (X - KISS).''' Podporuje služby pre používanie kryptografických kľúčov.

2. '''XML Key Registration Service Specification (X – KRSS). '''Podporuje služby spojené s držiteľom kryptografických kľúčov (obnova, registrácia).

3. '''Bulk Key Regisration ( X- Bulk)''' predstavuje rozšírenie X – KRSS pre hromadnú registráciu kryptografických kľúčov. Tieto protokoly môžu byť použité spolu so SOAP

Zabezpečenie webových služieb

2010-06-11T12:22:34Z

Ian: /* */

[[Kategória:Študentské práce]][[Kategória:Diplomové práce]][[Kategória:Informatika]][[Kategória:Webové služby]]
{{Praca_uvod|7|Návrh a implementácia bezpečnostnej technológie pre webové služby|XML a webové služby |XML ASP.NET webové služby|Zabezpečennie webových aplikácií|Integrita a dôvernosť komunikácie|Autentifikácia|Autorizácia webových služieb|Zabezpečenie webových služieb|XML security|SOAP Security Enhancement pre ASP.NET webové služby}}
__TOC__
=Zabezpečenie webových služieb=

V tejto kapitole sa budeme venovať spôsobom a technikám zabezpečenia webových služieb ASP.NET založených na autentifikácii, autorizácii, dôvernosti a integrite komunikácie.

Webová služba môže byť zabezpečená na týchto troch úrovniach <nowiki>[</nowiki>16<nowiki>]</nowiki>:

* na úrovni transportu, respektíve platformy,
* na úrovni správ,
* na úrovni aplikácie.
Prvé dve vymenované možnosti zabezpečujú komunikáciu medzi dvoma koncovými bodmi, pri poslednom variante ide o vlastný model zabezpečenia.

==Zabezpečenie na úrovni transportu alebo platformy==

Tento model slúži na vytvorenie bezpečnej komunikácie medzi dvoma koncovými bodmi, webovou službou a klientskou aplikáciou. Pri tomto spôsobe sa využíva zabezpečený transportný kanál na prenos SOAP správ.

:Bezpečnosť je zaistená platformou a transportným protokolom. Autentifikácia je realizovaná webovým serverom, buď s využitím základnej, digestívnej, integrovanej Windows autentifikácie, alebo overovaním pomocou certifikátov. Integrita a dôvernosť komunikácie je zabezpečená napríklad pomocou protokolov SSL a IPSec.

Hlavnou výhodou tohto typu zabezpečenia je, že ide o jednoduchý a výhodný model pre veľa scenárov v intranete, kde máme kontrolu nad konfiguráciou koncových komunikačných bodov a takisto aj nad transportným mechanizmom.

Medzi hlavné nevýhody patrí <nowiki>[</nowiki>13<nowiki>]</nowiki>:

* Nie sú zabezpečené rôzne presmerovania v aplikačných uzloch, zabezpečené sú len koncové body komunikácie.
* Pri tomto spôsobe vzniká tesná väzba na transportný mechanizmus, nadradenú platformu a takisto na poskytovateľa zabezpečenia (NTLM, Kerberos a iný).

===Architektúra zabezpečenia na úrovni platformy===

Volanie webovej služby klientom spúšťa nasledovný súbor udalostí <nowiki>[</nowiki>14<nowiki>]</nowiki>, <nowiki>[</nowiki>16<nowiki>]</nowiki> :

1. Klient volá webovú službu. Pošle SOAP požiadavku.

2. Služba IIS môže vykonať autentifikáciu klienta na základe autentifikačných metód, ako sú základná, digestívna, integrovaná Windows autentifikácia alebo autentifikácia založená na certifikácii. Následne sa môže vykonať autorizácia klienta, obmedzenie niektorých IP adries, NTFS oprávnenie.

3. Pokiaľ overovanie a autorizácia klienta prebehne úspešne, služba IIS poskytne prístupový token overeného užívateľa do prostredia ASP.NET.

4. ASP.NET vykoná autentifikáciu klienta a následne prebehne autorizácia klienta k webovej službe ( k súboru .asmx). Autorizačný mechanizmus môže vykonať autorizáciu na základe URL alebo autorizáciu prístupu k súborom.

5. Následne webová služba môže použiť nejaký vzdialený prostriedok.

Webové služby nepoužívajú zosobnenie, implicitne používajú konfiguračný účet ASP.NET, v prípade potreby môžeme využiť impersonáciu (zosobnenie) kódu a použiť identitu užívateľa, ktorý volá webovú službu.

Celý mechanizmus overovania a autorizácie je znázornený na Obr. 7.1.

[[Súbor:dp_2010_jm_11.png|framed|center|Obr. 7.2 Architektúra zabezpečenia na úrovni platformy]]

==Zabezpečenie na úrovni správ==

Zabezpečenie na úrovni správ predstavuje najflexibilnejší a najvýkonnejší spôsob zabezpečenia. Integrita XML správ je realizovaná pomocou digitálnych podpisov a utajenie komunikácie je zabezpečené kryptovaním.

Tento spôsob je napríklad implementovaný GXA pomocou špecifikácie WS – Security.

Výhody tohto modelu zabezpečenia sú <nowiki>[</nowiki>16<nowiki>]</nowiki>:

* bezpečnosť komunikácie je zaistená aj pri presmerovaní v aplikačných uzloch,
* nezávislosť na transportnom mechanizme,
* možnosť použiť viac typov kryptovacích technológií,
* podporuje nepopierateľnosť.

==Zabezpečenie na úrovni aplikácie==
Pri tomto type zabezpečenia sú autentifikácia, autorizácia, poprípade zaistenie integrity a dôvernosti komunikácie ponechané na samotnej aplikácii. Tento spôsob je vhodné použiť, ak máme k dispozícii databázu existujúcich užívateľov a rolí. Ďalšou výhodou je selektívne kryptovanie prenášaných informácií, nie celej komunikácie, kedže proces kryptovania je sám o sebe z časového hľadiska náročný.

Súbor:Dp 2010 jm 5.png

2010-06-11T12:15:41Z

Ian: bola nahraná nová verzia „Súbor:Dp 2010 jm 5.png“

Návrh a implementácia bezpečnostnej technológie pre webové služby

2010-06-11T12:13:29Z

Ian: /* XML a webové služby */

Autorizácia webových služieb

2010-06-11T12:12:44Z

Ian: /* Autorizácia */

[[Kategória:Študentské práce]][[Kategória:Diplomové práce]][[Kategória:Informatika]][[Kategória:Webové služby]]
{{Praca_uvod|6|Návrh a implementácia bezpečnostnej technológie pre webové služby|XML a webové služby |XML ASP.NET webové služby|Zabezpečennie webových aplikácií|Integrita a dôvernosť komunikácie|Autentifikácia|Autorizácia webových služieb|Zabezpečenie webových služieb|XML security|SOAP Security Enhancement pre ASP.NET webové služby}}
__TOC__
=Autorizácia=

V predchádzajúcich kapitolách sme vysvetlili metódy, akými môžeme overiť identitu užívateľa volajúceho webovú službu. Podrobnejšie sme si rozobrali tie, ktoré sú v praxi úspešne využívané v rôznych bezpečnostných scenároch. Získanie skutočnej identity klienta predstavuje len prvý krok k vytvoreniu bezpečnej komunikácie. Potrebujeme vedieť, aké má klient oprávnenie v rámci našej webovej služby, aké webové metódy webovej služby môže volať, k akým zdrojom, či už k databázam, alebo súborom smie pristupovať. Proces, v ktorom zisťujeme oprávnenia, sa nazýva autorizácia.

V tejto kapitole si rozoberieme spôsoby autorizácie s využitím konfiguračného súboru '''web.config''' webovej služby.

==Autorizácia URL==

Ako sme už spomenuli, autorizačné pravidlá definujeme v konfiguračnom súbore webovej služby, tie sú vykonávané prostredníctvom špeciálneho HTTP modulu '''UrlAuthorization-Module'''. Princíp fungovania tohto modulu spočíva v analýze a kontrole každej požiadavky užívateľa, tým je zabezpečená ochrana neautorizovaného prístupu. Tento model autorizácie kontroluje bezpečnostný kontext a URL zdroj, ku ktorému žiada užívateľ prístup.<nowiki>[</nowiki>13<nowiki>]</nowiki>

==Autorizačné pravidlá==

V tejto podkapitole si vysvetlíme samotný spôsob realizácie autorizácie v konfiguračnom súbore webovej služby. Autorizačné pravidlá sa definujú v súbore web.confing prostredníctvom prvku '''<nowiki><</nowiki>authorization<nowiki>></nowiki>, '''pomocou ktorého môžeme vytvoriť dva typy autorizačných pravidiel <nowiki>[</nowiki>4<nowiki>]</nowiki>:

* Pravidlo zakazujúce prístup, prostredníctvom prvku '''<nowiki><</nowiki>deny<nowiki>></nowiki>.'''
* Pravidlo povoľujúce prístup, prostredníctvom prvku '''<nowiki><</nowiki>allows<nowiki>></nowiki>.'''
Oba typy autorizačných pravidiel môžeme aplikovať <nowiki>[</nowiki>4<nowiki>]</nowiki> :

* Na jedného užívateľa použitím kľúčového slova '''user'''.
* Na skupinu užívateľov (rolí) použitím kľúčového slova '''roles'''.
* Alebo môžeme použiť kľúčové slovo '''verbs''' a prostredníctvom neho určiť konkrétne typy HTTP požiadaviek, na ktoré sa bude pravidlo aplikovať.

{|class="wikitable"
'''Tab. 6.1''' Konfigurácia autorizačných pravidiel v súbore web.config
|-
|<source lang="xml">
<authorization>
<allow users="Zoznam uzivatelov"
roles="Zoznam roli"
verbs="Typy HTTP poziadaviek"
/>
<deny users="Zoznam uzivatelov"
roles="Zoznam roli"
verbs="Typy HTTP poziadaviek"
/>
</authorization>

</source>
|}

Pri definovaní pravidiel môžeme využiť tieto zástupné znaky <nowiki>[</nowiki>1<nowiki>]</nowiki>:

* Znak '''?''', ktorý reprezentuje všetkých anonymných užívateľov.
* Znak '''<nowiki>*</nowiki>''', ktorý reprezentuje všetkých užívateľov.

Proces aplikácie konfiguračných pravidiel je pre webové služby ASP.NET nasledovný. Najskôr sa aplikujú konfiguračné pravidlá z príslušného konfiguračného súboru web.config a následné sa aplikujú pravidlá zo súboru machine.config. Autorizačné pravidlá sa aplikujú v tom poradí, v akom sú v konfiguračnom súbore zapísané. <nowiki>[</nowiki>15<nowiki>]</nowiki>

:Prostredníctvom autorizačných pravidiel sa riadi prístup užívateľov ku konkrétnym adresárom a súborom. Riadený prístup k adresárom sa realizuje umiestením konfiguračného súboru s autorizačnými pravidlami do príslušného adresára. Riadený prístup ku konkrétnym súborom sa realizuje prostredníctvom prvku '''<nowiki><</nowiki>location<nowiki>></nowiki>''' , v ktorom konkretizujeme cestu k súboru. ( pozri Tab. 6.2)

{|class="wikitable"
'''Tab. 6.2''' Konfigurácia autorizačných pravidiel pre riadený prístup k súboru
|-
|<source lang="xml">
<location path="SecrurePage.asmx">
<system.web>
<authorization>
<deny users="?"/>
</authorization>
</system.web>
</location>
</source>
|}

Autentifikácia

2010-06-11T12:08:48Z

Ian:

[[Kategória:Študentské práce]][[Kategória:Diplomové práce]][[Kategória:Informatika]][[Kategória:Webové služby]]
{{Praca_uvod|5|Návrh a implementácia bezpečnostnej technológie pre webové služby|XML a webové služby |XML ASP.NET webové služby|Zabezpečennie webových aplikácií|Integrita a dôvernosť komunikácie|Autentifikácia|Autorizácia webových služieb|Zabezpečenie webových služieb|XML security|SOAP Security Enhancement pre ASP.NET webové služby}}
__TOC__

=Autentifikácia=

Autentifikácia predstavuje kľúčovú úlohu pri vytváraní bezpečnej komunikácie medzi klientom a webovou službou. Od identity klienta sa odvíja celý scenár komunikácie, preto sa samotnému overovaniu klientov budeme venovať podrobnejšie. Overovanie predstavuje proces, v ktorom sa zisťuje identita užívateľa a zabezpečuje sa jej platnosť. V aplikáciách ASP.NET ju môžeme implementovať pomocou jedného z týchto štyroch systémov <nowiki>[</nowiki>1<nowiki>]</nowiki>, <nowiki>[</nowiki>4<nowiki>]</nowiki>:

1. '''Formulárová autentifikácia'''. Tento typ overovania je založený na prihlasovacej stránke a existujúcej databáze užívateľov. Užívateľ dostane lístok, ktorý je kombináciou zakryptovaných hodnôt uložených v cookies. Pre webové služby nie je tento typ vhodný, kedže webové služby sú bezstavové a použitie cookies by ich zbytočne obmedzovalo.

2. '''Passportová autentifikácia'''. Využíva infraštruktúru Microsoft Passport. Ten implementuje centrálnu správu identít. Prihlasovacie údaje užívateľov sú spracúvané samostatným passportovým serverom. Tento spôsob overovania je neflexibilný a v tejto práci sa mu podrobnejšie nebudeme venovať.

3. '''Integrovaná autentifikácia Windows'''.

4. '''Autentifikácia založená na certifikácii.'''

5. '''Vlastný typ autentifikačného procesu.'''

Posledné tri spôsoby overovania klientskych aplikácií si rozoberieme v samostatných podkapitolách, nakoľko sú vhodné pre autentifikáciu klientov webových služieb. Vysvetlíme si princípy, na ktorých sú založené a oblasti, v ktorých sú nasadzované. Spomenieme výhody a nevýhody, ktoré so sebou prinášajú. A tak isto uvedieme ich programovú realizáciu v jazyku C<nowiki> </nowiki>.

==Windows Autentifikácia==

V tejto časti sa venujeme bezpečnosti webových služieb ASP.NET. Technológia Windows autentifikácie je úzko spojená s firmou Microsoft a tak isto operačnými systémami Windows od tejto spoločnosti. Jednou z najjednoduchších možností autentifikácie klientov webových služieb je ponechať túto autentifikáciu na webový server, napríklad ISS, respektíve na samotný operačný systém Windows. Princíp tohto typu autentifikácie je nasledovný <nowiki>[</nowiki>1<nowiki>]</nowiki>:

1. Webový server požiada klientsku aplikáciu o autentifikáciu.

2. Tá predloží prihlasovacie údaje.

3. Tie sú následne namapované na užívateľský účet Windows.

Táto metóda overovania užívateľov je vhodná, ak našu webovú službu využíva menší a stabilný počet užívateľov, ktorí majú existujúce užívateľské účty Windows. Tento typ sa využíva pre aplikácie, v ktorých webový server aj užívatelia patria do rovnakej lokálnej siete alebo intranetu. Medzi výhody patrí <nowiki>[</nowiki>1<nowiki>]</nowiki>, <nowiki>[</nowiki>4<nowiki>]</nowiki>, <nowiki>[</nowiki>7<nowiki>]</nowiki>:

* Využitie existujúcich účtov Windows.
* Využitie samotného zabezpečenia operačného systému Windows a impersonácie. Môžeme využiť už existujúce oprávnenie užívateľských účtov, napríklad pre prístup k súborom. Programový kód ASP.NET je vykonávaný pod fixným účtom, pre službu IIS 5.x je to účet ASP.NET a pre IIS 6.0 je to účet Network Service. Použitie pevného účtu má veľa dôvodov. Skoro vo všetkých prípadoch sú práva pridelené užívateľom oveľa menšie ako sú práva potrebné pre aplikáciu. Existuje mechanizmus, pomocou ktorého je možné spúšťať programový kód pod prevzatou identitou. Ide o tzv. impersonáciu. Takýto model je vhodné použiť pre lokálne siete s malým počtom užívateľov, ktorí majú korektne zadefinované užívateľské oprávnenie Windows. Impersonácia bude vysvetlená v podkapitole 5.2.1.
* Pri tomto type nie je nutné vytvárať prihlasovaciu stránku ani databázu užívateľov, čiže táto metóda nie je z programátorského hľadiska časovo náročná.
Existuje však veľa dôvodov, prečo sa tomuto spôsobu overovania vyhnúť. Napríklad <nowiki>[</nowiki>7<nowiki>]</nowiki>, <nowiki>[</nowiki>9<nowiki>]</nowiki>:

* Tento typ autentifikácie nie je veľmi flexibilný a veľmi zle sa prispôsobuje.
* Dochádza pri ňom k naviazaniu na užívateľské účty.
* Je nevyhnutné, aby klienti webovej služby mali operačný systém od spoločnosti Microsoft kvôli korektnej autentifikácii webovým serverom IIS.
* Táto metóda neumožňuje riadiť autentifikačný proces. Predstavuje to veľký problém, pokiaľ má byť webová služba verejná.
Pri Windows autentifikácii je overovanie klienta vykonávané webovým serverom IIS. Ten môže overiť a autorizovať klienta ešte skôr, ako webová aplikácia (napr. webová služba) začne obsluhovať jeho požiadavku. IIS má niekoľko bezpečnostných mechanizmov pomocou ktorých môže overiť, autorizovať klienta, zabezpečiť dôvernosť a integritu komunikácie.

===Služba Internet Information Service===

Webový server IIS zabezpečuje korektné prostredie pre beh aplikácie typu klient – server.

K autentifikácii klientov má k dispozícii niekoľko stratégií. Môže použiť na overenie klienta <nowiki>[</nowiki>4<nowiki>]</nowiki> :

* '''Základnú autentifikáciu. '''Túto metódu vyvinulo konzorcium W3C. Definuje dodatočnú hlavičku HTTP, v ktorej sú prenášané užívateľské mená a heslá. Dáta nie sú kryptované, ale sú kódované vo formáte Base64. Tento typ je nutné používať s SSL.
* '''Digestívnu autentifikáciu. '''Je podobná základnej autentifikácii, prihlasovacie údaje nie sú prenášané v kódovaní Base64, ale sú hašované. Tento spôsob nie je veľmi rozšírený, našiel uplatnenie len v intranetoch.
* '''Integrovanú autentifikáciu Windows'''. Pri tomto type autentifikácie je overovanie užívateľa ponechané na samotný operačný systém. Využíva sa 96 bitové číslo SID (Secure identifier), ktoré slúži na identifikáciu každého prihláseného užívateľa. Identita každého prihláseného užívateľa sa predáva vo forme tokenu. Pretože integrovaná autentifikácia Windows je najvhodnejším overovacím štandardom pre intranetové aplikácie založené na WAN alebo LAN, budeme sa jej venovať v nasledujúcej podkapitole.

==Integrovaná autentifikácia Windows==

Podmienkou korektného fungovania tohto typu overovania užívateľov je to, že klient aj webový server sa musia nachádzať na rovnakej lokálnej sieti. Pri tejto metóde sa neprenášajú mená a heslá užívateľov, ale spolupracuje s doménovým serverom alebo inštanciou Active Directory. <nowiki>[</nowiki>1<nowiki>]</nowiki> Na prenos prihlasovacích údajov sa využíva autentifikačný protokol NTLM (NT LAN Manager) alebo protokol Kerberos 5. Druh overovacieho protokolu závisí od operačného systému klienta a serveru. Pokiaľ ide o operačný systém Windows 2000 a vyšší ako autentifikačný protokol je použitý Kerberos 5, inak bude overovanie realizované prostredníctvom NTLM. <nowiki>[</nowiki>4<nowiki>]</nowiki>

V tejto podkapitole si rozoberieme nasledujúce schémy integrovaného overovania Windows <nowiki>[</nowiki>9<nowiki>]</nowiki>:

* Integrované overenie systému Windows s impersonáciou.
* Integrované overenie systému Windows bez impersonácie.
* Integrované overenie systému Windows s preddefinovanou identitou.
Ale skôr ako sa začneme venovať samotnej integrovanej autentifikácii systému Windows, je vhodné si objasniť proces impersonácie.

===Impersonácia===

Impersonácia je proces vykonávania programového kódu v kontexte identity iného užívateľa. Ako už bolo spomenuté, kód webovej služby ASP.NET beží pod fixným účtom, typ účtu závisí od verzie služby IIS. Dôvody použitia impersonácie sú nasledovné <nowiki>[</nowiki>1<nowiki>]</nowiki>, <nowiki>[</nowiki>4<nowiki>]</nowiki>:

* Zvýšenie flexibility systému. Pre každého užívateľa môžeme prideliť rôzne prístupové práva a vyhneme sa tým použitiu fixného účtu pre všetkých užívateľov.
* Rozlíšenie práv pre jednotlivé webové aplikácie na rovnakom počítači. V situácii, keď webový server používa veľké množstvo personalizovaných adresárov, môžeme pomocou impersonácie zabrániť, aby aplikácia nesprístupnila užívateľovi iné adresáre ako tie, na ktoré má oprávnenie.
ASP.NET podporuje dva typy impersonácie <nowiki>[</nowiki>15<nowiki>]</nowiki>:

* Konfiguračnú, prostredníctvom konfiguračného súboru '''web.config''' webovej služby.
* Programovú, ktorá umožňuje prepnutie identity v rámci programu.

====Konfiguračná impersonácia====

Predstavuje najjednoduchšiu formu impersonácie prostredníctvom nadefinovania v konfiguračnom súbore web.config pomocou prvku '''<nowiki><</nowiki>identity<nowiki>></nowiki>, '''ktorého hodnotu nastavíme na '''true. '''<nowiki>[</nowiki>1<nowiki>]</nowiki>

{|class="wikitable"
'''Tab. 5.1''' Konfiguračné nastavenie impersonácie v súbore web.config
|-
|<source lang="xml">
<configuration>
<system.web>
<identity impersonate="true"/>
</system.web>
</configuration>
</source>
|}

ASP.NET umožňuje pevné nastavenie identity, pod ktorou bude spúšťaný kód webovej služby.

{|class="wikitable"
'''Tab. 5.2''' Konfiguračné nastavenie impersonácie s predefinovaným účtom
|-
|<source lang="xml">
<identity impersonate="true" userName="USER" password="PASSWORD" />
</source>
|}

====Programová impersonácia====

V tejto podkapitole si vysvetlíme programovú impersonáciu s využitím platformy .NET Framework. Umožňuje väčšiu kontrolu nad procesom. Pre programovú impersonáciu sa využíva metóda '''WindowsIdentity.Impersonate()''', ktorá je súčasťou menného priestoru''' System.Security.Principal. '''<nowiki>[</nowiki>9<nowiki>]</nowiki>

Pomocou tejto metódy môžeme nastaviť impersonáciu pre špecifický účet, ktorý je určený príznakom účtu (account token). Postup pri programovej impersonácii je nasledovný <nowiki>[</nowiki>1<nowiki>]</nowiki> :

1. Najskôr získame príznak účtu Windows, ktorý chceme zosobniť.

2. Pomocou metódy WindowsIdentity.Impersonate() spustíme proces impersonácie. Návratová hodnota tejto metódy je objekt '''WindowsImpersonationContext'''.

3. Návrat k pôvodnej identite dosiahneme zavolaním metódy '''Undo() '''objektu WindowsImpersonationContext.

Príznaky užívateľských účtov sú v platforme .NET reprezentované pomocou objektu IntPtr. Tento objekt reprezentuje ukazovatele do oblasti neriadenej pamäte.

Získanie príznaku účtu aktuálneho prihláseného užívateľa je Tab. 5.3.

{|class="wikitable"
'''Tab. 5.3''' Získanie príznaku účtu Windows
|-
|<source lang="csharp">
IntPtr token = ((WindowsIdentity)User.Identity).Token;
</source>
|}

Samotná impersonácia pomocou príznaku účtu s využitím metódy Impersonate() je v Tab. 5.4.

{|class="wikitable"
'''Tab. 5.4''' Proces impersonácie s využitím metódy Impersonate()
|-
|<source lang="csharp">
WindowsImpersonationContext impersonationContext;
impersonationContext = WindowsIdentity.Impersonate(token);
</source>
|}

===Integrované overenie službou Windows s impersonáciou===

Spôsoby realizácie impersonácie sme si vysvetlili v kapitole 5.2.1 Pre korektné využitie tohto typu overovania klientskych aplikácií je nutné zadeklarovať ten typ autentifikácie v konfiguračnom súbore webovej služby web.config prostredníctvom prvku '''<nowiki><</nowiki>authentication mode<nowiki>></nowiki>, '''ktorý nastavíme na typ Windows'''. '''Samotnú impersonáciu povolíme prostredníctvom prvku '''<nowiki><</nowiki>identity impersonate<nowiki>></nowiki> ''', ktorý nastavíme na hodnotu''' true'''. <nowiki>[</nowiki>1<nowiki>]</nowiki>, <nowiki>[</nowiki>4<nowiki>]</nowiki>

{|class="wikitable"
'''Tab. 5.5''' Nastavenie integrovanej autentifikácie Windows s impersonáciou v súbore web.config
|-
|<source lang="xml">
<configuration>
<system.web>
<authentication mode="Windows"/>
<identity impersonate="true"/>
</system.web>
</configuration>
</source>
|}

Táto konfigurácia zosobní kód webovej služby ASP.NET užívateľa, ktorý bol overený službou IIS. Pre zosobnenie kódu webovej služby je nutné zakázať anonymný prístup v službe IIS. Ak je v službe IIS povolený anonymný prístup, kód ASP.NET bude spustený pod účtom hosťa v Internete, implicitne účet IUSER_POČÍTAČ.

Pri tomto spôsobe autentifikácie máme tieto možnosti na autorizáciu klienta <nowiki>[</nowiki>1<nowiki>]</nowiki>:

* Zoznamy ACL (Access control list). Prostredníctvom nich môžeme obmedziť prístup k súborom webovej služby a prostriedkom, ktoré využíva.
* Autorizácia prostredníctvom adresy URL, ktorá sa realizuje konfiguračne v súbore web.config webovej služby alebo v súbore machine.confing.
Tento typ integrovaného overovania Windows je vhodné pre webové služby použiť v nasledujúcich situáciách <nowiki>[</nowiki>4<nowiki>]</nowiki>:

* Pokiaľ majú byť užívatelia webovej služby overovaní na základe existujúcich účtov Windows.
* Ak má byť kontext zabezpečenia spúšťajúceho užívateľa webovou službou poslaný do ďalšej vrstvy.

===Integrované overenie systému Windows bez impersonácie===

Tento model overovania je po stránke konfiguračného zabezpečenia totožný s integrovaným overovaním Windows s impersonáciou. Jediný rozdiel je v tom, že v konfiguračnom súbore webovej služby web.config je prvok '''<nowiki><</nowiki>identity impersonate<nowiki>></nowiki> '''nastavený na hodnotu '''false'''. <nowiki>[</nowiki>3<nowiki>]</nowiki>

{|class="wikitable"
'''Tab. 5.6''' Nastavenie integrovanej autentifikácie Windows bez impersonácie v súbore web.config
|-
|<source lang="xml">
<configuration>
<system.web>
<authentication mode="Windows"/>
<identity impersonate="false"/>
</system.web>
</configuration>
</source>
|}

Možnosti autorizácie a scenáre nasadenia tohto modelu sú rovnaké ako v predchádzajúcej kapitole Integrované overenie službou Windows s impersonáciou, preto ich neuvádzame.

===Integrované overenie systému Windows s preddefinovanou identitou===

Použitie pevnej identity pre proces ASP.NET nie je veľmi vhodné a zaužívané riešenie. Nakoľko implicitne je proces ASP.NET spúšťaný pod fixným účtom, ktorý je dobre zabezpečený, jeho typ záleží od verzie služby IIS. Pokiaľ by sme chceli spúšťať proces ASP.NET pod naším preddefinovaným fixným účtom, museli by sme mu zadefinovať veľmi silné oprávnenia. Pri zlej konfigurácii účtu to môže predstavovať veľmi silné bezpečnostné riziko. <nowiki>[</nowiki>1<nowiki>]</nowiki>, <nowiki>[</nowiki>2<nowiki>]</nowiki>

:Takisto ako v predchádzajúcich dvoch schémach integrovaného overovania Windows, sa aj tento typ overovania realizuje konfiguračne v súbore web.config webovej služby, kde sa hodnota prvku '''<nowiki><</nowiki>identity impersonate<nowiki>></nowiki> '''nastaví na hodnotu''' true '''a v samotnom prvku uvedieme užívateľské meno a heslo účtu. Z dôvodu zvýšenia bezpečnosti môžeme využiť nástroj '''aspnet_setreg.exe '''na zakryptovanie prihlasovacích informácií. <nowiki>[</nowiki>9<nowiki>]</nowiki>, <nowiki>[</nowiki>29<nowiki>]</nowiki>

Samotná konfigurácia integrovaného overovania Windows s preddefinovaným pevným účtom je v Tab. 5.7.

{|class="wikitable"
'''Tab. 5.7''' Nastavenie integrovanej autentifikácie Windows s preddefinovanou identitou v súbore web.config
|-
|<source lang="xml">
<configuration>
<system.web>
<authentication mode="Windows"/>
<identity impersonate="true"
userName="registry:HKLM\Software\AspNetIdentity,Name"
password="registry:HKLM\Software\AspNetIdentity,Pwd"/>
</system.web>
</configuration>
</source>
|}

V tejto kapitole sme sa venovali autentifikácii Windows. Tento model overovania sa využíva pre aplikácie, v ktorých webový server aj užívatelia patria do rovnakej lokálnej siete alebo intranetu. Podrobnejšie sme sa venovali integrovanej autentifikácii Windows, nakoľko predstavuje štandard pre intranetové aplikácie založené na WAN alebo LAN sieťach. Z toho dôvodu je využívaná v malých podnikových sieťach. <nowiki>[</nowiki>4<nowiki>]</nowiki>

==Autentifikácia založená na certifikátoch==

Samotný princíp a fungovanie certifikátov sme si vysvetlili v podkapitole 4.1.1. Overovanie klientskych certifikátov môžeme vo webovej službe využiť na overovanie:

* klientskych a serverových aplikácií volajúcich webovú službu,
* iných webových služieb.
Existujú niektoré obmedzenia, s ktorými sa môžeme stretnúť pri overovaní klientskych aplikácií prostredníctvom certifikátov, v tejto kapitole sa pokúsime niektoré z nich načrtnúť a takisto ponúknuť aj riešenie.

===Proces autentifikácie klientskych certifikátov===

Problém vzniká, ak klient komunikuje s webovou službou prostredníctvom webovej aplikácie. Webová aplikácia môže overiť klientsky certifikát, ale ten istý certifikát nie je možné použiť na overenie webovou službou. Webová aplikácia nemôže poskytnúť klientsky certifikát spúšťajúceho užívateľa do webovej službe. Dôvod je nasledovný: webová aplikácia nemá prístup k súkromnému kľúču klienta. <nowiki>[</nowiki>16<nowiki>]</nowiki>

[[Súbor:dp_2010_jm_7.png|framed|center|Obr. 5.1 Problém overovania klientskych certifikátov webovou službou]]

===Proces autentifikácie klientskeho certifikátu prostredníctvom podsystému===

V tejto podkapitole sa oboznámime s riešením problému, ktorý sme si načrtli v podkapitole Proces autentifikácie klientskych certifikátov. Riešenie nášho problému môže byť odstránené nasledujúcim komunikačným scenárom <nowiki>[</nowiki>16<nowiki>]</nowiki>:

1. Klient volá webovú službu prostredníctvom webovej aplikácie.

2. Aplikácia plní úlohu autentifikácie a autorizácie klienta a je zodpovedná za svojich klientov.

3. Po úspešnom overení na základe existencie členstva klienta v nejakej roli webová aplikácia môže volať webovú službu prostredníctvom rôznych certifikátov. Tým je zabezpečená existencia viacerých užívateľských rolí vo webovej službe.

4. Webová služba autorizuje webovú aplikáciu na základe certifikátu, ktorý od nej dostala.

Dôvernosť a integrita komunikácie medzi serverom webovej aplikácie a webovou službou je zabezpečená použitím protokolu SSL alebo IPSec. Prostredníctvom certifikátov je ošetrený neautorizovaný prístup. Celý komunikačný scenár je znázornený na Obr. 5.2.

[[Súbor:dp_2010_jm_8.png|framed|center|Obr. 5.2 Overovanie klientov webovou službou prostredníctvom podsystému]]

===Implementácia overovanie klientov webovou službou prostredníctvom podsystému na platforme .NET Framework s využitím serverovej aplikácie===
Z dôvodu, že webová aplikácia ASP.NET nemá priamy prístup k certifikátom, musíme použiť dodatočný proces, ktorý zabezpečí volanie webovej služby a predanie samotných certifikátov službe. Proces musí byť nakonfigurovaný tak, aby bol spúšťaný s pridruženým užívateľským profilom, pretože ASP.NET aplikácia nemá načítaný príslušný užívateľský proces a k nemu zodpovedajúce úložisko certifikátov. Tento scenár môžeme realizovať prostredníctvom <nowiki>[</nowiki>16<nowiki>]</nowiki>:

* služby systému Windows,
* serverovej aplikácie (Model Enterprise Services).

Celý proces overovania s využitím serverovej aplikácie sa skladá z nasledujúcich krokov <nowiki>[</nowiki>15<nowiki>]</nowiki>, <nowiki>[</nowiki>16<nowiki>]</nowiki>:

1. ASP.NET aplikácia autentifikuje volajúcich klientov na základe ich certifikátov.

2. Webová aplikácia ASP.NET autorizuje prístup klientov k webovej službe.

3. ASP.NET aplikácia volá príslušný serverový komponent (ten je spúšťaný iba v serverovom procese).

4. Serverová aplikácia je spúšťaná pod konkrétnym účtom. K nemu je pridružený užívateľský profil. Serverový komponent načíta certifikát z úložiska certifikátov. Ten je použitý webovou službou na overenie webovej aplikácie.

5. Serverový komponent volá webovú službu ASP.NET a predáva jej klientsky certifikát.

Celý proces overovania certifikátov s využitím serverového komponentu je znázornený na Obr. 5.3.

[[Súbor:dp_2010_jm_9.png||framed|center|Obr. 5.3 Overovanie klientov webovou službou s využitím serverovej aplikácie <nowiki>[</nowiki>16<nowiki>]</nowiki> ]]

Takýto scenár server / server funguje za predpokladu, že webová aplikácia správne autentifikovala a autorizovala klienta. Použitie dodatočného procesu na prístup k certifikátom je nutný z toho dôvodu, že účet ASP.NET nemá prístup k žiadnemu certifikátu na webovom serveri. Každý certifikát je spracovávaný v rámci užívateľského profilu s pridruženým účtom.

===Overovanie desktopových aplikácií prostredníctvom klientskych certifikátov webovou službou===

Doteraz sme sa zaoberali prípadom, v ktorom konzumentom XML ASP.NET webovej služby bola webová aplikácia, napríklad ASP.NET stránka. V tejto práci budeme neskôr vyvíjať vlastnú bezpečnostnú platformu pre XML ASP.NET webové služby, v ktorej budeme v komunikačnom scenári využívať desktopovú aplikáciu typu winforms. Pri overovaní klientskych certifikátov desktopovej aplikácie nie je nutné použitie podsystému. Celý proces overovania klientskeho certifikátu webovou službou má tieto kroky:

1. Desktopová aplikácia načíta príslušný klientsky certifikát z úložiska certifikátov.

2. Aplikácia winforms pripojí klientsky certifikát k vlastnosti '''ClientCertificates '''triedy proxy, ktorej význam sme si vysvetlili v kapitole Trieda proxy.

3. Cez HTTPS kanál pošle SOAP požiadavku na XML webovú službu.

4. Klientsky certifikát na strane webovej služby môže byť overený dvoma spôsobmi <nowiki>[</nowiki>15<nowiki>]</nowiki>:

* webovým serverom,
* priamo v programovom kóde webovej služby ASP.NET.

[[Súbor:dp_2010_jm_10.png||framed|center|Obr. 5.4 Overenie klientskeho certifikátu desktopovej aplikácie XML ASP.NET webovou službou]]

Autentifikácia

2010-06-11T12:06:19Z

Ian: /* */

[[Kategória:Študentské práce]][[Kategória:Diplomové práce]][[Kategória:Informatika]][[Kategória:Webové služby]]
{{Praca_uvod|5|Návrh a implementácia bezpečnostnej technológie pre webové služby|XML a webové služby |XML ASP.NET webové služby|Zabezpečennie webových aplikácií|Integrita a dôvernosť komunikácie|Autentifikácia|Autorizácia webových služieb|Zabezpečenie webových služieb|XML security|SOAP Security Enhancement pre ASP.NET webové služby}}
__TOC__

==Autentifikácia==

Autentifikácia predstavuje kľúčovú úlohu pri vytváraní bezpečnej komunikácie medzi klientom a webovou službou. Od identity klienta sa odvíja celý scenár komunikácie, preto sa samotnému overovaniu klientov budeme venovať podrobnejšie. Overovanie predstavuje proces, v ktorom sa zisťuje identita užívateľa a zabezpečuje sa jej platnosť. V aplikáciách ASP.NET ju môžeme implementovať pomocou jedného z týchto štyroch systémov <nowiki>[</nowiki>1<nowiki>]</nowiki>, <nowiki>[</nowiki>4<nowiki>]</nowiki>:

1. '''Formulárová autentifikácia'''. Tento typ overovania je založený na prihlasovacej stránke a existujúcej databáze užívateľov. Užívateľ dostane lístok, ktorý je kombináciou zakryptovaných hodnôt uložených v cookies. Pre webové služby nie je tento typ vhodný, kedže webové služby sú bezstavové a použitie cookies by ich zbytočne obmedzovalo.

2. '''Passportová autentifikácia'''. Využíva infraštruktúru Microsoft Passport. Ten implementuje centrálnu správu identít. Prihlasovacie údaje užívateľov sú spracúvané samostatným passportovým serverom. Tento spôsob overovania je neflexibilný a v tejto práci sa mu podrobnejšie nebudeme venovať.

3. '''Integrovaná autentifikácia Windows'''.

4. '''Autentifikácia založená na certifikácii.'''

5. '''Vlastný typ autentifikačného procesu.'''

Posledné tri spôsoby overovania klientskych aplikácií si rozoberieme v samostatných podkapitolách, nakoľko sú vhodné pre autentifikáciu klientov webových služieb. Vysvetlíme si princípy, na ktorých sú založené a oblasti, v ktorých sú nasadzované. Spomenieme výhody a nevýhody, ktoré so sebou prinášajú. A tak isto uvedieme ich programovú realizáciu v jazyku C<nowiki> </nowiki>.

==Windows Autentifikácia==

V tejto časti sa venujeme bezpečnosti webových služieb ASP.NET. Technológia Windows autentifikácie je úzko spojená s firmou Microsoft a tak isto operačnými systémami Windows od tejto spoločnosti. Jednou z najjednoduchších možností autentifikácie klientov webových služieb je ponechať túto autentifikáciu na webový server, napríklad ISS, respektíve na samotný operačný systém Windows. Princíp tohto typu autentifikácie je nasledovný <nowiki>[</nowiki>1<nowiki>]</nowiki>:

1. Webový server požiada klientsku aplikáciu o autentifikáciu.

2. Tá predloží prihlasovacie údaje.

3. Tie sú následne namapované na užívateľský účet Windows.

Táto metóda overovania užívateľov je vhodná, ak našu webovú službu využíva menší a stabilný počet užívateľov, ktorí majú existujúce užívateľské účty Windows. Tento typ sa využíva pre aplikácie, v ktorých webový server aj užívatelia patria do rovnakej lokálnej siete alebo intranetu. Medzi výhody patrí <nowiki>[</nowiki>1<nowiki>]</nowiki>, <nowiki>[</nowiki>4<nowiki>]</nowiki>, <nowiki>[</nowiki>7<nowiki>]</nowiki>:

* Využitie existujúcich účtov Windows.
* Využitie samotného zabezpečenia operačného systému Windows a impersonácie. Môžeme využiť už existujúce oprávnenie užívateľských účtov, napríklad pre prístup k súborom. Programový kód ASP.NET je vykonávaný pod fixným účtom, pre službu IIS 5.x je to účet ASP.NET a pre IIS 6.0 je to účet Network Service. Použitie pevného účtu má veľa dôvodov. Skoro vo všetkých prípadoch sú práva pridelené užívateľom oveľa menšie ako sú práva potrebné pre aplikáciu. Existuje mechanizmus, pomocou ktorého je možné spúšťať programový kód pod prevzatou identitou. Ide o tzv. impersonáciu. Takýto model je vhodné použiť pre lokálne siete s malým počtom užívateľov, ktorí majú korektne zadefinované užívateľské oprávnenie Windows. Impersonácia bude vysvetlená v podkapitole 5.2.1.
* Pri tomto type nie je nutné vytvárať prihlasovaciu stránku ani databázu užívateľov, čiže táto metóda nie je z programátorského hľadiska časovo náročná.
Existuje však veľa dôvodov, prečo sa tomuto spôsobu overovania vyhnúť. Napríklad <nowiki>[</nowiki>7<nowiki>]</nowiki>, <nowiki>[</nowiki>9<nowiki>]</nowiki>:

* Tento typ autentifikácie nie je veľmi flexibilný a veľmi zle sa prispôsobuje.
* Dochádza pri ňom k naviazaniu na užívateľské účty.
* Je nevyhnutné, aby klienti webovej služby mali operačný systém od spoločnosti Microsoft kvôli korektnej autentifikácii webovým serverom IIS.
* Táto metóda neumožňuje riadiť autentifikačný proces. Predstavuje to veľký problém, pokiaľ má byť webová služba verejná.
Pri Windows autentifikácii je overovanie klienta vykonávané webovým serverom IIS. Ten môže overiť a autorizovať klienta ešte skôr, ako webová aplikácia (napr. webová služba) začne obsluhovať jeho požiadavku. IIS má niekoľko bezpečnostných mechanizmov pomocou ktorých môže overiť, autorizovať klienta, zabezpečiť dôvernosť a integritu komunikácie.

===Služba Internet Information Service===

Webový server IIS zabezpečuje korektné prostredie pre beh aplikácie typu klient – server.

K autentifikácii klientov má k dispozícii niekoľko stratégií. Môže použiť na overenie klienta <nowiki>[</nowiki>4<nowiki>]</nowiki> :

* '''Základnú autentifikáciu. '''Túto metódu vyvinulo konzorcium W3C. Definuje dodatočnú hlavičku HTTP, v ktorej sú prenášané užívateľské mená a heslá. Dáta nie sú kryptované, ale sú kódované vo formáte Base64. Tento typ je nutné používať s SSL.
* '''Digestívnu autentifikáciu. '''Je podobná základnej autentifikácii, prihlasovacie údaje nie sú prenášané v kódovaní Base64, ale sú hašované. Tento spôsob nie je veľmi rozšírený, našiel uplatnenie len v intranetoch.
* '''Integrovanú autentifikáciu Windows'''. Pri tomto type autentifikácie je overovanie užívateľa ponechané na samotný operačný systém. Využíva sa 96 bitové číslo SID (Secure identifier), ktoré slúži na identifikáciu každého prihláseného užívateľa. Identita každého prihláseného užívateľa sa predáva vo forme tokenu. Pretože integrovaná autentifikácia Windows je najvhodnejším overovacím štandardom pre intranetové aplikácie založené na WAN alebo LAN, budeme sa jej venovať v nasledujúcej podkapitole.

==Integrovaná autentifikácia Windows==

Podmienkou korektného fungovania tohto typu overovania užívateľov je to, že klient aj webový server sa musia nachádzať na rovnakej lokálnej sieti. Pri tejto metóde sa neprenášajú mená a heslá užívateľov, ale spolupracuje s doménovým serverom alebo inštanciou Active Directory. <nowiki>[</nowiki>1<nowiki>]</nowiki> Na prenos prihlasovacích údajov sa využíva autentifikačný protokol NTLM (NT LAN Manager) alebo protokol Kerberos 5. Druh overovacieho protokolu závisí od operačného systému klienta a serveru. Pokiaľ ide o operačný systém Windows 2000 a vyšší ako autentifikačný protokol je použitý Kerberos 5, inak bude overovanie realizované prostredníctvom NTLM. <nowiki>[</nowiki>4<nowiki>]</nowiki>

V tejto podkapitole si rozoberieme nasledujúce schémy integrovaného overovania Windows <nowiki>[</nowiki>9<nowiki>]</nowiki>:

* Integrované overenie systému Windows s impersonáciou.
* Integrované overenie systému Windows bez impersonácie.
* Integrované overenie systému Windows s preddefinovanou identitou.
Ale skôr ako sa začneme venovať samotnej integrovanej autentifikácii systému Windows, je vhodné si objasniť proces impersonácie.

===Impersonácia===

Impersonácia je proces vykonávania programového kódu v kontexte identity iného užívateľa. Ako už bolo spomenuté, kód webovej služby ASP.NET beží pod fixným účtom, typ účtu závisí od verzie služby IIS. Dôvody použitia impersonácie sú nasledovné <nowiki>[</nowiki>1<nowiki>]</nowiki>, <nowiki>[</nowiki>4<nowiki>]</nowiki>:

* Zvýšenie flexibility systému. Pre každého užívateľa môžeme prideliť rôzne prístupové práva a vyhneme sa tým použitiu fixného účtu pre všetkých užívateľov.
* Rozlíšenie práv pre jednotlivé webové aplikácie na rovnakom počítači. V situácii, keď webový server používa veľké množstvo personalizovaných adresárov, môžeme pomocou impersonácie zabrániť, aby aplikácia nesprístupnila užívateľovi iné adresáre ako tie, na ktoré má oprávnenie.
ASP.NET podporuje dva typy impersonácie <nowiki>[</nowiki>15<nowiki>]</nowiki>:

* Konfiguračnú, prostredníctvom konfiguračného súboru '''web.config''' webovej služby.
* Programovú, ktorá umožňuje prepnutie identity v rámci programu.

====Konfiguračná impersonácia====

Predstavuje najjednoduchšiu formu impersonácie prostredníctvom nadefinovania v konfiguračnom súbore web.config pomocou prvku '''<nowiki><</nowiki>identity<nowiki>></nowiki>, '''ktorého hodnotu nastavíme na '''true. '''<nowiki>[</nowiki>1<nowiki>]</nowiki>

{|class="wikitable"
'''Tab. 5.1''' Konfiguračné nastavenie impersonácie v súbore web.config
|-
|<source lang="xml">
<configuration>
<system.web>
<identity impersonate="true"/>
</system.web>
</configuration>
</source>
|}

ASP.NET umožňuje pevné nastavenie identity, pod ktorou bude spúšťaný kód webovej služby.

{|class="wikitable"
'''Tab. 5.2''' Konfiguračné nastavenie impersonácie s predefinovaným účtom
|-
|<source lang="xml">
<identity impersonate="true" userName="USER" password="PASSWORD" />
</source>
|}

====Programová impersonácia====

V tejto podkapitole si vysvetlíme programovú impersonáciu s využitím platformy .NET Framework. Umožňuje väčšiu kontrolu nad procesom. Pre programovú impersonáciu sa využíva metóda '''WindowsIdentity.Impersonate()''', ktorá je súčasťou menného priestoru''' System.Security.Principal. '''<nowiki>[</nowiki>9<nowiki>]</nowiki>

Pomocou tejto metódy môžeme nastaviť impersonáciu pre špecifický účet, ktorý je určený príznakom účtu (account token). Postup pri programovej impersonácii je nasledovný <nowiki>[</nowiki>1<nowiki>]</nowiki> :

1. Najskôr získame príznak účtu Windows, ktorý chceme zosobniť.

2. Pomocou metódy WindowsIdentity.Impersonate() spustíme proces impersonácie. Návratová hodnota tejto metódy je objekt '''WindowsImpersonationContext'''.

3. Návrat k pôvodnej identite dosiahneme zavolaním metódy '''Undo() '''objektu WindowsImpersonationContext.

Príznaky užívateľských účtov sú v platforme .NET reprezentované pomocou objektu IntPtr. Tento objekt reprezentuje ukazovatele do oblasti neriadenej pamäte.

Získanie príznaku účtu aktuálneho prihláseného užívateľa je Tab. 5.3.

{|class="wikitable"
'''Tab. 5.3''' Získanie príznaku účtu Windows
|-
|<source lang="csharp">
IntPtr token = ((WindowsIdentity)User.Identity).Token;
</source>
|}

Samotná impersonácia pomocou príznaku účtu s využitím metódy Impersonate() je v Tab. 5.4.

{|class="wikitable"
'''Tab. 5.4''' Proces impersonácie s využitím metódy Impersonate()
|-
|<source lang="csharp">
WindowsImpersonationContext impersonationContext;
impersonationContext = WindowsIdentity.Impersonate(token);
</source>
|}

===Integrované overenie službou Windows s impersonáciou===

Spôsoby realizácie impersonácie sme si vysvetlili v kapitole 5.2.1 Pre korektné využitie tohto typu overovania klientskych aplikácií je nutné zadeklarovať ten typ autentifikácie v konfiguračnom súbore webovej služby web.config prostredníctvom prvku '''<nowiki><</nowiki>authentication mode<nowiki>></nowiki>, '''ktorý nastavíme na typ Windows'''. '''Samotnú impersonáciu povolíme prostredníctvom prvku '''<nowiki><</nowiki>identity impersonate<nowiki>></nowiki> ''', ktorý nastavíme na hodnotu''' true'''. <nowiki>[</nowiki>1<nowiki>]</nowiki>, <nowiki>[</nowiki>4<nowiki>]</nowiki>

{|class="wikitable"
'''Tab. 5.5''' Nastavenie integrovanej autentifikácie Windows s impersonáciou v súbore web.config
|-
|<source lang="xml">
<configuration>
<system.web>
<authentication mode="Windows"/>
<identity impersonate="true"/>
</system.web>
</configuration>
</source>
|}

Táto konfigurácia zosobní kód webovej služby ASP.NET užívateľa, ktorý bol overený službou IIS. Pre zosobnenie kódu webovej služby je nutné zakázať anonymný prístup v službe IIS. Ak je v službe IIS povolený anonymný prístup, kód ASP.NET bude spustený pod účtom hosťa v Internete, implicitne účet IUSER_POČÍTAČ.

Pri tomto spôsobe autentifikácie máme tieto možnosti na autorizáciu klienta <nowiki>[</nowiki>1<nowiki>]</nowiki>:

* Zoznamy ACL (Access control list). Prostredníctvom nich môžeme obmedziť prístup k súborom webovej služby a prostriedkom, ktoré využíva.
* Autorizácia prostredníctvom adresy URL, ktorá sa realizuje konfiguračne v súbore web.config webovej služby alebo v súbore machine.confing.
Tento typ integrovaného overovania Windows je vhodné pre webové služby použiť v nasledujúcich situáciách <nowiki>[</nowiki>4<nowiki>]</nowiki>:

* Pokiaľ majú byť užívatelia webovej služby overovaní na základe existujúcich účtov Windows.
* Ak má byť kontext zabezpečenia spúšťajúceho užívateľa webovou službou poslaný do ďalšej vrstvy.

===Integrované overenie systému Windows bez impersonácie===

Tento model overovania je po stránke konfiguračného zabezpečenia totožný s integrovaným overovaním Windows s impersonáciou. Jediný rozdiel je v tom, že v konfiguračnom súbore webovej služby web.config je prvok '''<nowiki><</nowiki>identity impersonate<nowiki>></nowiki> '''nastavený na hodnotu '''false'''. <nowiki>[</nowiki>3<nowiki>]</nowiki>

{|class="wikitable"
'''Tab. 5.6''' Nastavenie integrovanej autentifikácie Windows bez impersonácie v súbore web.config
|-
|<source lang="xml">
<configuration>
<system.web>
<authentication mode="Windows"/>
<identity impersonate="false"/>
</system.web>
</configuration>
</source>
|}

Možnosti autorizácie a scenáre nasadenia tohto modelu sú rovnaké ako v predchádzajúcej kapitole Integrované overenie službou Windows s impersonáciou, preto ich neuvádzame.

===Integrované overenie systému Windows s preddefinovanou identitou===

Použitie pevnej identity pre proces ASP.NET nie je veľmi vhodné a zaužívané riešenie. Nakoľko implicitne je proces ASP.NET spúšťaný pod fixným účtom, ktorý je dobre zabezpečený, jeho typ záleží od verzie služby IIS. Pokiaľ by sme chceli spúšťať proces ASP.NET pod naším preddefinovaným fixným účtom, museli by sme mu zadefinovať veľmi silné oprávnenia. Pri zlej konfigurácii účtu to môže predstavovať veľmi silné bezpečnostné riziko. <nowiki>[</nowiki>1<nowiki>]</nowiki>, <nowiki>[</nowiki>2<nowiki>]</nowiki>

:Takisto ako v predchádzajúcich dvoch schémach integrovaného overovania Windows, sa aj tento typ overovania realizuje konfiguračne v súbore web.config webovej služby, kde sa hodnota prvku '''<nowiki><</nowiki>identity impersonate<nowiki>></nowiki> '''nastaví na hodnotu''' true '''a v samotnom prvku uvedieme užívateľské meno a heslo účtu. Z dôvodu zvýšenia bezpečnosti môžeme využiť nástroj '''aspnet_setreg.exe '''na zakryptovanie prihlasovacích informácií. <nowiki>[</nowiki>9<nowiki>]</nowiki>, <nowiki>[</nowiki>29<nowiki>]</nowiki>

Samotná konfigurácia integrovaného overovania Windows s preddefinovaným pevným účtom je v Tab. 5.7.

{|class="wikitable"
'''Tab. 5.7''' Nastavenie integrovanej autentifikácie Windows s preddefinovanou identitou v súbore web.config
|-
|<source lang="xml">
<configuration>
<system.web>
<authentication mode="Windows"/>
<identity impersonate="true"
userName="registry:HKLM\Software\AspNetIdentity,Name"
password="registry:HKLM\Software\AspNetIdentity,Pwd"/>
</system.web>
</configuration>
</source>
|}

V tejto kapitole sme sa venovali autentifikácii Windows. Tento model overovania sa využíva pre aplikácie, v ktorých webový server aj užívatelia patria do rovnakej lokálnej siete alebo intranetu. Podrobnejšie sme sa venovali integrovanej autentifikácii Windows, nakoľko predstavuje štandard pre intranetové aplikácie založené na WAN alebo LAN sieťach. Z toho dôvodu je využívaná v malých podnikových sieťach. <nowiki>[</nowiki>4<nowiki>]</nowiki>

==Autentifikácia založená na certifikátoch==

Samotný princíp a fungovanie certifikátov sme si vysvetlili v podkapitole 4.1.1. Overovanie klientskych certifikátov môžeme vo webovej službe využiť na overovanie:

* klientskych a serverových aplikácií volajúcich webovú službu,
* iných webových služieb.
Existujú niektoré obmedzenia, s ktorými sa môžeme stretnúť pri overovaní klientskych aplikácií prostredníctvom certifikátov, v tejto kapitole sa pokúsime niektoré z nich načrtnúť a takisto ponúknuť aj riešenie.

===Proces autentifikácie klientskych certifikátov===

Problém vzniká, ak klient komunikuje s webovou službou prostredníctvom webovej aplikácie. Webová aplikácia môže overiť klientsky certifikát, ale ten istý certifikát nie je možné použiť na overenie webovou službou. Webová aplikácia nemôže poskytnúť klientsky certifikát spúšťajúceho užívateľa do webovej službe. Dôvod je nasledovný: webová aplikácia nemá prístup k súkromnému kľúču klienta. <nowiki>[</nowiki>16<nowiki>]</nowiki>

[[Súbor:dp_2010_jm_7.png|framed|center|Obr. 5.1 Problém overovania klientskych certifikátov webovou službou]]

===Proces autentifikácie klientskeho certifikátu prostredníctvom podsystému===

V tejto podkapitole sa oboznámime s riešením problému, ktorý sme si načrtli v podkapitole Proces autentifikácie klientskych certifikátov. Riešenie nášho problému môže byť odstránené nasledujúcim komunikačným scenárom <nowiki>[</nowiki>16<nowiki>]</nowiki>:

1. Klient volá webovú službu prostredníctvom webovej aplikácie.

2. Aplikácia plní úlohu autentifikácie a autorizácie klienta a je zodpovedná za svojich klientov.

3. Po úspešnom overení na základe existencie členstva klienta v nejakej roli webová aplikácia môže volať webovú službu prostredníctvom rôznych certifikátov. Tým je zabezpečená existencia viacerých užívateľských rolí vo webovej službe.

4. Webová služba autorizuje webovú aplikáciu na základe certifikátu, ktorý od nej dostala.

Dôvernosť a integrita komunikácie medzi serverom webovej aplikácie a webovou službou je zabezpečená použitím protokolu SSL alebo IPSec. Prostredníctvom certifikátov je ošetrený neautorizovaný prístup. Celý komunikačný scenár je znázornený na Obr. 5.2.

[[Súbor:dp_2010_jm_8.png|framed|center|Obr. 5.2 Overovanie klientov webovou službou prostredníctvom podsystému]]

===Implementácia overovanie klientov webovou službou prostredníctvom podsystému na platforme .NET Framework s využitím serverovej aplikácie===
Z dôvodu, že webová aplikácia ASP.NET nemá priamy prístup k certifikátom, musíme použiť dodatočný proces, ktorý zabezpečí volanie webovej služby a predanie samotných certifikátov službe. Proces musí byť nakonfigurovaný tak, aby bol spúšťaný s pridruženým užívateľským profilom, pretože ASP.NET aplikácia nemá načítaný príslušný užívateľský proces a k nemu zodpovedajúce úložisko certifikátov. Tento scenár môžeme realizovať prostredníctvom <nowiki>[</nowiki>16<nowiki>]</nowiki>:

* služby systému Windows,
* serverovej aplikácie (Model Enterprise Services).

Celý proces overovania s využitím serverovej aplikácie sa skladá z nasledujúcich krokov <nowiki>[</nowiki>15<nowiki>]</nowiki>, <nowiki>[</nowiki>16<nowiki>]</nowiki>:

1. ASP.NET aplikácia autentifikuje volajúcich klientov na základe ich certifikátov.

2. Webová aplikácia ASP.NET autorizuje prístup klientov k webovej službe.

3. ASP.NET aplikácia volá príslušný serverový komponent (ten je spúšťaný iba v serverovom procese).

4. Serverová aplikácia je spúšťaná pod konkrétnym účtom. K nemu je pridružený užívateľský profil. Serverový komponent načíta certifikát z úložiska certifikátov. Ten je použitý webovou službou na overenie webovej aplikácie.

5. Serverový komponent volá webovú službu ASP.NET a predáva jej klientsky certifikát.

Celý proces overovania certifikátov s využitím serverového komponentu je znázornený na Obr. 5.3.

[[Súbor:dp_2010_jm_9.png||framed|center|Obr. 5.3 Overovanie klientov webovou službou s využitím serverovej aplikácie <nowiki>[</nowiki>16<nowiki>]</nowiki> ]]

Takýto scenár server / server funguje za predpokladu, že webová aplikácia správne autentifikovala a autorizovala klienta. Použitie dodatočného procesu na prístup k certifikátom je nutný z toho dôvodu, že účet ASP.NET nemá prístup k žiadnemu certifikátu na webovom serveri. Každý certifikát je spracovávaný v rámci užívateľského profilu s pridruženým účtom.

===Overovanie desktopových aplikácií prostredníctvom klientskych certifikátov webovou službou===

Doteraz sme sa zaoberali prípadom, v ktorom konzumentom XML ASP.NET webovej služby bola webová aplikácia, napríklad ASP.NET stránka. V tejto práci budeme neskôr vyvíjať vlastnú bezpečnostnú platformu pre XML ASP.NET webové služby, v ktorej budeme v komunikačnom scenári využívať desktopovú aplikáciu typu winforms. Pri overovaní klientskych certifikátov desktopovej aplikácie nie je nutné použitie podsystému. Celý proces overovania klientskeho certifikátu webovou službou má tieto kroky:

1. Desktopová aplikácia načíta príslušný klientsky certifikát z úložiska certifikátov.

2. Aplikácia winforms pripojí klientsky certifikát k vlastnosti '''ClientCertificates '''triedy proxy, ktorej význam sme si vysvetlili v kapitole Trieda proxy.

3. Cez HTTPS kanál pošle SOAP požiadavku na XML webovú službu.

4. Klientsky certifikát na strane webovej služby môže byť overený dvoma spôsobmi <nowiki>[</nowiki>15<nowiki>]</nowiki>:

* webovým serverom,
* priamo v programovom kóde webovej služby ASP.NET.

[[Súbor:dp_2010_jm_10.png||framed|center|Obr. 5.4 Overenie klientskeho certifikátu desktopovej aplikácie XML ASP.NET webovou službou]]

Súbor:Dp 2010 jm 6.png

2010-06-11T11:44:30Z

Ian: bola nahraná nová verzia „Súbor:Dp 2010 jm 6.png“

Súbor:Dp 2010 jm 5.png

2010-06-11T11:44:18Z

Ian: bola nahraná nová verzia „Súbor:Dp 2010 jm 5.png“

Zabezpečennie webových aplikácií

2010-06-11T11:40:36Z

Ian:

[[Kategória:Študentské práce]][[Kategória:Diplomové práce]][[Kategória:Informatika]][[Kategória:Webové služby]]
{{Praca_uvod|3|Návrh a implementácia bezpečnostnej technológie pre webové služby|XML a webové služby |XML ASP.NET webové služby|Zabezpečenie webových aplikácií|Integrita a dôvernosť komunikácie|Autentifikácia|Autorizácia webových služieb|Zabezpečenie webových služieb|XML security|SOAP Security Enhancement pre ASP.NET webové služby}}
__TOC__
=Zabezpečenie webových aplikácií=
V predchádzajúcej kapitole sme opísali technologické a programové pozadie XML ASP.NET webových služieb. Pri vytváraní verejných webových služieb predstavuje ich bezpečnosť faktor, ktorým môžeme určovať ich kvalitu. Webové služby komunikujú s klientskymi aplikáciami prostredníctvom XML správ, samy o sebe nezabezpečujú ochranu prenášaných dát. Pokiaľ webová služba poskytuje citlivé informácie, napríklad bankové webové služby, webové služby zdravotných poisťovní, poprípade webové služby leteckých spoločností a iné, musí byť zabezpečená ochrana prenášaných dát. Musia byť vytvorené mechanizmy na identifikáciu klientov volajúcich webové služby, na ich autorizáciu a mechanizmy na zabezpečenie integrity a dôvernosti komunikácie.

Táto kapitola sa zaoberá práve autentifikáciou, autorizáciou klientov webových služieb ASP.NET a zabezpečením integrity a dôvernosti komunikácie. Tie predstavujú hlavné úrovne bezpečnosti.

==Úrovne bezpečnosti==
Všeobecne pri webových aplikáciách pri implementácii bezpečnosti je nutné zabezpečiť nasledovné <nowiki>[</nowiki>1<nowiki>]</nowiki> :

1. '''Autentifikáciu'''. To znamená, že najskôr musíme overiť identitu užívateľa, ktorý napríklad volá niektorú z metód webovej služby.

2. '''Autorizáciu'''. Na základe jeho identity sa musíme rozhodnúť, aké operácie bude môcť užívateľ vykonávať a k akým zdrojom bude mať prístup. Autorizácia zisťuje, na čo všetko má klient oprávnenie.

3. '''Utajenie'''. Počas komunikácie klientskej aplikácie s webovou službou musíme zabezpečiť ochranu prenášaných dát. Z toho dôvodu je nutné kryptovať prenosový kanál medzi klientskou aplikáciou a webovým serverom.

4. '''Integritu'''. Predstavuje ochranu prenášaných dát pred neoprávneným pozmenením neautorizovanými činiteľmi. Je realizovaná prostredníctvom digitálnych podpisov.

Začneme tým, že sa oboznámime s utajením a integritou komunikácie, aj keď prvým krokom pri vytváraní bezpečnej komunikácie je overenie klienta. Je to z dôvodu, že v kapitole 4 sa oboznámime s princípom certifikátov, ktoré predstavujú jednu z overovacích metód klientov. Autentifikácia klientov prostredníctvom certifikátov je rozobraná v samostatnej kapitole 5.3.

XML ASP.NET webové služby

2010-06-11T11:39:37Z

Ian: /* XML ASP.NET webové služby */

[[Kategória:Študentské práce]][[Kategória:Diplomové práce]][[Kategória:Informatika]][[Kategória:Webové služby]]
{{Praca_uvod|2|Návrh a implementácia bezpečnostnej technológie pre webové služby|XML a webové služby |XML ASP.NET webové služby|Zabezpečennie webových aplikácií|Integrita a dôvernosť komunikácie|Autentifikácia|Autorizácia webových služieb|Zabezpečenie webových služieb|XML security|SOAP Security Enhancement pre ASP.NET webové služby}}
__TOC__
=XML ASP.NET webové služby=

V predchádzajúcej kapitole sme si vysvetlili princípy XML webových služieb, popísali štandardy na ktorých sú vystavané, ich výhody aj nevýhody a spôsob, akým komunikujú webové služby s klientskymi aplikáciami.

Táto práca sa zaoberá bezpečnosťou XML ASP.NET webových služieb. Technológia ASP.NET je integrovaná s programovou platformou .NET Framework. .NET Framework predstavuje programovú platformu, ktorá je rozčlenená do kolekcie funkčných častí, zahŕňajúcich viac ako 7000 tried, štruktúr, rozhraní a ďalších typov. Každá zo skupiny tried v .NET Framework je zoskupená do logického hierarchického kontajnera, nazývaného menný priestor. Pre viac informácií o platforme .NET Framework odporúčame referenčnú príručku .NET. <nowiki>[</nowiki>31<nowiki>]</nowiki> Na Obr. 2.1 je znázornená štruktúra programovej platformy .NET Framework 3.5.

[[Súbor:dp_2010_jm_3.png|framed|center|Obr. 2.1 .NET Framework 3.5 <nowiki>[</nowiki>2<nowiki>]</nowiki>]]

ASP.NET implementuje XML webové služby ako súbory s príponou .asmx. Kód webovej služby môže byť umiestnený priamo do súboru .asmx alebo do triedy v súbore s kódom na pozadí. Táto práca predpokladá určitú znalosť programovej platformy .NET Framework a technológie ASP.NET, a preto sa nebudeme samotnou programovou platformou v práci zaoberať.
Pri vytváraní XML ASP.NET webových služieb pod platformou .NET Framework je nutné sa najskôr oboznámiť s niektorými mennými priestormi .NET Framework, ktoré umožňujú komunikovať s technológiou XML webových služieb. Popis jednotlivých menných priestorov je v Tab. 2.1.

{|class="wikitable"
'''Tab. 2.1''' Menné priestory .NET Framework zamerané na XML ASP.NET webové služby <nowiki>[4</nowiki><nowiki>]</nowiki></nowiki>
|align = "justify"|'''Menný priestor'''
|align = "justify"|'''Význam'''
|-
|align = "justify"|System.Web.Service
|align = "justify"|Obsahuje základné typy nutné pri vytváraní XML webových služieb.
|-
|align = "justify"|System.Web.Service.Configuration
|align = "justify"|Obsahuje typy, ktoré umožňujú konfiguráciu správania sa webových služieb ASP.NET.
|-
|align = "justify"|System.Web.Service.Description
|align = "justify"|Obsahuje typy, ktoré umožňujú programátorsky komunikovať s dokumentom WSDL popisujúcim danú XML ASP.NET webovú službu.
|-
|align = "justify"|System.Web.Service.Discovery
|align = "justify"|Obsahuje typy, ktoré umožňujú klientovi webovej služby programátorsky zistiť, aké webové služby sú nainštalované na danom serveri.
|-
|align = "justify"|System.Web.Service.Discovery
|align = "justify"|Definuje typy, ktoré reprezentujú základ rôznych protokolov XML webových služieb, napríklad HTTP GET, HTTP POST a SOAP.
|-
|}

Všetky menné priestory zamerané na XML ASP.NET webové služby sú obsiahnuté v assembly '''System.Web.Services.dll'''.<nowiki>[</nowiki>1<nowiki>]</nowiki>

Najdôležitejší menný priestor pri vytváraní XML ASP.NET webových služieb je '''System.Web.Services'''. Popis členov tohto menného priestoru je v Tab. 2.2.

{|class="wikitable"
'''Tab. 2.2''' Popis menného priestoru System.Web.Services <nowiki>[</nowiki>2<nowiki>]</nowiki>
|align = "justify"|'''Menný priestor'''
|align = "justify"|'''Význam'''
|-
|align = "justify"|WebMethodAttribute
|align = "justify"|Pokiaľ je metóda alebo vlastnosť triedy webovej služby špecifikovaná pomocou tohto atribútu, znamená to, že člena bude možné volať cez HTTP kanál a serializovať ako XML
|-
|align = "justify"|WebService
|align = "justify"|Predstavuje základnú, nepovinnú triedu XML ASP.NET webových služieb budovaných pomocou .NET. Pokiaľ je trieda XML webovej služby odvodená z tejto základnej triedy, bude mať schopnosť si uchovávať stavové informácie.
|-
|align = "justify"|WebServiceAttribute
|align = "justify"|Pomocou tohto atribútu sa dajú pridávať informácie do webovej služby, ako napríklad reťazec popisujúci jej funkcionalitu a podkladový priestor XML.
|-
|align = "justify"|WebServiceBindingAttribute
|align = "justify"|Tento atribút deklaruje protokol viazania, ktorý XML ASP.NET webová služba implementuje.
|-
|align = "justify"|WsiProfiles
|align = "justify"|Popisuje špecifikáciu interoperability webovej služby (WSI).
|-
|}

==Základná trieda WebService==
Pokiaľ vytvárame XML ASP.NET webovú službu s využitím IDE Visual Studio, novovytvorená trieda webovej služby je automaticky odvodená zo základnej triedy WebService. (pozri Tab. 2.3). To, že trieda webovej služby dedí zo základnej triedy WebService, umožňuje prístup ku všetkým zabudovaným objektom ASP.NET, napríklad Application, Session atd. Vlastnosti základnej triedy WebService, ktoré získa trieda webovej služby dedením, sú v Tab. 2.4.

{|class="wikitable"
'''Tab. 2.3 ''' Vytvorenie triedy webovej služby dedením zo základnej triedy WebService
|-
|<source lang="csharp">
WebServiceClass: System.Web.Services
</source>

|}

{|class="wikitable"
'''Tab. 2.4''' Vlastnosti základnej triedy WebService <nowiki>[</nowiki>1<nowiki>]</nowiki>
|align = "justify"|'''Vlastnosť'''
|align = "justify"|'''Význam'''
|-
|align = "justify"|Application
|align = "justify"|Inštancia triedy HttpApplicationState, ktorá poskytuje prístup ku globálnemu stavu webovej aplikácie.
|-
|align = "justify"|Context
|align = "justify"|Poskytuje prístup k HttpContext, ktorý zapúzdruje všetky špecifiká HTTP kontextu pre aktuálnu požiadavku.
|-
|align = "justify"|Server
|align = "justify"|Poskytuje prístup k objektu HttpServerUtility podľa aktuálnej požiadavky.
|-
|align = "justify"|Session
|align = "justify"|Inštancia triedy HttpSessionState, ktorá poskytuje prístup k aktuálnemu stavu relácie.
|-
|align = "justify"|User
|align = "justify"|Objekt IPrincipal, ktorý umožňuje preskúmať oprávnenia a rolu užívateľa, ktorý bol autentifikovaný.
|-
|}

==Atribúty triedy XML ASP.NET webovej služby==

Každá trieda XML ASP.NET webovej služby môže byť kvalifikovaná pomocou atribútov <nowiki>[</nowiki>7<nowiki>]</nowiki>:

* WebService,
* WebServiceBinding.

===Atribút WebService===

Atribút WebService podporuje niekoľko pomenovaných vlastností, konkrétne tieto <nowiki>[</nowiki>2<nowiki>]</nowiki>:

* Namespace,
* Description,
* Name.
Prostredníctvom vlastnosti '''Namespace''' môžeme vytvoriť menný XML priestor, ktorý sa bude používať vo vnútri WSDL dokumentu (pozri Tab. 2.6). Vlastnosť '''Description''' popisuje webovú službu prostredníctvom textového reťazca. Prostredníctvom vlastnosti '''Name''' môžeme oddeliť názov triedy webovej služby od názvu, pod ktorým bude webová služba sprístupnená z Internetu alebo LAN. <nowiki>[</nowiki>1<nowiki>]</nowiki>

{|class="wikitable"

'''Tab. 2.5''' Vlastnosti atribútu WebService
|-
|<source lang="csharp">
[WebService(Description="Secure web service",
Namespace = "http://DiplomaWork.sk/",
Name= "SecureWebService")]
public class WebServiceClas : System.Web.Services.WebService
{...}
</source>
|}

{|class="wikitable"
'''Tab. 2.6''' Menný priestor WSDL
|-
|<source lang="xml">
<wsdl:documentation xmlns:wsdl="http://schemas.xmlsoap.org/wsdl/">Secure web service</wsdl:documentation>
</source>

|}

===Atribút WebServiceBinding===

Atribút '''WebServiceBinding''' špecifikuje, či je XML ASP.NET webová služba v súlade s Web Services Interoperability (WSI) Basic Profile 1.1.<nowiki>[</nowiki>3<nowiki>]</nowiki> Tým, že je trieda webovej služby kvalifikovaná atribútom WebServiceBinding, prehlasuje, že je v súlade so špecifikáciou WSI Basic Profile 1.1. Špecifikácia WSI Basic Profile odstraňuje nejednoznačnú interpretáciu prvkov WSDL dokumentu webovými servermi, napríklad IIS, Apache a architektúrami .NET a J2EE. Prostredníctvom vlastnosti '''ConformsTo''' atribútu WebServiceBinding môžeme nastaviť, či je daná webová služba v súlade so špecifikáciou WSI. Vlastnosť ConformsTo môže nadobúdať tieto hodnoty <nowiki>[</nowiki>3<nowiki>]</nowiki>:

* None, webová služba neprehlasuje, že je v súlade s WSI.
* BasicProfile1_1, webová služba prehlasuje, že je v súlade so špecifikáciou WSI Basic Profile 1.1

{|class="wikitable"
'''Tab. 2.7''' Atribút WebServiceBinding
|-
|<source lang=csharp>
[WebServiceBinding(ConformsTo = WsiProfiles.BasicProfile1_1)]
public class WebServiceClas : System.Web.Services.WebService
{...}
</source>
|}

===Atribút WebMethod===

Atribút WebMethod musí byť aplikovaný na každú metódu triedy XML ASP.NET webovej služby, ktorá má byť dostupná cez HTTP kanál a serializovaná ako XML. Vlastnosti atribútu WebMethod sú v Tab. 2.8.

{|class="wikitable"
'''Tab. 2.8''' Vlastnosti atribútu WebMethod <nowiki>[</nowiki>4<nowiki>]</nowiki>
|align = "justify"|'''Argument'''
|align = "justify"|'''Význam'''
|-
|align = "justify"|Description
|align = "justify"|Popis webovej metódy.
|-
|align = "justify"|MessageName
|align = "justify"|Alias mena metódy, ktorý je používaný v prípade, že máme preťažované metódy, alebo pokiaľ chceme sprístupniť webovú metódu pod iným názvom.
|-
|align = "justify"|CacheDuration
|align = "justify"|Doba, na ktorú je uložená odpoveď webovej metódy do cache. Štandardne je hodnota cache nastavená na nulu.
|-
|align = "justify"|EnableSession
|align = "justify"|Určuje, či daná webová metóda môže pristupovať k informáciám v kolekcii Session. Umožňuje vytvoriť reláciu medzi webovou službou a klientom.
|-
|align = "justify"|TransactionOption
|align = "justify"|Nastaví, či daná webová metóda podporuje transakcie. Nakoľko webové služby sú bezstavové, môžu sa zúčastniť iba ako koreňový objekt transakcie
|-
|align = "justify"|BufferResponse
|align = "justify"|Táto vlastnosť umožňuje riadiť, kedy budú dáta vrátené z webovej služby zaslané na klienta. Štandardne je vlastnosť BufferResponse nastavená na true. To znamená, že všetky výsledky sú pred zaslaním na klienta serializované. Pokiaľ je BufferResponse nastavená na false, výsledky sú serializované a posielané na klienta po častiach. Nastavenie vlastnosti BufferResponse na false má zmysel len vtedy, ak webová služba vracia veľké množstvo dát.
|-
|}

Pri používaní XML ASP.NET webových služieb existujú určité obmedzenia ohľadom vstupných parametrov webových metód a ich návratových hodnôt. Tieto obmedzenia sú z toho dôvodu, že webové služby sú vybudované na štandardoch pre výmenu dát, a tie sú založené na jazyku XML. Webové metódy pracujú so sadou dátových typov, ktoré sú rozpoznávané štandardom schémy XML. Dátové typy webových metód XML ASP.NET webových služieb sú v Tab. 2.9. Toto obmedzenie je logické, pretože iné programovacie jazyky nemajú žiadne mechanizmy na rozpoznávanie napríklad komplexných tried, neboli by schopné interpretovať takéto dátové typy.

{|class="wikitable"
'''Tab. 2.9''' Dátové typy pre parametre a návratové hodnoty webových metód <nowiki>[</nowiki>1<nowiki>]</nowiki>
|align = "justify"|'''Dátový typ'''
|align = "justify"|'''Popis'''
|-
|align = "justify"|Základné dátové typy
|align = "justify"|Jednoduché dátové typy ako int, long, float, double, bool, string, char, byte a iné.é.
|-
|align = "justify"|Polia
|align = "justify"|Webové služby dokážu pracovať s akýmkoľvek poľom podporovaného typu, prípadne kolekciami .NET ako HashTable, prípadne binárnymi poľiami.
|-
|align = "justify"|Vlastné objekty
|align = "justify"|Akýkoľvek vlastný objekt môže byť webovou službou poslaný na klienta. Prenášajú sa iba verejné členy triedy.
|-
|align = "justify"|Enumerations
|align = "justify"| 
|-
|align = "justify"|XmlNode
|align = "justify"|Objekty založené na System.XmlNode reprezentujúce časti XML dokumentu.
|-
|align = "justify"|DataSet a DataTable
|align = "justify"|Tieto objekty patria medzi dátové objekty ADO.NET a môžu byť použité pre posielanie informácií z relačnej databázy. Tieto objekty sú XML ASP.NET webovou službou automaticky skonvertované na XML.
|-
|}

==Trieda proxy==

Pre korektnú komunikáciu klienta s XML ASP.NET webovou službou musí byť klient schopný vytvárať, posielať a dostávať SOAP správy založené na XML, ktorým buderozumieť. Principiálne jednoduchý proces, ale v praxi veľmi náročný, nakoľko by sme museli dookola písať rovnaký kód infraštruktúry nižšej úrovne. <nowiki>[</nowiki>4<nowiki>]</nowiki>

Platforma .NET to rieši v podobe '''triedy proxy''', ktorá to vykonáva namiesto klientskej aplikácie. Trieda proxy zabezpečuje správne vytváranie formátu SOAP správy, riadi prenos správ pomocou HTTP po sieti, tak isto konvertuje výsledok prijatej správy do správneho formátu.

Na vytvorenie triedy proxy v .NET existujú dva spôsoby <nowiki>[</nowiki>1<nowiki>]</nowiki>:

* Pomocou utility wsdl.exe.
* Pomocou webovej referencie v IDE Visual Studio.
Generovanie triedy proxy prostredníctvom utility wsdl.exe''' '''je flexibilnejšie, nakoľko nám umožňuje vygenerovaný kód danej triedy modifikovať.

Názov utility wsdl.exe je odvodený od štandardu Web Service Description Language pre popis XML webových služieb. Tento nástroj vygeneruje z XML webovej služby zdrojový kód triedy proxy vo zvolenom jazyku.

Utilita wsdl.exe podporuje veľké množstvo prepínačov, najbežnejšie argumenty sú v Tab. 2.10.

{|class="wikitable"
'''Tab. 2.10''' Argumenty utility wsdl.exe <nowiki>[</nowiki>1<nowiki>]</nowiki>
|align = "justify"|'''Argument'''
|align = "justify"|'''Význam'''
|-
|align = "justify"|/appsettingurlkey
|align = "justify"|Trieda proxy bude nakonfigurovaná tak, aby načítavala URL zo súboru .*config na klientskej strane.
|-
|align = "justify"|/language
|align = "justify"|Pomocou tohto argumentu špecifikujeme jazyk pre vygenerovanú triedu (C#, VB.NET, JS, VJS).
|-
|align = "justify"|/namespace
|align = "justify"|Argument špecifikuje menný priestor pre vygenerovanú triedu proxy.
|-
|align = "justify"|/out
|align = "justify"|Špecifikuje súbor, do ktorého sa uloží vygenerovaný kód proxy.
|-
|align = "justify"|/protocol
|align = "justify"|Tento argument špecifikuje protokol, ktorý sa má použiť vo vnútri triedy proxy. Prednastaveným protokolom je SOAP. Ďalšie podporované protokoly sú HTTP POST a HTTP GET.
|-
|align = "justify"|/serverInterface
|align = "justify"|Na základe WSDL dokumentu sa vygeneruje kostra webovej služby na strane servera.
|-
|}

Pre korektnú komunikáciu medzi webovou službou a klientmi, ale aj kvôli zvýšenej bezpečnosti na strane prevádzkovateľa webovej služby sa využíva implementácia triedy proxy prostredníctvom DLL knižnice u klienta.

===Popis kódu triedy proxy===

Každá trieda proxy je vytvorená odvodením z triedy :

* '''System.Web.Services.Protocols.SoapHttpClientProtocol,'''
* '''System.Web.Services.Protocols.HttpGetClientProtocol,'''
* '''System.Web.Services.Protocols.HttpPostClientProtocol.'''
Konkrétny typ použitej triedy záleží od špecifikácie protokolu, ktorý má trieda proxy používať pri generovaní prostredníctvom utility wsdl.exe.

Vytvorenie triedy proxy odvodením z príslušnej triedy .NET Framework umožňuje triede proxy korektne formátovať a konvertovať správy. Dôležité zdedené členy triedy proxy sú v Tab. 2.11.

{|class="wikitable"
'''Tab. 2.11''' Popis členov triedy proxy <nowiki>[</nowiki>7<nowiki>]</nowiki>
|align = "justify"|'''Člen triedy proxy'''
|align = "justify"|'''Popis'''
|-
|align = "justify"|BeginInvoke()
|align = "justify"|Metóda začínajúca asynchrónne volanie webovej metódy.
|-
|align = "justify"|CancelAsync()
|align = "justify"|Metóda preruší asynchrónne volanie webovej metódy.
|-
|align = "justify"|EndInvoke()
|align = "justify"|Metóda ukončí asynchrónne volanie webovej metódy.
|-
|align = "justify"|AsynInvoke()
|align = "justify"|Metóda začínajúca asynchrónne volanie webovej metódy, doporučená metóda..
|-
|align = "justify"|Invoke()
|align = "justify"|Metóda začínajúca synchrónne volanie webovej metódy.
|-
|align = "justify"|Proxy
|align = "justify"|Vlastnosť slúži na nastavenie a získanie informácie proxy.
|-
|align = "justify"|Timeout
|align = "justify"|Metóda umožňujúca nastaviť dobu čakania klientskej aplikácie na odpoveď od webovej služby v milisekundách.
|-
|align = "justify"|Url
|align = "justify"|Vlastnosť slúžia na nastavenie alebo získanie URL ASP.NET webovej služby.
|-
|align = "justify"|UserAgent
|align = "justify"|Vlastnosť slúži na nastavenie alebo získanie URL ASP.NET webovej
|-
|}

Asynchrónne volanie XML ASP.NET webových služieb umožňuje klientskej aplikácii pokračovať v činnosti, zatiaľ čo čaká na odpoveď od webovej služby. Asynchrónne volanie webovej služby má zmysel použiť, pokiaľ je server webovej služby pripojený pomalým sieťovým pripojením.

Komunikácia klientskej aplikácie s využitím triedy proxy je znázornená na Obr. 2.2.

[[Súbor:dp_2010_jm_4.png|framed|center|Obr. 2.2 Komunikácia klienta s webovou službou prostredníctvom triedy proxy]]

Návrh a implementácia bezpečnostnej technológie pre webové služby

2010-06-11T11:31:56Z

Ian: /* Základná štruktúra Web Service Description Language */

[[Kategória:Študentské práce]][[Kategória:Diplomové práce]][[Kategória:Informatika]][[Kategória:Webové služby]]
{{Hlavička_FM|{{PAGENAME}}|Bc. Ján Minárik|
Ing. Tomáš Páleník|
2009/2010
|Diplomový projekt
|Mechatronika
}}
{{Praca_uvod|1|Návrh a implementácia bezpečnostnej technológie pre webové služby|XML a webové služby |XML ASP.NET webové služby|Zabezpečennie webových aplikácií|Integrita a dôvernosť komunikácie|Autentifikácia|Autorizácia webových služieb|Zabezpečenie webových služieb|XML security|SOAP Security Enhancement pre ASP.NET webové služby}}
__TOC__
{{Abstrakt
|Webové služby predstavujú technológiu založenú na otvorených štandardoch. Stali sa vhodným nástrojom na riešenie integračných problémov v dnešnom zložitom a heterogénnom počítačovom svete. Uplatňujú sa pri budovaní podnikovej aplikačnej architektúry až po distribuovanie komplexných matematických výpočtov.
Táto práca sa zaoberá možnosťami zabezpečenia XML webových služieb a chybami, ktoré pri zabezpečovaní XML webových služieb vznikajú. Je tu prezentovaný vlastný návrh a implementácia bezpečnostnej platformy pre ASP.NET webové služby. Platforma SOAP Security Enhancement poskytuje dva spôsoby autentifikácie klientov, na základe X509 certifikátov a autentifikačných lístkov v SOAP hlavičke. SOAP Security Enhancement podporuje selektívne šifrovanie s využitím kryptografického algoritmu Advanced Encryption Standard a digitálne podpisovanie SOAP správ podľa štandardu XML Signature. Ako autorizačný mechanizmus sme zvolili programovú impersonáciu.

|The XML web services introduce technology that is based on open standards. The web service became an adequate solution for integration problems in modern heterogeneous computers networks. They find their place at business application architecture construction till the distribution of complex mathematical calculation.
The thesis deals with the possibilities of securing XML web services and weakness of XML web security. There is also presented description, design and implementation of the own security platform, called SOAP Security Enhancement. SOAP Security Enhancement offers two ways of client’s authentication with X509 certificate and authentication ticket in SOAP headers. SOAP Security Enhancement supports selectively encryption of SOAP messages with cryptographic algorithm Advanced Encryption Standard and digital sign of SOAP messages by XML Signature standards. Authorization of clients is based on programmatically impersonation.

}}

'''Úvod'''

XML webové služby predstavujú technológiu pre vytváranie distribuovaných aplikácií. Podarilo sa im vyriešiť problém interoperability a zameniteľnosti, s ktorou sa stretávame napríklad pri technológii komponentov. V praxi sú XML webové služby začleňované do servisne orientovaných architektúr. Tu sa prejaví ich hlavný nedostatok, a tým je bezpečnosť. Interoperabilita webových služieb je dosiahnutá použitím SOAP správ, v ktorých sú dáta prenášané vo forme XML. Samotný protokol SOAP nezabezpečuje nijakým spôsobom integritu a dôvernosť komunikácie medzi webovou službou a klientom.
Táto práca sa zaoberá vytvorením bezpečného komunikačného scenára medzi ASP.NET webovou službou a klientskou aplikáciou. V práci sa čitateľ oboznámi so samotnou technológiou XML webových služieb, so štandardami ktoré používa, a takisto je mu priblížené technologické pozadie ASP.NET webových služieb. Ďalej sa v práci venujeme možnostiam autentifikácie, autorizácie klientov ASP.NET webovej služby a spôsobom, akými môžeme zabezpečiť dôvernosť a integritu komunikácie. Tie predstavujú hlavné piliere bezpečnosti webových aplikácií. V kapitolách sú postupne opísané jednotlivé možnosti, vysvetlené ich výhody aj nevýhody, ktoré prináša ich použitie. Hlavná časť práce sa týka vlastnej bezpečnostnej platformy, ktorá poskytuje autentifikáciu klientov, autorizáciu na základe programovej impersonácie a zabezpečuje vytvorenie integrity a dôvernosti komunikačného kanála. Dôvernosť komunikačného kanála je zabezpečená digitálnym podpisovaním SOAP správ a integrita pomocou selektívneho šifrovania SOAP správ s využitím kryptografického algoritmu AES.

=XML a webové služby=
==Porovnanie XML webových služieb s technológiou COM a CORBA==
XML webové služby môžeme definovať ako technológiu založenú na otvorených štandardoch XML, SOAP a WSDL, umožňujúcu vzdialené volanie metód v prostredí internetu. Môže sa zdať, že XML webové služby predstavujú len ďalšiu z radu technológií umožňujúcu remoting.
Na to, aby sme pochopili skutočný význam XML webových služieb, sa musíme stručne oboznámiť s technológiou komponentov, ktorá sa objavila v 90. rokoch minulého storočia. V tomto období vznikli dve dominantné technológie COM a CORBA. Ich protokoly umožňovali RPC a ich štandardy boli implementované v rôznych počítačových sieťach. Tieto technológie boli značne sofistikované, ale priniesli so sebou veľa problémov, napríklad obtiažne nastavenie v lokálnych sieťach, a takisto neumožňovali vzájomnú spoluprácu. <nowiki>[</nowiki>4<nowiki>]</nowiki> Pokiaľ sme teda chceli vybudovať distribuovaný systém, ktorý pozostával z niekoľkých operačných systémov, museli sme pre všetky počítače nadefinovať rovnaký formát paketu, prenosového protokolu atď. S masívnym rozšírením Internetu sa objavili nové problémy, ako priechodnosť protokolov DCOM a CORBA cez firewall a tak isto to, že tieto protokoly sú orientované na spojenie. To znamená, že po celú dobu komunikácie klienta so serverom sa udržuje spojenie. Na strane servera sa môžu uchovávať informácie o klientoch, čo môže predstavovať určitý problém, ak klient nekorektne ukončí spojenie sú zbytočne využívané systémové zdroje. Pokiaľ sa na server snaží pripojiť súčasne veľký počet klientov, server veľmi rýchlo vyčerpá svoju pamäť a kapacitu spojenia. <nowiki>[</nowiki>2<nowiki>]</nowiki>
Adekvátnou odpoveďou na riešenie problémov spojených s technológiou komponentov a ich využitím pri RPC sa stali XML webové služby. Platforma XML webových služieb predstavuje jednoduché, interoperabilné pracovné prostredie. XML webové služby sa stali vhodným nástrojom na riešenie integračných problémov v dnešnom heterogénnom prostredí počítačových sietí. Problém priechodnosti protokolu cez firewall je u XML webových služieb vyriešený použitím HTTP ako transportného protokolu, a tak isto protokol HTTP je bezstavový. Tým je zabezpečené, že pri nekorektnom ukončení komunikácie klienta s XML webovou službou nie sú zbytočne využívané systémové zdroje. <nowiki>[</nowiki>1<nowiki>]</nowiki>
Komunikácia klienta a XML webovej služby je založená na posielaní SOAP správ prostredníctvom HTTP kanála. Klient pošle požiadavku vo forme SOAP správy, XML webová služba ju prijme, vyvolá príslušnú webovú metódu. Výsledok je klientovi zaslaný opätovne vo forme SOAP správy. Následne je spojenie ukončené. XML webové služby dokážu komunikovať s klientmi nezávisle od platformy, na rozdiel od technológie komponentov. To znamená, že nie sú závislé na OS ani na programovacom jazyku, v ktorom boli vytvorené. Dôvod je ten, že na reprezentáciu údajov používajú XML. XML predstavuje štandard špecifikovaný konzorciom W3C pre popis štruktúrovaných dát pomocou čistého textu. V Tab. 1.1 je možné prehľadne vidieť porovnanie technológií DCOM, CORBA a XML webových služieb.

{|class="wikitable"
'''Tab. 1.1''' Porovnanie jednotlivých distribuovaných technológii <nowiki>[4</nowiki><nowiki>]</nowiki>
|-
| 
!CORBA
!DCOM
!Webová služba
|-
!Mechanizmus vzdialeného volania<br>funkcie
|align = "center"|IIOP
|align = "center"|DCE-RPC
|align = "center"|HTTP
|-
!Kódovanie
|align = "center"|CDR
|align = "center"|NDR
|align = "center"|XML
|-
!Popis rozhrania
|align = "center"|IDL
|align = "center"|IDL
|align = "center"|WSDL
|-
!Sprístupnenie
|align = "center"|Naming service<br>Tranding service
|align = "center"|Register
|align = "center"|UDDI
|-
!Prívetivosť voči firewallu
|align = "center"|Nie
|align = "center"|Nie
|align = "center"|Áno
|-
!Zložitosť protokolov
|align = "center"|Vysoká
|align = "center"|Vysoká
|align = "center"|Nízka
|-
!Použitie medzi platformami
|align = "center"|Čiastočná
|align = "center"|Nie
|align = "center"|Áno
|}

==Štandardy XML webových služieb==
Za úspechom webových služieb stoja otvorené štandardy, na ktorých sú XML webové služby vystavané. XML webové služby využívajú štandardizované :

* komunikačné protokoly,
* formáty na popis dát,
* popisné jazyky,
* mechanizmy na „objavovanie" XML webových služieb.

Pri budovaní XML webových služieb sa využívajú tieto štandardy:

* Simple Object Access Protocol,
* Web Service Description Language,
* Hypertext Transfer Protocol.
V nasledujúcej podkapitole sa budeme venovať práve štandardom XML webových služieb.

==Simple Object Access Protocol==
Ako sme už spomenuli, komunikácia XML webových služieb prebieha prostredníctvom zasielania SOAP správ cez HTTP kanál. Na to, aby sme mohli pochopiť princíp XML webových služieb, sa musíme najskôr oboznámiť so SOAP. SOAP predstavuje medziplatformový štandard, ktorý je používaný pre formátovanie správ zasielaných medzi XML webovými službami a klientskymi aplikáciami. Výhoda SOAP je v jeho flexibilite a jednoduchosti. SOAP môžeme použiť aj s iným transportným protokolom ako HTTP, napríklad SOAP správy môžeme posielať priamo cez TCP/IP spojenie. <nowiki>[</nowiki>4<nowiki>]</nowiki>
Každá SOAP správa predstavuje XML dokument. Tento XML dokument má jeden koreňový prvok '''<nowiki><</nowiki>Envelope<nowiki>></nowiki>''' , ktorý slúži ako obálka SOAP správy. Zvyšok správy je vo vnútri obálky, ktorá obsahuje hlavičku (prvok '''<nowiki><</nowiki>Header<nowiki>></nowiki>) '''a telo správy (prvok '''<nowiki><</nowiki>Body<nowiki>></nowiki>'''). Formát SOAP správy je znázornený na obrázku 1.3.1. <nowiki>[</nowiki>10<nowiki>]</nowiki>

[[Súbor:dp_2010_jm_1.png|framed|center|Obr. 1.1 SOAP správa <nowiki>[</nowiki>3<nowiki>]</nowiki>]]

Existujú dva štýly SOAP <nowiki>[</nowiki>2<nowiki>]</nowiki>:

* štýl dokumentu SOAP (document-style SOAP),
* RPC štýl SOAP.
RPC štýl SOAP je využívaný pri volaní vzdialených objektov. Štýl dokumentu SOAP

zobrazuje dáta, ktoré sú vymenované ako dokumenty, čiže každá SOAP správa obsahuje v tele XML dokument. Tento spôsob kódovania SOAP správ je flexibilnejší ako RPC štýl SOAP. Preto je využívaný XML webovými službami.

SOAP dáta môžu byť kódované dvoma spôsobmi, ako <nowiki>[</nowiki>4<nowiki>]</nowiki> :

* literal,
* SOAP sekcia 5 (SOAP section 5).
Pri kódovaní literal sú dáta kódované ako špecifická XML schéma. Pri kódovaní SOAP sekcia 5 sú dáta kódované podľa podobných, ale prísnejších pravidiel, stanovených v špecifikácii sekcie 5 štandardu SOAP. Dôvod existencie kódovania SOAP sekcia 5 je ten, že SOAP bolo vyvinuté ešte pred dokončením štandardu XML schémy. Všetky XML webové služby štandardne využívajú kódovanie literal.

V súčasnosti existujú dve verzie SOAP <nowiki>[</nowiki>10<nowiki>]</nowiki>:

* SOAP 1.1,
* SOAP 1.2.

===Štruktúra Simple Object Access Protocol===

Každá SOAP správa je uzatvorená do koreňového elementu '''<nowiki><</nowiki>Envelope<nowiki>></nowiki>'''. Vo vnútri obálky sa nachádza nepovinný element '''<nowiki><</nowiki>Header<nowiki>></nowiki> '''a povinný element '''<nowiki><</nowiki>Body<nowiki>></nowiki>'''. V Tab. 1.2 je znázornená základná štruktúra SOAP správy.

{|class="wikitable"
'''Tab. 1.2''' Základná štruktúra SOAP správ
|-
| <source lang="xml">
<soap:Envelope xmlns:soap="http://schemas.xmlsoap.org/soap/envelope/">
<soap:Header>
</soap:Header>
<soap:Body>
</soap:Body>
</soap:Envelope>
</source>
|}

==Web Service Description Language==
WSDL je jazyk založený na XML, ktorý sa používa na popis verejného rozhrania webových služieb a komunikačných protokolov, ktoré podporujú. WSDL predstavuje metajazyk popisujúci tieto charakteristiky webovej metódy <nowiki>[</nowiki>5<nowiki>]</nowiki>:

* názov webovej metódy,
* počet, typy a poradie parametrov,
* typ návratovej hodnoty,
* volajúce konvencie HTTP GET, HTTP POST a SOAP.
Výhodou WSDL je to, že nie je zviazaný so žiadnou platformou alebo objektovým modelom. Je to jazyk XML, ktorý poskytuje rozhranie pre webové služby v rámci všetkých platforiem.

===Základná štruktúra Web Service Description Language===
WSDL dokument je tvorený z piatich hlavných elementov, ktoré sa navzájom kombinujú a popisujú XML webovú službu. Prvé tri elementy '''<nowiki><</nowiki>types<nowiki>></nowiki>''', '''<nowiki><</nowiki>message<nowiki>></nowiki>''' a '''<nowiki><</nowiki>portType<nowiki>></nowiki>''' sú abstraktné. Vzájomne sa kombinujú a definujú rozhranie XML webovej služby. Posledné dva '''<nowiki><</nowiki>binding<nowiki>></nowiki>''' a '''<nowiki><</nowiki>service<nowiki>></nowiki>''' definujú protokol. WSDL dokument má jeden koreňový element '''<nowiki><</nowiki>definitions<nowiki>></nowiki>'''. Vo vnútri koreňového elementu sa nachádza päť hlavných elementov, pričom element '''<nowiki><</nowiki>message<nowiki>></nowiki> '''sa môže vyskytnúť viackrát. V Tab. 1.3 je uvedená základná štruktúra WSDL dokumentu. <nowiki>[</nowiki>5<nowiki>]</nowiki>, <nowiki>[</nowiki>6<nowiki>]</nowiki>

{|class="wikitable"
'''Tab. 1.3''' Štruktúra WSDL dokumentu
|-
|<source lang="xml">
<wsdl:definitions xmlns:soap="http://schemas.xmlsoap.org/wsdl/soap/">
<wsdl:types></wsdl:types>
<wsdl:message></wsdl:message>
<wsdl:portType ></wsdl:portType>
<wsdl:binding></wsdl:binding>
<wsdl:service></wsdl:service>
</wsdl:definitions>
</source>
|}

Popis hlavných elementov WSDL dokumentu <nowiki>[</nowiki>11<nowiki>]</nowiki>:

* '''Types'''. V tejto sekcii sú definované všetky dátové typy XML webovej služby, patria sem aj vlastné dátové typy a formáty správ.
* '''Message.''' Táto sekcia poskytuje podrobné informácie o správach a o SOAP požiadavkách a SOAP odpovediach, ktoré sú používané pri komunikácii s XML webovou službou.
* '''PortType'''. Táto sekcia zoskupuje informácie do dvojice vstupných a výstupných správ. Každá dvojica reprezentuje metódu.
* '''Binding.''' Táto sekcia poskytuje informácie o transportných protokoloch podporovaných XML webovou službou.
* '''Service.''' Táto sekcia poskytuje koncové body (URI adresy) webovej služby.
U XML webových služieb vyvíjaných v rámci firmy poprípade pre menší okruh užívateľov sa WSDL dokument generuje automaticky webovým serverom, alebo nástrojom určeným na tento účel. Existuje však spôsob vývoja XML webových služieb, ktorý sa nazýva "first WSDL" (najskôr WSDL), kedy sa najskôr vytvorí samotný WSDL dokument, popisujúci XML webovú službu a až potom samotná XML webová služba. <nowiki>[</nowiki>7<nowiki>]</nowiki> Tento spôsob slúži na zvýšenie interoperability. Táto technika vývoja XML webových služieb je nad rámec tejto práce a preto sa ňou nebudeme zaoberať.

Protokol SOAP a HTTP predstavujú spolu s WSDL tri hlavné štandardy, na ktorých sú vystavané XML webové služby. Na lokalizáciu XML webových služieb existuje niekoľko mechanizmov, ktoré umožňujú vyhľadávať webové služby podľa určitých kritérií. Najrozšírenejším je použitie servera Universal Description, Discovery and Integration.

===Universal Description Discovery and Integration===
UDDI je navrhnutý pre webové služby, ktoré sú zdieľané verejne alebo medzi organizáciami či spoločnosťami. Obsahuje mechanizmy pre registrovanie, vyhľadávanie a kategorizovanie webových služieb. V podstate funguje ako veľký adresár obsahujúci informácie o subjektoch a nimi poskytovanými službami. Základný princíp práce s UDDI je nasledovný. Developer prehľadá register nájde služby, ktoré potrebuje, a získa pre ne popis WSDL. <nowiki>[</nowiki>7<nowiki>]</nowiki>, <nowiki>[</nowiki>12<nowiki>]</nowiki>

UDDI predstavuje register, do ktorého môžu poskytovatelia webových služieb ukladať informácie o nimi poskytovaných službách a užívatelia si ich môžu potom prehliadať.

Dve centrálne databázy spravujú firmy Microsoft a IBM. V praxi sa však ukázalo, že dve tretiny informácií o webových službách v týchto databázach sú však neplatné. <nowiki>[</nowiki>5<nowiki>]</nowiki> Ďalším problémom, ktorý je výrazný, je to, že nikto nezaručuje dôveryhodnosť poskytovateľov služieb.

===WSIL===
Štandard WSIL (Web Service Inspection Language) využíva na popis webovej služby súbor nazvaný inspection.wsil. Ten býva lokalizovaný v hlavnom adresári webservera spoločnosti poskytujúcej danú webovú službu. Mechanizmus vyhľadávania pre užívateľa spočíva v tom, že si vyhľadá najskôr konkrétnu spoločnosť poskytujúcu konkrétnu službu a až potom požiada o popis rozhrania. <nowiki>[</nowiki>8<nowiki>]</nowiki>, <nowiki>[</nowiki>5<nowiki>]</nowiki>

===DISCO===
Tento štandard vytvára jediný súbor, v ktorom sú zoskupené informácie o príbuzných webových službách. Súbor býva zvyčajne umiestnený na serveri, obsahuje odkazy na poskytované služby a klienti môžu on požiadať. Je to užitočné v tom prípade, že chceme vedieť podrobnejšie informácie o službách určitej spoločnosti. Toto vyhľadávanie nie je veľmi efektívne cez Internet, ale je vhodné pre lokálne siete, kde si klient hneď po pripojení na server môže pozrieť poskytované služby. Discovery je podporovaný iba Microsoftom a plánuje sa ho nahradiť štandardom WS-Inspection. <nowiki>[</nowiki>4<nowiki>]</nowiki>, <nowiki>[</nowiki>5<nowiki>]</nowiki>

==Výhody a nevýhody webových služieb==
Webové služby riešia problémy, ako je priechodnosť cez firewall, spracovanie zložitých transportných protokolov a integrácia rôznorodých platforiem. Globálne rozšírenie Internetu zvýšilo dôležitosť a použiteľnosť distribuovaných výpočtov a webové služby predstavujú len ďalší krok vo vývoji distribuovaných komponentov.

Medzi nesporné výhody webových služieb patrí:

* Jednoduchosť a podpora pre širokú škálu platforiem.
* Webová služba môže pridávať nové metódy bez toho, aby to ovplyvnilo činnosť klienta. (Webová služba musí ale poskytovať staré metódy a parametre.)

* Webové služby sú bezstavové. Znamená to, že klient zašle požiadavku na webovú službu, tá ju spracuje, zašle späť výsledok a spojenie je ukončené. Neexistuje tu parameter spojenia.
* Prívetivosť voči firewallu. Firewally môžu predstavovať problém pri technológii distribuovaných objektov. Avšak webové služby využívajú HTTP prenos na portoch 80, 443 a HTTP protokol prakticky vždy prejde cez firewally.

Jednoduchosť webových služieb v porovnaní so sofistikovanými technológiami COM a COBRA sa prejaví aj v tom, že neobsahuje obojstrannú komunikáciu. Pokiaľ sa klient odpojil, server ho nemôže spätne zavolať.

Hlavnou nevýhodou XML webových služieb je bezpečnosť. XML webové služby neposkytujú žiaden vstavaný mechanizmus zabezpečenia na úrovni SOAP správ.

==Životný cyklus webovej služby==
Obr.1.2 zobrazuje cyklus webovej služby. Užívateľ si vyhľadá službu priamo cez URL (Uniform Resource Locator) adresu služby, použije DISCO súbor alebo UDDI.

Získa WSDL dokument, ktorý popisuje spôsob komunikácie s webovou službou. Po spustení samotnej aplikácie pošle klient SOAP správu službe, tá spustí požadovanú webovú metódu a následne je zaslaná klientovi odpoveď v podobe SOAP správy.

[[Súbor:dp_2010_jm_2.png|framed|center|Obr. 1.2 Komunikácia XML webová služba a klientska aplikácia]]

Princíp komunikácie klientskej aplikácie a XML webovej služby:

* Klientska aplikácia sa pripojí na XML webovú službu priamo cez URL adresu, prípadne použije klient UDDI.
* Klientska aplikácia získa WSDL dokument, ktorý popisuje spôsob komunikácie klienta s XML webovou službou.
* Klient pošle požiadavku vo forme SOAP správy na XML webovú službu.
* Tá spustí príslušnú webovú metódu a následne je zaslaná odpoveď klientovi vo forme SOAP správy.
* Spojenie je ukončené.

XML ASP.NET webové služby

2010-06-11T11:31:18Z

Ian: /* Popis kódu triedy proxy */

[[Kategória:Študentské práce]][[Kategória:Diplomové práce]][[Kategória:Informatika]][[Kategória:Webové služby]]
{{Praca_uvod|2|Návrh a implementácia bezpečnostnej technológie pre webové služby|XML a webové služby |XML ASP.NET webové služby|Zabezpečennie webových aplikácií|Integrita a dôvernosť komunikácie|Autentifikácia|Autorizácia webových služieb|Zabezpečenie webových služieb|XML security|SOAP Security Enhancement pre ASP.NET webové služby}}
__TOC__
=XML ASP.NET webové služby=

V predchádzajúcej kapitole sme si vysvetlili princípy XML webových služieb, popísali štandardy na ktorých sú vystavané, ich výhody aj nevýhody a spôsob, akým komunikujú webové služby s klientskymi aplikáciami.

Táto práca sa zaoberá bezpečnosťou XML ASP.NET webových služieb. Technológia ASP.NET je integrovaná s programovou platformou .NET Framework. .NET Framework predstavuje programovú platformu, ktorá je rozčlenená do kolekcie funkčných častí, zahŕňajúcich viac ako 7000 tried, štruktúr, rozhraní a ďalších typov. Každá zo skupiny tried v .NET Framework je zoskupená do logického hierarchického kontajnera, nazývaného menný priestor. Pre viac informácií o platforme .NET Framework odporúčame referenčnú príručku .NET. <nowiki>[</nowiki>31<nowiki>]</nowiki> Na Obr. 2.1 je znázornená štruktúra programovej platformy .NET Framework 3.5.

[[Súbor:dp_2010_jm_3.png|framed|center|Obr. 2.1 .NET Framework 3.5 <nowiki>[</nowiki>2<nowiki>]</nowiki>]]

ASP.NET implementuje XML webové služby ako súbory s príponou .asmx. Kód webovej služby môže byť umiestnený priamo do súboru .asmx alebo do triedy v súbore s kódom na pozadí. Táto práca predpokladá určitú znalosť programovej platformy .NET Framework a technológie ASP.NET, a preto sa nebudeme samotnou programovou platformou v práci zaoberať.
Pri vytváraní XML ASP.NET webových služieb pod platformou .NET Framework je nutné sa najskôr oboznámiť s niektorými mennými priestormi .NET Framework, ktoré umožňujú komunikovať s technológiou XML webových služieb. Popis jednotlivých menných priestorov je v Tab. 2.1.

{|class="wikitable"
'''Tab. 2.1''' Menné priestory .NET Framework zamerané na XML ASP.NET webové služby <nowiki>[4</nowiki><nowiki>]</nowiki></nowiki>
|align = "justify"|'''Menný priestor'''
|align = "justify"|'''Význam'''
|-
|align = "justify"|System.Web.Service
|align = "justify"|Obsahuje základné typy nutné pri vytváraný XML webových služieb.
|-
|align = "justify"|System.Web.Service.Configuration
|align = "justify"|Obsahuje typy, ktoré umožňujú konfiguráciu správania sa webových služieb ASP.NET
|-
|align = "justify"|System.Web.Service.Description
|align = "justify"|Obsahuje typy, ktoré umožňujú programátorsky komunikovať s dokumentom WSDL popisujúci danú XML ASP.NET webovú službu.
|-
|align = "justify"|System.Web.Service.Discovery
|align = "justify"|Obsahuje typy, ktoré umožňujú klientovi webovej služby programátorsky zistiť, aké webové služby sú nainštalované na danom servery.
|-
|align = "justify"|System.Web.Service.Discovery
|align = "justify"|Definuje typy, ktoré reprezentujú základ rôznych protokolov XML webových služieb , napríklad HTTP GET, HTTP POST a SOAP.
|-
|}

Všetky menné priestory zamerané na XML ASP.NET webové služby sú obsiahnuté v assembly '''System.Web.Services.dll'''.<nowiki>[</nowiki>1<nowiki>]</nowiki>

Najdôležitejší menný priestor pri vytváraní XML ASP.NET webových služieb je '''System.Web.Services'''. Popis členov tohto menného priestoru je v Tab. 2.2.

{|class="wikitable"
'''Tab. 2.2''' Popis menného priestoru System.Web.Services <nowiki>[</nowiki>2<nowiki>]</nowiki>
|align = "justify"|'''Menný priestor'''
|align = "justify"|'''Význam'''
|-
|align = "justify"|WebMethodAttribute
|align = "justify"|Pokiaľ je metóda alebo vlastnosť triedy webovej služby špecifikovaná pomocou tohoto atribútu, znamená to, že člena bude možné volať cez HTTP kanál a serializovať ako XML.
|-
|align = "justify"|WebService
|align = "justify"|Predstavuje základnú, nepovinnú triedu XML ASP.NET webových služieb budovaných pomocou .NET. Pokiaľ je trieda XML webovej služby odvodená z tejto základnej triedy, bude mat schopnosť si uchovávať stavové informácie.
|-
|align = "justify"|WebServiceAttribute
|align = "justify"|Pomocou tohto atribútu sa dajú pridávať informácie do webovej služby, ako napríklad reťazec popisujúci jej funkcionalitu a podkladový priestor XML.
|-
|align = "justify"|WebServiceBindingAttribute
|align = "justify"|Tento atribút deklaruje protokol viazania, ktorý XML ASP.NET webová služba implementuje.
|-
|align = "justify"|WsiProfiles
|align = "justify"|Popisuje špecifikáciu interoperability webovej služby (WSI).
|-
|}

==Základná trieda WebService==
Pokiaľ vytvárame XML ASP.NET webovú službu s využitím IDE Visual Studio, novovytvorená trieda webovej služby je automaticky odvodená zo základnej triedy WebService. (pozri Tab. 2.3). To, že trieda webovej služby dedí zo základnej triedy WebService, umožňuje prístup ku všetkým zabudovaným objektom ASP.NET, napríklad Application, Session atd. Vlastnosti základnej triedy WebService, ktoré získa trieda webovej služby dedením, sú v Tab. 2.4.

{|class="wikitable"
'''Tab. 2.3 ''' Vytvorenie triedy webovej služby dedením zo základnej triedy WebService
|-
|<source lang="csharp">
WebServiceClass: System.Web.Services
</source>

|}

{|class="wikitable"
'''Tab. 2.4''' Vlastnosti základnej triedy WebService <nowiki>[</nowiki>1<nowiki>]</nowiki>
|align = "justify"|'''Vlastnosť'''
|align = "justify"|'''Význam'''
|-
|align = "justify"|Application
|align = "justify"|Inštancia triedy HttpApplicationState, ktorá poskytuje prístup k globálnemu stavu webovej aplikácie.
|-
|align = "justify"|Context
|align = "justify"|Poskytuje prístup k HttpContext, ktorý zapúzdruje všetky špecifiká http kontextu pre aktuálnu požiadavku.
|-
|align = "justify"|Server
|align = "justify"|Poskytuje prístup k objektu HttpServerUtility aktuálneho požiadavku.
|-
|align = "justify"|Session
|align = "justify"|Inštancia triedy HttpSessionState, ktorá poskytuje prístup k aktuálnemu stavu relácie.
|-
|align = "justify"|User
|align = "justify"|Objekt IPrincipal, ktorý umožňuje preskúmať oprávnenia a rolu užívateľa, ktorý bol autentifikovaný.
|-
|}

==Atribúty triedy XML ASP.NET webovej služby==

Každá trieda XML ASP.NET webovej služby môže byť kvalifikovaná pomocou atribútov <nowiki>[</nowiki>7<nowiki>]</nowiki>:

* WebService,
* WebServiceBinding.

===Atribút WebService===

Atribút WebService podporuje niekoľko pomenovaných vlastností, konkrétne tieto <nowiki>[</nowiki>2<nowiki>]</nowiki>:

* Namespace,
* Description,
* Name.
Prostredníctvom vlastnosti '''Namespace''' môžeme vytvoriť menný XML priestor, ktorý sa bude používať vo vnútri WSDL dokumentu (pozri Tab. 2.6). Vlastnosť '''Description''' popisuje webovú službu prostredníctvom textového reťazca. Prostredníctvom vlastnosti '''Name''' môžeme oddeliť názov triedy webovej služby od názvu, pod ktorým bude webová služba sprístupnená z Internetu alebo LAN. <nowiki>[</nowiki>1<nowiki>]</nowiki>

{|class="wikitable"

'''Tab. 2.5''' Vlastnosti atribútu WebService
|-
|<source lang="csharp">
[WebService(Description="Secure web service",
Namespace = "http://DiplomaWork.sk/",
Name= "SecureWebService")]
public class WebServiceClas : System.Web.Services.WebService
{...}
</source>
|}

{|class="wikitable"
'''Tab. 2.6''' Menný priestor WSDL
|-
|<source lang="xml">
<wsdl:documentation xmlns:wsdl="http://schemas.xmlsoap.org/wsdl/">Secure web service</wsdl:documentation>
</source>

|}

===Atribút WebServiceBinding===

Atribút '''WebServiceBinding''' špecifikuje, či je XML ASP.NET webová služba v súlade s Web Services Interoperability (WSI) Basic Profile 1.1.<nowiki>[</nowiki>3<nowiki>]</nowiki> Tým, že je trieda webovej služby kvalifikovaná atribútom WebServiceBinding, prehlasuje, že je v súlade so špecifikáciou WSI Basic Profile 1.1. Špecifikácia WSI Basic Profile odstraňuje nejednoznačnú interpretáciu prvkov WSDL dokumentu webovými servermi, napríklad IIS, Apache a architektúrami .NET a J2EE. Prostredníctvom vlastnosti '''ConformsTo''' atribútu WebServiceBinding môžeme nastaviť, či je daná webová služba v súlade so špecifikáciou WSI. Vlastnosť ConformsTo môže nadobúdať tieto hodnoty <nowiki>[</nowiki>3<nowiki>]</nowiki>:

* None, webová služba neprehlasuje, že je v súlade s WSI.
* BasicProfile1_1, webová služba prehlasuje, že je v súlade so špecifikáciou WSI Basic Profile 1.1

{|class="wikitable"
'''Tab. 2.7''' Atribút WebServiceBinding
|-
|<source lang=csharp>
[WebServiceBinding(ConformsTo = WsiProfiles.BasicProfile1_1)]
public class WebServiceClas : System.Web.Services.WebService
{...}
</source>
|}

===Atribút WebMethod===

Atribút WebMethod musí byť aplikovaný na každú metódu triedy XML ASP.NET webovej služby, ktorá má byť dostupná cez HTTP kanál a serializovaná ako XML. Vlastnosti atribútu WebMethod sú v Tab. 2.8.

{|class="wikitable"
'''Tab. 2.8''' Vlastnosti atribútu WebMethod <nowiki>[</nowiki>4<nowiki>]</nowiki>
|align = "justify"|'''Argument'''
|align = "justify"|'''Význam'''
|-
|align = "justify"|Description
|align = "justify"|Popis webovej metódy.
|-
|align = "justify"|MessageName
|align = "justify"|Alias mena metódy, ktorý je používaný v prípade, že máme preťažované metódy, alebo pokiaľ chceme sprístupniť webovú metódu pod iným názvom.
|-
|align = "justify"|CacheDuration
|align = "justify"|Doba, na ktorú je uložená odpoveď webovej metódy do cache. Štandardne je hodnota cache nastavená na nula.
|-
|align = "justify"|EnableSession
|align = "justify"|Určuje, či daná webová metóda môže pristupovať k informácia v kolekcií Session. Umožňuje vytvoriť reláciu medzi webovou službou a klientom.
|-
|align = "justify"|TransactionOption
|align = "justify"|Nastaví, či daná webové metóda podporuje transakcie. Nakoľko webové služby sú bezstavové, môžu sa zúčastniť iba ako koreňový objekt transakcie.
|-
|align = "justify"|BufferResponse
|align = "justify"|Táto vlastnosť umožňuje riadiť, kedy budú dáta vrátené z webovej služby zaslané na klienta. Štandardne je vlastnosť BufferResponse nastavená na true. To znamená, že všetky výsledky sú pre zaslaním na klienta serializované. Pokiaľ je BufferResponse nastavená na false, výsledky sú serializované a posielané na klienta po častiach. Nastavenie vlastnosti BufferResponse na false ma zmysel, len vtedy ak webová služba vracia veľké množstvo dát.
|-
|}

Pri používaní XML ASP.NET webových služieb existujú určité obmedzenia ohľadom vstupných parametrov webových metód a ich návratových hodnôt. Tieto obmedzenia sú z toho dôvodu, že webové služby sú vybudované na štandardoch pre výmenu dát, a tie sú založené na jazyku XML. Webové metódy pracujú so sadou dátových typov, ktoré sú rozpoznávané štandardom schémy XML. Dátové typy webových metód XML ASP.NET webových služieb sú v Tab. 2.9. Toto obmedzenie je logické, pretože iné programovacie jazyky nemajú žiadne mechanizmy na rozpoznávanie napríklad komplexných tried, neboli by schopné interpretovať takéto dátové typy.

{|class="wikitable"
'''Tab. 2.9''' Dátové typy pre parametre a návratové hodnoty webových metód <nowiki>[</nowiki>1<nowiki>]</nowiki>
|align = "justify"|'''Dátový typ'''
|align = "justify"|'''Popis'''
|-
|align = "justify"|Základné dátové typy
|align = "justify"|Jednoduché dátové typy ako int, long, float, double, bool, string, char, byte a iné.
|-
|align = "justify"|Polia
|align = "justify"|Webové služby dokážu pracovať s akýmkoľvek polom podporovaného typu, prípadne kolekciami .NET ako HashTable, prípadne binárnymi poliami.
|-
|align = "justify"|Vlastné objekty
|align = "justify"|Akýkoľvek vlastný objekt môže byť webovou službou poslaní na klienta. Prenášajú sa iba verejné členy triedy.
|-
|align = "justify"|Enumerations
|align = "justify"| 
|-
|align = "justify"|XmlNode
|align = "justify"|Objekty založené na System.XmlNode reprezentujúce časti XML dokumentu.
|-
|align = "justify"|DataSet a DataTable
|align = "justify"|Tieto objekty patria medzi dátové objekty ADO.NET a môžu byť použité pre posielanie informácií z relačnej databázy. Tieto objekty sú XML ASP.NET webovou službou automaticky skonvertované na XML.
|-
|}

==Trieda proxy==

Pre korektnú komunikáciu klienta s XML ASP.NET webovou službou musí byť klient schopný vytvárať, posielať a dostávať SOAP správy založené na XML, ktorým buderozumieť. Principiálne jednoduchý proces, ale v praxi veľmi náročný, nakoľko by sme museli dookola písať rovnaký kód infraštruktúry nižšej úrovne. <nowiki>[</nowiki>4<nowiki>]</nowiki>

Platforma .NET to rieši v podobe '''triedy proxy''', ktorá to vykonáva namiesto klientskej aplikácie. Trieda proxy zabezpečuje správne vytváranie formátu SOAP správy, riadi prenos správ pomocou HTTP po sieti, tak isto konvertuje výsledok prijatej správy do správneho formátu.

Na vytvorenie triedy proxy v .NET existujú dva spôsoby <nowiki>[</nowiki>1<nowiki>]</nowiki>:

* Pomocou utility wsdl.exe.
* Pomocou webovej referencie v IDE Visual Studio.
Generovanie triedy proxy prostredníctvom utility wsdl.exe''' '''je flexibilnejšie, nakoľko nám umožňuje vygenerovaný kód danej triedy modifikovať.

Názov utility wsdl.exe je odvodený od štandardu Web Service Description Language pre popis XML webových služieb. Tento nástroj vygeneruje z XML webovej služby zdrojový kód triedy proxy vo zvolenom jazyku.

Utilita wsdl.exe podporuje veľké množstvo prepínačov, najbežnejšie argumenty sú v Tab. 2.10.

{|class="wikitable"
'''Tab. 2.10''' Argumenty utility wsdl.exe <nowiki>[</nowiki>1<nowiki>]</nowiki>
|align = "justify"|'''Argument'''
|align = "justify"|'''Význam'''
|-
|align = "justify"|/appsettingurlkey
|align = "justify"|Trieda proxy bude nakonfigurovaná tak, aby načítavala URL zo súboru .<nowiki>*</nowiki>config na klientskej strane.
|-
|align = "justify"|/language
|align = "justify"|Pomocou tohto argumentu špecifikujeme jazyk pre vygenerovanú triedu (C<nowiki> </nowiki>, VB.NET, JS, VJS).
|-
|align = "justify"|/namespace
|align = "justify"|Argument špecifikuje menný priestor pre vygenerovanú triedu proxy.
|-
|align = "justify"|/out
|align = "justify"|Špecifikuje súbor do ktorého sa uloží vygenerovaný kód proxy.
|-
|align = "justify"|/protocol
|align = "justify"|Tento argument špecifikuje protokol, ktorý sa má použiť vo vnútri triedy proxy. Prednastavení protokolom je SOAP. Ďalšie podporované protokoly sú HTTP POST a HTTP GET.
|-
|align = "justify"|/serverInterface
|align = "justify"|Na základe WSDL dokumentu sa vygeneruje kostra webovej služby na strane servera.
|-
|}

Pre korektnú komunikáciu medzi webovou službou a klientmi, ale aj kvôli zvýšenej bezpečnosti na strane prevádzkovateľa webovej služby sa využíva implementácia triedy proxy prostredníctvom DLL knižnice u klienta.

===Popis kódu triedy proxy===

Každá trieda proxy je vytvorená odvodením z triedy :

* '''System.Web.Services.Protocols.SoapHttpClientProtocol,'''
* '''System.Web.Services.Protocols.HttpGetClientProtocol,'''
* '''System.Web.Services.Protocols.HttpPostClientProtocol.'''
Konkrétny typ použitej triedy záleží od špecifikácie protokolu, ktorý má trieda proxy používať pri generovaní prostredníctvom utility wsdl.exe.

Vytvorenie triedy proxy odvodením z príslušnej triedy .NET Framework umožňuje triede proxy korektne formátovať a konvertovať správy. Dôležité zdedené členy triedy proxy sú v Tab. 2.11.

{|class="wikitable"
'''Tab. 2.11''' Popis členov triedy proxy <nowiki>[</nowiki>7<nowiki>]</nowiki>
|align = "justify"|'''Člen triedy proxy'''
|align = "justify"|'''Popis'''
|-
|align = "justify"|BeginInvoke()
|align = "justify"|Metóda zahajujúca asynchrónne volanie webovej metódy.
|-
|align = "justify"|CancelAsync()
|align = "justify"|Metóda preruší asynchrónne volanie webovej metódy.
|-
|align = "justify"|EndInvoke()
|align = "justify"|Metóda ukončí asynchrónne volanie webovej metódy.
|-
|align = "justify"|AsynInvoke()
|align = "justify"|Metóda zahajujúca asynchrónne volanie webovej metódy, doporučená metóda.
|-
|align = "justify"|Invoke()
|align = "justify"|Metóda zahajujúca synchrónne volanie webovej metódy.
|-
|align = "justify"|Proxy
|align = "justify"|Vlastnosť slúžia na nastavenie a získanie informácie proxy.
|-
|align = "justify"|Timeout
|align = "justify"|Metóda umožňujúca nastaviť dobu čakanie klientskej aplikácie na odpoveď od webovej služby v milisekundách.
|-
|align = "justify"|Url
|align = "justify"|Vlastnosť slúžia na nastavenie alebo získanie URL ASP.NET webovej služby.
|-
|align = "justify"|UserAgent
|align = "justify"|Vlastnosť slúžiaca na nastavenie hlavičky agenta užívateľa, ktorá je odosielaná s každou SOAP požiadavkou, slúži na identifikáciu klienta.
|-
|}

Asynchrónne volanie XML ASP.NET webových služieb umožňuje klientskej aplikácii pokračovať v činnosti, zatiaľ čo čaká na odpoveď od webovej služby. Asynchrónne volanie webovej služby má zmysel použiť, pokiaľ je server webovej služby pripojený pomalým sieťovým pripojením.

Komunikácia klientskej aplikácie s využitím triedy proxy je znázornená na Obr. 2.2.

[[Súbor:dp_2010_jm_4.png|framed|center|Obr. 2.2 Komunikácia klienta s webovou službou prostredníctvom triedy proxy]]

XML ASP.NET webové služby

2010-06-11T11:31:00Z

Ian: /* Trieda proxy */

[[Kategória:Študentské práce]][[Kategória:Diplomové práce]][[Kategória:Informatika]][[Kategória:Webové služby]]
{{Praca_uvod|2|Návrh a implementácia bezpečnostnej technológie pre webové služby|XML a webové služby |XML ASP.NET webové služby|Zabezpečennie webových aplikácií|Integrita a dôvernosť komunikácie|Autentifikácia|Autorizácia webových služieb|Zabezpečenie webových služieb|XML security|SOAP Security Enhancement pre ASP.NET webové služby}}
__TOC__
=XML ASP.NET webové služby=

V predchádzajúcej kapitole sme si vysvetlili princípy XML webových služieb, popísali štandardy na ktorých sú vystavané, ich výhody aj nevýhody a spôsob, akým komunikujú webové služby s klientskymi aplikáciami.

Táto práca sa zaoberá bezpečnosťou XML ASP.NET webových služieb. Technológia ASP.NET je integrovaná s programovou platformou .NET Framework. .NET Framework predstavuje programovú platformu, ktorá je rozčlenená do kolekcie funkčných častí, zahŕňajúcich viac ako 7000 tried, štruktúr, rozhraní a ďalších typov. Každá zo skupiny tried v .NET Framework je zoskupená do logického hierarchického kontajnera, nazývaného menný priestor. Pre viac informácií o platforme .NET Framework odporúčame referenčnú príručku .NET. <nowiki>[</nowiki>31<nowiki>]</nowiki> Na Obr. 2.1 je znázornená štruktúra programovej platformy .NET Framework 3.5.

[[Súbor:dp_2010_jm_3.png|framed|center|Obr. 2.1 .NET Framework 3.5 <nowiki>[</nowiki>2<nowiki>]</nowiki>]]

ASP.NET implementuje XML webové služby ako súbory s príponou .asmx. Kód webovej služby môže byť umiestnený priamo do súboru .asmx alebo do triedy v súbore s kódom na pozadí. Táto práca predpokladá určitú znalosť programovej platformy .NET Framework a technológie ASP.NET, a preto sa nebudeme samotnou programovou platformou v práci zaoberať.
Pri vytváraní XML ASP.NET webových služieb pod platformou .NET Framework je nutné sa najskôr oboznámiť s niektorými mennými priestormi .NET Framework, ktoré umožňujú komunikovať s technológiou XML webových služieb. Popis jednotlivých menných priestorov je v Tab. 2.1.

{|class="wikitable"
'''Tab. 2.1''' Menné priestory .NET Framework zamerané na XML ASP.NET webové služby <nowiki>[4</nowiki><nowiki>]</nowiki></nowiki>
|align = "justify"|'''Menný priestor'''
|align = "justify"|'''Význam'''
|-
|align = "justify"|System.Web.Service
|align = "justify"|Obsahuje základné typy nutné pri vytváraný XML webových služieb.
|-
|align = "justify"|System.Web.Service.Configuration
|align = "justify"|Obsahuje typy, ktoré umožňujú konfiguráciu správania sa webových služieb ASP.NET
|-
|align = "justify"|System.Web.Service.Description
|align = "justify"|Obsahuje typy, ktoré umožňujú programátorsky komunikovať s dokumentom WSDL popisujúci danú XML ASP.NET webovú službu.
|-
|align = "justify"|System.Web.Service.Discovery
|align = "justify"|Obsahuje typy, ktoré umožňujú klientovi webovej služby programátorsky zistiť, aké webové služby sú nainštalované na danom servery.
|-
|align = "justify"|System.Web.Service.Discovery
|align = "justify"|Definuje typy, ktoré reprezentujú základ rôznych protokolov XML webových služieb , napríklad HTTP GET, HTTP POST a SOAP.
|-
|}

Všetky menné priestory zamerané na XML ASP.NET webové služby sú obsiahnuté v assembly '''System.Web.Services.dll'''.<nowiki>[</nowiki>1<nowiki>]</nowiki>

Najdôležitejší menný priestor pri vytváraní XML ASP.NET webových služieb je '''System.Web.Services'''. Popis členov tohto menného priestoru je v Tab. 2.2.

{|class="wikitable"
'''Tab. 2.2''' Popis menného priestoru System.Web.Services <nowiki>[</nowiki>2<nowiki>]</nowiki>
|align = "justify"|'''Menný priestor'''
|align = "justify"|'''Význam'''
|-
|align = "justify"|WebMethodAttribute
|align = "justify"|Pokiaľ je metóda alebo vlastnosť triedy webovej služby špecifikovaná pomocou tohoto atribútu, znamená to, že člena bude možné volať cez HTTP kanál a serializovať ako XML.
|-
|align = "justify"|WebService
|align = "justify"|Predstavuje základnú, nepovinnú triedu XML ASP.NET webových služieb budovaných pomocou .NET. Pokiaľ je trieda XML webovej služby odvodená z tejto základnej triedy, bude mat schopnosť si uchovávať stavové informácie.
|-
|align = "justify"|WebServiceAttribute
|align = "justify"|Pomocou tohto atribútu sa dajú pridávať informácie do webovej služby, ako napríklad reťazec popisujúci jej funkcionalitu a podkladový priestor XML.
|-
|align = "justify"|WebServiceBindingAttribute
|align = "justify"|Tento atribút deklaruje protokol viazania, ktorý XML ASP.NET webová služba implementuje.
|-
|align = "justify"|WsiProfiles
|align = "justify"|Popisuje špecifikáciu interoperability webovej služby (WSI).
|-
|}

==Základná trieda WebService==
Pokiaľ vytvárame XML ASP.NET webovú službu s využitím IDE Visual Studio, novovytvorená trieda webovej služby je automaticky odvodená zo základnej triedy WebService. (pozri Tab. 2.3). To, že trieda webovej služby dedí zo základnej triedy WebService, umožňuje prístup ku všetkým zabudovaným objektom ASP.NET, napríklad Application, Session atd. Vlastnosti základnej triedy WebService, ktoré získa trieda webovej služby dedením, sú v Tab. 2.4.

{|class="wikitable"
'''Tab. 2.3 ''' Vytvorenie triedy webovej služby dedením zo základnej triedy WebService
|-
|<source lang="csharp">
WebServiceClass: System.Web.Services
</source>

|}

{|class="wikitable"
'''Tab. 2.4''' Vlastnosti základnej triedy WebService <nowiki>[</nowiki>1<nowiki>]</nowiki>
|align = "justify"|'''Vlastnosť'''
|align = "justify"|'''Význam'''
|-
|align = "justify"|Application
|align = "justify"|Inštancia triedy HttpApplicationState, ktorá poskytuje prístup k globálnemu stavu webovej aplikácie.
|-
|align = "justify"|Context
|align = "justify"|Poskytuje prístup k HttpContext, ktorý zapúzdruje všetky špecifiká http kontextu pre aktuálnu požiadavku.
|-
|align = "justify"|Server
|align = "justify"|Poskytuje prístup k objektu HttpServerUtility aktuálneho požiadavku.
|-
|align = "justify"|Session
|align = "justify"|Inštancia triedy HttpSessionState, ktorá poskytuje prístup k aktuálnemu stavu relácie.
|-
|align = "justify"|User
|align = "justify"|Objekt IPrincipal, ktorý umožňuje preskúmať oprávnenia a rolu užívateľa, ktorý bol autentifikovaný.
|-
|}

==Atribúty triedy XML ASP.NET webovej služby==

Každá trieda XML ASP.NET webovej služby môže byť kvalifikovaná pomocou atribútov <nowiki>[</nowiki>7<nowiki>]</nowiki>:

* WebService,
* WebServiceBinding.

===Atribút WebService===

Atribút WebService podporuje niekoľko pomenovaných vlastností, konkrétne tieto <nowiki>[</nowiki>2<nowiki>]</nowiki>:

* Namespace,
* Description,
* Name.
Prostredníctvom vlastnosti '''Namespace''' môžeme vytvoriť menný XML priestor, ktorý sa bude používať vo vnútri WSDL dokumentu (pozri Tab. 2.6). Vlastnosť '''Description''' popisuje webovú službu prostredníctvom textového reťazca. Prostredníctvom vlastnosti '''Name''' môžeme oddeliť názov triedy webovej služby od názvu, pod ktorým bude webová služba sprístupnená z Internetu alebo LAN. <nowiki>[</nowiki>1<nowiki>]</nowiki>

{|class="wikitable"

'''Tab. 2.5''' Vlastnosti atribútu WebService
|-
|<source lang="csharp">
[WebService(Description="Secure web service",
Namespace = "http://DiplomaWork.sk/",
Name= "SecureWebService")]
public class WebServiceClas : System.Web.Services.WebService
{...}
</source>
|}

{|class="wikitable"
'''Tab. 2.6''' Menný priestor WSDL
|-
|<source lang="xml">
<wsdl:documentation xmlns:wsdl="http://schemas.xmlsoap.org/wsdl/">Secure web service</wsdl:documentation>
</source>

|}

===Atribút WebServiceBinding===

Atribút '''WebServiceBinding''' špecifikuje, či je XML ASP.NET webová služba v súlade s Web Services Interoperability (WSI) Basic Profile 1.1.<nowiki>[</nowiki>3<nowiki>]</nowiki> Tým, že je trieda webovej služby kvalifikovaná atribútom WebServiceBinding, prehlasuje, že je v súlade so špecifikáciou WSI Basic Profile 1.1. Špecifikácia WSI Basic Profile odstraňuje nejednoznačnú interpretáciu prvkov WSDL dokumentu webovými servermi, napríklad IIS, Apache a architektúrami .NET a J2EE. Prostredníctvom vlastnosti '''ConformsTo''' atribútu WebServiceBinding môžeme nastaviť, či je daná webová služba v súlade so špecifikáciou WSI. Vlastnosť ConformsTo môže nadobúdať tieto hodnoty <nowiki>[</nowiki>3<nowiki>]</nowiki>:

* None, webová služba neprehlasuje, že je v súlade s WSI.
* BasicProfile1_1, webová služba prehlasuje, že je v súlade so špecifikáciou WSI Basic Profile 1.1

{|class="wikitable"
'''Tab. 2.7''' Atribút WebServiceBinding
|-
|<source lang=csharp>
[WebServiceBinding(ConformsTo = WsiProfiles.BasicProfile1_1)]
public class WebServiceClas : System.Web.Services.WebService
{...}
</source>
|}

===Atribút WebMethod===

Atribút WebMethod musí byť aplikovaný na každú metódu triedy XML ASP.NET webovej služby, ktorá má byť dostupná cez HTTP kanál a serializovaná ako XML. Vlastnosti atribútu WebMethod sú v Tab. 2.8.

{|class="wikitable"
'''Tab. 2.8''' Vlastnosti atribútu WebMethod <nowiki>[</nowiki>4<nowiki>]</nowiki>
|align = "justify"|'''Argument'''
|align = "justify"|'''Význam'''
|-
|align = "justify"|Description
|align = "justify"|Popis webovej metódy.
|-
|align = "justify"|MessageName
|align = "justify"|Alias mena metódy, ktorý je používaný v prípade, že máme preťažované metódy, alebo pokiaľ chceme sprístupniť webovú metódu pod iným názvom.
|-
|align = "justify"|CacheDuration
|align = "justify"|Doba, na ktorú je uložená odpoveď webovej metódy do cache. Štandardne je hodnota cache nastavená na nula.
|-
|align = "justify"|EnableSession
|align = "justify"|Určuje, či daná webová metóda môže pristupovať k informácia v kolekcií Session. Umožňuje vytvoriť reláciu medzi webovou službou a klientom.
|-
|align = "justify"|TransactionOption
|align = "justify"|Nastaví, či daná webové metóda podporuje transakcie. Nakoľko webové služby sú bezstavové, môžu sa zúčastniť iba ako koreňový objekt transakcie.
|-
|align = "justify"|BufferResponse
|align = "justify"|Táto vlastnosť umožňuje riadiť, kedy budú dáta vrátené z webovej služby zaslané na klienta. Štandardne je vlastnosť BufferResponse nastavená na true. To znamená, že všetky výsledky sú pre zaslaním na klienta serializované. Pokiaľ je BufferResponse nastavená na false, výsledky sú serializované a posielané na klienta po častiach. Nastavenie vlastnosti BufferResponse na false ma zmysel, len vtedy ak webová služba vracia veľké množstvo dát.
|-
|}

Pri používaní XML ASP.NET webových služieb existujú určité obmedzenia ohľadom vstupných parametrov webových metód a ich návratových hodnôt. Tieto obmedzenia sú z toho dôvodu, že webové služby sú vybudované na štandardoch pre výmenu dát, a tie sú založené na jazyku XML. Webové metódy pracujú so sadou dátových typov, ktoré sú rozpoznávané štandardom schémy XML. Dátové typy webových metód XML ASP.NET webových služieb sú v Tab. 2.9. Toto obmedzenie je logické, pretože iné programovacie jazyky nemajú žiadne mechanizmy na rozpoznávanie napríklad komplexných tried, neboli by schopné interpretovať takéto dátové typy.

{|class="wikitable"
'''Tab. 2.9''' Dátové typy pre parametre a návratové hodnoty webových metód <nowiki>[</nowiki>1<nowiki>]</nowiki>
|align = "justify"|'''Dátový typ'''
|align = "justify"|'''Popis'''
|-
|align = "justify"|Základné dátové typy
|align = "justify"|Jednoduché dátové typy ako int, long, float, double, bool, string, char, byte a iné.
|-
|align = "justify"|Polia
|align = "justify"|Webové služby dokážu pracovať s akýmkoľvek polom podporovaného typu, prípadne kolekciami .NET ako HashTable, prípadne binárnymi poliami.
|-
|align = "justify"|Vlastné objekty
|align = "justify"|Akýkoľvek vlastný objekt môže byť webovou službou poslaní na klienta. Prenášajú sa iba verejné členy triedy.
|-
|align = "justify"|Enumerations
|align = "justify"| 
|-
|align = "justify"|XmlNode
|align = "justify"|Objekty založené na System.XmlNode reprezentujúce časti XML dokumentu.
|-
|align = "justify"|DataSet a DataTable
|align = "justify"|Tieto objekty patria medzi dátové objekty ADO.NET a môžu byť použité pre posielanie informácií z relačnej databázy. Tieto objekty sú XML ASP.NET webovou službou automaticky skonvertované na XML.
|-
|}

==Trieda proxy==

Pre korektnú komunikáciu klienta s XML ASP.NET webovou službou musí byť klient schopný vytvárať, posielať a dostávať SOAP správy založené na XML, ktorým buderozumieť. Principiálne jednoduchý proces, ale v praxi veľmi náročný, nakoľko by sme museli dookola písať rovnaký kód infraštruktúry nižšej úrovne. <nowiki>[</nowiki>4<nowiki>]</nowiki>

Platforma .NET to rieši v podobe '''triedy proxy''', ktorá to vykonáva namiesto klientskej aplikácie. Trieda proxy zabezpečuje správne vytváranie formátu SOAP správy, riadi prenos správ pomocou HTTP po sieti, tak isto konvertuje výsledok prijatej správy do správneho formátu.

Na vytvorenie triedy proxy v .NET existujú dva spôsoby <nowiki>[</nowiki>1<nowiki>]</nowiki>:

* Pomocou utility wsdl.exe.
* Pomocou webovej referencie v IDE Visual Studio.
Generovanie triedy proxy prostredníctvom utility wsdl.exe''' '''je flexibilnejšie, nakoľko nám umožňuje vygenerovaný kód danej triedy modifikovať.

Názov utility wsdl.exe je odvodený od štandardu Web Service Description Language pre popis XML webových služieb. Tento nástroj vygeneruje z XML webovej služby zdrojový kód triedy proxy vo zvolenom jazyku.

Utilita wsdl.exe podporuje veľké množstvo prepínačov, najbežnejšie argumenty sú v Tab. 2.10.

{|class="wikitable"
'''Tab. 2.10''' Argumenty utility wsdl.exe <nowiki>[</nowiki>1<nowiki>]</nowiki>
|align = "justify"|'''Argument'''
|align = "justify"|'''Význam'''
|-
|align = "justify"|/appsettingurlkey
|align = "justify"|Trieda proxy bude nakonfigurovaná tak, aby načítavala URL zo súboru .<nowiki>*</nowiki>config na klientskej strane.
|-
|align = "justify"|/language
|align = "justify"|Pomocou tohto argumentu špecifikujeme jazyk pre vygenerovanú triedu (C<nowiki> </nowiki>, VB.NET, JS, VJS).
|-
|align = "justify"|/namespace
|align = "justify"|Argument špecifikuje menný priestor pre vygenerovanú triedu proxy.
|-
|align = "justify"|/out
|align = "justify"|Špecifikuje súbor do ktorého sa uloží vygenerovaný kód proxy.
|-
|align = "justify"|/protocol
|align = "justify"|Tento argument špecifikuje protokol, ktorý sa má použiť vo vnútri triedy proxy. Prednastavení protokolom je SOAP. Ďalšie podporované protokoly sú HTTP POST a HTTP GET.
|-
|align = "justify"|/serverInterface
|align = "justify"|Na základe WSDL dokumentu sa vygeneruje kostra webovej služby na strane servera.
|-
|}

Pre korektnú komunikáciu medzi webovou službou a klientmi, ale aj kvôli zvýšenej bezpečnosti na strane prevádzkovateľa webovej služby sa využíva implementácia triedy proxy prostredníctvom DLL knižnice u klienta.

====Popis kódu triedy proxy====

Každá trieda proxy je vytvorená odvodením z triedy :

* '''System.Web.Services.Protocols.SoapHttpClientProtocol,'''
* '''System.Web.Services.Protocols.HttpGetClientProtocol,'''
* '''System.Web.Services.Protocols.HttpPostClientProtocol.'''
Konkrétny typ použitej triedy záleží od špecifikácie protokolu, ktorý má trieda proxy používať pri generovaní prostredníctvom utility wsdl.exe.

Vytvorenie triedy proxy odvodením z príslušnej triedy .NET Framework umožňuje triede proxy korektne formátovať a konvertovať správy. Dôležité zdedené členy triedy proxy sú v Tab. 2.11.

{|class="wikitable"
'''Tab. 2.11''' Popis členov triedy proxy <nowiki>[</nowiki>7<nowiki>]</nowiki>
|align = "justify"|'''Člen triedy proxy'''
|align = "justify"|'''Popis'''
|-
|align = "justify"|BeginInvoke()
|align = "justify"|Metóda zahajujúca asynchrónne volanie webovej metódy.
|-
|align = "justify"|CancelAsync()
|align = "justify"|Metóda preruší asynchrónne volanie webovej metódy.
|-
|align = "justify"|EndInvoke()
|align = "justify"|Metóda ukončí asynchrónne volanie webovej metódy.
|-
|align = "justify"|AsynInvoke()
|align = "justify"|Metóda zahajujúca asynchrónne volanie webovej metódy, doporučená metóda.
|-
|align = "justify"|Invoke()
|align = "justify"|Metóda zahajujúca synchrónne volanie webovej metódy.
|-
|align = "justify"|Proxy
|align = "justify"|Vlastnosť slúžia na nastavenie a získanie informácie proxy.
|-
|align = "justify"|Timeout
|align = "justify"|Metóda umožňujúca nastaviť dobu čakanie klientskej aplikácie na odpoveď od webovej služby v milisekundách.
|-
|align = "justify"|Url
|align = "justify"|Vlastnosť slúžia na nastavenie alebo získanie URL ASP.NET webovej služby.
|-
|align = "justify"|UserAgent
|align = "justify"|Vlastnosť slúžiaca na nastavenie hlavičky agenta užívateľa, ktorá je odosielaná s každou SOAP požiadavkou, slúži na identifikáciu klienta.
|-
|}

Asynchrónne volanie XML ASP.NET webových služieb umožňuje klientskej aplikácii pokračovať v činnosti, zatiaľ čo čaká na odpoveď od webovej služby. Asynchrónne volanie webovej služby má zmysel použiť, pokiaľ je server webovej služby pripojený pomalým sieťovým pripojením.

Komunikácia klientskej aplikácie s využitím triedy proxy je znázornená na Obr. 2.2.

[[Súbor:dp_2010_jm_4.png|framed|center|Obr. 2.2 Komunikácia klienta s webovou službou prostredníctvom triedy proxy]]

XML ASP.NET webové služby

2010-06-11T11:30:41Z

Ian: /* Atribút WebMethod */

[[Kategória:Študentské práce]][[Kategória:Diplomové práce]][[Kategória:Informatika]][[Kategória:Webové služby]]
{{Praca_uvod|2|Návrh a implementácia bezpečnostnej technológie pre webové služby|XML a webové služby |XML ASP.NET webové služby|Zabezpečennie webových aplikácií|Integrita a dôvernosť komunikácie|Autentifikácia|Autorizácia webových služieb|Zabezpečenie webových služieb|XML security|SOAP Security Enhancement pre ASP.NET webové služby}}
__TOC__
=XML ASP.NET webové služby=

V predchádzajúcej kapitole sme si vysvetlili princípy XML webových služieb, popísali štandardy na ktorých sú vystavané, ich výhody aj nevýhody a spôsob, akým komunikujú webové služby s klientskymi aplikáciami.

Táto práca sa zaoberá bezpečnosťou XML ASP.NET webových služieb. Technológia ASP.NET je integrovaná s programovou platformou .NET Framework. .NET Framework predstavuje programovú platformu, ktorá je rozčlenená do kolekcie funkčných častí, zahŕňajúcich viac ako 7000 tried, štruktúr, rozhraní a ďalších typov. Každá zo skupiny tried v .NET Framework je zoskupená do logického hierarchického kontajnera, nazývaného menný priestor. Pre viac informácií o platforme .NET Framework odporúčame referenčnú príručku .NET. <nowiki>[</nowiki>31<nowiki>]</nowiki> Na Obr. 2.1 je znázornená štruktúra programovej platformy .NET Framework 3.5.

[[Súbor:dp_2010_jm_3.png|framed|center|Obr. 2.1 .NET Framework 3.5 <nowiki>[</nowiki>2<nowiki>]</nowiki>]]

ASP.NET implementuje XML webové služby ako súbory s príponou .asmx. Kód webovej služby môže byť umiestnený priamo do súboru .asmx alebo do triedy v súbore s kódom na pozadí. Táto práca predpokladá určitú znalosť programovej platformy .NET Framework a technológie ASP.NET, a preto sa nebudeme samotnou programovou platformou v práci zaoberať.
Pri vytváraní XML ASP.NET webových služieb pod platformou .NET Framework je nutné sa najskôr oboznámiť s niektorými mennými priestormi .NET Framework, ktoré umožňujú komunikovať s technológiou XML webových služieb. Popis jednotlivých menných priestorov je v Tab. 2.1.

{|class="wikitable"
'''Tab. 2.1''' Menné priestory .NET Framework zamerané na XML ASP.NET webové služby <nowiki>[4</nowiki><nowiki>]</nowiki></nowiki>
|align = "justify"|'''Menný priestor'''
|align = "justify"|'''Význam'''
|-
|align = "justify"|System.Web.Service
|align = "justify"|Obsahuje základné typy nutné pri vytváraný XML webových služieb.
|-
|align = "justify"|System.Web.Service.Configuration
|align = "justify"|Obsahuje typy, ktoré umožňujú konfiguráciu správania sa webových služieb ASP.NET
|-
|align = "justify"|System.Web.Service.Description
|align = "justify"|Obsahuje typy, ktoré umožňujú programátorsky komunikovať s dokumentom WSDL popisujúci danú XML ASP.NET webovú službu.
|-
|align = "justify"|System.Web.Service.Discovery
|align = "justify"|Obsahuje typy, ktoré umožňujú klientovi webovej služby programátorsky zistiť, aké webové služby sú nainštalované na danom servery.
|-
|align = "justify"|System.Web.Service.Discovery
|align = "justify"|Definuje typy, ktoré reprezentujú základ rôznych protokolov XML webových služieb , napríklad HTTP GET, HTTP POST a SOAP.
|-
|}

Všetky menné priestory zamerané na XML ASP.NET webové služby sú obsiahnuté v assembly '''System.Web.Services.dll'''.<nowiki>[</nowiki>1<nowiki>]</nowiki>

Najdôležitejší menný priestor pri vytváraní XML ASP.NET webových služieb je '''System.Web.Services'''. Popis členov tohto menného priestoru je v Tab. 2.2.

{|class="wikitable"
'''Tab. 2.2''' Popis menného priestoru System.Web.Services <nowiki>[</nowiki>2<nowiki>]</nowiki>
|align = "justify"|'''Menný priestor'''
|align = "justify"|'''Význam'''
|-
|align = "justify"|WebMethodAttribute
|align = "justify"|Pokiaľ je metóda alebo vlastnosť triedy webovej služby špecifikovaná pomocou tohoto atribútu, znamená to, že člena bude možné volať cez HTTP kanál a serializovať ako XML.
|-
|align = "justify"|WebService
|align = "justify"|Predstavuje základnú, nepovinnú triedu XML ASP.NET webových služieb budovaných pomocou .NET. Pokiaľ je trieda XML webovej služby odvodená z tejto základnej triedy, bude mat schopnosť si uchovávať stavové informácie.
|-
|align = "justify"|WebServiceAttribute
|align = "justify"|Pomocou tohto atribútu sa dajú pridávať informácie do webovej služby, ako napríklad reťazec popisujúci jej funkcionalitu a podkladový priestor XML.
|-
|align = "justify"|WebServiceBindingAttribute
|align = "justify"|Tento atribút deklaruje protokol viazania, ktorý XML ASP.NET webová služba implementuje.
|-
|align = "justify"|WsiProfiles
|align = "justify"|Popisuje špecifikáciu interoperability webovej služby (WSI).
|-
|}

==Základná trieda WebService==
Pokiaľ vytvárame XML ASP.NET webovú službu s využitím IDE Visual Studio, novovytvorená trieda webovej služby je automaticky odvodená zo základnej triedy WebService. (pozri Tab. 2.3). To, že trieda webovej služby dedí zo základnej triedy WebService, umožňuje prístup ku všetkým zabudovaným objektom ASP.NET, napríklad Application, Session atd. Vlastnosti základnej triedy WebService, ktoré získa trieda webovej služby dedením, sú v Tab. 2.4.

{|class="wikitable"
'''Tab. 2.3 ''' Vytvorenie triedy webovej služby dedením zo základnej triedy WebService
|-
|<source lang="csharp">
WebServiceClass: System.Web.Services
</source>

|}

{|class="wikitable"
'''Tab. 2.4''' Vlastnosti základnej triedy WebService <nowiki>[</nowiki>1<nowiki>]</nowiki>
|align = "justify"|'''Vlastnosť'''
|align = "justify"|'''Význam'''
|-
|align = "justify"|Application
|align = "justify"|Inštancia triedy HttpApplicationState, ktorá poskytuje prístup k globálnemu stavu webovej aplikácie.
|-
|align = "justify"|Context
|align = "justify"|Poskytuje prístup k HttpContext, ktorý zapúzdruje všetky špecifiká http kontextu pre aktuálnu požiadavku.
|-
|align = "justify"|Server
|align = "justify"|Poskytuje prístup k objektu HttpServerUtility aktuálneho požiadavku.
|-
|align = "justify"|Session
|align = "justify"|Inštancia triedy HttpSessionState, ktorá poskytuje prístup k aktuálnemu stavu relácie.
|-
|align = "justify"|User
|align = "justify"|Objekt IPrincipal, ktorý umožňuje preskúmať oprávnenia a rolu užívateľa, ktorý bol autentifikovaný.
|-
|}

==Atribúty triedy XML ASP.NET webovej služby==

Každá trieda XML ASP.NET webovej služby môže byť kvalifikovaná pomocou atribútov <nowiki>[</nowiki>7<nowiki>]</nowiki>:

* WebService,
* WebServiceBinding.

===Atribút WebService===

Atribút WebService podporuje niekoľko pomenovaných vlastností, konkrétne tieto <nowiki>[</nowiki>2<nowiki>]</nowiki>:

* Namespace,
* Description,
* Name.
Prostredníctvom vlastnosti '''Namespace''' môžeme vytvoriť menný XML priestor, ktorý sa bude používať vo vnútri WSDL dokumentu (pozri Tab. 2.6). Vlastnosť '''Description''' popisuje webovú službu prostredníctvom textového reťazca. Prostredníctvom vlastnosti '''Name''' môžeme oddeliť názov triedy webovej služby od názvu, pod ktorým bude webová služba sprístupnená z Internetu alebo LAN. <nowiki>[</nowiki>1<nowiki>]</nowiki>

{|class="wikitable"

'''Tab. 2.5''' Vlastnosti atribútu WebService
|-
|<source lang="csharp">
[WebService(Description="Secure web service",
Namespace = "http://DiplomaWork.sk/",
Name= "SecureWebService")]
public class WebServiceClas : System.Web.Services.WebService
{...}
</source>
|}

{|class="wikitable"
'''Tab. 2.6''' Menný priestor WSDL
|-
|<source lang="xml">
<wsdl:documentation xmlns:wsdl="http://schemas.xmlsoap.org/wsdl/">Secure web service</wsdl:documentation>
</source>

|}

===Atribút WebServiceBinding===

Atribút '''WebServiceBinding''' špecifikuje, či je XML ASP.NET webová služba v súlade s Web Services Interoperability (WSI) Basic Profile 1.1.<nowiki>[</nowiki>3<nowiki>]</nowiki> Tým, že je trieda webovej služby kvalifikovaná atribútom WebServiceBinding, prehlasuje, že je v súlade so špecifikáciou WSI Basic Profile 1.1. Špecifikácia WSI Basic Profile odstraňuje nejednoznačnú interpretáciu prvkov WSDL dokumentu webovými servermi, napríklad IIS, Apache a architektúrami .NET a J2EE. Prostredníctvom vlastnosti '''ConformsTo''' atribútu WebServiceBinding môžeme nastaviť, či je daná webová služba v súlade so špecifikáciou WSI. Vlastnosť ConformsTo môže nadobúdať tieto hodnoty <nowiki>[</nowiki>3<nowiki>]</nowiki>:

* None, webová služba neprehlasuje, že je v súlade s WSI.
* BasicProfile1_1, webová služba prehlasuje, že je v súlade so špecifikáciou WSI Basic Profile 1.1

{|class="wikitable"
'''Tab. 2.7''' Atribút WebServiceBinding
|-
|<source lang=csharp>
[WebServiceBinding(ConformsTo = WsiProfiles.BasicProfile1_1)]
public class WebServiceClas : System.Web.Services.WebService
{...}
</source>
|}

===Atribút WebMethod===

Atribút WebMethod musí byť aplikovaný na každú metódu triedy XML ASP.NET webovej služby, ktorá má byť dostupná cez HTTP kanál a serializovaná ako XML. Vlastnosti atribútu WebMethod sú v Tab. 2.8.

{|class="wikitable"
'''Tab. 2.8''' Vlastnosti atribútu WebMethod <nowiki>[</nowiki>4<nowiki>]</nowiki>
|align = "justify"|'''Argument'''
|align = "justify"|'''Význam'''
|-
|align = "justify"|Description
|align = "justify"|Popis webovej metódy.
|-
|align = "justify"|MessageName
|align = "justify"|Alias mena metódy, ktorý je používaný v prípade, že máme preťažované metódy, alebo pokiaľ chceme sprístupniť webovú metódu pod iným názvom.
|-
|align = "justify"|CacheDuration
|align = "justify"|Doba, na ktorú je uložená odpoveď webovej metódy do cache. Štandardne je hodnota cache nastavená na nula.
|-
|align = "justify"|EnableSession
|align = "justify"|Určuje, či daná webová metóda môže pristupovať k informácia v kolekcií Session. Umožňuje vytvoriť reláciu medzi webovou službou a klientom.
|-
|align = "justify"|TransactionOption
|align = "justify"|Nastaví, či daná webové metóda podporuje transakcie. Nakoľko webové služby sú bezstavové, môžu sa zúčastniť iba ako koreňový objekt transakcie.
|-
|align = "justify"|BufferResponse
|align = "justify"|Táto vlastnosť umožňuje riadiť, kedy budú dáta vrátené z webovej služby zaslané na klienta. Štandardne je vlastnosť BufferResponse nastavená na true. To znamená, že všetky výsledky sú pre zaslaním na klienta serializované. Pokiaľ je BufferResponse nastavená na false, výsledky sú serializované a posielané na klienta po častiach. Nastavenie vlastnosti BufferResponse na false ma zmysel, len vtedy ak webová služba vracia veľké množstvo dát.
|-
|}

Pri používaní XML ASP.NET webových služieb existujú určité obmedzenia ohľadom vstupných parametrov webových metód a ich návratových hodnôt. Tieto obmedzenia sú z toho dôvodu, že webové služby sú vybudované na štandardoch pre výmenu dát, a tie sú založené na jazyku XML. Webové metódy pracujú so sadou dátových typov, ktoré sú rozpoznávané štandardom schémy XML. Dátové typy webových metód XML ASP.NET webových služieb sú v Tab. 2.9. Toto obmedzenie je logické, pretože iné programovacie jazyky nemajú žiadne mechanizmy na rozpoznávanie napríklad komplexných tried, neboli by schopné interpretovať takéto dátové typy.

{|class="wikitable"
'''Tab. 2.9''' Dátové typy pre parametre a návratové hodnoty webových metód <nowiki>[</nowiki>1<nowiki>]</nowiki>
|align = "justify"|'''Dátový typ'''
|align = "justify"|'''Popis'''
|-
|align = "justify"|Základné dátové typy
|align = "justify"|Jednoduché dátové typy ako int, long, float, double, bool, string, char, byte a iné.
|-
|align = "justify"|Polia
|align = "justify"|Webové služby dokážu pracovať s akýmkoľvek polom podporovaného typu, prípadne kolekciami .NET ako HashTable, prípadne binárnymi poliami.
|-
|align = "justify"|Vlastné objekty
|align = "justify"|Akýkoľvek vlastný objekt môže byť webovou službou poslaní na klienta. Prenášajú sa iba verejné členy triedy.
|-
|align = "justify"|Enumerations
|align = "justify"| 
|-
|align = "justify"|XmlNode
|align = "justify"|Objekty založené na System.XmlNode reprezentujúce časti XML dokumentu.
|-
|align = "justify"|DataSet a DataTable
|align = "justify"|Tieto objekty patria medzi dátové objekty ADO.NET a môžu byť použité pre posielanie informácií z relačnej databázy. Tieto objekty sú XML ASP.NET webovou službou automaticky skonvertované na XML.
|-
|}

===Trieda proxy===

Pre korektnú komunikáciu klienta s XML ASP.NET webovou službou musí byť klient schopný vytvárať, posielať a dostávať SOAP správy založené na XML, ktorým buderozumieť. Principiálne jednoduchý proces, ale v praxi veľmi náročný, nakoľko by sme museli dookola písať rovnaký kód infraštruktúry nižšej úrovne. <nowiki>[</nowiki>4<nowiki>]</nowiki>

Platforma .NET to rieši v podobe '''triedy proxy''', ktorá to vykonáva namiesto klientskej aplikácie. Trieda proxy zabezpečuje správne vytváranie formátu SOAP správy, riadi prenos správ pomocou HTTP po sieti, tak isto konvertuje výsledok prijatej správy do správneho formátu.

Na vytvorenie triedy proxy v .NET existujú dva spôsoby <nowiki>[</nowiki>1<nowiki>]</nowiki>:

* Pomocou utility wsdl.exe.
* Pomocou webovej referencie v IDE Visual Studio.
Generovanie triedy proxy prostredníctvom utility wsdl.exe''' '''je flexibilnejšie, nakoľko nám umožňuje vygenerovaný kód danej triedy modifikovať.

Názov utility wsdl.exe je odvodený od štandardu Web Service Description Language pre popis XML webových služieb. Tento nástroj vygeneruje z XML webovej služby zdrojový kód triedy proxy vo zvolenom jazyku.

Utilita wsdl.exe podporuje veľké množstvo prepínačov, najbežnejšie argumenty sú v Tab. 2.10.

{|class="wikitable"
'''Tab. 2.10''' Argumenty utility wsdl.exe <nowiki>[</nowiki>1<nowiki>]</nowiki>
|align = "justify"|'''Argument'''
|align = "justify"|'''Význam'''
|-
|align = "justify"|/appsettingurlkey
|align = "justify"|Trieda proxy bude nakonfigurovaná tak, aby načítavala URL zo súboru .<nowiki>*</nowiki>config na klientskej strane.
|-
|align = "justify"|/language
|align = "justify"|Pomocou tohto argumentu špecifikujeme jazyk pre vygenerovanú triedu (C<nowiki> </nowiki>, VB.NET, JS, VJS).
|-
|align = "justify"|/namespace
|align = "justify"|Argument špecifikuje menný priestor pre vygenerovanú triedu proxy.
|-
|align = "justify"|/out
|align = "justify"|Špecifikuje súbor do ktorého sa uloží vygenerovaný kód proxy.
|-
|align = "justify"|/protocol
|align = "justify"|Tento argument špecifikuje protokol, ktorý sa má použiť vo vnútri triedy proxy. Prednastavení protokolom je SOAP. Ďalšie podporované protokoly sú HTTP POST a HTTP GET.
|-
|align = "justify"|/serverInterface
|align = "justify"|Na základe WSDL dokumentu sa vygeneruje kostra webovej služby na strane servera.
|-
|}

Pre korektnú komunikáciu medzi webovou službou a klientmi, ale aj kvôli zvýšenej bezpečnosti na strane prevádzkovateľa webovej služby sa využíva implementácia triedy proxy prostredníctvom DLL knižnice u klienta.

====Popis kódu triedy proxy====

Každá trieda proxy je vytvorená odvodením z triedy :

* '''System.Web.Services.Protocols.SoapHttpClientProtocol,'''
* '''System.Web.Services.Protocols.HttpGetClientProtocol,'''
* '''System.Web.Services.Protocols.HttpPostClientProtocol.'''
Konkrétny typ použitej triedy záleží od špecifikácie protokolu, ktorý má trieda proxy používať pri generovaní prostredníctvom utility wsdl.exe.

Vytvorenie triedy proxy odvodením z príslušnej triedy .NET Framework umožňuje triede proxy korektne formátovať a konvertovať správy. Dôležité zdedené členy triedy proxy sú v Tab. 2.11.

{|class="wikitable"
'''Tab. 2.11''' Popis členov triedy proxy <nowiki>[</nowiki>7<nowiki>]</nowiki>
|align = "justify"|'''Člen triedy proxy'''
|align = "justify"|'''Popis'''
|-
|align = "justify"|BeginInvoke()
|align = "justify"|Metóda zahajujúca asynchrónne volanie webovej metódy.
|-
|align = "justify"|CancelAsync()
|align = "justify"|Metóda preruší asynchrónne volanie webovej metódy.
|-
|align = "justify"|EndInvoke()
|align = "justify"|Metóda ukončí asynchrónne volanie webovej metódy.
|-
|align = "justify"|AsynInvoke()
|align = "justify"|Metóda zahajujúca asynchrónne volanie webovej metódy, doporučená metóda.
|-
|align = "justify"|Invoke()
|align = "justify"|Metóda zahajujúca synchrónne volanie webovej metódy.
|-
|align = "justify"|Proxy
|align = "justify"|Vlastnosť slúžia na nastavenie a získanie informácie proxy.
|-
|align = "justify"|Timeout
|align = "justify"|Metóda umožňujúca nastaviť dobu čakanie klientskej aplikácie na odpoveď od webovej služby v milisekundách.
|-
|align = "justify"|Url
|align = "justify"|Vlastnosť slúžia na nastavenie alebo získanie URL ASP.NET webovej služby.
|-
|align = "justify"|UserAgent
|align = "justify"|Vlastnosť slúžiaca na nastavenie hlavičky agenta užívateľa, ktorá je odosielaná s každou SOAP požiadavkou, slúži na identifikáciu klienta.
|-
|}

Asynchrónne volanie XML ASP.NET webových služieb umožňuje klientskej aplikácii pokračovať v činnosti, zatiaľ čo čaká na odpoveď od webovej služby. Asynchrónne volanie webovej služby má zmysel použiť, pokiaľ je server webovej služby pripojený pomalým sieťovým pripojením.

Komunikácia klientskej aplikácie s využitím triedy proxy je znázornená na Obr. 2.2.

[[Súbor:dp_2010_jm_4.png|framed|center|Obr. 2.2 Komunikácia klienta s webovou službou prostredníctvom triedy proxy]]

XML ASP.NET webové služby

2010-06-11T11:30:20Z

Ian: /* Atribút WebService */

[[Kategória:Študentské práce]][[Kategória:Diplomové práce]][[Kategória:Informatika]][[Kategória:Webové služby]]
{{Praca_uvod|2|Návrh a implementácia bezpečnostnej technológie pre webové služby|XML a webové služby |XML ASP.NET webové služby|Zabezpečennie webových aplikácií|Integrita a dôvernosť komunikácie|Autentifikácia|Autorizácia webových služieb|Zabezpečenie webových služieb|XML security|SOAP Security Enhancement pre ASP.NET webové služby}}
__TOC__
=XML ASP.NET webové služby=

V predchádzajúcej kapitole sme si vysvetlili princípy XML webových služieb, popísali štandardy na ktorých sú vystavané, ich výhody aj nevýhody a spôsob, akým komunikujú webové služby s klientskymi aplikáciami.

Táto práca sa zaoberá bezpečnosťou XML ASP.NET webových služieb. Technológia ASP.NET je integrovaná s programovou platformou .NET Framework. .NET Framework predstavuje programovú platformu, ktorá je rozčlenená do kolekcie funkčných častí, zahŕňajúcich viac ako 7000 tried, štruktúr, rozhraní a ďalších typov. Každá zo skupiny tried v .NET Framework je zoskupená do logického hierarchického kontajnera, nazývaného menný priestor. Pre viac informácií o platforme .NET Framework odporúčame referenčnú príručku .NET. <nowiki>[</nowiki>31<nowiki>]</nowiki> Na Obr. 2.1 je znázornená štruktúra programovej platformy .NET Framework 3.5.

[[Súbor:dp_2010_jm_3.png|framed|center|Obr. 2.1 .NET Framework 3.5 <nowiki>[</nowiki>2<nowiki>]</nowiki>]]

ASP.NET implementuje XML webové služby ako súbory s príponou .asmx. Kód webovej služby môže byť umiestnený priamo do súboru .asmx alebo do triedy v súbore s kódom na pozadí. Táto práca predpokladá určitú znalosť programovej platformy .NET Framework a technológie ASP.NET, a preto sa nebudeme samotnou programovou platformou v práci zaoberať.
Pri vytváraní XML ASP.NET webových služieb pod platformou .NET Framework je nutné sa najskôr oboznámiť s niektorými mennými priestormi .NET Framework, ktoré umožňujú komunikovať s technológiou XML webových služieb. Popis jednotlivých menných priestorov je v Tab. 2.1.

{|class="wikitable"
'''Tab. 2.1''' Menné priestory .NET Framework zamerané na XML ASP.NET webové služby <nowiki>[4</nowiki><nowiki>]</nowiki></nowiki>
|align = "justify"|'''Menný priestor'''
|align = "justify"|'''Význam'''
|-
|align = "justify"|System.Web.Service
|align = "justify"|Obsahuje základné typy nutné pri vytváraný XML webových služieb.
|-
|align = "justify"|System.Web.Service.Configuration
|align = "justify"|Obsahuje typy, ktoré umožňujú konfiguráciu správania sa webových služieb ASP.NET
|-
|align = "justify"|System.Web.Service.Description
|align = "justify"|Obsahuje typy, ktoré umožňujú programátorsky komunikovať s dokumentom WSDL popisujúci danú XML ASP.NET webovú službu.
|-
|align = "justify"|System.Web.Service.Discovery
|align = "justify"|Obsahuje typy, ktoré umožňujú klientovi webovej služby programátorsky zistiť, aké webové služby sú nainštalované na danom servery.
|-
|align = "justify"|System.Web.Service.Discovery
|align = "justify"|Definuje typy, ktoré reprezentujú základ rôznych protokolov XML webových služieb , napríklad HTTP GET, HTTP POST a SOAP.
|-
|}

Všetky menné priestory zamerané na XML ASP.NET webové služby sú obsiahnuté v assembly '''System.Web.Services.dll'''.<nowiki>[</nowiki>1<nowiki>]</nowiki>

Najdôležitejší menný priestor pri vytváraní XML ASP.NET webových služieb je '''System.Web.Services'''. Popis členov tohto menného priestoru je v Tab. 2.2.

{|class="wikitable"
'''Tab. 2.2''' Popis menného priestoru System.Web.Services <nowiki>[</nowiki>2<nowiki>]</nowiki>
|align = "justify"|'''Menný priestor'''
|align = "justify"|'''Význam'''
|-
|align = "justify"|WebMethodAttribute
|align = "justify"|Pokiaľ je metóda alebo vlastnosť triedy webovej služby špecifikovaná pomocou tohoto atribútu, znamená to, že člena bude možné volať cez HTTP kanál a serializovať ako XML.
|-
|align = "justify"|WebService
|align = "justify"|Predstavuje základnú, nepovinnú triedu XML ASP.NET webových služieb budovaných pomocou .NET. Pokiaľ je trieda XML webovej služby odvodená z tejto základnej triedy, bude mat schopnosť si uchovávať stavové informácie.
|-
|align = "justify"|WebServiceAttribute
|align = "justify"|Pomocou tohto atribútu sa dajú pridávať informácie do webovej služby, ako napríklad reťazec popisujúci jej funkcionalitu a podkladový priestor XML.
|-
|align = "justify"|WebServiceBindingAttribute
|align = "justify"|Tento atribút deklaruje protokol viazania, ktorý XML ASP.NET webová služba implementuje.
|-
|align = "justify"|WsiProfiles
|align = "justify"|Popisuje špecifikáciu interoperability webovej služby (WSI).
|-
|}

==Základná trieda WebService==
Pokiaľ vytvárame XML ASP.NET webovú službu s využitím IDE Visual Studio, novovytvorená trieda webovej služby je automaticky odvodená zo základnej triedy WebService. (pozri Tab. 2.3). To, že trieda webovej služby dedí zo základnej triedy WebService, umožňuje prístup ku všetkým zabudovaným objektom ASP.NET, napríklad Application, Session atd. Vlastnosti základnej triedy WebService, ktoré získa trieda webovej služby dedením, sú v Tab. 2.4.

{|class="wikitable"
'''Tab. 2.3 ''' Vytvorenie triedy webovej služby dedením zo základnej triedy WebService
|-
|<source lang="csharp">
WebServiceClass: System.Web.Services
</source>

|}

{|class="wikitable"
'''Tab. 2.4''' Vlastnosti základnej triedy WebService <nowiki>[</nowiki>1<nowiki>]</nowiki>
|align = "justify"|'''Vlastnosť'''
|align = "justify"|'''Význam'''
|-
|align = "justify"|Application
|align = "justify"|Inštancia triedy HttpApplicationState, ktorá poskytuje prístup k globálnemu stavu webovej aplikácie.
|-
|align = "justify"|Context
|align = "justify"|Poskytuje prístup k HttpContext, ktorý zapúzdruje všetky špecifiká http kontextu pre aktuálnu požiadavku.
|-
|align = "justify"|Server
|align = "justify"|Poskytuje prístup k objektu HttpServerUtility aktuálneho požiadavku.
|-
|align = "justify"|Session
|align = "justify"|Inštancia triedy HttpSessionState, ktorá poskytuje prístup k aktuálnemu stavu relácie.
|-
|align = "justify"|User
|align = "justify"|Objekt IPrincipal, ktorý umožňuje preskúmať oprávnenia a rolu užívateľa, ktorý bol autentifikovaný.
|-
|}

==Atribúty triedy XML ASP.NET webovej služby==

Každá trieda XML ASP.NET webovej služby môže byť kvalifikovaná pomocou atribútov <nowiki>[</nowiki>7<nowiki>]</nowiki>:

* WebService,
* WebServiceBinding.

===Atribút WebService===

Atribút WebService podporuje niekoľko pomenovaných vlastností, konkrétne tieto <nowiki>[</nowiki>2<nowiki>]</nowiki>:

* Namespace,
* Description,
* Name.
Prostredníctvom vlastnosti '''Namespace''' môžeme vytvoriť menný XML priestor, ktorý sa bude používať vo vnútri WSDL dokumentu (pozri Tab. 2.6). Vlastnosť '''Description''' popisuje webovú službu prostredníctvom textového reťazca. Prostredníctvom vlastnosti '''Name''' môžeme oddeliť názov triedy webovej služby od názvu, pod ktorým bude webová služba sprístupnená z Internetu alebo LAN. <nowiki>[</nowiki>1<nowiki>]</nowiki>

{|class="wikitable"

'''Tab. 2.5''' Vlastnosti atribútu WebService
|-
|<source lang="csharp">
[WebService(Description="Secure web service",
Namespace = "http://DiplomaWork.sk/",
Name= "SecureWebService")]
public class WebServiceClas : System.Web.Services.WebService
{...}
</source>
|}

{|class="wikitable"
'''Tab. 2.6''' Menný priestor WSDL
|-
|<source lang="xml">
<wsdl:documentation xmlns:wsdl="http://schemas.xmlsoap.org/wsdl/">Secure web service</wsdl:documentation>
</source>

|}

===Atribút WebServiceBinding===

Atribút '''WebServiceBinding''' špecifikuje, či je XML ASP.NET webová služba v súlade s Web Services Interoperability (WSI) Basic Profile 1.1.<nowiki>[</nowiki>3<nowiki>]</nowiki> Tým, že je trieda webovej služby kvalifikovaná atribútom WebServiceBinding, prehlasuje, že je v súlade so špecifikáciou WSI Basic Profile 1.1. Špecifikácia WSI Basic Profile odstraňuje nejednoznačnú interpretáciu prvkov WSDL dokumentu webovými servermi, napríklad IIS, Apache a architektúrami .NET a J2EE. Prostredníctvom vlastnosti '''ConformsTo''' atribútu WebServiceBinding môžeme nastaviť, či je daná webová služba v súlade so špecifikáciou WSI. Vlastnosť ConformsTo môže nadobúdať tieto hodnoty <nowiki>[</nowiki>3<nowiki>]</nowiki>:

* None, webová služba neprehlasuje, že je v súlade s WSI.
* BasicProfile1_1, webová služba prehlasuje, že je v súlade so špecifikáciou WSI Basic Profile 1.1

{|class="wikitable"
'''Tab. 2.7''' Atribút WebServiceBinding
|-
|<source lang=csharp>
[WebServiceBinding(ConformsTo = WsiProfiles.BasicProfile1_1)]
public class WebServiceClas : System.Web.Services.WebService
{...}
</source>
|}

====Atribút WebMethod====

Atribút WebMethod musí byť aplikovaný na každú metódu triedy XML ASP.NET webovej služby, ktorá má byť dostupná cez HTTP kanál a serializovaná ako XML. Vlastnosti atribútu WebMethod sú v Tab. 2.8.

{|class="wikitable"
'''Tab. 2.8''' Vlastnosti atribútu WebMethod <nowiki>[</nowiki>4<nowiki>]</nowiki>
|align = "justify"|'''Argument'''
|align = "justify"|'''Význam'''
|-
|align = "justify"|Description
|align = "justify"|Popis webovej metódy.
|-
|align = "justify"|MessageName
|align = "justify"|Alias mena metódy, ktorý je používaný v prípade, že máme preťažované metódy, alebo pokiaľ chceme sprístupniť webovú metódu pod iným názvom.
|-
|align = "justify"|CacheDuration
|align = "justify"|Doba, na ktorú je uložená odpoveď webovej metódy do cache. Štandardne je hodnota cache nastavená na nula.
|-
|align = "justify"|EnableSession
|align = "justify"|Určuje, či daná webová metóda môže pristupovať k informácia v kolekcií Session. Umožňuje vytvoriť reláciu medzi webovou službou a klientom.
|-
|align = "justify"|TransactionOption
|align = "justify"|Nastaví, či daná webové metóda podporuje transakcie. Nakoľko webové služby sú bezstavové, môžu sa zúčastniť iba ako koreňový objekt transakcie.
|-
|align = "justify"|BufferResponse
|align = "justify"|Táto vlastnosť umožňuje riadiť, kedy budú dáta vrátené z webovej služby zaslané na klienta. Štandardne je vlastnosť BufferResponse nastavená na true. To znamená, že všetky výsledky sú pre zaslaním na klienta serializované. Pokiaľ je BufferResponse nastavená na false, výsledky sú serializované a posielané na klienta po častiach. Nastavenie vlastnosti BufferResponse na false ma zmysel, len vtedy ak webová služba vracia veľké množstvo dát.
|-
|}

Pri používaní XML ASP.NET webových služieb existujú určité obmedzenia ohľadom vstupných parametrov webových metód a ich návratových hodnôt. Tieto obmedzenia sú z toho dôvodu, že webové služby sú vybudované na štandardoch pre výmenu dát, a tie sú založené na jazyku XML. Webové metódy pracujú so sadou dátových typov, ktoré sú rozpoznávané štandardom schémy XML. Dátové typy webových metód XML ASP.NET webových služieb sú v Tab. 2.9. Toto obmedzenie je logické, pretože iné programovacie jazyky nemajú žiadne mechanizmy na rozpoznávanie napríklad komplexných tried, neboli by schopné interpretovať takéto dátové typy.

{|class="wikitable"
'''Tab. 2.9''' Dátové typy pre parametre a návratové hodnoty webových metód <nowiki>[</nowiki>1<nowiki>]</nowiki>
|align = "justify"|'''Dátový typ'''
|align = "justify"|'''Popis'''
|-
|align = "justify"|Základné dátové typy
|align = "justify"|Jednoduché dátové typy ako int, long, float, double, bool, string, char, byte a iné.
|-
|align = "justify"|Polia
|align = "justify"|Webové služby dokážu pracovať s akýmkoľvek polom podporovaného typu, prípadne kolekciami .NET ako HashTable, prípadne binárnymi poliami.
|-
|align = "justify"|Vlastné objekty
|align = "justify"|Akýkoľvek vlastný objekt môže byť webovou službou poslaní na klienta. Prenášajú sa iba verejné členy triedy.
|-
|align = "justify"|Enumerations
|align = "justify"| 
|-
|align = "justify"|XmlNode
|align = "justify"|Objekty založené na System.XmlNode reprezentujúce časti XML dokumentu.
|-
|align = "justify"|DataSet a DataTable
|align = "justify"|Tieto objekty patria medzi dátové objekty ADO.NET a môžu byť použité pre posielanie informácií z relačnej databázy. Tieto objekty sú XML ASP.NET webovou službou automaticky skonvertované na XML.
|-
|}

===Trieda proxy===

Pre korektnú komunikáciu klienta s XML ASP.NET webovou službou musí byť klient schopný vytvárať, posielať a dostávať SOAP správy založené na XML, ktorým buderozumieť. Principiálne jednoduchý proces, ale v praxi veľmi náročný, nakoľko by sme museli dookola písať rovnaký kód infraštruktúry nižšej úrovne. <nowiki>[</nowiki>4<nowiki>]</nowiki>

Platforma .NET to rieši v podobe '''triedy proxy''', ktorá to vykonáva namiesto klientskej aplikácie. Trieda proxy zabezpečuje správne vytváranie formátu SOAP správy, riadi prenos správ pomocou HTTP po sieti, tak isto konvertuje výsledok prijatej správy do správneho formátu.

Na vytvorenie triedy proxy v .NET existujú dva spôsoby <nowiki>[</nowiki>1<nowiki>]</nowiki>:

* Pomocou utility wsdl.exe.
* Pomocou webovej referencie v IDE Visual Studio.
Generovanie triedy proxy prostredníctvom utility wsdl.exe''' '''je flexibilnejšie, nakoľko nám umožňuje vygenerovaný kód danej triedy modifikovať.

Názov utility wsdl.exe je odvodený od štandardu Web Service Description Language pre popis XML webových služieb. Tento nástroj vygeneruje z XML webovej služby zdrojový kód triedy proxy vo zvolenom jazyku.

Utilita wsdl.exe podporuje veľké množstvo prepínačov, najbežnejšie argumenty sú v Tab. 2.10.

{|class="wikitable"
'''Tab. 2.10''' Argumenty utility wsdl.exe <nowiki>[</nowiki>1<nowiki>]</nowiki>
|align = "justify"|'''Argument'''
|align = "justify"|'''Význam'''
|-
|align = "justify"|/appsettingurlkey
|align = "justify"|Trieda proxy bude nakonfigurovaná tak, aby načítavala URL zo súboru .<nowiki>*</nowiki>config na klientskej strane.
|-
|align = "justify"|/language
|align = "justify"|Pomocou tohto argumentu špecifikujeme jazyk pre vygenerovanú triedu (C<nowiki> </nowiki>, VB.NET, JS, VJS).
|-
|align = "justify"|/namespace
|align = "justify"|Argument špecifikuje menný priestor pre vygenerovanú triedu proxy.
|-
|align = "justify"|/out
|align = "justify"|Špecifikuje súbor do ktorého sa uloží vygenerovaný kód proxy.
|-
|align = "justify"|/protocol
|align = "justify"|Tento argument špecifikuje protokol, ktorý sa má použiť vo vnútri triedy proxy. Prednastavení protokolom je SOAP. Ďalšie podporované protokoly sú HTTP POST a HTTP GET.
|-
|align = "justify"|/serverInterface
|align = "justify"|Na základe WSDL dokumentu sa vygeneruje kostra webovej služby na strane servera.
|-
|}

Pre korektnú komunikáciu medzi webovou službou a klientmi, ale aj kvôli zvýšenej bezpečnosti na strane prevádzkovateľa webovej služby sa využíva implementácia triedy proxy prostredníctvom DLL knižnice u klienta.

====Popis kódu triedy proxy====

Každá trieda proxy je vytvorená odvodením z triedy :

* '''System.Web.Services.Protocols.SoapHttpClientProtocol,'''
* '''System.Web.Services.Protocols.HttpGetClientProtocol,'''
* '''System.Web.Services.Protocols.HttpPostClientProtocol.'''
Konkrétny typ použitej triedy záleží od špecifikácie protokolu, ktorý má trieda proxy používať pri generovaní prostredníctvom utility wsdl.exe.

Vytvorenie triedy proxy odvodením z príslušnej triedy .NET Framework umožňuje triede proxy korektne formátovať a konvertovať správy. Dôležité zdedené členy triedy proxy sú v Tab. 2.11.

{|class="wikitable"
'''Tab. 2.11''' Popis členov triedy proxy <nowiki>[</nowiki>7<nowiki>]</nowiki>
|align = "justify"|'''Člen triedy proxy'''
|align = "justify"|'''Popis'''
|-
|align = "justify"|BeginInvoke()
|align = "justify"|Metóda zahajujúca asynchrónne volanie webovej metódy.
|-
|align = "justify"|CancelAsync()
|align = "justify"|Metóda preruší asynchrónne volanie webovej metódy.
|-
|align = "justify"|EndInvoke()
|align = "justify"|Metóda ukončí asynchrónne volanie webovej metódy.
|-
|align = "justify"|AsynInvoke()
|align = "justify"|Metóda zahajujúca asynchrónne volanie webovej metódy, doporučená metóda.
|-
|align = "justify"|Invoke()
|align = "justify"|Metóda zahajujúca synchrónne volanie webovej metódy.
|-
|align = "justify"|Proxy
|align = "justify"|Vlastnosť slúžia na nastavenie a získanie informácie proxy.
|-
|align = "justify"|Timeout
|align = "justify"|Metóda umožňujúca nastaviť dobu čakanie klientskej aplikácie na odpoveď od webovej služby v milisekundách.
|-
|align = "justify"|Url
|align = "justify"|Vlastnosť slúžia na nastavenie alebo získanie URL ASP.NET webovej služby.
|-
|align = "justify"|UserAgent
|align = "justify"|Vlastnosť slúžiaca na nastavenie hlavičky agenta užívateľa, ktorá je odosielaná s každou SOAP požiadavkou, slúži na identifikáciu klienta.
|-
|}

Asynchrónne volanie XML ASP.NET webových služieb umožňuje klientskej aplikácii pokračovať v činnosti, zatiaľ čo čaká na odpoveď od webovej služby. Asynchrónne volanie webovej služby má zmysel použiť, pokiaľ je server webovej služby pripojený pomalým sieťovým pripojením.

Komunikácia klientskej aplikácie s využitím triedy proxy je znázornená na Obr. 2.2.

[[Súbor:dp_2010_jm_4.png|framed|center|Obr. 2.2 Komunikácia klienta s webovou službou prostredníctvom triedy proxy]]

XML ASP.NET webové služby

2010-06-11T11:30:05Z

Ian: /* Atribút WebServiceBinding */

[[Kategória:Študentské práce]][[Kategória:Diplomové práce]][[Kategória:Informatika]][[Kategória:Webové služby]]
{{Praca_uvod|2|Návrh a implementácia bezpečnostnej technológie pre webové služby|XML a webové služby |XML ASP.NET webové služby|Zabezpečennie webových aplikácií|Integrita a dôvernosť komunikácie|Autentifikácia|Autorizácia webových služieb|Zabezpečenie webových služieb|XML security|SOAP Security Enhancement pre ASP.NET webové služby}}
__TOC__
=XML ASP.NET webové služby=

V predchádzajúcej kapitole sme si vysvetlili princípy XML webových služieb, popísali štandardy na ktorých sú vystavané, ich výhody aj nevýhody a spôsob, akým komunikujú webové služby s klientskymi aplikáciami.

Táto práca sa zaoberá bezpečnosťou XML ASP.NET webových služieb. Technológia ASP.NET je integrovaná s programovou platformou .NET Framework. .NET Framework predstavuje programovú platformu, ktorá je rozčlenená do kolekcie funkčných častí, zahŕňajúcich viac ako 7000 tried, štruktúr, rozhraní a ďalších typov. Každá zo skupiny tried v .NET Framework je zoskupená do logického hierarchického kontajnera, nazývaného menný priestor. Pre viac informácií o platforme .NET Framework odporúčame referenčnú príručku .NET. <nowiki>[</nowiki>31<nowiki>]</nowiki> Na Obr. 2.1 je znázornená štruktúra programovej platformy .NET Framework 3.5.

[[Súbor:dp_2010_jm_3.png|framed|center|Obr. 2.1 .NET Framework 3.5 <nowiki>[</nowiki>2<nowiki>]</nowiki>]]

ASP.NET implementuje XML webové služby ako súbory s príponou .asmx. Kód webovej služby môže byť umiestnený priamo do súboru .asmx alebo do triedy v súbore s kódom na pozadí. Táto práca predpokladá určitú znalosť programovej platformy .NET Framework a technológie ASP.NET, a preto sa nebudeme samotnou programovou platformou v práci zaoberať.
Pri vytváraní XML ASP.NET webových služieb pod platformou .NET Framework je nutné sa najskôr oboznámiť s niektorými mennými priestormi .NET Framework, ktoré umožňujú komunikovať s technológiou XML webových služieb. Popis jednotlivých menných priestorov je v Tab. 2.1.

{|class="wikitable"
'''Tab. 2.1''' Menné priestory .NET Framework zamerané na XML ASP.NET webové služby <nowiki>[4</nowiki><nowiki>]</nowiki></nowiki>
|align = "justify"|'''Menný priestor'''
|align = "justify"|'''Význam'''
|-
|align = "justify"|System.Web.Service
|align = "justify"|Obsahuje základné typy nutné pri vytváraný XML webových služieb.
|-
|align = "justify"|System.Web.Service.Configuration
|align = "justify"|Obsahuje typy, ktoré umožňujú konfiguráciu správania sa webových služieb ASP.NET
|-
|align = "justify"|System.Web.Service.Description
|align = "justify"|Obsahuje typy, ktoré umožňujú programátorsky komunikovať s dokumentom WSDL popisujúci danú XML ASP.NET webovú službu.
|-
|align = "justify"|System.Web.Service.Discovery
|align = "justify"|Obsahuje typy, ktoré umožňujú klientovi webovej služby programátorsky zistiť, aké webové služby sú nainštalované na danom servery.
|-
|align = "justify"|System.Web.Service.Discovery
|align = "justify"|Definuje typy, ktoré reprezentujú základ rôznych protokolov XML webových služieb , napríklad HTTP GET, HTTP POST a SOAP.
|-
|}

Všetky menné priestory zamerané na XML ASP.NET webové služby sú obsiahnuté v assembly '''System.Web.Services.dll'''.<nowiki>[</nowiki>1<nowiki>]</nowiki>

Najdôležitejší menný priestor pri vytváraní XML ASP.NET webových služieb je '''System.Web.Services'''. Popis členov tohto menného priestoru je v Tab. 2.2.

{|class="wikitable"
'''Tab. 2.2''' Popis menného priestoru System.Web.Services <nowiki>[</nowiki>2<nowiki>]</nowiki>
|align = "justify"|'''Menný priestor'''
|align = "justify"|'''Význam'''
|-
|align = "justify"|WebMethodAttribute
|align = "justify"|Pokiaľ je metóda alebo vlastnosť triedy webovej služby špecifikovaná pomocou tohoto atribútu, znamená to, že člena bude možné volať cez HTTP kanál a serializovať ako XML.
|-
|align = "justify"|WebService
|align = "justify"|Predstavuje základnú, nepovinnú triedu XML ASP.NET webových služieb budovaných pomocou .NET. Pokiaľ je trieda XML webovej služby odvodená z tejto základnej triedy, bude mat schopnosť si uchovávať stavové informácie.
|-
|align = "justify"|WebServiceAttribute
|align = "justify"|Pomocou tohto atribútu sa dajú pridávať informácie do webovej služby, ako napríklad reťazec popisujúci jej funkcionalitu a podkladový priestor XML.
|-
|align = "justify"|WebServiceBindingAttribute
|align = "justify"|Tento atribút deklaruje protokol viazania, ktorý XML ASP.NET webová služba implementuje.
|-
|align = "justify"|WsiProfiles
|align = "justify"|Popisuje špecifikáciu interoperability webovej služby (WSI).
|-
|}

==Základná trieda WebService==
Pokiaľ vytvárame XML ASP.NET webovú službu s využitím IDE Visual Studio, novovytvorená trieda webovej služby je automaticky odvodená zo základnej triedy WebService. (pozri Tab. 2.3). To, že trieda webovej služby dedí zo základnej triedy WebService, umožňuje prístup ku všetkým zabudovaným objektom ASP.NET, napríklad Application, Session atd. Vlastnosti základnej triedy WebService, ktoré získa trieda webovej služby dedením, sú v Tab. 2.4.

{|class="wikitable"
'''Tab. 2.3 ''' Vytvorenie triedy webovej služby dedením zo základnej triedy WebService
|-
|<source lang="csharp">
WebServiceClass: System.Web.Services
</source>

|}

{|class="wikitable"
'''Tab. 2.4''' Vlastnosti základnej triedy WebService <nowiki>[</nowiki>1<nowiki>]</nowiki>
|align = "justify"|'''Vlastnosť'''
|align = "justify"|'''Význam'''
|-
|align = "justify"|Application
|align = "justify"|Inštancia triedy HttpApplicationState, ktorá poskytuje prístup k globálnemu stavu webovej aplikácie.
|-
|align = "justify"|Context
|align = "justify"|Poskytuje prístup k HttpContext, ktorý zapúzdruje všetky špecifiká http kontextu pre aktuálnu požiadavku.
|-
|align = "justify"|Server
|align = "justify"|Poskytuje prístup k objektu HttpServerUtility aktuálneho požiadavku.
|-
|align = "justify"|Session
|align = "justify"|Inštancia triedy HttpSessionState, ktorá poskytuje prístup k aktuálnemu stavu relácie.
|-
|align = "justify"|User
|align = "justify"|Objekt IPrincipal, ktorý umožňuje preskúmať oprávnenia a rolu užívateľa, ktorý bol autentifikovaný.
|-
|}

==Atribúty triedy XML ASP.NET webovej služby==

Každá trieda XML ASP.NET webovej služby môže byť kvalifikovaná pomocou atribútov <nowiki>[</nowiki>7<nowiki>]</nowiki>:

* WebService,
* WebServiceBinding.

====Atribút WebService====

Atribút WebService podporuje niekoľko pomenovaných vlastností, konkrétne tieto <nowiki>[</nowiki>2<nowiki>]</nowiki>:

* Namespace,
* Description,
* Name.
Prostredníctvom vlastnosti '''Namespace''' môžeme vytvoriť menný XML priestor, ktorý sa bude používať vo vnútri WSDL dokumentu (pozri Tab. 2.6). Vlastnosť '''Description''' popisuje webovú službu prostredníctvom textového reťazca. Prostredníctvom vlastnosti '''Name''' môžeme oddeliť názov triedy webovej služby od názvu, pod ktorým bude webová služba sprístupnená z Internetu alebo LAN. <nowiki>[</nowiki>1<nowiki>]</nowiki>

{|class="wikitable"

'''Tab. 2.5''' Vlastnosti atribútu WebService
|-
|<source lang="csharp">
[WebService(Description="Secure web service",
Namespace = "http://DiplomaWork.sk/",
Name= "SecureWebService")]
public class WebServiceClas : System.Web.Services.WebService
{...}
</source>
|}

{|class="wikitable"
'''Tab. 2.6''' Menný priestor WSDL
|-
|<source lang="xml">
<wsdl:documentation xmlns:wsdl="http://schemas.xmlsoap.org/wsdl/">Secure web service</wsdl:documentation>
</source>

|}

===Atribút WebServiceBinding===

Atribút '''WebServiceBinding''' špecifikuje, či je XML ASP.NET webová služba v súlade s Web Services Interoperability (WSI) Basic Profile 1.1.<nowiki>[</nowiki>3<nowiki>]</nowiki> Tým, že je trieda webovej služby kvalifikovaná atribútom WebServiceBinding, prehlasuje, že je v súlade so špecifikáciou WSI Basic Profile 1.1. Špecifikácia WSI Basic Profile odstraňuje nejednoznačnú interpretáciu prvkov WSDL dokumentu webovými servermi, napríklad IIS, Apache a architektúrami .NET a J2EE. Prostredníctvom vlastnosti '''ConformsTo''' atribútu WebServiceBinding môžeme nastaviť, či je daná webová služba v súlade so špecifikáciou WSI. Vlastnosť ConformsTo môže nadobúdať tieto hodnoty <nowiki>[</nowiki>3<nowiki>]</nowiki>:

* None, webová služba neprehlasuje, že je v súlade s WSI.
* BasicProfile1_1, webová služba prehlasuje, že je v súlade so špecifikáciou WSI Basic Profile 1.1

{|class="wikitable"
'''Tab. 2.7''' Atribút WebServiceBinding
|-
|<source lang=csharp>
[WebServiceBinding(ConformsTo = WsiProfiles.BasicProfile1_1)]
public class WebServiceClas : System.Web.Services.WebService
{...}
</source>
|}

====Atribút WebMethod====

Atribút WebMethod musí byť aplikovaný na každú metódu triedy XML ASP.NET webovej služby, ktorá má byť dostupná cez HTTP kanál a serializovaná ako XML. Vlastnosti atribútu WebMethod sú v Tab. 2.8.

{|class="wikitable"
'''Tab. 2.8''' Vlastnosti atribútu WebMethod <nowiki>[</nowiki>4<nowiki>]</nowiki>
|align = "justify"|'''Argument'''
|align = "justify"|'''Význam'''
|-
|align = "justify"|Description
|align = "justify"|Popis webovej metódy.
|-
|align = "justify"|MessageName
|align = "justify"|Alias mena metódy, ktorý je používaný v prípade, že máme preťažované metódy, alebo pokiaľ chceme sprístupniť webovú metódu pod iným názvom.
|-
|align = "justify"|CacheDuration
|align = "justify"|Doba, na ktorú je uložená odpoveď webovej metódy do cache. Štandardne je hodnota cache nastavená na nula.
|-
|align = "justify"|EnableSession
|align = "justify"|Určuje, či daná webová metóda môže pristupovať k informácia v kolekcií Session. Umožňuje vytvoriť reláciu medzi webovou službou a klientom.
|-
|align = "justify"|TransactionOption
|align = "justify"|Nastaví, či daná webové metóda podporuje transakcie. Nakoľko webové služby sú bezstavové, môžu sa zúčastniť iba ako koreňový objekt transakcie.
|-
|align = "justify"|BufferResponse
|align = "justify"|Táto vlastnosť umožňuje riadiť, kedy budú dáta vrátené z webovej služby zaslané na klienta. Štandardne je vlastnosť BufferResponse nastavená na true. To znamená, že všetky výsledky sú pre zaslaním na klienta serializované. Pokiaľ je BufferResponse nastavená na false, výsledky sú serializované a posielané na klienta po častiach. Nastavenie vlastnosti BufferResponse na false ma zmysel, len vtedy ak webová služba vracia veľké množstvo dát.
|-
|}

Pri používaní XML ASP.NET webových služieb existujú určité obmedzenia ohľadom vstupných parametrov webových metód a ich návratových hodnôt. Tieto obmedzenia sú z toho dôvodu, že webové služby sú vybudované na štandardoch pre výmenu dát, a tie sú založené na jazyku XML. Webové metódy pracujú so sadou dátových typov, ktoré sú rozpoznávané štandardom schémy XML. Dátové typy webových metód XML ASP.NET webových služieb sú v Tab. 2.9. Toto obmedzenie je logické, pretože iné programovacie jazyky nemajú žiadne mechanizmy na rozpoznávanie napríklad komplexných tried, neboli by schopné interpretovať takéto dátové typy.

{|class="wikitable"
'''Tab. 2.9''' Dátové typy pre parametre a návratové hodnoty webových metód <nowiki>[</nowiki>1<nowiki>]</nowiki>
|align = "justify"|'''Dátový typ'''
|align = "justify"|'''Popis'''
|-
|align = "justify"|Základné dátové typy
|align = "justify"|Jednoduché dátové typy ako int, long, float, double, bool, string, char, byte a iné.
|-
|align = "justify"|Polia
|align = "justify"|Webové služby dokážu pracovať s akýmkoľvek polom podporovaného typu, prípadne kolekciami .NET ako HashTable, prípadne binárnymi poliami.
|-
|align = "justify"|Vlastné objekty
|align = "justify"|Akýkoľvek vlastný objekt môže byť webovou službou poslaní na klienta. Prenášajú sa iba verejné členy triedy.
|-
|align = "justify"|Enumerations
|align = "justify"| 
|-
|align = "justify"|XmlNode
|align = "justify"|Objekty založené na System.XmlNode reprezentujúce časti XML dokumentu.
|-
|align = "justify"|DataSet a DataTable
|align = "justify"|Tieto objekty patria medzi dátové objekty ADO.NET a môžu byť použité pre posielanie informácií z relačnej databázy. Tieto objekty sú XML ASP.NET webovou službou automaticky skonvertované na XML.
|-
|}

===Trieda proxy===

Pre korektnú komunikáciu klienta s XML ASP.NET webovou službou musí byť klient schopný vytvárať, posielať a dostávať SOAP správy založené na XML, ktorým buderozumieť. Principiálne jednoduchý proces, ale v praxi veľmi náročný, nakoľko by sme museli dookola písať rovnaký kód infraštruktúry nižšej úrovne. <nowiki>[</nowiki>4<nowiki>]</nowiki>

Platforma .NET to rieši v podobe '''triedy proxy''', ktorá to vykonáva namiesto klientskej aplikácie. Trieda proxy zabezpečuje správne vytváranie formátu SOAP správy, riadi prenos správ pomocou HTTP po sieti, tak isto konvertuje výsledok prijatej správy do správneho formátu.

Na vytvorenie triedy proxy v .NET existujú dva spôsoby <nowiki>[</nowiki>1<nowiki>]</nowiki>:

* Pomocou utility wsdl.exe.
* Pomocou webovej referencie v IDE Visual Studio.
Generovanie triedy proxy prostredníctvom utility wsdl.exe''' '''je flexibilnejšie, nakoľko nám umožňuje vygenerovaný kód danej triedy modifikovať.

Názov utility wsdl.exe je odvodený od štandardu Web Service Description Language pre popis XML webových služieb. Tento nástroj vygeneruje z XML webovej služby zdrojový kód triedy proxy vo zvolenom jazyku.

Utilita wsdl.exe podporuje veľké množstvo prepínačov, najbežnejšie argumenty sú v Tab. 2.10.

{|class="wikitable"
'''Tab. 2.10''' Argumenty utility wsdl.exe <nowiki>[</nowiki>1<nowiki>]</nowiki>
|align = "justify"|'''Argument'''
|align = "justify"|'''Význam'''
|-
|align = "justify"|/appsettingurlkey
|align = "justify"|Trieda proxy bude nakonfigurovaná tak, aby načítavala URL zo súboru .<nowiki>*</nowiki>config na klientskej strane.
|-
|align = "justify"|/language
|align = "justify"|Pomocou tohto argumentu špecifikujeme jazyk pre vygenerovanú triedu (C<nowiki> </nowiki>, VB.NET, JS, VJS).
|-
|align = "justify"|/namespace
|align = "justify"|Argument špecifikuje menný priestor pre vygenerovanú triedu proxy.
|-
|align = "justify"|/out
|align = "justify"|Špecifikuje súbor do ktorého sa uloží vygenerovaný kód proxy.
|-
|align = "justify"|/protocol
|align = "justify"|Tento argument špecifikuje protokol, ktorý sa má použiť vo vnútri triedy proxy. Prednastavení protokolom je SOAP. Ďalšie podporované protokoly sú HTTP POST a HTTP GET.
|-
|align = "justify"|/serverInterface
|align = "justify"|Na základe WSDL dokumentu sa vygeneruje kostra webovej služby na strane servera.
|-
|}

Pre korektnú komunikáciu medzi webovou službou a klientmi, ale aj kvôli zvýšenej bezpečnosti na strane prevádzkovateľa webovej služby sa využíva implementácia triedy proxy prostredníctvom DLL knižnice u klienta.

====Popis kódu triedy proxy====

Každá trieda proxy je vytvorená odvodením z triedy :

* '''System.Web.Services.Protocols.SoapHttpClientProtocol,'''
* '''System.Web.Services.Protocols.HttpGetClientProtocol,'''
* '''System.Web.Services.Protocols.HttpPostClientProtocol.'''
Konkrétny typ použitej triedy záleží od špecifikácie protokolu, ktorý má trieda proxy používať pri generovaní prostredníctvom utility wsdl.exe.

Vytvorenie triedy proxy odvodením z príslušnej triedy .NET Framework umožňuje triede proxy korektne formátovať a konvertovať správy. Dôležité zdedené členy triedy proxy sú v Tab. 2.11.

{|class="wikitable"
'''Tab. 2.11''' Popis členov triedy proxy <nowiki>[</nowiki>7<nowiki>]</nowiki>
|align = "justify"|'''Člen triedy proxy'''
|align = "justify"|'''Popis'''
|-
|align = "justify"|BeginInvoke()
|align = "justify"|Metóda zahajujúca asynchrónne volanie webovej metódy.
|-
|align = "justify"|CancelAsync()
|align = "justify"|Metóda preruší asynchrónne volanie webovej metódy.
|-
|align = "justify"|EndInvoke()
|align = "justify"|Metóda ukončí asynchrónne volanie webovej metódy.
|-
|align = "justify"|AsynInvoke()
|align = "justify"|Metóda zahajujúca asynchrónne volanie webovej metódy, doporučená metóda.
|-
|align = "justify"|Invoke()
|align = "justify"|Metóda zahajujúca synchrónne volanie webovej metódy.
|-
|align = "justify"|Proxy
|align = "justify"|Vlastnosť slúžia na nastavenie a získanie informácie proxy.
|-
|align = "justify"|Timeout
|align = "justify"|Metóda umožňujúca nastaviť dobu čakanie klientskej aplikácie na odpoveď od webovej služby v milisekundách.
|-
|align = "justify"|Url
|align = "justify"|Vlastnosť slúžia na nastavenie alebo získanie URL ASP.NET webovej služby.
|-
|align = "justify"|UserAgent
|align = "justify"|Vlastnosť slúžiaca na nastavenie hlavičky agenta užívateľa, ktorá je odosielaná s každou SOAP požiadavkou, slúži na identifikáciu klienta.
|-
|}

Asynchrónne volanie XML ASP.NET webových služieb umožňuje klientskej aplikácii pokračovať v činnosti, zatiaľ čo čaká na odpoveď od webovej služby. Asynchrónne volanie webovej služby má zmysel použiť, pokiaľ je server webovej služby pripojený pomalým sieťovým pripojením.

Komunikácia klientskej aplikácie s využitím triedy proxy je znázornená na Obr. 2.2.

[[Súbor:dp_2010_jm_4.png|framed|center|Obr. 2.2 Komunikácia klienta s webovou službou prostredníctvom triedy proxy]]

XML ASP.NET webové služby

2010-06-11T11:29:40Z

Ian: /* Atribúty triedy XML ASP.NET webovej služby */

[[Kategória:Študentské práce]][[Kategória:Diplomové práce]][[Kategória:Informatika]][[Kategória:Webové služby]]
{{Praca_uvod|2|Návrh a implementácia bezpečnostnej technológie pre webové služby|XML a webové služby |XML ASP.NET webové služby|Zabezpečennie webových aplikácií|Integrita a dôvernosť komunikácie|Autentifikácia|Autorizácia webových služieb|Zabezpečenie webových služieb|XML security|SOAP Security Enhancement pre ASP.NET webové služby}}
__TOC__
=XML ASP.NET webové služby=

V predchádzajúcej kapitole sme si vysvetlili princípy XML webových služieb, popísali štandardy na ktorých sú vystavané, ich výhody aj nevýhody a spôsob, akým komunikujú webové služby s klientskymi aplikáciami.

Táto práca sa zaoberá bezpečnosťou XML ASP.NET webových služieb. Technológia ASP.NET je integrovaná s programovou platformou .NET Framework. .NET Framework predstavuje programovú platformu, ktorá je rozčlenená do kolekcie funkčných častí, zahŕňajúcich viac ako 7000 tried, štruktúr, rozhraní a ďalších typov. Každá zo skupiny tried v .NET Framework je zoskupená do logického hierarchického kontajnera, nazývaného menný priestor. Pre viac informácií o platforme .NET Framework odporúčame referenčnú príručku .NET. <nowiki>[</nowiki>31<nowiki>]</nowiki> Na Obr. 2.1 je znázornená štruktúra programovej platformy .NET Framework 3.5.

[[Súbor:dp_2010_jm_3.png|framed|center|Obr. 2.1 .NET Framework 3.5 <nowiki>[</nowiki>2<nowiki>]</nowiki>]]

ASP.NET implementuje XML webové služby ako súbory s príponou .asmx. Kód webovej služby môže byť umiestnený priamo do súboru .asmx alebo do triedy v súbore s kódom na pozadí. Táto práca predpokladá určitú znalosť programovej platformy .NET Framework a technológie ASP.NET, a preto sa nebudeme samotnou programovou platformou v práci zaoberať.
Pri vytváraní XML ASP.NET webových služieb pod platformou .NET Framework je nutné sa najskôr oboznámiť s niektorými mennými priestormi .NET Framework, ktoré umožňujú komunikovať s technológiou XML webových služieb. Popis jednotlivých menných priestorov je v Tab. 2.1.

{|class="wikitable"
'''Tab. 2.1''' Menné priestory .NET Framework zamerané na XML ASP.NET webové služby <nowiki>[4</nowiki><nowiki>]</nowiki></nowiki>
|align = "justify"|'''Menný priestor'''
|align = "justify"|'''Význam'''
|-
|align = "justify"|System.Web.Service
|align = "justify"|Obsahuje základné typy nutné pri vytváraný XML webových služieb.
|-
|align = "justify"|System.Web.Service.Configuration
|align = "justify"|Obsahuje typy, ktoré umožňujú konfiguráciu správania sa webových služieb ASP.NET
|-
|align = "justify"|System.Web.Service.Description
|align = "justify"|Obsahuje typy, ktoré umožňujú programátorsky komunikovať s dokumentom WSDL popisujúci danú XML ASP.NET webovú službu.
|-
|align = "justify"|System.Web.Service.Discovery
|align = "justify"|Obsahuje typy, ktoré umožňujú klientovi webovej služby programátorsky zistiť, aké webové služby sú nainštalované na danom servery.
|-
|align = "justify"|System.Web.Service.Discovery
|align = "justify"|Definuje typy, ktoré reprezentujú základ rôznych protokolov XML webových služieb , napríklad HTTP GET, HTTP POST a SOAP.
|-
|}

Všetky menné priestory zamerané na XML ASP.NET webové služby sú obsiahnuté v assembly '''System.Web.Services.dll'''.<nowiki>[</nowiki>1<nowiki>]</nowiki>

Najdôležitejší menný priestor pri vytváraní XML ASP.NET webových služieb je '''System.Web.Services'''. Popis členov tohto menného priestoru je v Tab. 2.2.

{|class="wikitable"
'''Tab. 2.2''' Popis menného priestoru System.Web.Services <nowiki>[</nowiki>2<nowiki>]</nowiki>
|align = "justify"|'''Menný priestor'''
|align = "justify"|'''Význam'''
|-
|align = "justify"|WebMethodAttribute
|align = "justify"|Pokiaľ je metóda alebo vlastnosť triedy webovej služby špecifikovaná pomocou tohoto atribútu, znamená to, že člena bude možné volať cez HTTP kanál a serializovať ako XML.
|-
|align = "justify"|WebService
|align = "justify"|Predstavuje základnú, nepovinnú triedu XML ASP.NET webových služieb budovaných pomocou .NET. Pokiaľ je trieda XML webovej služby odvodená z tejto základnej triedy, bude mat schopnosť si uchovávať stavové informácie.
|-
|align = "justify"|WebServiceAttribute
|align = "justify"|Pomocou tohto atribútu sa dajú pridávať informácie do webovej služby, ako napríklad reťazec popisujúci jej funkcionalitu a podkladový priestor XML.
|-
|align = "justify"|WebServiceBindingAttribute
|align = "justify"|Tento atribút deklaruje protokol viazania, ktorý XML ASP.NET webová služba implementuje.
|-
|align = "justify"|WsiProfiles
|align = "justify"|Popisuje špecifikáciu interoperability webovej služby (WSI).
|-
|}

==Základná trieda WebService==
Pokiaľ vytvárame XML ASP.NET webovú službu s využitím IDE Visual Studio, novovytvorená trieda webovej služby je automaticky odvodená zo základnej triedy WebService. (pozri Tab. 2.3). To, že trieda webovej služby dedí zo základnej triedy WebService, umožňuje prístup ku všetkým zabudovaným objektom ASP.NET, napríklad Application, Session atd. Vlastnosti základnej triedy WebService, ktoré získa trieda webovej služby dedením, sú v Tab. 2.4.

{|class="wikitable"
'''Tab. 2.3 ''' Vytvorenie triedy webovej služby dedením zo základnej triedy WebService
|-
|<source lang="csharp">
WebServiceClass: System.Web.Services
</source>

|}

{|class="wikitable"
'''Tab. 2.4''' Vlastnosti základnej triedy WebService <nowiki>[</nowiki>1<nowiki>]</nowiki>
|align = "justify"|'''Vlastnosť'''
|align = "justify"|'''Význam'''
|-
|align = "justify"|Application
|align = "justify"|Inštancia triedy HttpApplicationState, ktorá poskytuje prístup k globálnemu stavu webovej aplikácie.
|-
|align = "justify"|Context
|align = "justify"|Poskytuje prístup k HttpContext, ktorý zapúzdruje všetky špecifiká http kontextu pre aktuálnu požiadavku.
|-
|align = "justify"|Server
|align = "justify"|Poskytuje prístup k objektu HttpServerUtility aktuálneho požiadavku.
|-
|align = "justify"|Session
|align = "justify"|Inštancia triedy HttpSessionState, ktorá poskytuje prístup k aktuálnemu stavu relácie.
|-
|align = "justify"|User
|align = "justify"|Objekt IPrincipal, ktorý umožňuje preskúmať oprávnenia a rolu užívateľa, ktorý bol autentifikovaný.
|-
|}

==Atribúty triedy XML ASP.NET webovej služby==

Každá trieda XML ASP.NET webovej služby môže byť kvalifikovaná pomocou atribútov <nowiki>[</nowiki>7<nowiki>]</nowiki>:

* WebService,
* WebServiceBinding.

====Atribút WebService====

Atribút WebService podporuje niekoľko pomenovaných vlastností, konkrétne tieto <nowiki>[</nowiki>2<nowiki>]</nowiki>:

* Namespace,
* Description,
* Name.
Prostredníctvom vlastnosti '''Namespace''' môžeme vytvoriť menný XML priestor, ktorý sa bude používať vo vnútri WSDL dokumentu (pozri Tab. 2.6). Vlastnosť '''Description''' popisuje webovú službu prostredníctvom textového reťazca. Prostredníctvom vlastnosti '''Name''' môžeme oddeliť názov triedy webovej služby od názvu, pod ktorým bude webová služba sprístupnená z Internetu alebo LAN. <nowiki>[</nowiki>1<nowiki>]</nowiki>

{|class="wikitable"

'''Tab. 2.5''' Vlastnosti atribútu WebService
|-
|<source lang="csharp">
[WebService(Description="Secure web service",
Namespace = "http://DiplomaWork.sk/",
Name= "SecureWebService")]
public class WebServiceClas : System.Web.Services.WebService
{...}
</source>
|}

{|class="wikitable"
'''Tab. 2.6''' Menný priestor WSDL
|-
|<source lang="xml">
<wsdl:documentation xmlns:wsdl="http://schemas.xmlsoap.org/wsdl/">Secure web service</wsdl:documentation>
</source>

|}

====Atribút WebServiceBinding====

Atribút '''WebServiceBinding''' špecifikuje, či je XML ASP.NET webová služba v súlade s Web Services Interoperability (WSI) Basic Profile 1.1.<nowiki>[</nowiki>3<nowiki>]</nowiki> Tým, že je trieda webovej služby kvalifikovaná atribútom WebServiceBinding, prehlasuje, že je v súlade so špecifikáciou WSI Basic Profile 1.1. Špecifikácia WSI Basic Profile odstraňuje nejednoznačnú interpretáciu prvkov WSDL dokumentu webovými servermi, napríklad IIS, Apache a architektúrami .NET a J2EE. Prostredníctvom vlastnosti '''ConformsTo''' atribútu WebServiceBinding môžeme nastaviť, či je daná webová služba v súlade so špecifikáciou WSI. Vlastnosť ConformsTo môže nadobúdať tieto hodnoty <nowiki>[</nowiki>3<nowiki>]</nowiki>:

* None, webová služba neprehlasuje, že je v súlade s WSI.
* BasicProfile1_1, webová služba prehlasuje, že je v súlade so špecifikáciou WSI Basic Profile 1.1

{|class="wikitable"
'''Tab. 2.7''' Atribút WebServiceBinding
|-
|<source lang=csharp>
[WebServiceBinding(ConformsTo = WsiProfiles.BasicProfile1_1)]
public class WebServiceClas : System.Web.Services.WebService
{...}
</source>
|}

====Atribút WebMethod====

Atribút WebMethod musí byť aplikovaný na každú metódu triedy XML ASP.NET webovej služby, ktorá má byť dostupná cez HTTP kanál a serializovaná ako XML. Vlastnosti atribútu WebMethod sú v Tab. 2.8.

{|class="wikitable"
'''Tab. 2.8''' Vlastnosti atribútu WebMethod <nowiki>[</nowiki>4<nowiki>]</nowiki>
|align = "justify"|'''Argument'''
|align = "justify"|'''Význam'''
|-
|align = "justify"|Description
|align = "justify"|Popis webovej metódy.
|-
|align = "justify"|MessageName
|align = "justify"|Alias mena metódy, ktorý je používaný v prípade, že máme preťažované metódy, alebo pokiaľ chceme sprístupniť webovú metódu pod iným názvom.
|-
|align = "justify"|CacheDuration
|align = "justify"|Doba, na ktorú je uložená odpoveď webovej metódy do cache. Štandardne je hodnota cache nastavená na nula.
|-
|align = "justify"|EnableSession
|align = "justify"|Určuje, či daná webová metóda môže pristupovať k informácia v kolekcií Session. Umožňuje vytvoriť reláciu medzi webovou službou a klientom.
|-
|align = "justify"|TransactionOption
|align = "justify"|Nastaví, či daná webové metóda podporuje transakcie. Nakoľko webové služby sú bezstavové, môžu sa zúčastniť iba ako koreňový objekt transakcie.
|-
|align = "justify"|BufferResponse
|align = "justify"|Táto vlastnosť umožňuje riadiť, kedy budú dáta vrátené z webovej služby zaslané na klienta. Štandardne je vlastnosť BufferResponse nastavená na true. To znamená, že všetky výsledky sú pre zaslaním na klienta serializované. Pokiaľ je BufferResponse nastavená na false, výsledky sú serializované a posielané na klienta po častiach. Nastavenie vlastnosti BufferResponse na false ma zmysel, len vtedy ak webová služba vracia veľké množstvo dát.
|-
|}

Pri používaní XML ASP.NET webových služieb existujú určité obmedzenia ohľadom vstupných parametrov webových metód a ich návratových hodnôt. Tieto obmedzenia sú z toho dôvodu, že webové služby sú vybudované na štandardoch pre výmenu dát, a tie sú založené na jazyku XML. Webové metódy pracujú so sadou dátových typov, ktoré sú rozpoznávané štandardom schémy XML. Dátové typy webových metód XML ASP.NET webových služieb sú v Tab. 2.9. Toto obmedzenie je logické, pretože iné programovacie jazyky nemajú žiadne mechanizmy na rozpoznávanie napríklad komplexných tried, neboli by schopné interpretovať takéto dátové typy.

{|class="wikitable"
'''Tab. 2.9''' Dátové typy pre parametre a návratové hodnoty webových metód <nowiki>[</nowiki>1<nowiki>]</nowiki>
|align = "justify"|'''Dátový typ'''
|align = "justify"|'''Popis'''
|-
|align = "justify"|Základné dátové typy
|align = "justify"|Jednoduché dátové typy ako int, long, float, double, bool, string, char, byte a iné.
|-
|align = "justify"|Polia
|align = "justify"|Webové služby dokážu pracovať s akýmkoľvek polom podporovaného typu, prípadne kolekciami .NET ako HashTable, prípadne binárnymi poliami.
|-
|align = "justify"|Vlastné objekty
|align = "justify"|Akýkoľvek vlastný objekt môže byť webovou službou poslaní na klienta. Prenášajú sa iba verejné členy triedy.
|-
|align = "justify"|Enumerations
|align = "justify"| 
|-
|align = "justify"|XmlNode
|align = "justify"|Objekty založené na System.XmlNode reprezentujúce časti XML dokumentu.
|-
|align = "justify"|DataSet a DataTable
|align = "justify"|Tieto objekty patria medzi dátové objekty ADO.NET a môžu byť použité pre posielanie informácií z relačnej databázy. Tieto objekty sú XML ASP.NET webovou službou automaticky skonvertované na XML.
|-
|}

===Trieda proxy===

Pre korektnú komunikáciu klienta s XML ASP.NET webovou službou musí byť klient schopný vytvárať, posielať a dostávať SOAP správy založené na XML, ktorým buderozumieť. Principiálne jednoduchý proces, ale v praxi veľmi náročný, nakoľko by sme museli dookola písať rovnaký kód infraštruktúry nižšej úrovne. <nowiki>[</nowiki>4<nowiki>]</nowiki>

Platforma .NET to rieši v podobe '''triedy proxy''', ktorá to vykonáva namiesto klientskej aplikácie. Trieda proxy zabezpečuje správne vytváranie formátu SOAP správy, riadi prenos správ pomocou HTTP po sieti, tak isto konvertuje výsledok prijatej správy do správneho formátu.

Na vytvorenie triedy proxy v .NET existujú dva spôsoby <nowiki>[</nowiki>1<nowiki>]</nowiki>:

* Pomocou utility wsdl.exe.
* Pomocou webovej referencie v IDE Visual Studio.
Generovanie triedy proxy prostredníctvom utility wsdl.exe''' '''je flexibilnejšie, nakoľko nám umožňuje vygenerovaný kód danej triedy modifikovať.

Názov utility wsdl.exe je odvodený od štandardu Web Service Description Language pre popis XML webových služieb. Tento nástroj vygeneruje z XML webovej služby zdrojový kód triedy proxy vo zvolenom jazyku.

Utilita wsdl.exe podporuje veľké množstvo prepínačov, najbežnejšie argumenty sú v Tab. 2.10.

{|class="wikitable"
'''Tab. 2.10''' Argumenty utility wsdl.exe <nowiki>[</nowiki>1<nowiki>]</nowiki>
|align = "justify"|'''Argument'''
|align = "justify"|'''Význam'''
|-
|align = "justify"|/appsettingurlkey
|align = "justify"|Trieda proxy bude nakonfigurovaná tak, aby načítavala URL zo súboru .<nowiki>*</nowiki>config na klientskej strane.
|-
|align = "justify"|/language
|align = "justify"|Pomocou tohto argumentu špecifikujeme jazyk pre vygenerovanú triedu (C<nowiki> </nowiki>, VB.NET, JS, VJS).
|-
|align = "justify"|/namespace
|align = "justify"|Argument špecifikuje menný priestor pre vygenerovanú triedu proxy.
|-
|align = "justify"|/out
|align = "justify"|Špecifikuje súbor do ktorého sa uloží vygenerovaný kód proxy.
|-
|align = "justify"|/protocol
|align = "justify"|Tento argument špecifikuje protokol, ktorý sa má použiť vo vnútri triedy proxy. Prednastavení protokolom je SOAP. Ďalšie podporované protokoly sú HTTP POST a HTTP GET.
|-
|align = "justify"|/serverInterface
|align = "justify"|Na základe WSDL dokumentu sa vygeneruje kostra webovej služby na strane servera.
|-
|}

Pre korektnú komunikáciu medzi webovou službou a klientmi, ale aj kvôli zvýšenej bezpečnosti na strane prevádzkovateľa webovej služby sa využíva implementácia triedy proxy prostredníctvom DLL knižnice u klienta.

====Popis kódu triedy proxy====

Každá trieda proxy je vytvorená odvodením z triedy :

* '''System.Web.Services.Protocols.SoapHttpClientProtocol,'''
* '''System.Web.Services.Protocols.HttpGetClientProtocol,'''
* '''System.Web.Services.Protocols.HttpPostClientProtocol.'''
Konkrétny typ použitej triedy záleží od špecifikácie protokolu, ktorý má trieda proxy používať pri generovaní prostredníctvom utility wsdl.exe.

Vytvorenie triedy proxy odvodením z príslušnej triedy .NET Framework umožňuje triede proxy korektne formátovať a konvertovať správy. Dôležité zdedené členy triedy proxy sú v Tab. 2.11.

{|class="wikitable"
'''Tab. 2.11''' Popis členov triedy proxy <nowiki>[</nowiki>7<nowiki>]</nowiki>
|align = "justify"|'''Člen triedy proxy'''
|align = "justify"|'''Popis'''
|-
|align = "justify"|BeginInvoke()
|align = "justify"|Metóda zahajujúca asynchrónne volanie webovej metódy.
|-
|align = "justify"|CancelAsync()
|align = "justify"|Metóda preruší asynchrónne volanie webovej metódy.
|-
|align = "justify"|EndInvoke()
|align = "justify"|Metóda ukončí asynchrónne volanie webovej metódy.
|-
|align = "justify"|AsynInvoke()
|align = "justify"|Metóda zahajujúca asynchrónne volanie webovej metódy, doporučená metóda.
|-
|align = "justify"|Invoke()
|align = "justify"|Metóda zahajujúca synchrónne volanie webovej metódy.
|-
|align = "justify"|Proxy
|align = "justify"|Vlastnosť slúžia na nastavenie a získanie informácie proxy.
|-
|align = "justify"|Timeout
|align = "justify"|Metóda umožňujúca nastaviť dobu čakanie klientskej aplikácie na odpoveď od webovej služby v milisekundách.
|-
|align = "justify"|Url
|align = "justify"|Vlastnosť slúžia na nastavenie alebo získanie URL ASP.NET webovej služby.
|-
|align = "justify"|UserAgent
|align = "justify"|Vlastnosť slúžiaca na nastavenie hlavičky agenta užívateľa, ktorá je odosielaná s každou SOAP požiadavkou, slúži na identifikáciu klienta.
|-
|}

Asynchrónne volanie XML ASP.NET webových služieb umožňuje klientskej aplikácii pokračovať v činnosti, zatiaľ čo čaká na odpoveď od webovej služby. Asynchrónne volanie webovej služby má zmysel použiť, pokiaľ je server webovej služby pripojený pomalým sieťovým pripojením.

Komunikácia klientskej aplikácie s využitím triedy proxy je znázornená na Obr. 2.2.

[[Súbor:dp_2010_jm_4.png|framed|center|Obr. 2.2 Komunikácia klienta s webovou službou prostredníctvom triedy proxy]]

XML ASP.NET webové služby

2010-06-11T11:28:58Z

Ian: /* Základná trieda WebService */

[[Kategória:Študentské práce]][[Kategória:Diplomové práce]][[Kategória:Informatika]][[Kategória:Webové služby]]
{{Praca_uvod|2|Návrh a implementácia bezpečnostnej technológie pre webové služby|XML a webové služby |XML ASP.NET webové služby|Zabezpečennie webových aplikácií|Integrita a dôvernosť komunikácie|Autentifikácia|Autorizácia webových služieb|Zabezpečenie webových služieb|XML security|SOAP Security Enhancement pre ASP.NET webové služby}}
__TOC__
=XML ASP.NET webové služby=

V predchádzajúcej kapitole sme si vysvetlili princípy XML webových služieb, popísali štandardy na ktorých sú vystavané, ich výhody aj nevýhody a spôsob, akým komunikujú webové služby s klientskymi aplikáciami.

Táto práca sa zaoberá bezpečnosťou XML ASP.NET webových služieb. Technológia ASP.NET je integrovaná s programovou platformou .NET Framework. .NET Framework predstavuje programovú platformu, ktorá je rozčlenená do kolekcie funkčných častí, zahŕňajúcich viac ako 7000 tried, štruktúr, rozhraní a ďalších typov. Každá zo skupiny tried v .NET Framework je zoskupená do logického hierarchického kontajnera, nazývaného menný priestor. Pre viac informácií o platforme .NET Framework odporúčame referenčnú príručku .NET. <nowiki>[</nowiki>31<nowiki>]</nowiki> Na Obr. 2.1 je znázornená štruktúra programovej platformy .NET Framework 3.5.

[[Súbor:dp_2010_jm_3.png|framed|center|Obr. 2.1 .NET Framework 3.5 <nowiki>[</nowiki>2<nowiki>]</nowiki>]]

ASP.NET implementuje XML webové služby ako súbory s príponou .asmx. Kód webovej služby môže byť umiestnený priamo do súboru .asmx alebo do triedy v súbore s kódom na pozadí. Táto práca predpokladá určitú znalosť programovej platformy .NET Framework a technológie ASP.NET, a preto sa nebudeme samotnou programovou platformou v práci zaoberať.
Pri vytváraní XML ASP.NET webových služieb pod platformou .NET Framework je nutné sa najskôr oboznámiť s niektorými mennými priestormi .NET Framework, ktoré umožňujú komunikovať s technológiou XML webových služieb. Popis jednotlivých menných priestorov je v Tab. 2.1.

{|class="wikitable"
'''Tab. 2.1''' Menné priestory .NET Framework zamerané na XML ASP.NET webové služby <nowiki>[4</nowiki><nowiki>]</nowiki></nowiki>
|align = "justify"|'''Menný priestor'''
|align = "justify"|'''Význam'''
|-
|align = "justify"|System.Web.Service
|align = "justify"|Obsahuje základné typy nutné pri vytváraný XML webových služieb.
|-
|align = "justify"|System.Web.Service.Configuration
|align = "justify"|Obsahuje typy, ktoré umožňujú konfiguráciu správania sa webových služieb ASP.NET
|-
|align = "justify"|System.Web.Service.Description
|align = "justify"|Obsahuje typy, ktoré umožňujú programátorsky komunikovať s dokumentom WSDL popisujúci danú XML ASP.NET webovú službu.
|-
|align = "justify"|System.Web.Service.Discovery
|align = "justify"|Obsahuje typy, ktoré umožňujú klientovi webovej služby programátorsky zistiť, aké webové služby sú nainštalované na danom servery.
|-
|align = "justify"|System.Web.Service.Discovery
|align = "justify"|Definuje typy, ktoré reprezentujú základ rôznych protokolov XML webových služieb , napríklad HTTP GET, HTTP POST a SOAP.
|-
|}

Všetky menné priestory zamerané na XML ASP.NET webové služby sú obsiahnuté v assembly '''System.Web.Services.dll'''.<nowiki>[</nowiki>1<nowiki>]</nowiki>

Najdôležitejší menný priestor pri vytváraní XML ASP.NET webových služieb je '''System.Web.Services'''. Popis členov tohto menného priestoru je v Tab. 2.2.

{|class="wikitable"
'''Tab. 2.2''' Popis menného priestoru System.Web.Services <nowiki>[</nowiki>2<nowiki>]</nowiki>
|align = "justify"|'''Menný priestor'''
|align = "justify"|'''Význam'''
|-
|align = "justify"|WebMethodAttribute
|align = "justify"|Pokiaľ je metóda alebo vlastnosť triedy webovej služby špecifikovaná pomocou tohoto atribútu, znamená to, že člena bude možné volať cez HTTP kanál a serializovať ako XML.
|-
|align = "justify"|WebService
|align = "justify"|Predstavuje základnú, nepovinnú triedu XML ASP.NET webových služieb budovaných pomocou .NET. Pokiaľ je trieda XML webovej služby odvodená z tejto základnej triedy, bude mat schopnosť si uchovávať stavové informácie.
|-
|align = "justify"|WebServiceAttribute
|align = "justify"|Pomocou tohto atribútu sa dajú pridávať informácie do webovej služby, ako napríklad reťazec popisujúci jej funkcionalitu a podkladový priestor XML.
|-
|align = "justify"|WebServiceBindingAttribute
|align = "justify"|Tento atribút deklaruje protokol viazania, ktorý XML ASP.NET webová služba implementuje.
|-
|align = "justify"|WsiProfiles
|align = "justify"|Popisuje špecifikáciu interoperability webovej služby (WSI).
|-
|}

==Základná trieda WebService==
Pokiaľ vytvárame XML ASP.NET webovú službu s využitím IDE Visual Studio, novovytvorená trieda webovej služby je automaticky odvodená zo základnej triedy WebService. (pozri Tab. 2.3). To, že trieda webovej služby dedí zo základnej triedy WebService, umožňuje prístup ku všetkým zabudovaným objektom ASP.NET, napríklad Application, Session atd. Vlastnosti základnej triedy WebService, ktoré získa trieda webovej služby dedením, sú v Tab. 2.4.

{|class="wikitable"
'''Tab. 2.3 ''' Vytvorenie triedy webovej služby dedením zo základnej triedy WebService
|-
|<source lang="csharp">
WebServiceClass: System.Web.Services
</source>

|}

{|class="wikitable"
'''Tab. 2.4''' Vlastnosti základnej triedy WebService <nowiki>[</nowiki>1<nowiki>]</nowiki>
|align = "justify"|'''Vlastnosť'''
|align = "justify"|'''Význam'''
|-
|align = "justify"|Application
|align = "justify"|Inštancia triedy HttpApplicationState, ktorá poskytuje prístup k globálnemu stavu webovej aplikácie.
|-
|align = "justify"|Context
|align = "justify"|Poskytuje prístup k HttpContext, ktorý zapúzdruje všetky špecifiká http kontextu pre aktuálnu požiadavku.
|-
|align = "justify"|Server
|align = "justify"|Poskytuje prístup k objektu HttpServerUtility aktuálneho požiadavku.
|-
|align = "justify"|Session
|align = "justify"|Inštancia triedy HttpSessionState, ktorá poskytuje prístup k aktuálnemu stavu relácie.
|-
|align = "justify"|User
|align = "justify"|Objekt IPrincipal, ktorý umožňuje preskúmať oprávnenia a rolu užívateľa, ktorý bol autentifikovaný.
|-
|}

===Atribúty triedy XML ASP.NET webovej služby===

Každá trieda XML ASP.NET webovej služby môže byť kvalifikovaná pomocou atribútov <nowiki>[</nowiki>7<nowiki>]</nowiki>:

* WebService,
* WebServiceBinding.

====Atribút WebService====

Atribút WebService podporuje niekoľko pomenovaných vlastností, konkrétne tieto <nowiki>[</nowiki>2<nowiki>]</nowiki>:

* Namespace,
* Description,
* Name.
Prostredníctvom vlastnosti '''Namespace''' môžeme vytvoriť menný XML priestor, ktorý sa bude používať vo vnútri WSDL dokumentu (pozri Tab. 2.6). Vlastnosť '''Description''' popisuje webovú službu prostredníctvom textového reťazca. Prostredníctvom vlastnosti '''Name''' môžeme oddeliť názov triedy webovej služby od názvu, pod ktorým bude webová služba sprístupnená z Internetu alebo LAN. <nowiki>[</nowiki>1<nowiki>]</nowiki>

{|class="wikitable"

'''Tab. 2.5''' Vlastnosti atribútu WebService
|-
|<source lang="csharp">
[WebService(Description="Secure web service",
Namespace = "http://DiplomaWork.sk/",
Name= "SecureWebService")]
public class WebServiceClas : System.Web.Services.WebService
{...}
</source>
|}

{|class="wikitable"
'''Tab. 2.6''' Menný priestor WSDL
|-
|<source lang="xml">
<wsdl:documentation xmlns:wsdl="http://schemas.xmlsoap.org/wsdl/">Secure web service</wsdl:documentation>
</source>

|}

====Atribút WebServiceBinding====

Atribút '''WebServiceBinding''' špecifikuje, či je XML ASP.NET webová služba v súlade s Web Services Interoperability (WSI) Basic Profile 1.1.<nowiki>[</nowiki>3<nowiki>]</nowiki> Tým, že je trieda webovej služby kvalifikovaná atribútom WebServiceBinding, prehlasuje, že je v súlade so špecifikáciou WSI Basic Profile 1.1. Špecifikácia WSI Basic Profile odstraňuje nejednoznačnú interpretáciu prvkov WSDL dokumentu webovými servermi, napríklad IIS, Apache a architektúrami .NET a J2EE. Prostredníctvom vlastnosti '''ConformsTo''' atribútu WebServiceBinding môžeme nastaviť, či je daná webová služba v súlade so špecifikáciou WSI. Vlastnosť ConformsTo môže nadobúdať tieto hodnoty <nowiki>[</nowiki>3<nowiki>]</nowiki>:

* None, webová služba neprehlasuje, že je v súlade s WSI.
* BasicProfile1_1, webová služba prehlasuje, že je v súlade so špecifikáciou WSI Basic Profile 1.1

{|class="wikitable"
'''Tab. 2.7''' Atribút WebServiceBinding
|-
|<source lang=csharp>
[WebServiceBinding(ConformsTo = WsiProfiles.BasicProfile1_1)]
public class WebServiceClas : System.Web.Services.WebService
{...}
</source>
|}

====Atribút WebMethod====

Atribút WebMethod musí byť aplikovaný na každú metódu triedy XML ASP.NET webovej služby, ktorá má byť dostupná cez HTTP kanál a serializovaná ako XML. Vlastnosti atribútu WebMethod sú v Tab. 2.8.

{|class="wikitable"
'''Tab. 2.8''' Vlastnosti atribútu WebMethod <nowiki>[</nowiki>4<nowiki>]</nowiki>
|align = "justify"|'''Argument'''
|align = "justify"|'''Význam'''
|-
|align = "justify"|Description
|align = "justify"|Popis webovej metódy.
|-
|align = "justify"|MessageName
|align = "justify"|Alias mena metódy, ktorý je používaný v prípade, že máme preťažované metódy, alebo pokiaľ chceme sprístupniť webovú metódu pod iným názvom.
|-
|align = "justify"|CacheDuration
|align = "justify"|Doba, na ktorú je uložená odpoveď webovej metódy do cache. Štandardne je hodnota cache nastavená na nula.
|-
|align = "justify"|EnableSession
|align = "justify"|Určuje, či daná webová metóda môže pristupovať k informácia v kolekcií Session. Umožňuje vytvoriť reláciu medzi webovou službou a klientom.
|-
|align = "justify"|TransactionOption
|align = "justify"|Nastaví, či daná webové metóda podporuje transakcie. Nakoľko webové služby sú bezstavové, môžu sa zúčastniť iba ako koreňový objekt transakcie.
|-
|align = "justify"|BufferResponse
|align = "justify"|Táto vlastnosť umožňuje riadiť, kedy budú dáta vrátené z webovej služby zaslané na klienta. Štandardne je vlastnosť BufferResponse nastavená na true. To znamená, že všetky výsledky sú pre zaslaním na klienta serializované. Pokiaľ je BufferResponse nastavená na false, výsledky sú serializované a posielané na klienta po častiach. Nastavenie vlastnosti BufferResponse na false ma zmysel, len vtedy ak webová služba vracia veľké množstvo dát.
|-
|}

Pri používaní XML ASP.NET webových služieb existujú určité obmedzenia ohľadom vstupných parametrov webových metód a ich návratových hodnôt. Tieto obmedzenia sú z toho dôvodu, že webové služby sú vybudované na štandardoch pre výmenu dát, a tie sú založené na jazyku XML. Webové metódy pracujú so sadou dátových typov, ktoré sú rozpoznávané štandardom schémy XML. Dátové typy webových metód XML ASP.NET webových služieb sú v Tab. 2.9. Toto obmedzenie je logické, pretože iné programovacie jazyky nemajú žiadne mechanizmy na rozpoznávanie napríklad komplexných tried, neboli by schopné interpretovať takéto dátové typy.

{|class="wikitable"
'''Tab. 2.9''' Dátové typy pre parametre a návratové hodnoty webových metód <nowiki>[</nowiki>1<nowiki>]</nowiki>
|align = "justify"|'''Dátový typ'''
|align = "justify"|'''Popis'''
|-
|align = "justify"|Základné dátové typy
|align = "justify"|Jednoduché dátové typy ako int, long, float, double, bool, string, char, byte a iné.
|-
|align = "justify"|Polia
|align = "justify"|Webové služby dokážu pracovať s akýmkoľvek polom podporovaného typu, prípadne kolekciami .NET ako HashTable, prípadne binárnymi poliami.
|-
|align = "justify"|Vlastné objekty
|align = "justify"|Akýkoľvek vlastný objekt môže byť webovou službou poslaní na klienta. Prenášajú sa iba verejné členy triedy.
|-
|align = "justify"|Enumerations
|align = "justify"| 
|-
|align = "justify"|XmlNode
|align = "justify"|Objekty založené na System.XmlNode reprezentujúce časti XML dokumentu.
|-
|align = "justify"|DataSet a DataTable
|align = "justify"|Tieto objekty patria medzi dátové objekty ADO.NET a môžu byť použité pre posielanie informácií z relačnej databázy. Tieto objekty sú XML ASP.NET webovou službou automaticky skonvertované na XML.
|-
|}

===Trieda proxy===

Pre korektnú komunikáciu klienta s XML ASP.NET webovou službou musí byť klient schopný vytvárať, posielať a dostávať SOAP správy založené na XML, ktorým buderozumieť. Principiálne jednoduchý proces, ale v praxi veľmi náročný, nakoľko by sme museli dookola písať rovnaký kód infraštruktúry nižšej úrovne. <nowiki>[</nowiki>4<nowiki>]</nowiki>

Platforma .NET to rieši v podobe '''triedy proxy''', ktorá to vykonáva namiesto klientskej aplikácie. Trieda proxy zabezpečuje správne vytváranie formátu SOAP správy, riadi prenos správ pomocou HTTP po sieti, tak isto konvertuje výsledok prijatej správy do správneho formátu.

Na vytvorenie triedy proxy v .NET existujú dva spôsoby <nowiki>[</nowiki>1<nowiki>]</nowiki>:

* Pomocou utility wsdl.exe.
* Pomocou webovej referencie v IDE Visual Studio.
Generovanie triedy proxy prostredníctvom utility wsdl.exe''' '''je flexibilnejšie, nakoľko nám umožňuje vygenerovaný kód danej triedy modifikovať.

Názov utility wsdl.exe je odvodený od štandardu Web Service Description Language pre popis XML webových služieb. Tento nástroj vygeneruje z XML webovej služby zdrojový kód triedy proxy vo zvolenom jazyku.

Utilita wsdl.exe podporuje veľké množstvo prepínačov, najbežnejšie argumenty sú v Tab. 2.10.

{|class="wikitable"
'''Tab. 2.10''' Argumenty utility wsdl.exe <nowiki>[</nowiki>1<nowiki>]</nowiki>
|align = "justify"|'''Argument'''
|align = "justify"|'''Význam'''
|-
|align = "justify"|/appsettingurlkey
|align = "justify"|Trieda proxy bude nakonfigurovaná tak, aby načítavala URL zo súboru .<nowiki>*</nowiki>config na klientskej strane.
|-
|align = "justify"|/language
|align = "justify"|Pomocou tohto argumentu špecifikujeme jazyk pre vygenerovanú triedu (C<nowiki> </nowiki>, VB.NET, JS, VJS).
|-
|align = "justify"|/namespace
|align = "justify"|Argument špecifikuje menný priestor pre vygenerovanú triedu proxy.
|-
|align = "justify"|/out
|align = "justify"|Špecifikuje súbor do ktorého sa uloží vygenerovaný kód proxy.
|-
|align = "justify"|/protocol
|align = "justify"|Tento argument špecifikuje protokol, ktorý sa má použiť vo vnútri triedy proxy. Prednastavení protokolom je SOAP. Ďalšie podporované protokoly sú HTTP POST a HTTP GET.
|-
|align = "justify"|/serverInterface
|align = "justify"|Na základe WSDL dokumentu sa vygeneruje kostra webovej služby na strane servera.
|-
|}

Pre korektnú komunikáciu medzi webovou službou a klientmi, ale aj kvôli zvýšenej bezpečnosti na strane prevádzkovateľa webovej služby sa využíva implementácia triedy proxy prostredníctvom DLL knižnice u klienta.

====Popis kódu triedy proxy====

Každá trieda proxy je vytvorená odvodením z triedy :

* '''System.Web.Services.Protocols.SoapHttpClientProtocol,'''
* '''System.Web.Services.Protocols.HttpGetClientProtocol,'''
* '''System.Web.Services.Protocols.HttpPostClientProtocol.'''
Konkrétny typ použitej triedy záleží od špecifikácie protokolu, ktorý má trieda proxy používať pri generovaní prostredníctvom utility wsdl.exe.

Vytvorenie triedy proxy odvodením z príslušnej triedy .NET Framework umožňuje triede proxy korektne formátovať a konvertovať správy. Dôležité zdedené členy triedy proxy sú v Tab. 2.11.

{|class="wikitable"
'''Tab. 2.11''' Popis členov triedy proxy <nowiki>[</nowiki>7<nowiki>]</nowiki>
|align = "justify"|'''Člen triedy proxy'''
|align = "justify"|'''Popis'''
|-
|align = "justify"|BeginInvoke()
|align = "justify"|Metóda zahajujúca asynchrónne volanie webovej metódy.
|-
|align = "justify"|CancelAsync()
|align = "justify"|Metóda preruší asynchrónne volanie webovej metódy.
|-
|align = "justify"|EndInvoke()
|align = "justify"|Metóda ukončí asynchrónne volanie webovej metódy.
|-
|align = "justify"|AsynInvoke()
|align = "justify"|Metóda zahajujúca asynchrónne volanie webovej metódy, doporučená metóda.
|-
|align = "justify"|Invoke()
|align = "justify"|Metóda zahajujúca synchrónne volanie webovej metódy.
|-
|align = "justify"|Proxy
|align = "justify"|Vlastnosť slúžia na nastavenie a získanie informácie proxy.
|-
|align = "justify"|Timeout
|align = "justify"|Metóda umožňujúca nastaviť dobu čakanie klientskej aplikácie na odpoveď od webovej služby v milisekundách.
|-
|align = "justify"|Url
|align = "justify"|Vlastnosť slúžia na nastavenie alebo získanie URL ASP.NET webovej služby.
|-
|align = "justify"|UserAgent
|align = "justify"|Vlastnosť slúžiaca na nastavenie hlavičky agenta užívateľa, ktorá je odosielaná s každou SOAP požiadavkou, slúži na identifikáciu klienta.
|-
|}

Asynchrónne volanie XML ASP.NET webových služieb umožňuje klientskej aplikácii pokračovať v činnosti, zatiaľ čo čaká na odpoveď od webovej služby. Asynchrónne volanie webovej služby má zmysel použiť, pokiaľ je server webovej služby pripojený pomalým sieťovým pripojením.

Komunikácia klientskej aplikácie s využitím triedy proxy je znázornená na Obr. 2.2.

[[Súbor:dp_2010_jm_4.png|framed|center|Obr. 2.2 Komunikácia klienta s webovou službou prostredníctvom triedy proxy]]

XML ASP.NET webové služby

2010-06-11T11:28:26Z

Ian: /* */

[[Kategória:Študentské práce]][[Kategória:Diplomové práce]][[Kategória:Informatika]][[Kategória:Webové služby]]
{{Praca_uvod|2|Návrh a implementácia bezpečnostnej technológie pre webové služby|XML a webové služby |XML ASP.NET webové služby|Zabezpečennie webových aplikácií|Integrita a dôvernosť komunikácie|Autentifikácia|Autorizácia webových služieb|Zabezpečenie webových služieb|XML security|SOAP Security Enhancement pre ASP.NET webové služby}}
__TOC__
=XML ASP.NET webové služby=

V predchádzajúcej kapitole sme si vysvetlili princípy XML webových služieb, popísali štandardy na ktorých sú vystavané, ich výhody aj nevýhody a spôsob, akým komunikujú webové služby s klientskymi aplikáciami.

Táto práca sa zaoberá bezpečnosťou XML ASP.NET webových služieb. Technológia ASP.NET je integrovaná s programovou platformou .NET Framework. .NET Framework predstavuje programovú platformu, ktorá je rozčlenená do kolekcie funkčných častí, zahŕňajúcich viac ako 7000 tried, štruktúr, rozhraní a ďalších typov. Každá zo skupiny tried v .NET Framework je zoskupená do logického hierarchického kontajnera, nazývaného menný priestor. Pre viac informácií o platforme .NET Framework odporúčame referenčnú príručku .NET. <nowiki>[</nowiki>31<nowiki>]</nowiki> Na Obr. 2.1 je znázornená štruktúra programovej platformy .NET Framework 3.5.

[[Súbor:dp_2010_jm_3.png|framed|center|Obr. 2.1 .NET Framework 3.5 <nowiki>[</nowiki>2<nowiki>]</nowiki>]]

ASP.NET implementuje XML webové služby ako súbory s príponou .asmx. Kód webovej služby môže byť umiestnený priamo do súboru .asmx alebo do triedy v súbore s kódom na pozadí. Táto práca predpokladá určitú znalosť programovej platformy .NET Framework a technológie ASP.NET, a preto sa nebudeme samotnou programovou platformou v práci zaoberať.
Pri vytváraní XML ASP.NET webových služieb pod platformou .NET Framework je nutné sa najskôr oboznámiť s niektorými mennými priestormi .NET Framework, ktoré umožňujú komunikovať s technológiou XML webových služieb. Popis jednotlivých menných priestorov je v Tab. 2.1.

{|class="wikitable"
'''Tab. 2.1''' Menné priestory .NET Framework zamerané na XML ASP.NET webové služby <nowiki>[4</nowiki><nowiki>]</nowiki></nowiki>
|align = "justify"|'''Menný priestor'''
|align = "justify"|'''Význam'''
|-
|align = "justify"|System.Web.Service
|align = "justify"|Obsahuje základné typy nutné pri vytváraný XML webových služieb.
|-
|align = "justify"|System.Web.Service.Configuration
|align = "justify"|Obsahuje typy, ktoré umožňujú konfiguráciu správania sa webových služieb ASP.NET
|-
|align = "justify"|System.Web.Service.Description
|align = "justify"|Obsahuje typy, ktoré umožňujú programátorsky komunikovať s dokumentom WSDL popisujúci danú XML ASP.NET webovú službu.
|-
|align = "justify"|System.Web.Service.Discovery
|align = "justify"|Obsahuje typy, ktoré umožňujú klientovi webovej služby programátorsky zistiť, aké webové služby sú nainštalované na danom servery.
|-
|align = "justify"|System.Web.Service.Discovery
|align = "justify"|Definuje typy, ktoré reprezentujú základ rôznych protokolov XML webových služieb , napríklad HTTP GET, HTTP POST a SOAP.
|-
|}

Všetky menné priestory zamerané na XML ASP.NET webové služby sú obsiahnuté v assembly '''System.Web.Services.dll'''.<nowiki>[</nowiki>1<nowiki>]</nowiki>

Najdôležitejší menný priestor pri vytváraní XML ASP.NET webových služieb je '''System.Web.Services'''. Popis členov tohto menného priestoru je v Tab. 2.2.

{|class="wikitable"
'''Tab. 2.2''' Popis menného priestoru System.Web.Services <nowiki>[</nowiki>2<nowiki>]</nowiki>
|align = "justify"|'''Menný priestor'''
|align = "justify"|'''Význam'''
|-
|align = "justify"|WebMethodAttribute
|align = "justify"|Pokiaľ je metóda alebo vlastnosť triedy webovej služby špecifikovaná pomocou tohoto atribútu, znamená to, že člena bude možné volať cez HTTP kanál a serializovať ako XML.
|-
|align = "justify"|WebService
|align = "justify"|Predstavuje základnú, nepovinnú triedu XML ASP.NET webových služieb budovaných pomocou .NET. Pokiaľ je trieda XML webovej služby odvodená z tejto základnej triedy, bude mat schopnosť si uchovávať stavové informácie.
|-
|align = "justify"|WebServiceAttribute
|align = "justify"|Pomocou tohto atribútu sa dajú pridávať informácie do webovej služby, ako napríklad reťazec popisujúci jej funkcionalitu a podkladový priestor XML.
|-
|align = "justify"|WebServiceBindingAttribute
|align = "justify"|Tento atribút deklaruje protokol viazania, ktorý XML ASP.NET webová služba implementuje.
|-
|align = "justify"|WsiProfiles
|align = "justify"|Popisuje špecifikáciu interoperability webovej služby (WSI).
|-
|}

===Základná trieda WebService===
Pokiaľ vytvárame XML ASP.NET webovú službu s využitím IDE Visual Studio, novovytvorená trieda webovej služby je automaticky odvodená zo základnej triedy WebService. (pozri Tab. 2.3). To, že trieda webovej služby dedí zo základnej triedy WebService, umožňuje prístup ku všetkým zabudovaným objektom ASP.NET, napríklad Application, Session atd. Vlastnosti základnej triedy WebService, ktoré získa trieda webovej služby dedením, sú v Tab. 2.4.

{|class="wikitable"
'''Tab. 2.3 ''' Vytvorenie triedy webovej služby dedením zo základnej triedy WebService
|-
|<source lang="csharp">
WebServiceClass: System.Web.Services
</source>

|}

{|class="wikitable"
'''Tab. 2.4''' Vlastnosti základnej triedy WebService <nowiki>[</nowiki>1<nowiki>]</nowiki>
|align = "justify"|'''Vlastnosť'''
|align = "justify"|'''Význam'''
|-
|align = "justify"|Application
|align = "justify"|Inštancia triedy HttpApplicationState, ktorá poskytuje prístup k globálnemu stavu webovej aplikácie.
|-
|align = "justify"|Context
|align = "justify"|Poskytuje prístup k HttpContext, ktorý zapúzdruje všetky špecifiká http kontextu pre aktuálnu požiadavku.
|-
|align = "justify"|Server
|align = "justify"|Poskytuje prístup k objektu HttpServerUtility aktuálneho požiadavku.
|-
|align = "justify"|Session
|align = "justify"|Inštancia triedy HttpSessionState, ktorá poskytuje prístup k aktuálnemu stavu relácie.
|-
|align = "justify"|User
|align = "justify"|Objekt IPrincipal, ktorý umožňuje preskúmať oprávnenia a rolu užívateľa, ktorý bol autentifikovaný.
|-
|}

===Atribúty triedy XML ASP.NET webovej služby===

Každá trieda XML ASP.NET webovej služby môže byť kvalifikovaná pomocou atribútov <nowiki>[</nowiki>7<nowiki>]</nowiki>:

* WebService,
* WebServiceBinding.

====Atribút WebService====

Atribút WebService podporuje niekoľko pomenovaných vlastností, konkrétne tieto <nowiki>[</nowiki>2<nowiki>]</nowiki>:

* Namespace,
* Description,
* Name.
Prostredníctvom vlastnosti '''Namespace''' môžeme vytvoriť menný XML priestor, ktorý sa bude používať vo vnútri WSDL dokumentu (pozri Tab. 2.6). Vlastnosť '''Description''' popisuje webovú službu prostredníctvom textového reťazca. Prostredníctvom vlastnosti '''Name''' môžeme oddeliť názov triedy webovej služby od názvu, pod ktorým bude webová služba sprístupnená z Internetu alebo LAN. <nowiki>[</nowiki>1<nowiki>]</nowiki>

{|class="wikitable"

'''Tab. 2.5''' Vlastnosti atribútu WebService
|-
|<source lang="csharp">
[WebService(Description="Secure web service",
Namespace = "http://DiplomaWork.sk/",
Name= "SecureWebService")]
public class WebServiceClas : System.Web.Services.WebService
{...}
</source>
|}

{|class="wikitable"
'''Tab. 2.6''' Menný priestor WSDL
|-
|<source lang="xml">
<wsdl:documentation xmlns:wsdl="http://schemas.xmlsoap.org/wsdl/">Secure web service</wsdl:documentation>
</source>

|}

====Atribút WebServiceBinding====

Atribút '''WebServiceBinding''' špecifikuje, či je XML ASP.NET webová služba v súlade s Web Services Interoperability (WSI) Basic Profile 1.1.<nowiki>[</nowiki>3<nowiki>]</nowiki> Tým, že je trieda webovej služby kvalifikovaná atribútom WebServiceBinding, prehlasuje, že je v súlade so špecifikáciou WSI Basic Profile 1.1. Špecifikácia WSI Basic Profile odstraňuje nejednoznačnú interpretáciu prvkov WSDL dokumentu webovými servermi, napríklad IIS, Apache a architektúrami .NET a J2EE. Prostredníctvom vlastnosti '''ConformsTo''' atribútu WebServiceBinding môžeme nastaviť, či je daná webová služba v súlade so špecifikáciou WSI. Vlastnosť ConformsTo môže nadobúdať tieto hodnoty <nowiki>[</nowiki>3<nowiki>]</nowiki>:

* None, webová služba neprehlasuje, že je v súlade s WSI.
* BasicProfile1_1, webová služba prehlasuje, že je v súlade so špecifikáciou WSI Basic Profile 1.1

{|class="wikitable"
'''Tab. 2.7''' Atribút WebServiceBinding
|-
|<source lang=csharp>
[WebServiceBinding(ConformsTo = WsiProfiles.BasicProfile1_1)]
public class WebServiceClas : System.Web.Services.WebService
{...}
</source>
|}

====Atribút WebMethod====

Atribút WebMethod musí byť aplikovaný na každú metódu triedy XML ASP.NET webovej služby, ktorá má byť dostupná cez HTTP kanál a serializovaná ako XML. Vlastnosti atribútu WebMethod sú v Tab. 2.8.

{|class="wikitable"
'''Tab. 2.8''' Vlastnosti atribútu WebMethod <nowiki>[</nowiki>4<nowiki>]</nowiki>
|align = "justify"|'''Argument'''
|align = "justify"|'''Význam'''
|-
|align = "justify"|Description
|align = "justify"|Popis webovej metódy.
|-
|align = "justify"|MessageName
|align = "justify"|Alias mena metódy, ktorý je používaný v prípade, že máme preťažované metódy, alebo pokiaľ chceme sprístupniť webovú metódu pod iným názvom.
|-
|align = "justify"|CacheDuration
|align = "justify"|Doba, na ktorú je uložená odpoveď webovej metódy do cache. Štandardne je hodnota cache nastavená na nula.
|-
|align = "justify"|EnableSession
|align = "justify"|Určuje, či daná webová metóda môže pristupovať k informácia v kolekcií Session. Umožňuje vytvoriť reláciu medzi webovou službou a klientom.
|-
|align = "justify"|TransactionOption
|align = "justify"|Nastaví, či daná webové metóda podporuje transakcie. Nakoľko webové služby sú bezstavové, môžu sa zúčastniť iba ako koreňový objekt transakcie.
|-
|align = "justify"|BufferResponse
|align = "justify"|Táto vlastnosť umožňuje riadiť, kedy budú dáta vrátené z webovej služby zaslané na klienta. Štandardne je vlastnosť BufferResponse nastavená na true. To znamená, že všetky výsledky sú pre zaslaním na klienta serializované. Pokiaľ je BufferResponse nastavená na false, výsledky sú serializované a posielané na klienta po častiach. Nastavenie vlastnosti BufferResponse na false ma zmysel, len vtedy ak webová služba vracia veľké množstvo dát.
|-
|}

Pri používaní XML ASP.NET webových služieb existujú určité obmedzenia ohľadom vstupných parametrov webových metód a ich návratových hodnôt. Tieto obmedzenia sú z toho dôvodu, že webové služby sú vybudované na štandardoch pre výmenu dát, a tie sú založené na jazyku XML. Webové metódy pracujú so sadou dátových typov, ktoré sú rozpoznávané štandardom schémy XML. Dátové typy webových metód XML ASP.NET webových služieb sú v Tab. 2.9. Toto obmedzenie je logické, pretože iné programovacie jazyky nemajú žiadne mechanizmy na rozpoznávanie napríklad komplexných tried, neboli by schopné interpretovať takéto dátové typy.

{|class="wikitable"
'''Tab. 2.9''' Dátové typy pre parametre a návratové hodnoty webových metód <nowiki>[</nowiki>1<nowiki>]</nowiki>
|align = "justify"|'''Dátový typ'''
|align = "justify"|'''Popis'''
|-
|align = "justify"|Základné dátové typy
|align = "justify"|Jednoduché dátové typy ako int, long, float, double, bool, string, char, byte a iné.
|-
|align = "justify"|Polia
|align = "justify"|Webové služby dokážu pracovať s akýmkoľvek polom podporovaného typu, prípadne kolekciami .NET ako HashTable, prípadne binárnymi poliami.
|-
|align = "justify"|Vlastné objekty
|align = "justify"|Akýkoľvek vlastný objekt môže byť webovou službou poslaní na klienta. Prenášajú sa iba verejné členy triedy.
|-
|align = "justify"|Enumerations
|align = "justify"| 
|-
|align = "justify"|XmlNode
|align = "justify"|Objekty založené na System.XmlNode reprezentujúce časti XML dokumentu.
|-
|align = "justify"|DataSet a DataTable
|align = "justify"|Tieto objekty patria medzi dátové objekty ADO.NET a môžu byť použité pre posielanie informácií z relačnej databázy. Tieto objekty sú XML ASP.NET webovou službou automaticky skonvertované na XML.
|-
|}

===Trieda proxy===

Pre korektnú komunikáciu klienta s XML ASP.NET webovou službou musí byť klient schopný vytvárať, posielať a dostávať SOAP správy založené na XML, ktorým buderozumieť. Principiálne jednoduchý proces, ale v praxi veľmi náročný, nakoľko by sme museli dookola písať rovnaký kód infraštruktúry nižšej úrovne. <nowiki>[</nowiki>4<nowiki>]</nowiki>

Platforma .NET to rieši v podobe '''triedy proxy''', ktorá to vykonáva namiesto klientskej aplikácie. Trieda proxy zabezpečuje správne vytváranie formátu SOAP správy, riadi prenos správ pomocou HTTP po sieti, tak isto konvertuje výsledok prijatej správy do správneho formátu.

Na vytvorenie triedy proxy v .NET existujú dva spôsoby <nowiki>[</nowiki>1<nowiki>]</nowiki>:

* Pomocou utility wsdl.exe.
* Pomocou webovej referencie v IDE Visual Studio.
Generovanie triedy proxy prostredníctvom utility wsdl.exe''' '''je flexibilnejšie, nakoľko nám umožňuje vygenerovaný kód danej triedy modifikovať.

Názov utility wsdl.exe je odvodený od štandardu Web Service Description Language pre popis XML webových služieb. Tento nástroj vygeneruje z XML webovej služby zdrojový kód triedy proxy vo zvolenom jazyku.

Utilita wsdl.exe podporuje veľké množstvo prepínačov, najbežnejšie argumenty sú v Tab. 2.10.

{|class="wikitable"
'''Tab. 2.10''' Argumenty utility wsdl.exe <nowiki>[</nowiki>1<nowiki>]</nowiki>
|align = "justify"|'''Argument'''
|align = "justify"|'''Význam'''
|-
|align = "justify"|/appsettingurlkey
|align = "justify"|Trieda proxy bude nakonfigurovaná tak, aby načítavala URL zo súboru .<nowiki>*</nowiki>config na klientskej strane.
|-
|align = "justify"|/language
|align = "justify"|Pomocou tohto argumentu špecifikujeme jazyk pre vygenerovanú triedu (C<nowiki> </nowiki>, VB.NET, JS, VJS).
|-
|align = "justify"|/namespace
|align = "justify"|Argument špecifikuje menný priestor pre vygenerovanú triedu proxy.
|-
|align = "justify"|/out
|align = "justify"|Špecifikuje súbor do ktorého sa uloží vygenerovaný kód proxy.
|-
|align = "justify"|/protocol
|align = "justify"|Tento argument špecifikuje protokol, ktorý sa má použiť vo vnútri triedy proxy. Prednastavení protokolom je SOAP. Ďalšie podporované protokoly sú HTTP POST a HTTP GET.
|-
|align = "justify"|/serverInterface
|align = "justify"|Na základe WSDL dokumentu sa vygeneruje kostra webovej služby na strane servera.
|-
|}

Pre korektnú komunikáciu medzi webovou službou a klientmi, ale aj kvôli zvýšenej bezpečnosti na strane prevádzkovateľa webovej služby sa využíva implementácia triedy proxy prostredníctvom DLL knižnice u klienta.

====Popis kódu triedy proxy====

Každá trieda proxy je vytvorená odvodením z triedy :

* '''System.Web.Services.Protocols.SoapHttpClientProtocol,'''
* '''System.Web.Services.Protocols.HttpGetClientProtocol,'''
* '''System.Web.Services.Protocols.HttpPostClientProtocol.'''
Konkrétny typ použitej triedy záleží od špecifikácie protokolu, ktorý má trieda proxy používať pri generovaní prostredníctvom utility wsdl.exe.

Vytvorenie triedy proxy odvodením z príslušnej triedy .NET Framework umožňuje triede proxy korektne formátovať a konvertovať správy. Dôležité zdedené členy triedy proxy sú v Tab. 2.11.

{|class="wikitable"
'''Tab. 2.11''' Popis členov triedy proxy <nowiki>[</nowiki>7<nowiki>]</nowiki>
|align = "justify"|'''Člen triedy proxy'''
|align = "justify"|'''Popis'''
|-
|align = "justify"|BeginInvoke()
|align = "justify"|Metóda zahajujúca asynchrónne volanie webovej metódy.
|-
|align = "justify"|CancelAsync()
|align = "justify"|Metóda preruší asynchrónne volanie webovej metódy.
|-
|align = "justify"|EndInvoke()
|align = "justify"|Metóda ukončí asynchrónne volanie webovej metódy.
|-
|align = "justify"|AsynInvoke()
|align = "justify"|Metóda zahajujúca asynchrónne volanie webovej metódy, doporučená metóda.
|-
|align = "justify"|Invoke()
|align = "justify"|Metóda zahajujúca synchrónne volanie webovej metódy.
|-
|align = "justify"|Proxy
|align = "justify"|Vlastnosť slúžia na nastavenie a získanie informácie proxy.
|-
|align = "justify"|Timeout
|align = "justify"|Metóda umožňujúca nastaviť dobu čakanie klientskej aplikácie na odpoveď od webovej služby v milisekundách.
|-
|align = "justify"|Url
|align = "justify"|Vlastnosť slúžia na nastavenie alebo získanie URL ASP.NET webovej služby.
|-
|align = "justify"|UserAgent
|align = "justify"|Vlastnosť slúžiaca na nastavenie hlavičky agenta užívateľa, ktorá je odosielaná s každou SOAP požiadavkou, slúži na identifikáciu klienta.
|-
|}

Asynchrónne volanie XML ASP.NET webových služieb umožňuje klientskej aplikácii pokračovať v činnosti, zatiaľ čo čaká na odpoveď od webovej služby. Asynchrónne volanie webovej služby má zmysel použiť, pokiaľ je server webovej služby pripojený pomalým sieťovým pripojením.

Komunikácia klientskej aplikácie s využitím triedy proxy je znázornená na Obr. 2.2.

[[Súbor:dp_2010_jm_4.png|framed|center|Obr. 2.2 Komunikácia klienta s webovou službou prostredníctvom triedy proxy]]

Zabezpečennie webových aplikácií

2010-06-11T11:27:24Z

Ian: /* Zabezpečenie webových aplikácií */

[[Kategória:Študentské práce]][[Kategória:Diplomové práce]][[Kategória:Informatika]][[Kategória:Webové služby]]
{{Praca_uvod|3|Návrh a implementácia bezpečnostnej technológie pre webové služby|XML a webové služby |XML ASP.NET webové služby|Zabezpečenie webových aplikácií|Integrita a dôvernosť komunikácie|Autentifikácia|Autorizácia webových služieb|Zabezpečenie webových služieb|XML security|SOAP Security Enhancement pre ASP.NET webové služby}}
__TOC__
=Zabezpečenie webových aplikácií=
==Bezpečnosť webových aplikácií==
V predchádzajúcej kapitole sme opísali technologické a programové pozadie XML ASP.NET webových služieb. Pri vytváraní verejných webových služieb predstavuje ich bezpečnosť faktor, ktorým môžeme určovať ich kvalitu. Webové služby komunikujú s klientskymi aplikáciami prostredníctvom XML správ, samy o sebe nezabezpečujú ochranu prenášaných dát. Pokiaľ webová služba poskytuje citlivé informácie, napríklad bankové webové služby, webové služby zdravotných poisťovní, poprípade webové služby leteckých spoločností a iné, musí byť zabezpečená ochrana prenášaných dát. Musia byť vytvorené mechanizmy na identifikáciu klientov volajúcich webové služby, na ich autorizáciu a mechanizmy na zabezpečenie integrity a dôvernosti komunikácie.

Táto kapitola sa zaoberá práve autentifikáciou, autorizáciou klientov webových služieb ASP.NET a zabezpečením integrity a dôvernosti komunikácie. Tie predstavujú hlavné úrovne bezpečnosti.

==Úrovne bezpečnosti==

Všeobecne pri webových aplikáciách pri implementácii bezpečnosti je nutné zabezpečiť nasledovné <nowiki>[</nowiki>1<nowiki>]</nowiki> :

1. '''Autentifikáciu'''. To znamená, že najskôr musíme overiť identitu užívateľa, ktorý napríklad volá niektorú z metód webovej služby.

2. '''Autorizáciu'''. Na základe jeho identity sa musíme rozhodnúť, aké operácie bude môcť užívateľ vykonávať a k akým zdrojom bude mať prístup. Autorizácia zisťuje, na čo všetko má klient oprávnenie.

3. '''Utajenie'''. Počas komunikácie klientskej aplikácie s webovou službou musíme zabezpečiť ochranu prenášaných dát. Z toho dôvodu je nutné kryptovať prenosový kanál medzi klientskou aplikáciou a webovým serverom.

4. '''Integritu'''. Predstavuje ochranu prenášaných dát pred neoprávneným pozmenením neautorizovanými činiteľmi. Je realizovaná prostredníctvom digitálnych podpisov.

Začneme tým, že sa oboznámime s utajením a integritou komunikácie, aj keď prvým krokom pri vytváraní bezpečnej komunikácie je overenie klienta. Je to z dôvodu, že v kapitole 4 sa oboznámime s princípom certifikátov, ktoré predstavujú jednu z overovacích metód klientov. Autentifikácia klientov prostredníctvom certifikátov je rozobraná v samostatnej kapitole 5.3.

Zabezpečennie webových aplikácií

2010-06-11T11:25:46Z

Ian:

[[Kategória:Študentské práce]][[Kategória:Diplomové práce]][[Kategória:Informatika]][[Kategória:Webové služby]]
{{Praca_uvod|3|Návrh a implementácia bezpečnostnej technológie pre webové služby|XML a webové služby |XML ASP.NET webové služby|Zabezpečenie webových aplikácií|Integrita a dôvernosť komunikácie|Autentifikácia|Autorizácia webových služieb|Zabezpečenie webových služieb|XML security|SOAP Security Enhancement pre ASP.NET webové služby}}
__TOC__
==Zabezpečenie webových aplikácií==
V predchádzajúcej kapitole sme opísali technologické a programové pozadie XML ASP.NET webových služieb. Pri vytváraní verejných webových služieb predstavuje ich bezpečnosť faktor, ktorým môžeme určovať ich kvalitu. Webové služby komunikujú s klientskymi aplikáciami prostredníctvom XML správ, samy o sebe nezabezpečujú ochranu prenášaných dát. Pokiaľ webová služba poskytuje citlivé informácie, napríklad bankové webové služby, webové služby zdravotných poisťovní, poprípade webové služby leteckých spoločností a iné, musí byť zabezpečená ochrana prenášaných dát. Musia byť vytvorené mechanizmy na identifikáciu klientov volajúcich webové služby, na ich autorizáciu a mechanizmy na zabezpečenie integrity a dôvernosti komunikácie.

Táto kapitola sa zaoberá práve autentifikáciou, autorizáciou klientov webových služieb ASP.NET a zabezpečením integrity a dôvernosti komunikácie. Tie predstavujú hlavné úrovne bezpečnosti.

==Úrovne bezpečnosti==

Všeobecne pri webových aplikáciách pri implementácii bezpečnosti je nutné zabezpečiť nasledovné <nowiki>[</nowiki>1<nowiki>]</nowiki> :

1. '''Autentifikáciu'''. To znamená, že najskôr musíme overiť identitu užívateľa, ktorý napríklad volá niektorú z metód webovej služby.

2. '''Autorizáciu'''. Na základe jeho identity sa musíme rozhodnúť, aké operácie bude môcť užívateľ vykonávať a k akým zdrojom bude mať prístup. Autorizácia zisťuje, na čo všetko má klient oprávnenie.

3. '''Utajenie'''. Počas komunikácie klientskej aplikácie s webovou službou musíme zabezpečiť ochranu prenášaných dát. Z toho dôvodu je nutné kryptovať prenosový kanál medzi klientskou aplikáciou a webovým serverom.

4. '''Integritu'''. Predstavuje ochranu prenášaných dát pred neoprávneným pozmenením neautorizovanými činiteľmi. Je realizovaná prostredníctvom digitálnych podpisov.

Začneme tým, že sa oboznámime s utajením a integritou komunikácie, aj keď prvým krokom pri vytváraní bezpečnej komunikácie je overenie klienta. Je to z dôvodu, že v kapitole 4 sa oboznámime s princípom certifikátov, ktoré predstavujú jednu z overovacích metód klientov. Autentifikácia klientov prostredníctvom certifikátov je rozobraná v samostatnej kapitole 5.3.

Zabezpečennie webových aplikácií

2010-06-11T11:20:36Z

Ian:

[[Kategória:Študentské práce]][[Kategória:Diplomové práce]][[Kategória:Informatika]][[Kategória:Webové služby]]
{{Praca_uvod|3|Návrh a implementácia bezpečnostnej technológie pre webové služby|XML a webové služby |XML ASP.NET webové služby|Zabezpečenie webových aplikácií|Integrita a dôvernosť komunikácie|Autentifikácia|Autorizácia webových služieb|Zabezpečenie webových služieb|XML security|SOAP Security Enhancement pre ASP.NET webové služby}}
__TOC__
==Bezpečnosť webových aplikácií==
V predchádzajúcej kapitole sme opísali technologické a programové pozadie XML ASP.NET webových služieb. Pri vytváraní verejných webových služieb predstavuje ich bezpečnosť faktor, ktorým môžeme určovať ich kvalitu. Webové služby komunikujú s klientskymi aplikáciami prostredníctvom XML správ, samy o sebe nezabezpečujú ochranu prenášaných dát. Pokiaľ webová služba poskytuje citlivé informácie, napríklad bankové webové služby, webové služby zdravotných poisťovní, poprípade webové služby leteckých spoločností a iné, musí byť zabezpečená ochrana prenášaných dát. Musia byť vytvorené mechanizmy na identifikáciu klientov volajúcich webové služby, na ich autorizáciu a mechanizmy na zabezpečenie integrity a dôvernosti komunikácie.

Táto kapitola sa zaoberá práve autentifikáciou, autorizáciou klientov webových služieb ASP.NET a zabezpečením integrity a dôvernosti komunikácie. Tie predstavujú hlavné úrovne bezpečnosti.

==Úrovne bezpečnosti==

Všeobecne pri webových aplikáciách pri implementácii bezpečnosti je nutné zabezpečiť nasledovné <nowiki>[</nowiki>1<nowiki>]</nowiki> :

1. '''Autentifikáciu'''. To znamená, že najskôr musíme overiť identitu užívateľa, ktorý napríklad volá niektorú z metód webovej služby.

2. '''Autorizáciu'''. Na základe jeho identity sa musíme rozhodnúť, aké operácie bude môcť užívateľ vykonávať a k akým zdrojom bude mať prístup. Autorizácia zisťuje, na čo všetko má klient oprávnenie.

3. '''Utajenie'''. Počas komunikácie klientskej aplikácie s webovou službou musíme zabezpečiť ochranu prenášaných dát. Z toho dôvodu je nutné kryptovať prenosový kanál medzi klientskou aplikáciou a webovým serverom.

4. '''Integritu'''. Predstavuje ochranu prenášaných dát pred neoprávneným pozmenením neautorizovanými činiteľmi. Je realizovaná prostredníctvom digitálnych podpisov.

Začneme tým, že sa oboznámime s utajením a integritou komunikácie, aj keď prvým krokom pri vytváraní bezpečnej komunikácie je overenie klienta. Je to z dôvodu, že v kapitole 4 sa oboznámime s princípom certifikátov, ktoré predstavujú jednu z overovacích metód klientov. Autentifikácia klientov prostredníctvom certifikátov je rozobraná v samostatnej kapitole 5.3.

Zabezpečennie webových aplikácií

2010-06-11T11:19:44Z

Ian:

[[Kategória:Študentské práce]][[Kategória:Diplomové práce]][[Kategória:Informatika]][[Kategória:Webové služby]]
{{Praca_uvod|3|Návrh a implementácia bezpečnostnej technológie pre webové služby|XML a webové služby |XML ASP.NET webové služby|Bezpečnosť webových aplikácií|Integrita a dôvernosť komunikácie|Autentifikácia|Autorizácia webových služieb|Zabezpečenie webových služieb|XML security|SOAP Security Enhancement pre ASP.NET webové služby}}
__TOC__
==Bezpečnosť webových aplikácií==
V predchádzajúcej kapitole sme opísali technologické a programové pozadie XML ASP.NET webových služieb. Pri vytváraní verejných webových služieb predstavuje ich bezpečnosť faktor, ktorým môžeme určovať ich kvalitu. Webové služby komunikujú s klientskymi aplikáciami prostredníctvom XML správ, samy o sebe nezabezpečujú ochranu prenášaných dát. Pokiaľ webová služba poskytuje citlivé informácie, napríklad bankové webové služby, webové služby zdravotných poisťovní, poprípade webové služby leteckých spoločností a iné, musí byť zabezpečená ochrana prenášaných dát. Musia byť vytvorené mechanizmy na identifikáciu klientov volajúcich webové služby, na ich autorizáciu a mechanizmy na zabezpečenie integrity a dôvernosti komunikácie.

Táto kapitola sa zaoberá práve autentifikáciou, autorizáciou klientov webových služieb ASP.NET a zabezpečením integrity a dôvernosti komunikácie. Tie predstavujú hlavné úrovne bezpečnosti.

==Úrovne bezpečnosti==

Všeobecne pri webových aplikáciách pri implementácii bezpečnosti je nutné zabezpečiť nasledovné <nowiki>[</nowiki>1<nowiki>]</nowiki> :

1. '''Autentifikáciu'''. To znamená, že najskôr musíme overiť identitu užívateľa, ktorý napríklad volá niektorú z metód webovej služby.

2. '''Autorizáciu'''. Na základe jeho identity sa musíme rozhodnúť, aké operácie bude môcť užívateľ vykonávať a k akým zdrojom bude mať prístup. Autorizácia zisťuje, na čo všetko má klient oprávnenie.

3. '''Utajenie'''. Počas komunikácie klientskej aplikácie s webovou službou musíme zabezpečiť ochranu prenášaných dát. Z toho dôvodu je nutné kryptovať prenosový kanál medzi klientskou aplikáciou a webovým serverom.

4. '''Integritu'''. Predstavuje ochranu prenášaných dát pred neoprávneným pozmenením neautorizovanými činiteľmi. Je realizovaná prostredníctvom digitálnych podpisov.

Začneme tým, že sa oboznámime s utajením a integritou komunikácie, aj keď prvým krokom pri vytváraní bezpečnej komunikácie je overenie klienta. Je to z dôvodu, že v kapitole 4 sa oboznámime s princípom certifikátov, ktoré predstavujú jednu z overovacích metód klientov. Autentifikácia klientov prostredníctvom certifikátov je rozobraná v samostatnej kapitole 5.3.

Zabezpečennie webových aplikácií

2010-06-11T10:59:37Z

Ian: /* */

[[Kategória:Študentské práce]][[Kategória:Diplomové práce]][[Kategória:Informatika]][[Kategória:Webové služby]]
{{Praca_uvod|3|Návrh a implementácia bezpečnostnej technológie pre webové služby|XML a webové služby |XML ASP.NET webové služby|Zabezpečennie webových aplikácií|Integrita a dôvernosť komunikácie|Autentifikácia|Autorizácia webových služieb|Zabezpečenie webových služieb|XML security|SOAP Security Enhancement pre ASP.NET webové služby}}
__TOC__
==Bezpečnosť webových aplikácií==
V predchádzajúcej kapitole sme opísali technologické a programové pozadie XML ASP.NET webových služieb. Pri vytváraní verejných webových služieb predstavuje ich bezpečnosť faktor, ktorým môžeme určovať ich kvalitu. Webové služby komunikujú s klientskymi aplikáciami prostredníctvom XML správ, samy o sebe nezabezpečujú ochranu prenášaných dát. Pokiaľ webová služba poskytuje citlivé informácie, napríklad bankové webové služby, webové služby zdravotných poisťovní, poprípade webové služby leteckých spoločností a iné, musí byť zabezpečená ochrana prenášaných dát. Musia byť vytvorené mechanizmy na identifikáciu klientov volajúcich webové služby, na ich autorizáciu a mechanizmy na zabezpečenie integrity a dôvernosti komunikácie.

Táto kapitola sa zaoberá práve autentifikáciou, autorizáciou klientov webových služieb ASP.NET a zabezpečením integrity a dôvernosti komunikácie. Tie predstavujú hlavné úrovne bezpečnosti.

==Úrovne bezpečnosti==

Všeobecne pri webových aplikáciách pri implementácii bezpečnosti je nutné zabezpečiť nasledovné <nowiki>[</nowiki>1<nowiki>]</nowiki> :

1. '''Autentifikáciu'''. To znamená, že najskôr musíme overiť identitu užívateľa, ktorý napríklad volá niektorú z metód webovej služby.

2. '''Autorizáciu'''. Na základe jeho identity sa musíme rozhodnúť, aké operácie bude môcť užívateľ vykonávať a k akým zdrojom bude mať prístup. Autorizácia zisťuje, na čo všetko má klient oprávnenie.

3. '''Utajenie'''. Počas komunikácie klientskej aplikácie s webovou službou musíme zabezpečiť ochranu prenášaných dát. Z toho dôvodu je nutné kryptovať prenosový kanál medzi klientskou aplikáciou a webovým serverom.

4. '''Integritu'''. Predstavuje ochranu prenášaných dát pred neoprávneným pozmenením neautorizovanými činiteľmi. Je realizovaná prostredníctvom digitálnych podpisov.

Začneme tým, že sa oboznámime s utajením a integritou komunikácie, aj keď prvým krokom pri vytváraní bezpečnej komunikácie je overenie klienta. Je to z dôvodu, že v kapitole 4 sa oboznámime s princípom certifikátov, ktoré predstavujú jednu z overovacích metód klientov. Autentifikácia klientov prostredníctvom certifikátov je rozobraná v samostatnej kapitole 5.3.

XML ASP.NET webové služby

2010-06-11T10:51:10Z

Ian: /* XML ASP.NET webové služby */

[[Kategória:Študentské práce]][[Kategória:Diplomové práce]][[Kategória:Informatika]][[Kategória:Webové služby]]
{{Praca_uvod|2|Návrh a implementácia bezpečnostnej technológie pre webové služby|XML a webové služby |XML ASP.NET webové služby|Zabezpečennie webových aplikácií|Integrita a dôvernosť komunikácie|Autentifikácia|Autorizácia webových služieb|Zabezpečenie webových služieb|XML security|SOAP Security Enhancement pre ASP.NET webové služby}}
__TOC__
= =
==XML ASP.NET webové služby==

V predchádzajúcej kapitole sme si vysvetlili princípy XML webových služieb, popísali štandardy na ktorých sú vystavané, ich výhody aj nevýhody a spôsob, akým komunikujú webové služby s klientskymi aplikáciami.

Táto práca sa zaoberá bezpečnosťou XML ASP.NET webových služieb. Technológia ASP.NET je integrovaná s programovou platformou .NET Framework. .NET Framework predstavuje programovú platformu, ktorá je rozčlenená do kolekcie funkčných častí, zahŕňajúcich viac ako 7000 tried, štruktúr, rozhraní a ďalších typov. Každá zo skupiny tried v .NET Framework je zoskupená do logického hierarchického kontajnera, nazývaného menný priestor. Pre viac informácií o platforme .NET Framework odporúčame referenčnú príručku .NET. <nowiki>[</nowiki>31<nowiki>]</nowiki> Na Obr. 2.1 je znázornená štruktúra programovej platformy .NET Framework 3.5.

[[Súbor:dp_2010_jm_3.png|framed|center|Obr. 2.1 .NET Framework 3.5 <nowiki>[</nowiki>2<nowiki>]</nowiki>]]

ASP.NET implementuje XML webové služby ako súbory s príponou .asmx. Kód webovej služby môže byť umiestnený priamo do súboru .asmx alebo do triedy v súbore s kódom na pozadí. Táto práca predpokladá určitú znalosť programovej platformy .NET Framework a technológie ASP.NET, a preto sa nebudeme samotnou programovou platformou v práci zaoberať.
Pri vytváraní XML ASP.NET webových služieb pod platformou .NET Framework je nutné sa najskôr oboznámiť s niektorými mennými priestormi .NET Framework, ktoré umožňujú komunikovať s technológiou XML webových služieb. Popis jednotlivých menných priestorov je v Tab. 2.1.

{|class="wikitable"
'''Tab. 2.1''' Menné priestory .NET Framework zamerané na XML ASP.NET webové služby <nowiki>[4</nowiki><nowiki>]</nowiki></nowiki>
|align = "justify"|'''Menný priestor'''
|align = "justify"|'''Význam'''
|-
|align = "justify"|System.Web.Service
|align = "justify"|Obsahuje základné typy nutné pri vytváraný XML webových služieb.
|-
|align = "justify"|System.Web.Service.Configuration
|align = "justify"|Obsahuje typy, ktoré umožňujú konfiguráciu správania sa webových služieb ASP.NET
|-
|align = "justify"|System.Web.Service.Description
|align = "justify"|Obsahuje typy, ktoré umožňujú programátorsky komunikovať s dokumentom WSDL popisujúci danú XML ASP.NET webovú službu.
|-
|align = "justify"|System.Web.Service.Discovery
|align = "justify"|Obsahuje typy, ktoré umožňujú klientovi webovej služby programátorsky zistiť, aké webové služby sú nainštalované na danom servery.
|-
|align = "justify"|System.Web.Service.Discovery
|align = "justify"|Definuje typy, ktoré reprezentujú základ rôznych protokolov XML webových služieb , napríklad HTTP GET, HTTP POST a SOAP.
|-
|}

Všetky menné priestory zamerané na XML ASP.NET webové služby sú obsiahnuté v assembly '''System.Web.Services.dll'''.<nowiki>[</nowiki>1<nowiki>]</nowiki>

Najdôležitejší menný priestor pri vytváraní XML ASP.NET webových služieb je '''System.Web.Services'''. Popis členov tohto menného priestoru je v Tab. 2.2.

{|class="wikitable"
'''Tab. 2.2''' Popis menného priestoru System.Web.Services <nowiki>[</nowiki>2<nowiki>]</nowiki>
|align = "justify"|'''Menný priestor'''
|align = "justify"|'''Význam'''
|-
|align = "justify"|WebMethodAttribute
|align = "justify"|Pokiaľ je metóda alebo vlastnosť triedy webovej služby špecifikovaná pomocou tohoto atribútu, znamená to, že člena bude možné volať cez HTTP kanál a serializovať ako XML.
|-
|align = "justify"|WebService
|align = "justify"|Predstavuje základnú, nepovinnú triedu XML ASP.NET webových služieb budovaných pomocou .NET. Pokiaľ je trieda XML webovej služby odvodená z tejto základnej triedy, bude mat schopnosť si uchovávať stavové informácie.
|-
|align = "justify"|WebServiceAttribute
|align = "justify"|Pomocou tohto atribútu sa dajú pridávať informácie do webovej služby, ako napríklad reťazec popisujúci jej funkcionalitu a podkladový priestor XML.
|-
|align = "justify"|WebServiceBindingAttribute
|align = "justify"|Tento atribút deklaruje protokol viazania, ktorý XML ASP.NET webová služba implementuje.
|-
|align = "justify"|WsiProfiles
|align = "justify"|Popisuje špecifikáciu interoperability webovej služby (WSI).
|-
|}

===Základná trieda WebService===
Pokiaľ vytvárame XML ASP.NET webovú službu s využitím IDE Visual Studio, novovytvorená trieda webovej služby je automaticky odvodená zo základnej triedy WebService. (pozri Tab. 2.3). To, že trieda webovej služby dedí zo základnej triedy WebService, umožňuje prístup ku všetkým zabudovaným objektom ASP.NET, napríklad Application, Session atd. Vlastnosti základnej triedy WebService, ktoré získa trieda webovej služby dedením, sú v Tab. 2.4.

{|class="wikitable"
'''Tab. 2.3 ''' Vytvorenie triedy webovej služby dedením zo základnej triedy WebService
|-
|<source lang="csharp">
WebServiceClass: System.Web.Services
</source>

|}

{|class="wikitable"
'''Tab. 2.4''' Vlastnosti základnej triedy WebService <nowiki>[</nowiki>1<nowiki>]</nowiki>
|align = "justify"|'''Vlastnosť'''
|align = "justify"|'''Význam'''
|-
|align = "justify"|Application
|align = "justify"|Inštancia triedy HttpApplicationState, ktorá poskytuje prístup k globálnemu stavu webovej aplikácie.
|-
|align = "justify"|Context
|align = "justify"|Poskytuje prístup k HttpContext, ktorý zapúzdruje všetky špecifiká http kontextu pre aktuálnu požiadavku.
|-
|align = "justify"|Server
|align = "justify"|Poskytuje prístup k objektu HttpServerUtility aktuálneho požiadavku.
|-
|align = "justify"|Session
|align = "justify"|Inštancia triedy HttpSessionState, ktorá poskytuje prístup k aktuálnemu stavu relácie.
|-
|align = "justify"|User
|align = "justify"|Objekt IPrincipal, ktorý umožňuje preskúmať oprávnenia a rolu užívateľa, ktorý bol autentifikovaný.
|-
|}

===Atribúty triedy XML ASP.NET webovej služby===

Každá trieda XML ASP.NET webovej služby môže byť kvalifikovaná pomocou atribútov <nowiki>[</nowiki>7<nowiki>]</nowiki>:

* WebService,
* WebServiceBinding.

====Atribút WebService====

Atribút WebService podporuje niekoľko pomenovaných vlastností, konkrétne tieto <nowiki>[</nowiki>2<nowiki>]</nowiki>:

* Namespace,
* Description,
* Name.
Prostredníctvom vlastnosti '''Namespace''' môžeme vytvoriť menný XML priestor, ktorý sa bude používať vo vnútri WSDL dokumentu (pozri Tab. 2.6). Vlastnosť '''Description''' popisuje webovú službu prostredníctvom textového reťazca. Prostredníctvom vlastnosti '''Name''' môžeme oddeliť názov triedy webovej služby od názvu, pod ktorým bude webová služba sprístupnená z Internetu alebo LAN. <nowiki>[</nowiki>1<nowiki>]</nowiki>

{|class="wikitable"

'''Tab. 2.5''' Vlastnosti atribútu WebService
|-
|<source lang="csharp">
[WebService(Description="Secure web service",
Namespace = "http://DiplomaWork.sk/",
Name= "SecureWebService")]
public class WebServiceClas : System.Web.Services.WebService
{...}
</source>
|}

{|class="wikitable"
'''Tab. 2.6''' Menný priestor WSDL
|-
|<source lang="xml">
<wsdl:documentation xmlns:wsdl="http://schemas.xmlsoap.org/wsdl/">Secure web service</wsdl:documentation>
</source>

|}

====Atribút WebServiceBinding====

Atribút '''WebServiceBinding''' špecifikuje, či je XML ASP.NET webová služba v súlade s Web Services Interoperability (WSI) Basic Profile 1.1.<nowiki>[</nowiki>3<nowiki>]</nowiki> Tým, že je trieda webovej služby kvalifikovaná atribútom WebServiceBinding, prehlasuje, že je v súlade so špecifikáciou WSI Basic Profile 1.1. Špecifikácia WSI Basic Profile odstraňuje nejednoznačnú interpretáciu prvkov WSDL dokumentu webovými servermi, napríklad IIS, Apache a architektúrami .NET a J2EE. Prostredníctvom vlastnosti '''ConformsTo''' atribútu WebServiceBinding môžeme nastaviť, či je daná webová služba v súlade so špecifikáciou WSI. Vlastnosť ConformsTo môže nadobúdať tieto hodnoty <nowiki>[</nowiki>3<nowiki>]</nowiki>:

* None, webová služba neprehlasuje, že je v súlade s WSI.
* BasicProfile1_1, webová služba prehlasuje, že je v súlade so špecifikáciou WSI Basic Profile 1.1

{|class="wikitable"
'''Tab. 2.7''' Atribút WebServiceBinding
|-
|<source lang=csharp>
[WebServiceBinding(ConformsTo = WsiProfiles.BasicProfile1_1)]
public class WebServiceClas : System.Web.Services.WebService
{...}
</source>
|}

====Atribút WebMethod====

Atribút WebMethod musí byť aplikovaný na každú metódu triedy XML ASP.NET webovej služby, ktorá má byť dostupná cez HTTP kanál a serializovaná ako XML. Vlastnosti atribútu WebMethod sú v Tab. 2.8.

{|class="wikitable"
'''Tab. 2.8''' Vlastnosti atribútu WebMethod <nowiki>[</nowiki>4<nowiki>]</nowiki>
|align = "justify"|'''Argument'''
|align = "justify"|'''Význam'''
|-
|align = "justify"|Description
|align = "justify"|Popis webovej metódy.
|-
|align = "justify"|MessageName
|align = "justify"|Alias mena metódy, ktorý je používaný v prípade, že máme preťažované metódy, alebo pokiaľ chceme sprístupniť webovú metódu pod iným názvom.
|-
|align = "justify"|CacheDuration
|align = "justify"|Doba, na ktorú je uložená odpoveď webovej metódy do cache. Štandardne je hodnota cache nastavená na nula.
|-
|align = "justify"|EnableSession
|align = "justify"|Určuje, či daná webová metóda môže pristupovať k informácia v kolekcií Session. Umožňuje vytvoriť reláciu medzi webovou službou a klientom.
|-
|align = "justify"|TransactionOption
|align = "justify"|Nastaví, či daná webové metóda podporuje transakcie. Nakoľko webové služby sú bezstavové, môžu sa zúčastniť iba ako koreňový objekt transakcie.
|-
|align = "justify"|BufferResponse
|align = "justify"|Táto vlastnosť umožňuje riadiť, kedy budú dáta vrátené z webovej služby zaslané na klienta. Štandardne je vlastnosť BufferResponse nastavená na true. To znamená, že všetky výsledky sú pre zaslaním na klienta serializované. Pokiaľ je BufferResponse nastavená na false, výsledky sú serializované a posielané na klienta po častiach. Nastavenie vlastnosti BufferResponse na false ma zmysel, len vtedy ak webová služba vracia veľké množstvo dát.
|-
|}

Pri používaní XML ASP.NET webových služieb existujú určité obmedzenia ohľadom vstupných parametrov webových metód a ich návratových hodnôt. Tieto obmedzenia sú z toho dôvodu, že webové služby sú vybudované na štandardoch pre výmenu dát, a tie sú založené na jazyku XML. Webové metódy pracujú so sadou dátových typov, ktoré sú rozpoznávané štandardom schémy XML. Dátové typy webových metód XML ASP.NET webových služieb sú v Tab. 2.9. Toto obmedzenie je logické, pretože iné programovacie jazyky nemajú žiadne mechanizmy na rozpoznávanie napríklad komplexných tried, neboli by schopné interpretovať takéto dátové typy.

{|class="wikitable"
'''Tab. 2.9''' Dátové typy pre parametre a návratové hodnoty webových metód <nowiki>[</nowiki>1<nowiki>]</nowiki>
|align = "justify"|'''Dátový typ'''
|align = "justify"|'''Popis'''
|-
|align = "justify"|Základné dátové typy
|align = "justify"|Jednoduché dátové typy ako int, long, float, double, bool, string, char, byte a iné.
|-
|align = "justify"|Polia
|align = "justify"|Webové služby dokážu pracovať s akýmkoľvek polom podporovaného typu, prípadne kolekciami .NET ako HashTable, prípadne binárnymi poliami.
|-
|align = "justify"|Vlastné objekty
|align = "justify"|Akýkoľvek vlastný objekt môže byť webovou službou poslaní na klienta. Prenášajú sa iba verejné členy triedy.
|-
|align = "justify"|Enumerations
|align = "justify"| 
|-
|align = "justify"|XmlNode
|align = "justify"|Objekty založené na System.XmlNode reprezentujúce časti XML dokumentu.
|-
|align = "justify"|DataSet a DataTable
|align = "justify"|Tieto objekty patria medzi dátové objekty ADO.NET a môžu byť použité pre posielanie informácií z relačnej databázy. Tieto objekty sú XML ASP.NET webovou službou automaticky skonvertované na XML.
|-
|}

===Trieda proxy===

Pre korektnú komunikáciu klienta s XML ASP.NET webovou službou musí byť klient schopný vytvárať, posielať a dostávať SOAP správy založené na XML, ktorým buderozumieť. Principiálne jednoduchý proces, ale v praxi veľmi náročný, nakoľko by sme museli dookola písať rovnaký kód infraštruktúry nižšej úrovne. <nowiki>[</nowiki>4<nowiki>]</nowiki>

Platforma .NET to rieši v podobe '''triedy proxy''', ktorá to vykonáva namiesto klientskej aplikácie. Trieda proxy zabezpečuje správne vytváranie formátu SOAP správy, riadi prenos správ pomocou HTTP po sieti, tak isto konvertuje výsledok prijatej správy do správneho formátu.

Na vytvorenie triedy proxy v .NET existujú dva spôsoby <nowiki>[</nowiki>1<nowiki>]</nowiki>:

* Pomocou utility wsdl.exe.
* Pomocou webovej referencie v IDE Visual Studio.
Generovanie triedy proxy prostredníctvom utility wsdl.exe''' '''je flexibilnejšie, nakoľko nám umožňuje vygenerovaný kód danej triedy modifikovať.

Názov utility wsdl.exe je odvodený od štandardu Web Service Description Language pre popis XML webových služieb. Tento nástroj vygeneruje z XML webovej služby zdrojový kód triedy proxy vo zvolenom jazyku.

Utilita wsdl.exe podporuje veľké množstvo prepínačov, najbežnejšie argumenty sú v Tab. 2.10.

{|class="wikitable"
'''Tab. 2.10''' Argumenty utility wsdl.exe <nowiki>[</nowiki>1<nowiki>]</nowiki>
|align = "justify"|'''Argument'''
|align = "justify"|'''Význam'''
|-
|align = "justify"|/appsettingurlkey
|align = "justify"|Trieda proxy bude nakonfigurovaná tak, aby načítavala URL zo súboru .<nowiki>*</nowiki>config na klientskej strane.
|-
|align = "justify"|/language
|align = "justify"|Pomocou tohto argumentu špecifikujeme jazyk pre vygenerovanú triedu (C<nowiki> </nowiki>, VB.NET, JS, VJS).
|-
|align = "justify"|/namespace
|align = "justify"|Argument špecifikuje menný priestor pre vygenerovanú triedu proxy.
|-
|align = "justify"|/out
|align = "justify"|Špecifikuje súbor do ktorého sa uloží vygenerovaný kód proxy.
|-
|align = "justify"|/protocol
|align = "justify"|Tento argument špecifikuje protokol, ktorý sa má použiť vo vnútri triedy proxy. Prednastavení protokolom je SOAP. Ďalšie podporované protokoly sú HTTP POST a HTTP GET.
|-
|align = "justify"|/serverInterface
|align = "justify"|Na základe WSDL dokumentu sa vygeneruje kostra webovej služby na strane servera.
|-
|}

Pre korektnú komunikáciu medzi webovou službou a klientmi, ale aj kvôli zvýšenej bezpečnosti na strane prevádzkovateľa webovej služby sa využíva implementácia triedy proxy prostredníctvom DLL knižnice u klienta.

====Popis kódu triedy proxy====

Každá trieda proxy je vytvorená odvodením z triedy :

* '''System.Web.Services.Protocols.SoapHttpClientProtocol,'''
* '''System.Web.Services.Protocols.HttpGetClientProtocol,'''
* '''System.Web.Services.Protocols.HttpPostClientProtocol.'''
Konkrétny typ použitej triedy záleží od špecifikácie protokolu, ktorý má trieda proxy používať pri generovaní prostredníctvom utility wsdl.exe.

Vytvorenie triedy proxy odvodením z príslušnej triedy .NET Framework umožňuje triede proxy korektne formátovať a konvertovať správy. Dôležité zdedené členy triedy proxy sú v Tab. 2.11.

{|class="wikitable"
'''Tab. 2.11''' Popis členov triedy proxy <nowiki>[</nowiki>7<nowiki>]</nowiki>
|align = "justify"|'''Člen triedy proxy'''
|align = "justify"|'''Popis'''
|-
|align = "justify"|BeginInvoke()
|align = "justify"|Metóda zahajujúca asynchrónne volanie webovej metódy.
|-
|align = "justify"|CancelAsync()
|align = "justify"|Metóda preruší asynchrónne volanie webovej metódy.
|-
|align = "justify"|EndInvoke()
|align = "justify"|Metóda ukončí asynchrónne volanie webovej metódy.
|-
|align = "justify"|AsynInvoke()
|align = "justify"|Metóda zahajujúca asynchrónne volanie webovej metódy, doporučená metóda.
|-
|align = "justify"|Invoke()
|align = "justify"|Metóda zahajujúca synchrónne volanie webovej metódy.
|-
|align = "justify"|Proxy
|align = "justify"|Vlastnosť slúžia na nastavenie a získanie informácie proxy.
|-
|align = "justify"|Timeout
|align = "justify"|Metóda umožňujúca nastaviť dobu čakanie klientskej aplikácie na odpoveď od webovej služby v milisekundách.
|-
|align = "justify"|Url
|align = "justify"|Vlastnosť slúžia na nastavenie alebo získanie URL ASP.NET webovej služby.
|-
|align = "justify"|UserAgent
|align = "justify"|Vlastnosť slúžiaca na nastavenie hlavičky agenta užívateľa, ktorá je odosielaná s každou SOAP požiadavkou, slúži na identifikáciu klienta.
|-
|}

Asynchrónne volanie XML ASP.NET webových služieb umožňuje klientskej aplikácii pokračovať v činnosti, zatiaľ čo čaká na odpoveď od webovej služby. Asynchrónne volanie webovej služby má zmysel použiť, pokiaľ je server webovej služby pripojený pomalým sieťovým pripojením.

Komunikácia klientskej aplikácie s využitím triedy proxy je znázornená na Obr. 2.2.

[[Súbor:dp_2010_jm_4.png|framed|center|Obr. 2.2 Komunikácia klienta s webovou službou prostredníctvom triedy proxy]]

Návrh a implementácia bezpečnostnej technológie pre webové služby

2010-06-11T10:45:30Z

Ian:

[[Kategória:Študentské práce]][[Kategória:Diplomové práce]][[Kategória:Informatika]][[Kategória:Webové služby]]
{{Hlavička_FM|{{PAGENAME}}|Bc. Ján Minárik|
Ing. Tomáš Páleník|
2009/2010
|Diplomový projekt
|Mechatronika
}}
{{Praca_uvod|1|Návrh a implementácia bezpečnostnej technológie pre webové služby|XML a webové služby |XML ASP.NET webové služby|Zabezpečennie webových aplikácií|Integrita a dôvernosť komunikácie|Autentifikácia|Autorizácia webových služieb|Zabezpečenie webových služieb|XML security|SOAP Security Enhancement pre ASP.NET webové služby}}
__TOC__
{{Abstrakt
|Webové služby predstavujú technológiu založenú na otvorených štandardoch. Stali sa vhodným nástrojom na riešenie integračných problémov v dnešnom zložitom a heterogénnom počítačovom svete. Uplatňujú sa pri budovaní podnikovej aplikačnej architektúry až po distribuovanie komplexných matematických výpočtov.
Táto práca sa zaoberá možnosťami zabezpečenia XML webových služieb a chybami, ktoré pri zabezpečovaní XML webových služieb vznikajú. Je tu prezentovaný vlastný návrh a implementácia bezpečnostnej platformy pre ASP.NET webové služby. Platforma SOAP Security Enhancement poskytuje dva spôsoby autentifikácie klientov, na základe X509 certifikátov a autentifikačných lístkov v SOAP hlavičke. SOAP Security Enhancement podporuje selektívne šifrovanie s využitím kryptografického algoritmu Advanced Encryption Standard a digitálne podpisovanie SOAP správ podľa štandardu XML Signature. Ako autorizačný mechanizmus sme zvolili programovú impersonáciu.

|The XML web services introduce technology that is based on open standards. The web service became an adequate solution for integration problems in modern heterogeneous computers networks. They find their place at business application architecture construction till the distribution of complex mathematical calculation.
The thesis deals with the possibilities of securing XML web services and weakness of XML web security. There is also presented description, design and implementation of the own security platform, called SOAP Security Enhancement. SOAP Security Enhancement offers two ways of client’s authentication with X509 certificate and authentication ticket in SOAP headers. SOAP Security Enhancement supports selectively encryption of SOAP messages with cryptographic algorithm Advanced Encryption Standard and digital sign of SOAP messages by XML Signature standards. Authorization of clients is based on programmatically impersonation.

}}

'''Úvod'''

XML webové služby predstavujú technológiu pre vytváranie distribuovaných aplikácií. Podarilo sa im vyriešiť problém interoperability a zameniteľnosti, s ktorou sa stretávame napríklad pri technológii komponentov. V praxi sú XML webové služby začleňované do servisne orientovaných architektúr. Tu sa prejaví ich hlavný nedostatok, a tým je bezpečnosť. Interoperabilita webových služieb je dosiahnutá použitím SOAP správ, v ktorých sú dáta prenášané vo forme XML. Samotný protokol SOAP nezabezpečuje nijakým spôsobom integritu a dôvernosť komunikácie medzi webovou službou a klientom.
Táto práca sa zaoberá vytvorením bezpečného komunikačného scenára medzi ASP.NET webovou službou a klientskou aplikáciou. V práci sa čitateľ oboznámi so samotnou technológiou XML webových služieb, so štandardami ktoré používa, a takisto je mu priblížené technologické pozadie ASP.NET webových služieb. Ďalej sa v práci venujeme možnostiam autentifikácie, autorizácie klientov ASP.NET webovej služby a spôsobom, akými môžeme zabezpečiť dôvernosť a integritu komunikácie. Tie predstavujú hlavné piliere bezpečnosti webových aplikácií. V kapitolách sú postupne opísané jednotlivé možnosti, vysvetlené ich výhody aj nevýhody, ktoré prináša ich použitie. Hlavná časť práce sa týka vlastnej bezpečnostnej platformy, ktorá poskytuje autentifikáciu klientov, autorizáciu na základe programovej impersonácie a zabezpečuje vytvorenie integrity a dôvernosti komunikačného kanála. Dôvernosť komunikačného kanála je zabezpečená digitálnym podpisovaním SOAP správ a integrita pomocou selektívneho šifrovania SOAP správ s využitím kryptografického algoritmu AES.

=XML a webové služby=
==Porovnanie XML webových služieb s technológiou COM a CORBA==
XML webové služby môžeme definovať ako technológiu založenú na otvorených štandardoch XML, SOAP a WSDL, umožňujúcu vzdialené volanie metód v prostredí internetu. Môže sa zdať, že XML webové služby predstavujú len ďalšiu z radu technológií umožňujúcu remoting.
Na to, aby sme pochopili skutočný význam XML webových služieb, sa musíme stručne oboznámiť s technológiou komponentov, ktorá sa objavila v 90. rokoch minulého storočia. V tomto období vznikli dve dominantné technológie COM a CORBA. Ich protokoly umožňovali RPC a ich štandardy boli implementované v rôznych počítačových sieťach. Tieto technológie boli značne sofistikované, ale priniesli so sebou veľa problémov, napríklad obtiažne nastavenie v lokálnych sieťach, a takisto neumožňovali vzájomnú spoluprácu. <nowiki>[</nowiki>4<nowiki>]</nowiki> Pokiaľ sme teda chceli vybudovať distribuovaný systém, ktorý pozostával z niekoľkých operačných systémov, museli sme pre všetky počítače nadefinovať rovnaký formát paketu, prenosového protokolu atď. S masívnym rozšírením Internetu sa objavili nové problémy, ako priechodnosť protokolov DCOM a CORBA cez firewall a tak isto to, že tieto protokoly sú orientované na spojenie. To znamená, že po celú dobu komunikácie klienta so serverom sa udržuje spojenie. Na strane servera sa môžu uchovávať informácie o klientoch, čo môže predstavovať určitý problém, ak klient nekorektne ukončí spojenie sú zbytočne využívané systémové zdroje. Pokiaľ sa na server snaží pripojiť súčasne veľký počet klientov, server veľmi rýchlo vyčerpá svoju pamäť a kapacitu spojenia. <nowiki>[</nowiki>2<nowiki>]</nowiki>
Adekvátnou odpoveďou na riešenie problémov spojených s technológiou komponentov a ich využitím pri RPC sa stali XML webové služby. Platforma XML webových služieb predstavuje jednoduché, interoperabilné pracovné prostredie. XML webové služby sa stali vhodným nástrojom na riešenie integračných problémov v dnešnom heterogénnom prostredí počítačových sietí. Problém priechodnosti protokolu cez firewall je u XML webových služieb vyriešený použitím HTTP ako transportného protokolu, a tak isto protokol HTTP je bezstavový. Tým je zabezpečené, že pri nekorektnom ukončení komunikácie klienta s XML webovou službou nie sú zbytočne využívané systémové zdroje. <nowiki>[</nowiki>1<nowiki>]</nowiki>
Komunikácia klienta a XML webovej služby je založená na posielaní SOAP správ prostredníctvom HTTP kanála. Klient pošle požiadavku vo forme SOAP správy, XML webová služba ju prijme, vyvolá príslušnú webovú metódu. Výsledok je klientovi zaslaný opätovne vo forme SOAP správy. Následne je spojenie ukončené. XML webové služby dokážu komunikovať s klientmi nezávisle od platformy, na rozdiel od technológie komponentov. To znamená, že nie sú závislé na OS ani na programovacom jazyku, v ktorom boli vytvorené. Dôvod je ten, že na reprezentáciu údajov používajú XML. XML predstavuje štandard špecifikovaný konzorciom W3C pre popis štruktúrovaných dát pomocou čistého textu. V Tab. 1.1 je možné prehľadne vidieť porovnanie technológií DCOM, CORBA a XML webových služieb.

{|class="wikitable"
'''Tab. 1.1''' Porovnanie jednotlivých distribuovaných technológii <nowiki>[4</nowiki><nowiki>]</nowiki>
|-
| 
!CORBA
!DCOM
!Webová služba
|-
!Mechanizmus vzdialeného volania<br>funkcie
|align = "center"|IIOP
|align = "center"|DCE-RPC
|align = "center"|HTTP
|-
!Kódovanie
|align = "center"|CDR
|align = "center"|NDR
|align = "center"|XML
|-
!Popis rozhrania
|align = "center"|IDL
|align = "center"|IDL
|align = "center"|WSDL
|-
!Sprístupnenie
|align = "center"|Naming service<br>Tranding service
|align = "center"|Register
|align = "center"|UDDI
|-
!Prívetivosť voči firewallu
|align = "center"|Nie
|align = "center"|Nie
|align = "center"|Áno
|-
!Zložitosť protokolov
|align = "center"|Vysoká
|align = "center"|Vysoká
|align = "center"|Nízka
|-
!Použitie medzi platformami
|align = "center"|Čiastočná
|align = "center"|Nie
|align = "center"|Áno
|}

==Štandardy XML webových služieb==
Za úspechom webových služieb stoja otvorené štandardy, na ktorých sú XML webové služby vystavané. XML webové služby využívajú štandardizované :

* komunikačné protokoly,
* formáty na popis dát,
* popisné jazyky,
* mechanizmy na „objavovanie" XML webových služieb.

Pri budovaní XML webových služieb sa využívajú tieto štandardy:

* Simple Object Access Protocol,
* Web Service Description Language,
* Hypertext Transfer Protocol.
V nasledujúcej podkapitole sa budeme venovať práve štandardom XML webových služieb.

==Simple Object Access Protocol==
Ako sme už spomenuli, komunikácia XML webových služieb prebieha prostredníctvom zasielania SOAP správ cez HTTP kanál. Na to, aby sme mohli pochopiť princíp XML webových služieb, sa musíme najskôr oboznámiť so SOAP. SOAP predstavuje medziplatformový štandard, ktorý je používaný pre formátovanie správ zasielaných medzi XML webovými službami a klientskymi aplikáciami. Výhoda SOAP je v jeho flexibilite a jednoduchosti. SOAP môžeme použiť aj s iným transportným protokolom ako HTTP, napríklad SOAP správy môžeme posielať priamo cez TCP/IP spojenie. <nowiki>[</nowiki>4<nowiki>]</nowiki>
Každá SOAP správa predstavuje XML dokument. Tento XML dokument má jeden koreňový prvok '''<nowiki><</nowiki>Envelope<nowiki>></nowiki>''' , ktorý slúži ako obálka SOAP správy. Zvyšok správy je vo vnútri obálky, ktorá obsahuje hlavičku (prvok '''<nowiki><</nowiki>Header<nowiki>></nowiki>) '''a telo správy (prvok '''<nowiki><</nowiki>Body<nowiki>></nowiki>'''). Formát SOAP správy je znázornený na obrázku 1.3.1. <nowiki>[</nowiki>10<nowiki>]</nowiki>

[[Súbor:dp_2010_jm_1.png|framed|center|Obr. 1.1 SOAP správa <nowiki>[</nowiki>3<nowiki>]</nowiki>]]

Existujú dva štýly SOAP <nowiki>[</nowiki>2<nowiki>]</nowiki>:

* štýl dokumentu SOAP (document-style SOAP),
* RPC štýl SOAP.
RPC štýl SOAP je využívaný pri volaní vzdialených objektov. Štýl dokumentu SOAP

zobrazuje dáta, ktoré sú vymenované ako dokumenty, čiže každá SOAP správa obsahuje v tele XML dokument. Tento spôsob kódovania SOAP správ je flexibilnejší ako RPC štýl SOAP. Preto je využívaný XML webovými službami.

SOAP dáta môžu byť kódované dvoma spôsobmi, ako <nowiki>[</nowiki>4<nowiki>]</nowiki> :

* literal,
* SOAP sekcia 5 (SOAP section 5).
Pri kódovaní literal sú dáta kódované ako špecifická XML schéma. Pri kódovaní SOAP sekcia 5 sú dáta kódované podľa podobných, ale prísnejších pravidiel, stanovených v špecifikácii sekcie 5 štandardu SOAP. Dôvod existencie kódovania SOAP sekcia 5 je ten, že SOAP bolo vyvinuté ešte pred dokončením štandardu XML schémy. Všetky XML webové služby štandardne využívajú kódovanie literal.

V súčasnosti existujú dve verzie SOAP <nowiki>[</nowiki>10<nowiki>]</nowiki>:

* SOAP 1.1,
* SOAP 1.2.

===Štruktúra Simple Object Access Protocol===

Každá SOAP správa je uzatvorená do koreňového elementu '''<nowiki><</nowiki>Envelope<nowiki>></nowiki>'''. Vo vnútri obálky sa nachádza nepovinný element '''<nowiki><</nowiki>Header<nowiki>></nowiki> '''a povinný element '''<nowiki><</nowiki>Body<nowiki>></nowiki>'''. V Tab. 1.2 je znázornená základná štruktúra SOAP správy.

{|class="wikitable"
'''Tab. 1.2''' Základná štruktúra SOAP správ
|-
| <source lang="xml">
<soap:Envelope xmlns:soap="http://schemas.xmlsoap.org/soap/envelope/">
<soap:Header>
</soap:Header>
<soap:Body>
</soap:Body>
</soap:Envelope>
</source>
|}

==Web Service Description Language==
WSDL je jazyk založený na XML, ktorý sa používa na popis verejného rozhrania webových služieb a komunikačných protokolov, ktoré podporujú. WSDL predstavuje metajazyk popisujúci tieto charakteristiky webovej metódy <nowiki>[</nowiki>5<nowiki>]</nowiki>:

* názov webovej metódy,
* počet, typy a poradie parametrov,
* typ návratovej hodnoty,
* volajúce konvencie HTTP GET, HTTP POST a SOAP.
Výhodou WSDL je to, že nie je zviazaný so žiadnou platformou alebo objektovým modelom. Je to jazyk XML, ktorý poskytuje rozhranie pre webové služby v rámci všetkých platforiem.

===Základná štruktúra Web Service Description Language===
WSDL dokument je tvorený z piatich hlavných elementov, ktoré sa navzájom kombinujú a popisujú XML webovú službu. Prvé tri elementy '''<nowiki><</nowiki>types<nowiki>></nowiki>''', '''<nowiki><</nowiki>message<nowiki>></nowiki>''' a '''<nowiki><</nowiki>portType<nowiki>></nowiki>''' sú abstraktné. Vzájomne sa kombinujú a definujú rozhranie XML webovej služby. Posledné dva '''<nowiki><</nowiki>binding<nowiki>></nowiki>''' a '''<nowiki><</nowiki>service<nowiki>></nowiki>''' definujú protokol. WSDL dokument má jeden koreňový element '''<nowiki><</nowiki>definitions<nowiki>></nowiki>'''. Vo vnútri koreňového elementu sa nachádza päť hlavných elementov, pričom element '''<nowiki><</nowiki>message<nowiki>></nowiki> '''sa môže vyskytnúť viackrát. V Tab. 1.3 je uvedená základná štruktúra WSDL dokumentu. <nowiki>[</nowiki>5<nowiki>]</nowiki>, <nowiki>[</nowiki>6<nowiki>]</nowiki>

{|class="wikitable"
'''Tab. 1.3''' Štruktúra WSDL dokumentu
|-
|<source lang="xml">
<wsdl:definitions xmlns:soap="http://schemas.xmlsoap.org/wsdl/soap/">
<wsdl:types>
</wsdl:types>
<wsdl:message>
</wsdl:message>
<wsdl:portType >
</wsdl:portType>
<wsdl:binding>
</wsdl:binding>
<wsdl:service>
</wsdl:service>
</wsdl:definitions>
</source>
|}

Popis hlavných elementov WSDL dokumentu <nowiki>[</nowiki>11<nowiki>]</nowiki>:

* '''Types'''. V tejto sekcii sú definované všetky dátové typy XML webovej služby, patria sem aj vlastné dátové typy a formáty správ.
* '''Message.''' Táto sekcia poskytuje podrobné informácie o správach a o SOAP požiadavkách a SOAP odpovediach, ktoré sú používané pri komunikácii s XML webovou službou.
* '''PortType'''. Táto sekcia zoskupuje informácie do dvojice vstupných a výstupných správ. Každá dvojica reprezentuje metódu.
* '''Binding.''' Táto sekcia poskytuje informácie o transportných protokoloch podporovaných XML webovou službou.
* '''Service.''' Táto sekcia poskytuje koncové body (URI adresy) webovej služby.
U XML webových služieb vyvíjaných v rámci firmy poprípade pre menší okruh užívateľov sa WSDL dokument generuje automaticky webovým serverom, alebo nástrojom určeným na tento účel. Existuje však spôsob vývoja XML webových služieb, ktorý sa nazýva "first WSDL" (najskôr WSDL), kedy sa najskôr vytvorí samotný WSDL dokument, popisujúci XML webovú službu a až potom samotná XML webová služba. <nowiki>[</nowiki>7<nowiki>]</nowiki> Tento spôsob slúži na zvýšenie interoperability. Táto technika vývoja XML webových služieb je nad rámec tejto práce a preto sa ňou nebudeme zaoberať.

Protokol SOAP a HTTP predstavujú spolu s WSDL tri hlavné štandardy, na ktorých sú vystavané XML webové služby. Na lokalizáciu XML webových služieb existuje niekoľko mechanizmov, ktoré umožňujú vyhľadávať webové služby podľa určitých kritérií. Najrozšírenejším je použitie servera Universal Description, Discovery and Integration.

===Universal Description Discovery and Integration===
UDDI je navrhnutý pre webové služby, ktoré sú zdieľané verejne alebo medzi organizáciami či spoločnosťami. Obsahuje mechanizmy pre registrovanie, vyhľadávanie a kategorizovanie webových služieb. V podstate funguje ako veľký adresár obsahujúci informácie o subjektoch a nimi poskytovanými službami. Základný princíp práce s UDDI je nasledovný. Developer prehľadá register nájde služby, ktoré potrebuje, a získa pre ne popis WSDL. <nowiki>[</nowiki>7<nowiki>]</nowiki>, <nowiki>[</nowiki>12<nowiki>]</nowiki>

UDDI predstavuje register, do ktorého môžu poskytovatelia webových služieb ukladať informácie o nimi poskytovaných službách a užívatelia si ich môžu potom prehliadať.

Dve centrálne databázy spravujú firmy Microsoft a IBM. V praxi sa však ukázalo, že dve tretiny informácií o webových službách v týchto databázach sú však neplatné. <nowiki>[</nowiki>5<nowiki>]</nowiki> Ďalším problémom, ktorý je výrazný, je to, že nikto nezaručuje dôveryhodnosť poskytovateľov služieb.

===WSIL===
Štandard WSIL (Web Service Inspection Language) využíva na popis webovej služby súbor nazvaný inspection.wsil. Ten býva lokalizovaný v hlavnom adresári webservera spoločnosti poskytujúcej danú webovú službu. Mechanizmus vyhľadávania pre užívateľa spočíva v tom, že si vyhľadá najskôr konkrétnu spoločnosť poskytujúcu konkrétnu službu a až potom požiada o popis rozhrania. <nowiki>[</nowiki>8<nowiki>]</nowiki>, <nowiki>[</nowiki>5<nowiki>]</nowiki>

===DISCO===
Tento štandard vytvára jediný súbor, v ktorom sú zoskupené informácie o príbuzných webových službách. Súbor býva zvyčajne umiestnený na serveri, obsahuje odkazy na poskytované služby a klienti môžu on požiadať. Je to užitočné v tom prípade, že chceme vedieť podrobnejšie informácie o službách určitej spoločnosti. Toto vyhľadávanie nie je veľmi efektívne cez Internet, ale je vhodné pre lokálne siete, kde si klient hneď po pripojení na server môže pozrieť poskytované služby. Discovery je podporovaný iba Microsoftom a plánuje sa ho nahradiť štandardom WS-Inspection. <nowiki>[</nowiki>4<nowiki>]</nowiki>, <nowiki>[</nowiki>5<nowiki>]</nowiki>

==Výhody a nevýhody webových služieb==
Webové služby riešia problémy, ako je priechodnosť cez firewall, spracovanie zložitých transportných protokolov a integrácia rôznorodých platforiem. Globálne rozšírenie Internetu zvýšilo dôležitosť a použiteľnosť distribuovaných výpočtov a webové služby predstavujú len ďalší krok vo vývoji distribuovaných komponentov.

Medzi nesporné výhody webových služieb patrí:

* Jednoduchosť a podpora pre širokú škálu platforiem.
* Webová služba môže pridávať nové metódy bez toho, aby to ovplyvnilo činnosť klienta. (Webová služba musí ale poskytovať staré metódy a parametre.)

* Webové služby sú bezstavové. Znamená to, že klient zašle požiadavku na webovú službu, tá ju spracuje, zašle späť výsledok a spojenie je ukončené. Neexistuje tu parameter spojenia.
* Prívetivosť voči firewallu. Firewally môžu predstavovať problém pri technológii distribuovaných objektov. Avšak webové služby využívajú HTTP prenos na portoch 80, 443 a HTTP protokol prakticky vždy prejde cez firewally.

Jednoduchosť webových služieb v porovnaní so sofistikovanými technológiami COM a COBRA sa prejaví aj v tom, že neobsahuje obojstrannú komunikáciu. Pokiaľ sa klient odpojil, server ho nemôže spätne zavolať.

Hlavnou nevýhodou XML webových služieb je bezpečnosť. XML webové služby neposkytujú žiaden vstavaný mechanizmus zabezpečenia na úrovni SOAP správ.

==Životný cyklus webovej služby==
Obr.1.2 zobrazuje cyklus webovej služby. Užívateľ si vyhľadá službu priamo cez URL (Uniform Resource Locator) adresu služby, použije DISCO súbor alebo UDDI.

Získa WSDL dokument, ktorý popisuje spôsob komunikácie s webovou službou. Po spustení samotnej aplikácie pošle klient SOAP správu službe, tá spustí požadovanú webovú metódu a následne je zaslaná klientovi odpoveď v podobe SOAP správy.

[[Súbor:dp_2010_jm_2.png|framed|center|Obr. 1.2 Komunikácia XML webová služba a klientska aplikácia]]

Princíp komunikácie klientskej aplikácie a XML webovej služby:

* Klientska aplikácia sa pripojí na XML webovú službu priamo cez URL adresu, prípadne použije klient UDDI.
* Klientska aplikácia získa WSDL dokument, ktorý popisuje spôsob komunikácie klienta s XML webovou službou.
* Klient pošle požiadavku vo forme SOAP správy na XML webovú službu.
* Tá spustí príslušnú webovú metódu a následne je zaslaná odpoveď klientovi vo forme SOAP správy.
* Spojenie je ukončené.

Autorizácia webových služieb

2010-05-25T18:37:38Z

Ian: /* Autorizačné pravidlá */

[[Kategória:Študentské práce]][[Kategória:Diplomové práce]][[Kategória:Informatika]][[Kategória:Webové služby]]
{{Praca_uvod|6|Návrh a implementácia bezpečnostnej technológie pre webové služby|XML a webové služby |XML ASP.NET webové služby|Zabezpečennie webových aplikácií|Integrita a dôvernosť komunikácie|Autentifikácia|Autorizácia webových služieb|Zabezpečenie webových služieb|XML security|SOAP Security Enhancement pre ASP.NET webové služby}}
__TOC__
==Autorizácia==

V predchádzajúcich kapitolách sme si vysvetlili metódy, akými môžeme overiť identitu užívateľa volajúceho webovú službu. Podrobnejšie sme si rozobrali tie, ktoré sú v praxi úspešne využívané v rôznych bezpečnostných scenároch. Získanie skutočnej identity klienta predstavuje len prvý krok, k vytvoreniu bezpečnej komunikácie. Potrebujeme vedieť, aké má klient oprávnenie v rámci našej webovej služby. Aké webové metódy webovej služby môže volať, k akým zdrojom, či už k databázam alebo súborom smie pristupovať. Proces, v ktorom zisťujeme oprávnenia sa nazýva autorizácia.

:V tejto kapitole si rozoberieme spôsoby autorizácia s využitím konfiguračného súboru '''web.confing''' webovej služby.

===Autorizácia URL===

Ako sme už spomenuli autorizačné pravidlá definujeme v konfiguračnom súbore webovej služby .Tie sú vykonávané prostredníctvom špeciálneho HTTP modulu '''UrlAuthorization-Module'''. Princíp fungovania tohto module spočíva v analýze a kontrole každého požiadavku užívateľa, tým je zabezpečená ochrana neautorizovaného prístupu. Tento model autorizácie kontroluje bezpečnostný kontext a URL zdroja, ku ktorému žiada užívateľ prístup.<nowiki>[</nowiki>13<nowiki>]</nowiki>

===Autorizačné pravidlá===

V tejto podkapitole si vysvetlíme samotný spôsob realizácie autorizácie v konfiguračnou súbore webovej služby. Autorizačné pravidlá sa definujú v súbore web.confing prostredníctvom prvku '''<nowiki><</nowiki>authorization<nowiki>></nowiki> '''pomocou, ktorého môžeme vytvoriť dva typy autorizačných pravidiel <nowiki>[</nowiki>4<nowiki>]</nowiki>:

* Pravidlo zakazujúce prístup, prostredníctvom prvku '''<nowiki><</nowiki>deny<nowiki>></nowiki>.'''
* Pravidlo povoľujúce prístup, prostredníctvom prvku '''<nowiki><</nowiki>allows<nowiki>></nowiki>.'''
Oba typy autorizačných pravidiel môžeme aplikovať <nowiki>[</nowiki>4<nowiki>]</nowiki> :

* Jedného užívateľa použitím kľúčového slova '''user'''.
* Na skupinu užívateľov (rolí) použitím kľúčového slova '''roles'''.
* Alebo môžeme použiť kľúčové slovo '''verbs''', a prostredníctvom neho určiť konkrétne typy HTTP požiadaviek, na ktoré sa bude pravidlo aplikovať.

{|class="wikitable"
'''Tab. 6.1''' Konfigurácia autorizačných pravidiel v súbore web.config
|-
|<source lang="xml">
<authorization>
<allow users="Zoznam uzivatelov"
roles="Zoznam roli"
verbs="Typy HTTP poziadaviek"
/>
<deny users="Zoznam uzivatelov"
roles="Zoznam roli"
verbs="Typy HTTP poziadaviek"
/>
</authorization>

</source>
|}

Pri definovaný pravidiel môžeme využiť tieto zástupné znaky <nowiki>[</nowiki>1<nowiki>]</nowiki>:

* Znak '''?''', ktorý reprezentuje všetkých anonymných užívateľov.
* Znak '''<nowiki>*</nowiki>''', ktorý reprezentuje všetkých užívateľov.

Proces aplikácie konfiguračných pravidiel je pre webové služby ASP.NET nasledovný. Najskôr sa aplikujú konfiguračné pravidlá z príslušného konfiguračného súboru web.confing a následné sa aplikujú pravidlá zo súboru machine.confing. Autorizačné pravidlá sa aplikujú v tom poradí, v akom sú v konfiguračnom súbore zapísané. <nowiki>[</nowiki>15<nowiki>]</nowiki>

:Prostredníctvom autorizačných pravidiel môže riadiť prístup užívateľov ku konkrétnym adresárom a súborom. Riadení prístup k adresárom sa realizuje umiestením konfiguračného súboru s autorizačnými pravidlami do príslušného adresára. Riadení prístup ku konkrétnym súborom sa realizuje prostredníctvom prvku '''<nowiki><</nowiki>location<nowiki>></nowiki>''' , v ktorom konkretizujem cestu k súboru. ( pozri Tab. 6.2)

{|class="wikitable"
'''Tab. 6.2''' Konfigurácia autorizačných pravidiel pre riadený prístup k súboru
|-
|<source lang="xml">
<location path="SecrurePage.asmx">
<system.web>
<authorization>
<deny users="?"/>
</authorization>
</system.web>
</location>
</source>
|}

Návrh a implementácia bezpečnostnej technológie pre webové služby

2010-05-25T18:36:03Z

Ian: /* Porovnanie XML webových služieb s technológiou COM a CORBA */

[[Kategória:Študentské práce]][[Kategória:Diplomové práce]][[Kategória:Informatika]][[Kategória:Webové služby]]
{{Hlavička_FM|{{PAGENAME}}|Bc. Ján Minárik|
Ing. Tomáš Páleník|
2009/2010
|Diplomový projekt
|Mechatronika
}}
{{Praca_uvod|1|Návrh a implementácia bezpečnostnej technológie pre webové služby|XML a webové služby |XML ASP.NET webové služby|Zabezpečennie webových aplikácií|Integrita a dôvernosť komunikácie|Autentifikácia|Autorizácia webových služieb|Zabezpečenie webových služieb|XML security|SOAP Security Enhancement pre ASP.NET webové služby}}
__TOC__
{{Abstrakt
|Webové služby predstavujú technológiu založenú na otvorených štandardoch. Stali sa vhodným nástrojom na riešenie integračných problémov v dnešnom zložitom a heterogénnom počítačovom svete. Uplatňujú sa pri budovaní podnikovej aplikačnej architektúry až po distribuovanie komplexných matematických výpočtov.
Táto práca sa zaoberá možnosťami zabezpečenia XML webových služieb a chybami, ktoré pri zabezpečovaní XML webových služieb vznikajú. Je tu prezentovaný vlastný návrh a implementácia bezpečnostnej platformy pre ASP.NET webové služby. Platforma SOAP Security Enhancement poskytuje dva spôsoby autentifikácie klientov, na základe X509 certifikátov a autentifikačných lístkov v SOAP hlavičke. SOAP Security Enhancement podporuje selektívne šifrovanie s využitím kryptografického algoritmu Advanced Encryption Standard a digitálne podpisovanie SOAP správ podľa štandardu XML Signature. Ako autorizačný mechanizmus sme zvolili programovú impersonáciu.

|The XML web services introduce technology that is based on open standards. The web service became an adequate solution for integration problems in modern heterogeneous computers networks. They find their place at business application architecture construction till the distribution of complex mathematical calculation.
The thesis deals with the possibilities of securing XML web services and weakness of XML web security. There is also presented description, design and implementation of the own security platform, called SOAP Security Enhancement. SOAP Security Enhancement offers two ways of client’s authentication with X509 certificate and authentication ticket in SOAP headers. SOAP Security Enhancement supports selectively encryption of SOAP messages with cryptographic algorithm Advanced Encryption Standard and digital sign of SOAP messages by XML Signature standards. Authorization of clients is based on programmatically impersonation.

}}

'''Úvod'''

XML webové služby predstavujú technológiu pre vytváranie distribuovaných aplikácii. Podarilo sa im vyriešiť problém interoperability a zameniteľnosti, s ktorou sa napríklad stretávame pri technológií komponentov. V praxi sú XML webové služby začleňované do servisne orientovaných architektúr. Tu sa prejaví ich hlavný nedostatok, a tým je bezpečnosť. Interoperabilita webových služieb je dosiahnutá použitím SOAP správ, v ktorých sú dáta prenášané vo forme XML. Samotný protokol SOAP nezabezpečuje nijakým spôsobom integritu a dôvernosť komunikácie medzi webovou službou a klientom.
Táto práca sa zaoberá vytvorením bezpečného komunikačného scenára medzi ASP.NET webovou službou a klientskou aplikáciou. V práci sa čitateľ oboznámi so samotnou technológiou XML webových služieb, štandardoch, ktoré používa a takisto je mu priblížené technologické pozadie ASP.NET webových služieb. Ďalej sa v práci venujeme možnostiam autentifikácie, autorizácie klientov ASP.NET webovej služby a spôsobom, akým môžeme zabezpečiť dôvernosť a integritu komunikácie. Tie predstavujú hlavné piliere bezpečnosti webových aplikácii. V kapitolách sú postupne opísané jednotlivé možnosti, vysvetlené ich výhody aj nevýhody, ktoré prináša ich použitie. Hlavná časť práce sa týka vlastnej bezpečnostnej platformy, ktorá poskytuje autentifikáciu klientov, autorizáciu na základe programovej impersonácie a zabezpečuje vytvorenie integrity a dôvernosti komunikačného kanála. Dôvernosť komunikačného kanála je zabezpečená digitálnym podpisovaním SOAP správ a integrita pomocou selektívneho šifrovanie SOAP správ s využitím kryptografického algoritmu AES

=XML a webové služby=
==Porovnanie XML webových služieb s technológiou COM a CORBA==
XML webové služby môžeme definovať ako technológiu založenú na otvorených štandardoch XML, SOAP a WSDL, umožňujúcu vzdialené volanie metód v prostredí internetu. Môže sa zdať, že XML webové služby predstavujú len ďalšiu z radu technológii umožňujúcu remoting.
Na to aby sme pochopili skutočný význam XML webových služieb, sa musíme stručne oboznámiť s technológiou komponentov, ktorá sa objavila v 90. rokoch minulého storočia. V tomto období vznikli dve dominantné technológie COM a CORBA. Ich protokoly umožňovali RPC a ich štandardy boli implementované v rôznych počítačových sieťach. Tieto technológie boli značne sofistikované, ale priniesli so sebou veľa problémov [4]. Napríklad obtiažne nastavenie v lokálnych sieťach a takisto neumožňovali vzájomnú spoluprácu. To znamená pokiaľ sme chceli vybudovať distribuovaný systém, ktorý pozostával z niekoľkých operačných systémov, museli sme pre všetky počítače nadefinovať rovnaký formát paketu, prenosového protokolu atd. S masívnym rozšírením Internetu sa objavili nové problémy, ako priechodnosť protokolov DCOM a CORBA cez firewall a tak isto to, že tieto protokoly sú orientované na spojenie. To znamená, že po celú dobu komunikácie klienta so serverom sa udržuje spojenie. Na strane servera sa môžu uchovávať informácie o klientoch, to môže predstavovať určitý problém, keď klient nekorektne ukončí spojenie, sú zbytočne využívané systémové zdroje. Pokiaľ sa na server snaží pripojiť súčasne veľký počet klientov, server veľmi rýchlo vyčerpá svoju pamäť a kapacitu spojenia [2].
Adekvátnou odpoveďou na riešenie problémov spojených s technológiou komponentov a ich využití pri RPC sa stali XML webové služby. Platforma XML webových služieb predstavuje jednoduché, interoperabilné pracovné prostredie. XML webové služby sa stali vhodným nástrojom na riešenie integračných problémov v dnešnom heterogénnom prostredí počítačových sietí. Problém priechodnosti protokolu cez firewall je u XML webových služieb vyriešení použitím HTTP ako transportného protokolu, a tak isto protokol HTTP je bezstavový. Tým je zabezpečené, že pri nekorektnom ukončení komunikácie klienta s XML webovou službou nie sú zbytočne využívané systémové zdroje [1].
Komunikácie klienta a XML webovej služby je založená na posielaný SOAP správ prostredníctvom HTTP kanála. Klient pošle požiadavku vo forme SOAP správy, XML webová služba ju príjme, vyvolá príslušnú webovú metódu. Výsledok je klientovi zaslaný opätovne vo forme SOAP správy. Následne je spojenie ukončené. XML webové služby dokážu komunikovať s klientmi nezávisle od platformy, na rozdiel od technológie komponentov. To znamená, že nie sú závislé na OS ani na programovacom jazyku, v ktorom boli vytvorené. Dôvod je ten, že na reprezentáciu údajov používajú XML. XML predstavuje štandard špecifikovaný konzorciom W3C pre popis štruktúrovaných dát pomocou čistého textu. V Tab, 1.1 je možné prehľadne vidieť porovnanie technológii DCOM, CORBA a XML webových služieb.
{|class="wikitable"
'''Tab. 1.1''' Porovnanie jednotlivých distribuovaných technológii <nowiki>[4</nowiki><nowiki>]</nowiki>
|-
| 
!CORBA
!DCOM
!Webová služba
|-
!Mechanizmus vzdialeného volania<br>funkcie
|align = "center"|IIOP
|align = "center"|DCE-RPC
|align = "center"|HTTP
|-
!Kódovanie
|align = "center"|CDR
|align = "center"|NDR
|align = "center"|XML
|-
!Popis rozhrania
|align = "center"|IDL
|align = "center"|IDL
|align = "center"|WSDL
|-
!Sprístupnenie
|align = "center"|Naming service<br>Tranding service
|align = "center"|Register
|align = "center"|UDDI
|-
!Prívetivosť voči firewallu
|align = "center"|Nie
|align = "center"|Nie
|align = "center"|Áno
|-
!Zložitosť protokolov
|align = "center"|Vysoká
|align = "center"|Vysoká
|align = "center"|Nízka
|-
!Použitie medzi platformami
|align = "center"|Čiastočná
|align = "center"|Nie
|align = "center"|Áno
|}

==Štandardy XML webových služieb==
Za úspechom webových služieb stoja otvorené štandardy, na ktorých sú XML webové služby vystavané. XML webové služby využívajú štandardizované :
*komunikačné protokoly,
*formáty na popis dát,
*popisné jazyky,
*mechanizmy na „objavovanie“ XML webových služieb.

Pri budovaní XML webových služieb sa využívajú tieto štandardy:
*Simple Object Access Protocol,
*Web Service Description Language,
*Hypertext Transfer Protocol.
V nasledujúcej podkapitole sa budeme venovať práve štandardom XML webových služieb.

==Simple Object Access Protocol==
Ako sme už spomenuli, komunikácia XML webových služieb prebieha prostredníctvom zasielania SOAP správ cez HTTP kanál. Na to, aby sme mohli pochopiť princíp XML webových služieb, sa musíme najskôr oboznámiť so SOAP. SOAP predstavuje medziplatformový štandard, ktorý je používaný pre formátovanie správ zasielaných medzi XML webovými službami a klientskymi aplikáciami. Výhoda SOAP je v jeho flexibilite a jednoduchosti. SOAP môžeme použiť aj s iným transportným protokolom ako HTTP, napríklad SOAP správy môžeme posielať priamo cez TCP/IP spojenie [4].
Každá SOAP správa predstavuje XML dokument. Tento XML dokument ma jeden koreňový prvok <Envelope> , ktorý slúži ako obálka SOAP správy. Zvyšok správy je vo vnútri obálky, ktorá obsahuje hlavičku (prvok <Header>) a telo správy (prvok <Body>). Formát SOAP správy je znázornený na obrázku 1.3.1.[10]

[[Súbor:dp_2010_jm_1.png|framed|center|Obr. 1.1 SOAP správa <nowiki>[</nowiki>3<nowiki>]</nowiki>]]

Existujú dva štýly SOAP [2]:
*štýl dokumentu SOAP (document-style SOAP),
*RPC štýl SOAP.
RPC štýl SOAP je využívaný pri volaní vzdialených objektov. Štýl dokumentu SOAP
zobrazuje dáta, ktoré sú vymenované ako dokumenty, čiže každá SOAP správa obsahuje v tele XML dokument. Tento spôsob kódovania SOAP správ je flexibilnejší ako RPC štýl SOAP. Preto je využívaný XML webovými službami.
SOAP dáta môžu byť kódované dvoma spôsobmi, ako [4] :
*literal,
*SOAP sekcia 5 (SOAP section 5).
Pri kódovaní literal, sú dáta kódované ako špecifické XML schéma. Pri kódovaní SOAP sekcia 5, sú dáta kódované podľa podobných, ale prísnejších pravidiel, stanovených v špecifikácii sekcie 5 štandardu SOAP. Dôvod existencie kódovanie SOAP sekcia 5, je ten že SOAP bolo vyvinuté, ešte pred dokončením štandardu XML schéma. Všetky XML webové služby štandardne využívajú kódovanie literal.

V súčasnosti existujú dve verzie SOAP [10]:
*SOAP 1.1,
*SOAP 1.2.
===Štruktúra Simple Object Access Protocol===

Každá SOAP správa je uzatvorená do koreňového elementu <Envelope>. Vo vnútri obálky sa nachádza nepovinný element <Header> a povinný element <Body>. V tabuľke 1.2 je znázornená základná štruktúra SOAP správy.

{|class="wikitable"
'''Tab. 1.2''' Základná štruktúra SOAP správ
|-
| <source lang="xml">
<soap:Envelope xmlns:soap="http://schemas.xmlsoap.org/soap/envelope/">
<soap:Header>
</soap:Header>
<soap:Body>
</soap:Body>
</soap:Envelope>
</source>
|}

==Web Service Description Language==
WSDL je jazyk založený na XML, ktorý sa používa na popis verejného rozhrania webových služieb a komunikačných protokolov, ktoré podporujú. WSDL predstavuje metajazyk popisujúci tieto charakteristiky webovej metódy [5]:
*názov webovej metódy,
*počet, typy a poradie parametrov,
*typ návratovej hodnoty,
*volajúce konvencie HTTP GET, HTTP POST a SOAP.
Výhodou WSDL je to, že nie je zviazaný so žiadnou platformou alebo objektovým modelom. Je to jazyk XML, ktorý poskytuje rozhranie pre webové služby v rámci všetkých platforiem.
===Základná štruktúra Web Service Description Language===
WSDL dokument je tvorený z piatich hlavných elementov, ktoré sa navzájom kombinujú a popisujú XML webovú službu. Prvé tri elementy <types>, <message> a <portType> sú abstraktné. Vzájomne sa kombinujú a definujú rozhranie XML webovej služby. Posledné dva <binding> a <service> definujú protokol. WSDL dokument má jeden koreňový element <definitions>. Vo vnútri koreňového elementu sa nachádza päť hlavných elementov, pričom element <message> sa môže vyskytnúť viackrát. V Tab. 1.3 je uvedená základná štruktúra WSDL dokumentu.[5],[6]

{|class="wikitable"
'''Tab. 1.3''' Štruktúra WSDL dokumentu
|-
|<source lang="xml">
<wsdl:definitions xmlns:soap="http://schemas.xmlsoap.org/wsdl/soap/">
<wsdl:types>
</wsdl:types>
<wsdl:message>
</wsdl:message>
<wsdl:portType >
</wsdl:portType>
<wsdl:binding>
</wsdl:binding>
<wsdl:service>
</wsdl:service>
</wsdl:definitions>
</source>
|}

Opis hlavných elementov WSDL dokumentu [11]:
*Types. V tejto sekcii sú definované všetky dátové typy XML webovej služby, patria sem aj vlastné dátové typy a formáty správ.
*Message. Táto sekcia poskytuje podrobné informácie o správach a o SOAP požiadavkách a SOAP odpovediach, ktoré sú používané pri komunikácii s XML webovou službou.
*PortType. Táto sekcia zoskupuje informácie do dvojice vstupných a výstupných správ. Každá dvojica reprezentuje metódu.
*Binding. Táto sekcia poskytuje informácie o transportných protokoloch podporovaných XML webovou službou.
*Service. Táto sekcia poskytuje koncové body (URI adresy) webovej služby.
U XML webových služieb vyvíjaných v rámci firmy poprípade pre menší okruh užívateľov sa WSDL dokument generuje automaticky webovým serverom, alebo nástrojom určením na tento účel. Existuje však spôsob vývoja XML webových služieb, ktorý sa nazýva “first WSDL” (najskôr WSDL), kedy sa najskôr vytvorený samotný WSDL dokument, popisujúci XML webovú službu a až potom samotná XML webová služba [7]. Tento spôsob slúži na zvýšenie interoperability. Táto technika vývoja XML webových služieb je nad rámec tejto práce a preto sa ňou nebudeme zaoberať.
Protokol SOAP a HTTP predstavujú spolu s WSDL tri hlavné štandardy, na ktorých sú vystavané XML webové služby. Na lokalizáciu XML webový služieb existuje niekoľko mechanizmov, ktoré umožňujú vyhľadávať webové služby podľa určitých kritérií. Najrozšírenejším je použitie servera Universal Description, Discovery and Integration.

===Universal Description Discovery and Integration===
UDDI je navrhnutý pre webové služby, ktoré sú zdieľané verejne alebo medzi organizáciami či spoločnosťami. Obsahuje mechanizmy pre registrovanie, vyhľadávanie a kategorizovanie webových služieb. V podstate funguje ako veľký adresár obsahujúci o subjektoch a nimi poskytovanými službami. Základný princíp práce s UDDI je nasledovný. Developer prehľadá register, nájde služby ktoré potrebuje a získa pre ne popis WSDL. [7][12]
UDDI predstavuje register, do ktorého môžu poskytovatelia webových služieb ukladať informácie o nimi poskytovanými službami užívatelia si ich môžu potom prehliadať.
Dve centrálne databázy spravujú firmy Microsoft a IBM . V praxi sa však ukázalo, že dve tretiny informácii o webových službách v týchto databázach sú však neplatné [5]. Ďalším problémov, ktorý je výrazný je to, že nikto nezaručuje dôveryhodnosť poskytovateľov služieb.

===WSIL===
Štandard WSIL (Web Service Inspection Language) využíva na popis webovej služby súbor nazvaný inspection.wsil, ten býva lokalizovaní v hlavnom adresári webservera spoločnosti poskytujúcej danú webovú službu. Mechanizmus vyhľadávania pre užívateľa spočíva v tom, že si vyhľadá najskôr konkrétnu spoločnosť poskytujúcu konkrétnu službu, a až potom požiada o popis rozhrania.[8],[5]

===DISCO===
Tento štandard vytvára jediný súbor, v ktorom sú zoskupené informácie o príbuzných webových službách. Súbor býva zvyčajne umiestnení na servery, obsahuje odkazy na poskytované služby a klienti môžu on požiadať. Je to užitočné v tom prípade, že chceme vedieť podrobnejšie informácie o službách určitej spoločnosti. Toto vyhľadávanie nie je moc efektívne cez Internet, ale je vhodné pre lokálne siete, kde si klient hneď po pripojení na server môže pozrieť poskytované služby. Discovery je podporovaný iba Microsoftom, a plánuje sa ho nahradiť štandardom WS-Inspection. [4], [5].

==Výhody a nevýhody webových služieb==
Webové služby riešia problémy ako je priechodnosť cez firewall, spracovanie zložitých transportných protokolov a integrácia rôznorodých platforiem. Globálne rozšírenie Internetu zvýšil dôležitosť a použiteľnosť distribuovaných výpočtov a webové služby predstavujú len ďalší krok vo vývoji distribuovaných komponentov.
Medzi nesporné výhody webových služieb patrí:
*Jednoduchosť a podpora pre širokú škálu platforiem.
*Webová služba môže pridávať nové metódy bez toho, aby to ovplyvnilo činnosť klienta. (webová služba musí ale poskytovať staré metódy a parametre)
*Webové služby sú bezstavové. To znamená, že klient zašle požiadavku na webovú službu, ten ju spracuje, zašle späť výsledok a spojenie je ukončené. Neexistuje tu parameter spojenia.
*Prívetivosť voči firewallu. Firewally môžu predstavovať problém pri technológii distribuovaných objektov. Avšak webové služby využívajú HTTP prenos na portoch 80, 443 a HTTP protokol prakticky vždy prejde cez firewally.

Jednoduchosť webových služieb v porovnaní so sofistikovaným technológiám COM a COBRA sa prejaví aj v tom, že neobsahuje obojstrannú komunikáciu. Pokiaľ sa klient, odpojil, server ho nemôže spätne zavolať.
Hlavnou nevýhodou XML webových služieb je bezpečnosť. XML webové služby neposkytujú žiaden vstavaný mechanizmus zabezpečenia na úrovni SOAP správ.

==Životný cyklus webovej služby==
Obr.1 zobrazuje cyklus webovej služby. Užívateľ si vyhľadá službu priamo cez URL (Uniform Resource Locator) adresu služby, použije DISCO súbor alebo UDDI.
Získa WSDL dokument, ktorý popisuje spôsob komunikácie s webovou službou, akú štruktúru má mať SOAP správa. Po spustení samotnej aplikácie pošle klient SOAP správu službe a tá spustí požadovanú webovú metódu, následne je zaslaná klientovi odpoveď v podobe SOAP správy.

[[Súbor:dp_2010_jm_2.png|framed|center|Obr. 1.2 Komunikácia XML webová služba a klientska aplikácia]]

Princíp komunikácie klientskej aplikácie a XML webovej služby:
*Klientska aplikácia sa pripojí na XML webovú službu priamo cez URL adresu, poprípadne použije klient UDDI.
*Klientska aplikácia získa WSDL dokument, ktorý popisuje spôsob komunikácie klienta s XML webovou službou.
*Klient pošle požiadavku vo forme SOAP správy na XML webovú službu.
*Ta spustí príslušnú webovú metódu a následne je zaslaná odpoveď klientovi vo forme SOAP správy.
*Spojenie je ukončené.

Súbor:Dp 2010 jm 14.png

2010-05-25T15:39:58Z

Ian: bola nahraná nová verzia „Súbor:Dp 2010 jm 14.png“

Súbor:Dp 2010 jm 14.png

2010-05-25T15:39:21Z

Ian: bola nahraná nová verzia „Súbor:Dp 2010 jm 14.png“

Súbor:Dp 2010 jm 11.png

2010-05-24T19:07:32Z

Ian: bola nahraná nová verzia „Súbor:Dp 2010 jm 11.png“

XML ASP.NET webové služby

2010-05-18T20:14:22Z

Ian: /* Atribút WebMethod */

[[Kategória:Študentské práce]][[Kategória:Diplomové práce]][[Kategória:Informatika]][[Kategória:Webové služby]]
{{Praca_uvod|2|Návrh a implementácia bezpečnostnej technológie pre webové služby|XML a webové služby |XML ASP.NET webové služby|Zabezpečennie webových aplikácií|Integrita a dôvernosť komunikácie|Autentifikácia|Autorizácia webových služieb|Zabezpečenie webových služieb|XML security|SOAP Security Enhancement pre ASP.NET webové služby}}
__TOC__
= =
==XML ASP.NET webové služby==

V predchádzajúcej kapitole sme si vysvetlili princípy XML webových služieb, popísali štandardy na ktorých sú vystavané, ich výhody aj nevýhody a spôsob, akým komunikujú webové služby s klientskymi aplikáciami.

Táto práca sa zaoberá bezpečnosťou XML ASP.NET webových služieb. Technológia ASP.NET je integrovaná s programovou platformou .NET Framework. .NET Framework predstavuje programovú platformu, ktorá je rozčlenená do kolekcie funkčných častí, zahŕňajúcich viac ako 7000 tried, štruktúr, rozhraní a ďalších typov. Každá zo skupiny tried v .NET Framework je zoskupená do logickej a hierarchického kontajnera, nazývaného menný priestor. Pre viac informácii o platforme .NET Framework odporúčame referenčnú príručku .NET <nowiki>[</nowiki>31<nowiki>]</nowiki>. Na Obr. 1.2 je znázornená štruktúra programovej platformy .NET Framework 3.5.

[[Súbor:dp_2010_jm_3.png|framed|center|Obr. 2.1 .NET Framework 3.5 <nowiki>[</nowiki>2<nowiki>]</nowiki>]]

Obr. Chyba! V dokumente nie je žiaden text v zadanom štýle..3 .NET Framework 3.5 <nowiki>[</nowiki>2<nowiki>]</nowiki>

ASP.NET implementuje XML webové služby ako súbory s príponou .asmx. Kód webovej služby môže byť umiestnený priamo do súboru .asmx alebo do triedy v súbore s kódom na pozadí. Táto práca predpokladá určitú znalosť programovej platformy .NET Framework a technológie ASP.NET, a preto sa nebudeme samotnou programovou platformou v práci zaoberať.

Pri vytváraní XML ASP.NET webových služieb pod platformou .NET Framework je nutné sa najskôr oboznámiť s niektorými mennými priestormi .NET Framework, ktoré umožňujú komunikovať s technológiou XML webových služieb. Popis jednotlivých menných priestorov je v Tab. 2.1.

{|class="wikitable"
'''Tab. 2.1''' Menné priestory .NET Framework zamerané na XML ASP.NET webové služby <nowiki>[4</nowiki><nowiki>]</nowiki></nowiki>
|align = "justify"|'''Menný priestor'''
|align = "justify"|'''Význam'''
|-
|align = "justify"|System.Web.Service
|align = "justify"|Obsahuje základné typy nutné pri vytváraný XML webových služieb.
|-
|align = "justify"|System.Web.Service.Configuration
|align = "justify"|Obsahuje typy, ktoré umožňujú konfiguráciu správania sa webových služieb ASP.NET
|-
|align = "justify"|System.Web.Service.Description
|align = "justify"|Obsahuje typy, ktoré umožňujú programátorsky komunikovať s dokumentom WSDL popisujúci danú XML ASP.NET webovú službu.
|-
|align = "justify"|System.Web.Service.Discovery
|align = "justify"|Obsahuje typy, ktoré umožňujú klientovi webovej služby programátorsky zistiť, aké webové služby sú nainštalované na danom servery.
|-
|align = "justify"|System.Web.Service.Discovery
|align = "justify"|Definuje typy, ktoré reprezentujú základ rôznych protokolov XML webových služieb , napríklad HTTP GET, HTTP POST a SOAP.
|-
|}

Všetky menné priestory zamerané na XML ASP.NET webové služby sú obsiahnuté v assembly '''System.Web.Services.dll'''.<nowiki>[</nowiki>1<nowiki>]</nowiki>

Najdôležitejší menný priestor pri vytváraný XML ASP.NET webových služieb je '''System.Web.Services'''. Popis členov tohto menného priestoru je v Tab. 2.2

{|class="wikitable"
'''Tab. 2.2''' Popis menného priestoru System.Web.Services <nowiki>[</nowiki>2<nowiki>]</nowiki>
|align = "justify"|'''Menný priestor'''
|align = "justify"|'''Význam'''
|-
|align = "justify"|WebMethodAttribute
|align = "justify"|Pokiaľ je metóda alebo vlastnosť triedy webovej služby špecifikovaná pomocou tohoto atribútu, znamená to, že člena bude možné volať cez HTTP kanál a serializovať ako XML.
|-
|align = "justify"|WebService
|align = "justify"|Predstavuje základnú, nepovinnú triedu XML ASP.NET webových služieb budovaných pomocou .NET. Pokiaľ je trieda XML webovej služby odvodená z tejto základnej triedy, bude mat schopnosť si uchovávať stavové informácie.
|-
|align = "justify"|WebServiceAttribute
|align = "justify"|Pomocou tohto atribútu sa dajú pridávať informácie do webovej služby, ako napríklad reťazec popisujúci jej funkcionalitu a podkladový priestor XML.
|-
|align = "justify"|WebServiceBindingAttribute
|align = "justify"|Tento atribút deklaruje protokol viazania, ktorý XML ASP.NET webová služba implementuje.
|-
|align = "justify"|WsiProfiles
|align = "justify"|Popisuje špecifikáciu interoperability webovej služby (WSI).
|-
|}

===Základná trieda WebService===

Pokiaľ vytvárame XML ASP.NET webovú službu s využitím IDE Visual Studio, novovytvorená trieda webovej služby automaticky odvodená zo základnej triedy WebService. (pozri Tab. 2.3). To, že trieda webovej služby dedí zo základnej triedy WebService umožňuje prístup ku všetkým zabudovaným objektom ASP.NET, napríklad Application, Session atd. Vlastnosti základnej triedy WebService, ktoré získa trieda webovej služby dedením sú v Tab. 2.4.

{|class="wikitable"
'''Tab. 2.3 ''' Vytvorenie triedy webovej služby dedením zo základnej triedy WebService
|-
|<source lang="csharp">
WebServiceClass: System.Web.Services
</source>

|}

{|class="wikitable"
'''Tab. 2.4''' Vlastnosti základnej triedy WebService <nowiki>[</nowiki>1<nowiki>]</nowiki>
|align = "justify"|'''Vlastnosť'''
|align = "justify"|'''Význam'''
|-
|align = "justify"|Application
|align = "justify"|Inštancia triedy HttpApplicationState, ktorá poskytuje prístup k globálnemu stavu webovej aplikácie.
|-
|align = "justify"|Context
|align = "justify"|Poskytuje prístup k HttpContext, ktorý zapúzdruje všetky špecifiká http kontextu pre aktuálnu požiadavku.
|-
|align = "justify"|Server
|align = "justify"|Poskytuje prístup k objektu HttpServerUtility aktuálneho požiadavku.
|-
|align = "justify"|Session
|align = "justify"|Inštancia triedy HttpSessionState, ktorá poskytuje prístup k aktuálnemu stavu relácie.
|-
|align = "justify"|User
|align = "justify"|Objekt IPrincipal, ktorý umožňuje preskúmať oprávnenia a rolu užívateľa, ktorý bol autentifikovaný.
|-
|}

===Atribúty triedy XML ASP.NET webovej služby===

Každá trieda XML ASP.NET webovej služby môže byť kvalifikovaná pomocou atribútov <nowiki>[</nowiki>7<nowiki>]</nowiki>:

* WebService,
* WebServiceBinding.

====Atribút WebService====

Atribút WebService podporuje niekoľko pomenovaných vlastností, konkrétne tieto <nowiki>[</nowiki>2<nowiki>]</nowiki>:

* Namespace,
* Description,
* Name.
Prostredníctvom vlastnosti '''Namespace''', môžeme vytvoriť menný XML priestor, ktorý sa bude používať vo vnútri WSDL dokumentu (pozri Tab. 2.6). Vlastnosť '''Description''' popisuje webovú službu prostredníctvom textového reťazca. Prostredníctvom vlastnosti '''Name''' môžeme oddeliť názov triedy webovej služby od názvu, pod ktorým bude webová služba sprístupnená z Internetu alebo LAN. <nowiki>[</nowiki>1<nowiki>]</nowiki>

{|class="wikitable"

'''Tab. 2.5''' Vlastnosti atribútu WebService
|-
|<source lang="csharp">
[WebService(Description="Secure web service",
Namespace = "http://DiplomaWork.sk/",
Name= "SecureWebService")]
public class WebServiceClas : System.Web.Services.WebService
{...}
</source>
|}

{|class="wikitable"
'''Tab. 2.6''' Menný priestor WSDL
|-
|<source lang="xml">
<wsdl:documentation xmlns:wsdl="http://schemas.xmlsoap.org/wsdl/">Secure web service</wsdl:documentation>
</source>

|}

====Atribút WebServiceBinding====

Atribút '''WebServiceBinding''' špecifikuje, či je XML ASP.NET webová služba v súlade s Web Services Interoperability (WSI) Basic Profile 1.1. <nowiki>[</nowiki>3<nowiki>]</nowiki> Tým, že je trieda webovej služby kvalifikovaná atribútom WebServiceBinding, prehlasuje, že je v súlade so špecifikáciou WSI Basic Profile 1.1. Špecifikácia WSI Basic Profile odstraňuje nejednoznačnú interpretáciu prvokov WSDL dokumentu webovými servermi, napríklad IIS, Apache a architektúrami .NET a J2EE. Prostredníctvom vlastnosti '''ConformsTo''' atribútu WebServiceBinding môžeme nastaviť, či je daná webová služba v súlade so špecifikáciou WSI. Vlastnosť ConformsTo môže nadobúdať tieto hodnoty <nowiki>[</nowiki>3<nowiki>]</nowiki>:

* None, webová služba neprehlasuje že je v súlade s WSI.
* BasicProfile1_1, webová služba prehlasuje že je v súlade so špecifikáciou WSI Basic Profile 1.1.

{|class="wikitable"
'''Tab. 2.7''' Atribút WebServiceBinding
|-
|<source lang=csharp>
[WebServiceBinding(ConformsTo = WsiProfiles.BasicProfile1_1)]
public class WebServiceClas : System.Web.Services.WebService
{...}
</source>
|}

====Atribút WebMethod====

Atribút WebMethod, musí byť aplikovaný na každú metódu triedy XML ASP.NET webovej služby, ktorá má byť dostupná cez HTTP kanál a serializovaná ako XML. Vlastnosti atribútu WebMethod sú v Tab. 2.8.

{|class="wikitable"
'''Tab. 2.8''' Vlastnosti atribútu WebMethod <nowiki>[</nowiki>4<nowiki>]</nowiki>
|align = "justify"|'''Argument'''
|align = "justify"|'''Význam'''
|-
|align = "justify"|Description
|align = "justify"|Popis webovej metódy.
|-
|align = "justify"|MessageName
|align = "justify"|Alias mena metódy, ktorý je používaný v prípade, že máme preťažované metódy, alebo pokiaľ chceme sprístupniť webovú metódu pod iným názvom.
|-
|align = "justify"|CacheDuration
|align = "justify"|Doba, na ktorú je uložená odpoveď webovej metódy do cache. Štandardne je hodnota cache nastavená na nula.
|-
|align = "justify"|EnableSession
|align = "justify"|Určuje, či daná webová metóda môže pristupovať k informácia v kolekcií Session. Umožňuje vytvoriť reláciu medzi webovou službou a klientom.
|-
|align = "justify"|TransactionOption
|align = "justify"|Nastaví, či daná webové metóda podporuje transakcie. Nakoľko webové služby sú bezstavové, môžu sa zúčastniť iba ako koreňový objekt transakcie.
|-
|align = "justify"|BufferResponse
|align = "justify"|Táto vlastnosť umožňuje riadiť, kedy budú dáta vrátené z webovej služby zaslané na klienta. Štandardne je vlastnosť BufferResponse nastavená na true. To znamená, že všetky výsledky sú pre zaslaním na klienta serializované. Pokiaľ je BufferResponse nastavená na false, výsledky sú serializované a posielané na klienta po častiach. Nastavenie vlastnosti BufferResponse na false ma zmysel, len vtedy ak webová služba vracia veľké množstvo dát.
|-
|}

Pri používaní XML ASP.NET webových služieb existujú určité obmedzenia ohľadom vstupných parametrov webových metód a ich návratových hodnôt. Tieto obmedzenie sú z toho dôvodu, že webové služby sú vybudované na štandardoch pre výmenu dát, a tie sú založené na jazyku XML. Webové metódy pracujú so sadou dátových typov, ktoré sú rozpoznávané štandardom schémy XML. Dátové typy webových metód XML ASP.NET webových služieb sú v Tab. 2.9. Toto obmedzenie je logické, pretože iné programovacie jazyky nemajú žiadne mechanizmy na rozpoznávanie napríklad komplexných tried, neboli by schopné interpretovať takéto dátové typy.

{|class="wikitable"
'''Tab. 2.9''' Dátové typy pre parametre a návratové hodnoty webových metód <nowiki>[</nowiki>1<nowiki>]</nowiki>
|align = "justify"|'''Dátový typ'''
|align = "justify"|'''Popis'''
|-
|align = "justify"|Základné dátové typy
|align = "justify"|Jednoduché dátové typy ako int, long, float, double, bool, string, char, byte a iné.
|-
|align = "justify"|Polia
|align = "justify"|Webové služby dokážu pracovať s akýmkoľvek polom podporovaného typu, prípadne kolekciami .NET ako HashTable, prípadne binárnymi poliami.
|-
|align = "justify"|Vlastné objekty
|align = "justify"|Akýkoľvek vlastný objekt môže byť webovou službou poslaní na klienta. Prenášajú sa iba verejné členy triedy.
|-
|align = "justify"|Enumerations
|align = "justify"| 
|-
|align = "justify"|XmlNode
|align = "justify"|Objekty založené na System.XmlNode reprezentujúce časti XML dokumentu.
|-
|align = "justify"|DataSet a DataTable
|align = "justify"|Tieto objekty patria medzi dátové objekty ADO.NET a môžu byť použité pre posielanie informácií z relačnej databázy. Tieto objekty sú XML ASP.NET webovou službou automaticky skonvertované na XML.
|-
|}

===Trieda proxy===

Pre korektnú komunikácia klienta s XML ASP.NET webovou službou, musí byť klient schopný vytvárať, posielať a dostávať SOAP správy založené na XML, ktorým bude rozumieť. Principiálne jednoduchý proces, ale v praxi veľmi obtiažny, nakoľko by sme museli dookola písať rovnaký kód infraštruktúry nižšej úrovne. <nowiki>[</nowiki>4<nowiki>]</nowiki>

Platforma .NET to rieši v podobe '''triedy proxy''', ktorá to vykonáva miesto klientskej aplikácie. Trieda proxy zabezpečuje správne vytváranie formátu SOAP správa, riadi prenos správ pomocou HTTP po sieti, tak isto konvertuje výsledok prijatej správy do správneho formátu.

Na vytvorenie triedy proxy v .NET existujú dva spôsoby <nowiki>[</nowiki>1<nowiki>]</nowiki>:

* Pomocou utility wsdl.exe.
* Pomocou webovej referencie v IDE Visual Studio.
Generovanie triedy proxy prostredníctvom utility wsdl.exe''' '''je flexibilnejšie, nakoľko nám umožňuje vygenerovaný kód danej triedy modifikovať.

Názov utility wsdl.exe je odvodený od štandardu Web Service Description Language pre popis XML webových služieb. Tento nástroj vygeneruje z XML webovej služby zdrojový kód triedy proxy vo zvolenom jazyku.

Utilita wsdl.exe podporuje veľké množstvo prepínačov, najbežnejšie argumenty sú v Tab. 2.10.

{|class="wikitable"
'''Tab. 2.10''' Argumenty utility wsdl.exe <nowiki>[</nowiki>1<nowiki>]</nowiki>
|align = "justify"|'''Argument'''
|align = "justify"|'''Význam'''
|-
|align = "justify"|/appsettingurlkey
|align = "justify"|Trieda proxy bude nakonfigurovaná tak, aby načítavala URL zo súboru .<nowiki>*</nowiki>config na klientskej strane.
|-
|align = "justify"|/language
|align = "justify"|Pomocou tohto argumentu špecifikujeme jazyk pre vygenerovanú triedu (C<nowiki> </nowiki>, VB.NET, JS, VJS).
|-
|align = "justify"|/namespace
|align = "justify"|Argument špecifikuje menný priestor pre vygenerovanú triedu proxy.
|-
|align = "justify"|/out
|align = "justify"|Špecifikuje súbor do ktorého sa uloží vygenerovaný kód proxy.
|-
|align = "justify"|/protocol
|align = "justify"|Tento argument špecifikuje protokol, ktorý sa má použiť vo vnútri triedy proxy. Prednastavení protokolom je SOAP. Ďalšie podporované protokoly sú HTTP POST a HTTP GET.
|-
|align = "justify"|/serverInterface
|align = "justify"|Na základe WSDL dokumentu sa vygeneruje kostra webovej služby na strane servera.
|-
|}

Pre korektnú komunikáciu medzi webovou službou a klientmi, aj kvôli zvýšenej bezpečnosti strane prevádzkovateľa webovej služby sa využíva implementácia triedy proxy prostredníctvom DLL (Dynamic-link library) knižnice u klienta.

====Popis kódu triedy proxy====

Každá trieda proxy je vytvorená odvodením z triedy :

* '''System.Web.Services.Protocols.SoapHttpClientProtocol,'''
* '''System.Web.Services.Protocols.HttpGetClientProtocol,'''
* '''System.Web.Services.Protocols.HttpPostClientProtocol.'''
Konkrétny typ použitej triedy, záleží od špecifikácie protokolu, ktorý má trieda proxy používať, pri generovaní prostredníctvom utility wsdl.exe.

Vytvorenie triedy proxy odvodením z príslušnej triedy .NET Framework, umožňuje triede proxy korektne formátovať a konvertovať správy. Dôležité zdedené členy triedy proxy sú v Tab. 2.11.

{|class="wikitable"
'''Tab. 2.11''' Popis členov triedy proxy <nowiki>[</nowiki>7<nowiki>]</nowiki>
|align = "justify"|'''Člen triedy proxy'''
|align = "justify"|'''Popis'''
|-
|align = "justify"|BeginInvoke()
|align = "justify"|Metóda zahajujúca asynchrónne volanie webovej metódy.
|-
|align = "justify"|CancelAsync()
|align = "justify"|Metóda preruší asynchrónne volanie webovej metódy.
|-
|align = "justify"|EndInvoke()
|align = "justify"|Metóda ukončí asynchrónne volanie webovej metódy.
|-
|align = "justify"|AsynInvoke()
|align = "justify"|Metóda zahajujúca asynchrónne volanie webovej metódy, doporučená metóda.
|-
|align = "justify"|Invoke()
|align = "justify"|Metóda zahajujúca synchrónne volanie webovej metódy.
|-
|align = "justify"|Proxy
|align = "justify"|Vlastnosť slúžia na nastavenie a získanie informácie proxy.
|-
|align = "justify"|Timeout
|align = "justify"|Metóda umožňujúca nastaviť dobu čakanie klientskej aplikácie na odpoveď od webovej služby v milisekundách.
|-
|align = "justify"|Url
|align = "justify"|Vlastnosť slúžia na nastavenie alebo získanie URL ASP.NET webovej služby.
|-
|align = "justify"|UserAgent
|align = "justify"|Vlastnosť slúžiaca na nastavenie hlavičky agenta užívateľa, ktorá je odosielaná s každou SOAP požiadavkou, slúži na identifikáciu klienta.
|-
|}

Asynchrónne volanie XML ASP.NET webových služieb umožňuje klientskej aplikácii pokračovať v činnosti, zatiaľ čo čaká na odpoveď od webovej služby. Asynchrónne volanie webovej služby má zmysel použiť, pokiaľ je server webovej služby je pripojený pomalým sieťovaním pripojením. Týmto spôsobom volania webových metód sa v práci nebudeme zaoberať.

Komunikácia klientskej aplikácie s využitím triedy proxy je znázornená na Obr. 2.2.

[[Súbor:dp_2010_jm_4.png|framed|center|Obr. 2.2 Komunikácia klienta s webovou službou prostredníctvom triedy proxy]]

XML ASP.NET webové služby

2010-05-18T20:12:58Z

Ian: /* Základná trieda WebService */

[[Kategória:Študentské práce]][[Kategória:Diplomové práce]][[Kategória:Informatika]][[Kategória:Webové služby]]
{{Praca_uvod|2|Návrh a implementácia bezpečnostnej technológie pre webové služby|XML a webové služby |XML ASP.NET webové služby|Zabezpečennie webových aplikácií|Integrita a dôvernosť komunikácie|Autentifikácia|Autorizácia webových služieb|Zabezpečenie webových služieb|XML security|SOAP Security Enhancement pre ASP.NET webové služby}}
__TOC__
= =
==XML ASP.NET webové služby==

V predchádzajúcej kapitole sme si vysvetlili princípy XML webových služieb, popísali štandardy na ktorých sú vystavané, ich výhody aj nevýhody a spôsob, akým komunikujú webové služby s klientskymi aplikáciami.

Táto práca sa zaoberá bezpečnosťou XML ASP.NET webových služieb. Technológia ASP.NET je integrovaná s programovou platformou .NET Framework. .NET Framework predstavuje programovú platformu, ktorá je rozčlenená do kolekcie funkčných častí, zahŕňajúcich viac ako 7000 tried, štruktúr, rozhraní a ďalších typov. Každá zo skupiny tried v .NET Framework je zoskupená do logickej a hierarchického kontajnera, nazývaného menný priestor. Pre viac informácii o platforme .NET Framework odporúčame referenčnú príručku .NET <nowiki>[</nowiki>31<nowiki>]</nowiki>. Na Obr. 1.2 je znázornená štruktúra programovej platformy .NET Framework 3.5.

[[Súbor:dp_2010_jm_3.png|framed|center|Obr. 2.1 .NET Framework 3.5 <nowiki>[</nowiki>2<nowiki>]</nowiki>]]

Obr. Chyba! V dokumente nie je žiaden text v zadanom štýle..3 .NET Framework 3.5 <nowiki>[</nowiki>2<nowiki>]</nowiki>

ASP.NET implementuje XML webové služby ako súbory s príponou .asmx. Kód webovej služby môže byť umiestnený priamo do súboru .asmx alebo do triedy v súbore s kódom na pozadí. Táto práca predpokladá určitú znalosť programovej platformy .NET Framework a technológie ASP.NET, a preto sa nebudeme samotnou programovou platformou v práci zaoberať.

Pri vytváraní XML ASP.NET webových služieb pod platformou .NET Framework je nutné sa najskôr oboznámiť s niektorými mennými priestormi .NET Framework, ktoré umožňujú komunikovať s technológiou XML webových služieb. Popis jednotlivých menných priestorov je v Tab. 2.1.

{|class="wikitable"
'''Tab. 2.1''' Menné priestory .NET Framework zamerané na XML ASP.NET webové služby <nowiki>[4</nowiki><nowiki>]</nowiki></nowiki>
|align = "justify"|'''Menný priestor'''
|align = "justify"|'''Význam'''
|-
|align = "justify"|System.Web.Service
|align = "justify"|Obsahuje základné typy nutné pri vytváraný XML webových služieb.
|-
|align = "justify"|System.Web.Service.Configuration
|align = "justify"|Obsahuje typy, ktoré umožňujú konfiguráciu správania sa webových služieb ASP.NET
|-
|align = "justify"|System.Web.Service.Description
|align = "justify"|Obsahuje typy, ktoré umožňujú programátorsky komunikovať s dokumentom WSDL popisujúci danú XML ASP.NET webovú službu.
|-
|align = "justify"|System.Web.Service.Discovery
|align = "justify"|Obsahuje typy, ktoré umožňujú klientovi webovej služby programátorsky zistiť, aké webové služby sú nainštalované na danom servery.
|-
|align = "justify"|System.Web.Service.Discovery
|align = "justify"|Definuje typy, ktoré reprezentujú základ rôznych protokolov XML webových služieb , napríklad HTTP GET, HTTP POST a SOAP.
|-
|}

Všetky menné priestory zamerané na XML ASP.NET webové služby sú obsiahnuté v assembly '''System.Web.Services.dll'''.<nowiki>[</nowiki>1<nowiki>]</nowiki>

Najdôležitejší menný priestor pri vytváraný XML ASP.NET webových služieb je '''System.Web.Services'''. Popis členov tohto menného priestoru je v Tab. 2.2

{|class="wikitable"
'''Tab. 2.2''' Popis menného priestoru System.Web.Services <nowiki>[</nowiki>2<nowiki>]</nowiki>
|align = "justify"|'''Menný priestor'''
|align = "justify"|'''Význam'''
|-
|align = "justify"|WebMethodAttribute
|align = "justify"|Pokiaľ je metóda alebo vlastnosť triedy webovej služby špecifikovaná pomocou tohoto atribútu, znamená to, že člena bude možné volať cez HTTP kanál a serializovať ako XML.
|-
|align = "justify"|WebService
|align = "justify"|Predstavuje základnú, nepovinnú triedu XML ASP.NET webových služieb budovaných pomocou .NET. Pokiaľ je trieda XML webovej služby odvodená z tejto základnej triedy, bude mat schopnosť si uchovávať stavové informácie.
|-
|align = "justify"|WebServiceAttribute
|align = "justify"|Pomocou tohto atribútu sa dajú pridávať informácie do webovej služby, ako napríklad reťazec popisujúci jej funkcionalitu a podkladový priestor XML.
|-
|align = "justify"|WebServiceBindingAttribute
|align = "justify"|Tento atribút deklaruje protokol viazania, ktorý XML ASP.NET webová služba implementuje.
|-
|align = "justify"|WsiProfiles
|align = "justify"|Popisuje špecifikáciu interoperability webovej služby (WSI).
|-
|}

===Základná trieda WebService===

Pokiaľ vytvárame XML ASP.NET webovú službu s využitím IDE Visual Studio, novovytvorená trieda webovej služby automaticky odvodená zo základnej triedy WebService. (pozri Tab. 2.3). To, že trieda webovej služby dedí zo základnej triedy WebService umožňuje prístup ku všetkým zabudovaným objektom ASP.NET, napríklad Application, Session atd. Vlastnosti základnej triedy WebService, ktoré získa trieda webovej služby dedením sú v Tab. 2.4.

{|class="wikitable"
'''Tab. 2.3 ''' Vytvorenie triedy webovej služby dedením zo základnej triedy WebService
|-
|<source lang="csharp">
WebServiceClass: System.Web.Services
</source>

|}

{|class="wikitable"
'''Tab. 2.4''' Vlastnosti základnej triedy WebService <nowiki>[</nowiki>1<nowiki>]</nowiki>
|align = "justify"|'''Vlastnosť'''
|align = "justify"|'''Význam'''
|-
|align = "justify"|Application
|align = "justify"|Inštancia triedy HttpApplicationState, ktorá poskytuje prístup k globálnemu stavu webovej aplikácie.
|-
|align = "justify"|Context
|align = "justify"|Poskytuje prístup k HttpContext, ktorý zapúzdruje všetky špecifiká http kontextu pre aktuálnu požiadavku.
|-
|align = "justify"|Server
|align = "justify"|Poskytuje prístup k objektu HttpServerUtility aktuálneho požiadavku.
|-
|align = "justify"|Session
|align = "justify"|Inštancia triedy HttpSessionState, ktorá poskytuje prístup k aktuálnemu stavu relácie.
|-
|align = "justify"|User
|align = "justify"|Objekt IPrincipal, ktorý umožňuje preskúmať oprávnenia a rolu užívateľa, ktorý bol autentifikovaný.
|-
|}

===Atribúty triedy XML ASP.NET webovej služby===

Každá trieda XML ASP.NET webovej služby môže byť kvalifikovaná pomocou atribútov <nowiki>[</nowiki>7<nowiki>]</nowiki>:

* WebService,
* WebServiceBinding.

====Atribút WebService====

Atribút WebService podporuje niekoľko pomenovaných vlastností, konkrétne tieto <nowiki>[</nowiki>2<nowiki>]</nowiki>:

* Namespace,
* Description,
* Name.
Prostredníctvom vlastnosti '''Namespace''', môžeme vytvoriť menný XML priestor, ktorý sa bude používať vo vnútri WSDL dokumentu (pozri Tab. 2.6). Vlastnosť '''Description''' popisuje webovú službu prostredníctvom textového reťazca. Prostredníctvom vlastnosti '''Name''' môžeme oddeliť názov triedy webovej služby od názvu, pod ktorým bude webová služba sprístupnená z Internetu alebo LAN. <nowiki>[</nowiki>1<nowiki>]</nowiki>

{|class="wikitable"

'''Tab. 2.5''' Vlastnosti atribútu WebService
|-
|<source lang="csharp">
[WebService(Description="Secure web service",
Namespace = "http://DiplomaWork.sk/",
Name= "SecureWebService")]
public class WebServiceClas : System.Web.Services.WebService
{...}
</source>
|}

{|class="wikitable"
'''Tab. 2.6''' Menný priestor WSDL
|-
|<source lang="xml">
<wsdl:documentation xmlns:wsdl="http://schemas.xmlsoap.org/wsdl/">Secure web service</wsdl:documentation>
</source>

|}

====Atribút WebServiceBinding====

Atribút '''WebServiceBinding''' špecifikuje, či je XML ASP.NET webová služba v súlade s Web Services Interoperability (WSI) Basic Profile 1.1. <nowiki>[</nowiki>3<nowiki>]</nowiki> Tým, že je trieda webovej služby kvalifikovaná atribútom WebServiceBinding, prehlasuje, že je v súlade so špecifikáciou WSI Basic Profile 1.1. Špecifikácia WSI Basic Profile odstraňuje nejednoznačnú interpretáciu prvokov WSDL dokumentu webovými servermi, napríklad IIS, Apache a architektúrami .NET a J2EE. Prostredníctvom vlastnosti '''ConformsTo''' atribútu WebServiceBinding môžeme nastaviť, či je daná webová služba v súlade so špecifikáciou WSI. Vlastnosť ConformsTo môže nadobúdať tieto hodnoty <nowiki>[</nowiki>3<nowiki>]</nowiki>:

* None, webová služba neprehlasuje že je v súlade s WSI.
* BasicProfile1_1, webová služba prehlasuje že je v súlade so špecifikáciou WSI Basic Profile 1.1.

{|class="wikitable"
'''Tab. 2.7''' Atribút WebServiceBinding
|-
|<source lang=csharp>
[WebServiceBinding(ConformsTo = WsiProfiles.BasicProfile1_1)]
public class WebServiceClas : System.Web.Services.WebService
{...}
</source>
|}

====Atribút WebMethod====

Atribút WebMethod, musí byť aplikovaný na každú metódu triedy XML ASP.NET webovej služby, ktorá má byť dostupná cez HTTP kanál a serializovaná ako XML. Vlastnosti atribútu WebMethod sú v Tab. 2.8.

{|class="wikitable"
'''Tab. 2.8''' Vlastnosti atribútu WebMethod <nowiki>[</nowiki>4<nowiki>]</nowiki>
|align = "justify"|'''Argument'''
|align = "justify"|'''Význam'''
|-
|align = "justify"|Description
|align = "justify"|Popis webovej metódy.
|-
|align = "justify"|MessageName
|align = "justify"|Alias mena metódy, ktorý je používaný v prípade, že máme preťažované metódy, alebo pokiaľ chceme sprístupniť webovú metódu pod iným názvom.
|-
|align = "justify"|CacheDuration
|align = "justify"|Doba, na ktorú je uložená odpoveď webovej metódy do cache. Štandardne je hodnota cache nastavená na nula.
|-
|align = "justify"|EnableSession
|align = "justify"|Určuje, či daná webová metóda môže pristupovať k informácia v kolekcií Session. Umožňuje vytvoriť reláciu medzi webovou službou a klientom.
|-
|align = "justify"|TransactionOption
|align = "justify"|Nastaví, či daná webové metóda podporuje transakcie. Nakoľko webové služby sú bezstavové, môžu sa zúčastniť iba ako koreňový objekt transakcie.
|-
|align = "justify"|BufferResponse
|align = "justify"|Táto vlastnosť umožňuje riadiť, kedy budú dáta vrátené z webovej služby zaslané na klienta. Štandardne je vlastnosť BufferResponse nastavená na true. To znamená, že všetky výsledky sú pre zaslaním na klienta serializované. Pokiaľ je BufferResponse nastavená na false, výsledky sú serializované a posielané na klienta po častiach. Nastavenie vlastnosti BufferResponse na false ma zmysel, len vtedy ak webová služba vracia veľké množstvo dát.
|-
|}

Pri používaný XML ASP.NET webových služieb existujú určité obmedzenia ohľadom vstupných parametrov webových metód a ich návratových hodnôt. Tieto obmedzenie sú z toho dôvodu, že webové služby sú vybudované na štandardoch pre výmenu dát, a tie sú založené na jazyku XML. Webové metódy pracujú so sadou dátových typov, ktoré sú rozpoznávané štandardom schémy XML. Dátové typy webových metód XML ASP.NET webových služieb sú v Tab. 2.9. Toto obmedzenie je logické, pretože iné programovacie jazyky nemajú žiadne mechanizmy na rozpoznávanie napríklad komplexných tried, neboli by schopné interpretovať takéto dátové typy.

{|class="wikitable"
'''Tab. 2.9''' Dátové typy pre parametre a návratové hodnoty webových metód <nowiki>[</nowiki>1<nowiki>]</nowiki>
|align = "justify"|'''Dátový typ'''
|align = "justify"|'''Popis'''
|-
|align = "justify"|Základné dátové typy
|align = "justify"|Jednoduché dátové typy ako int, long, float, double, bool, string, char, byte a iné.
|-
|align = "justify"|Polia
|align = "justify"|Webové služby dokážu pracovať s akýmkoľvek polom podporovaného typu, prípadne kolekciami .NET ako HashTable, prípadne binárnymi poliami.
|-
|align = "justify"|Vlastné objekty
|align = "justify"|Akýkoľvek vlastný objekt môže byť, môže byť webovou službou poslaní na klienta. Prenášajú sa iba verejné členy triedy.
|-
|align = "justify"|Enumerations
|align = "justify"| 
|-
|align = "justify"|XmlNode
|align = "justify"|Objekty založené na System.XmlNode reprezentujúce časti XML dokumentu.
|-
|align = "justify"|DataSet a DataTable
|align = "justify"|Tieto objekty patria medzi dátové objekty ADO.NET a môžu byť použité pre posielanie informácií z relačnej databázy. Tieto objekty sú XML ASP.NET webovou službou automaticky skonvertované na XML.
|-
|}

===Trieda proxy===

Pre korektnú komunikácia klienta s XML ASP.NET webovou službou, musí byť klient schopný vytvárať, posielať a dostávať SOAP správy založené na XML, ktorým bude rozumieť. Principiálne jednoduchý proces, ale v praxi veľmi obtiažny, nakoľko by sme museli dookola písať rovnaký kód infraštruktúry nižšej úrovne. <nowiki>[</nowiki>4<nowiki>]</nowiki>

Platforma .NET to rieši v podobe '''triedy proxy''', ktorá to vykonáva miesto klientskej aplikácie. Trieda proxy zabezpečuje správne vytváranie formátu SOAP správa, riadi prenos správ pomocou HTTP po sieti, tak isto konvertuje výsledok prijatej správy do správneho formátu.

Na vytvorenie triedy proxy v .NET existujú dva spôsoby <nowiki>[</nowiki>1<nowiki>]</nowiki>:

* Pomocou utility wsdl.exe.
* Pomocou webovej referencie v IDE Visual Studio.
Generovanie triedy proxy prostredníctvom utility wsdl.exe''' '''je flexibilnejšie, nakoľko nám umožňuje vygenerovaný kód danej triedy modifikovať.

Názov utility wsdl.exe je odvodený od štandardu Web Service Description Language pre popis XML webových služieb. Tento nástroj vygeneruje z XML webovej služby zdrojový kód triedy proxy vo zvolenom jazyku.

Utilita wsdl.exe podporuje veľké množstvo prepínačov, najbežnejšie argumenty sú v Tab. 2.10.

{|class="wikitable"
'''Tab. 2.10''' Argumenty utility wsdl.exe <nowiki>[</nowiki>1<nowiki>]</nowiki>
|align = "justify"|'''Argument'''
|align = "justify"|'''Význam'''
|-
|align = "justify"|/appsettingurlkey
|align = "justify"|Trieda proxy bude nakonfigurovaná tak, aby načítavala URL zo súboru .<nowiki>*</nowiki>config na klientskej strane.
|-
|align = "justify"|/language
|align = "justify"|Pomocou tohto argumentu špecifikujeme jazyk pre vygenerovanú triedu (C<nowiki> </nowiki>, VB.NET, JS, VJS).
|-
|align = "justify"|/namespace
|align = "justify"|Argument špecifikuje menný priestor pre vygenerovanú triedu proxy.
|-
|align = "justify"|/out
|align = "justify"|Špecifikuje súbor do ktorého sa uloží vygenerovaný kód proxy.
|-
|align = "justify"|/protocol
|align = "justify"|Tento argument špecifikuje protokol, ktorý sa má použiť vo vnútri triedy proxy. Prednastavení protokolom je SOAP. Ďalšie podporované protokoly sú HTTP POST a HTTP GET.
|-
|align = "justify"|/serverInterface
|align = "justify"|Na základe WSDL dokumentu sa vygeneruje kostra webovej služby na strane servera.
|-
|}

Pre korektnú komunikáciu medzi webovou službou a klientmi, aj kvôli zvýšenej bezpečnosti strane prevádzkovateľa webovej služby sa využíva implementácia triedy proxy prostredníctvom DLL (Dynamic-link library) knižnice u klienta.

====Popis kódu triedy proxy====

Každá trieda proxy je vytvorená odvodením z triedy :

* '''System.Web.Services.Protocols.SoapHttpClientProtocol,'''
* '''System.Web.Services.Protocols.HttpGetClientProtocol,'''
* '''System.Web.Services.Protocols.HttpPostClientProtocol.'''
Konkrétny typ použitej triedy, záleží od špecifikácie protokolu, ktorý má trieda proxy používať, pri generovaní prostredníctvom utility wsdl.exe.

Vytvorenie triedy proxy odvodením z príslušnej triedy .NET Framework, umožňuje triede proxy korektne formátovať a konvertovať správy. Dôležité zdedené členy triedy proxy sú v Tab. 2.11.

{|class="wikitable"
'''Tab. 2.11''' Popis členov triedy proxy <nowiki>[</nowiki>7<nowiki>]</nowiki>
|align = "justify"|'''Člen triedy proxy'''
|align = "justify"|'''Popis'''
|-
|align = "justify"|BeginInvoke()
|align = "justify"|Metóda zahajujúca asynchrónne volanie webovej metódy.
|-
|align = "justify"|CancelAsync()
|align = "justify"|Metóda preruší asynchrónne volanie webovej metódy.
|-
|align = "justify"|EndInvoke()
|align = "justify"|Metóda ukončí asynchrónne volanie webovej metódy.
|-
|align = "justify"|AsynInvoke()
|align = "justify"|Metóda zahajujúca asynchrónne volanie webovej metódy, doporučená metóda.
|-
|align = "justify"|Invoke()
|align = "justify"|Metóda zahajujúca synchrónne volanie webovej metódy.
|-
|align = "justify"|Proxy
|align = "justify"|Vlastnosť slúžia na nastavenie a získanie informácie proxy.
|-
|align = "justify"|Timeout
|align = "justify"|Metóda umožňujúca nastaviť dobu čakanie klientskej aplikácie na odpoveď od webovej služby v milisekundách.
|-
|align = "justify"|Url
|align = "justify"|Vlastnosť slúžia na nastavenie alebo získanie URL ASP.NET webovej služby.
|-
|align = "justify"|UserAgent
|align = "justify"|Vlastnosť slúžiaca na nastavenie hlavičky agenta užívateľa, ktorá je odosielaná s každou SOAP požiadavkou, slúži na identifikáciu klienta.
|-
|}

Asynchrónne volanie XML ASP.NET webových služieb umožňuje klientskej aplikácii pokračovať v činnosti, zatiaľ čo čaká na odpoveď od webovej služby. Asynchrónne volanie webovej služby má zmysel použiť, pokiaľ je server webovej služby je pripojený pomalým sieťovaním pripojením. Týmto spôsobom volania webových metód sa v práci nebudeme zaoberať.

Komunikácia klientskej aplikácie s využitím triedy proxy je znázornená na Obr. 2.2.

[[Súbor:dp_2010_jm_4.png|framed|center|Obr. 2.2 Komunikácia klienta s webovou službou prostredníctvom triedy proxy]]

XML ASP.NET webové služby

2010-05-18T20:12:19Z

Ian: /* XML ASP.NET webové služby */

[[Kategória:Študentské práce]][[Kategória:Diplomové práce]][[Kategória:Informatika]][[Kategória:Webové služby]]
{{Praca_uvod|2|Návrh a implementácia bezpečnostnej technológie pre webové služby|XML a webové služby |XML ASP.NET webové služby|Zabezpečennie webových aplikácií|Integrita a dôvernosť komunikácie|Autentifikácia|Autorizácia webových služieb|Zabezpečenie webových služieb|XML security|SOAP Security Enhancement pre ASP.NET webové služby}}
__TOC__
= =
==XML ASP.NET webové služby==

V predchádzajúcej kapitole sme si vysvetlili princípy XML webových služieb, popísali štandardy na ktorých sú vystavané, ich výhody aj nevýhody a spôsob, akým komunikujú webové služby s klientskymi aplikáciami.

Táto práca sa zaoberá bezpečnosťou XML ASP.NET webových služieb. Technológia ASP.NET je integrovaná s programovou platformou .NET Framework. .NET Framework predstavuje programovú platformu, ktorá je rozčlenená do kolekcie funkčných častí, zahŕňajúcich viac ako 7000 tried, štruktúr, rozhraní a ďalších typov. Každá zo skupiny tried v .NET Framework je zoskupená do logickej a hierarchického kontajnera, nazývaného menný priestor. Pre viac informácii o platforme .NET Framework odporúčame referenčnú príručku .NET <nowiki>[</nowiki>31<nowiki>]</nowiki>. Na Obr. 1.2 je znázornená štruktúra programovej platformy .NET Framework 3.5.

[[Súbor:dp_2010_jm_3.png|framed|center|Obr. 2.1 .NET Framework 3.5 <nowiki>[</nowiki>2<nowiki>]</nowiki>]]

Obr. Chyba! V dokumente nie je žiaden text v zadanom štýle..3 .NET Framework 3.5 <nowiki>[</nowiki>2<nowiki>]</nowiki>

ASP.NET implementuje XML webové služby ako súbory s príponou .asmx. Kód webovej služby môže byť umiestnený priamo do súboru .asmx alebo do triedy v súbore s kódom na pozadí. Táto práca predpokladá určitú znalosť programovej platformy .NET Framework a technológie ASP.NET, a preto sa nebudeme samotnou programovou platformou v práci zaoberať.

Pri vytváraní XML ASP.NET webových služieb pod platformou .NET Framework je nutné sa najskôr oboznámiť s niektorými mennými priestormi .NET Framework, ktoré umožňujú komunikovať s technológiou XML webových služieb. Popis jednotlivých menných priestorov je v Tab. 2.1.

{|class="wikitable"
'''Tab. 2.1''' Menné priestory .NET Framework zamerané na XML ASP.NET webové služby <nowiki>[4</nowiki><nowiki>]</nowiki></nowiki>
|align = "justify"|'''Menný priestor'''
|align = "justify"|'''Význam'''
|-
|align = "justify"|System.Web.Service
|align = "justify"|Obsahuje základné typy nutné pri vytváraný XML webových služieb.
|-
|align = "justify"|System.Web.Service.Configuration
|align = "justify"|Obsahuje typy, ktoré umožňujú konfiguráciu správania sa webových služieb ASP.NET
|-
|align = "justify"|System.Web.Service.Description
|align = "justify"|Obsahuje typy, ktoré umožňujú programátorsky komunikovať s dokumentom WSDL popisujúci danú XML ASP.NET webovú službu.
|-
|align = "justify"|System.Web.Service.Discovery
|align = "justify"|Obsahuje typy, ktoré umožňujú klientovi webovej služby programátorsky zistiť, aké webové služby sú nainštalované na danom servery.
|-
|align = "justify"|System.Web.Service.Discovery
|align = "justify"|Definuje typy, ktoré reprezentujú základ rôznych protokolov XML webových služieb , napríklad HTTP GET, HTTP POST a SOAP.
|-
|}

Všetky menné priestory zamerané na XML ASP.NET webové služby sú obsiahnuté v assembly '''System.Web.Services.dll'''.<nowiki>[</nowiki>1<nowiki>]</nowiki>

Najdôležitejší menný priestor pri vytváraný XML ASP.NET webových služieb je '''System.Web.Services'''. Popis členov tohto menného priestoru je v Tab. 2.2

{|class="wikitable"
'''Tab. 2.2''' Popis menného priestoru System.Web.Services <nowiki>[</nowiki>2<nowiki>]</nowiki>
|align = "justify"|'''Menný priestor'''
|align = "justify"|'''Význam'''
|-
|align = "justify"|WebMethodAttribute
|align = "justify"|Pokiaľ je metóda alebo vlastnosť triedy webovej služby špecifikovaná pomocou tohoto atribútu, znamená to, že člena bude možné volať cez HTTP kanál a serializovať ako XML.
|-
|align = "justify"|WebService
|align = "justify"|Predstavuje základnú, nepovinnú triedu XML ASP.NET webových služieb budovaných pomocou .NET. Pokiaľ je trieda XML webovej služby odvodená z tejto základnej triedy, bude mat schopnosť si uchovávať stavové informácie.
|-
|align = "justify"|WebServiceAttribute
|align = "justify"|Pomocou tohto atribútu sa dajú pridávať informácie do webovej služby, ako napríklad reťazec popisujúci jej funkcionalitu a podkladový priestor XML.
|-
|align = "justify"|WebServiceBindingAttribute
|align = "justify"|Tento atribút deklaruje protokol viazania, ktorý XML ASP.NET webová služba implementuje.
|-
|align = "justify"|WsiProfiles
|align = "justify"|Popisuje špecifikáciu interoperability webovej služby (WSI).
|-
|}

===Základná trieda WebService===

Pokiaľ vytvárame XML ASP.NET webovú službu s využitím IDE Visual Studio, novovytvorené trieda webovej služby automaticky odvodená zo základnej triedy WebService. (pozri Tab. 2.3). To, že trieda webovej služby dedí zo základnej triedy WebService umožňuje prístup ku všetkým zabudovaným objektom ASP.NET, napríklad Application, Session atd. Vlastnosti základnej triedy WebService, ktoré získa trieda webovej služby dedením sú v Tab. 2.4.

{|class="wikitable"
'''Tab. 2.3 ''' Vytvorenie triedy webovej služby dedením zo základnej triedy WebService
|-
|<source lang="csharp">
WebServiceClass: System.Web.Services
</source>

|}

{|class="wikitable"
'''Tab. 2.4''' Vlastnosti základnej triedy WebService <nowiki>[</nowiki>1<nowiki>]</nowiki>
|align = "justify"|'''Vlastnosť'''
|align = "justify"|'''Význam'''
|-
|align = "justify"|Application
|align = "justify"|Inštancia triedy HttpApplicationState, ktorá poskytuje prístup k globálnemu stavu webovej aplikácie.
|-
|align = "justify"|Context
|align = "justify"|Poskytuje prístup k HttpContext, ktorý zapúzdruje všetky špecifiká http kontextu pre aktuálnu požiadavku.
|-
|align = "justify"|Server
|align = "justify"|Poskytuje prístup k objektu HttpServerUtility aktuálneho požiadavku.
|-
|align = "justify"|Session
|align = "justify"|Inštancia triedy HttpSessionState, ktorá poskytuje prístup k aktuálnemu stavu relácie.
|-
|align = "justify"|User
|align = "justify"|Objekt IPrincipal, ktorý umožňuje preskúmať oprávnenia a rolu užívateľa, ktorý bol autentifikovaný.
|-
|}

===Atribúty triedy XML ASP.NET webovej služby===

Každá trieda XML ASP.NET webovej služby môže byť kvalifikovaná pomocou atribútov <nowiki>[</nowiki>7<nowiki>]</nowiki>:

* WebService,
* WebServiceBinding.

====Atribút WebService====

Atribút WebService podporuje niekoľko pomenovaných vlastností, konkrétne tieto <nowiki>[</nowiki>2<nowiki>]</nowiki>:

* Namespace,
* Description,
* Name.
Prostredníctvom vlastnosti '''Namespace''', môžeme vytvoriť menný XML priestor, ktorý sa bude používať vo vnútri WSDL dokumentu (pozri Tab. 2.6). Vlastnosť '''Description''' popisuje webovú službu prostredníctvom textového reťazca. Prostredníctvom vlastnosti '''Name''' môžeme oddeliť názov triedy webovej služby od názvu, pod ktorým bude webová služba sprístupnená z Internetu alebo LAN. <nowiki>[</nowiki>1<nowiki>]</nowiki>

{|class="wikitable"

'''Tab. 2.5''' Vlastnosti atribútu WebService
|-
|<source lang="csharp">
[WebService(Description="Secure web service",
Namespace = "http://DiplomaWork.sk/",
Name= "SecureWebService")]
public class WebServiceClas : System.Web.Services.WebService
{...}
</source>
|}

{|class="wikitable"
'''Tab. 2.6''' Menný priestor WSDL
|-
|<source lang="xml">
<wsdl:documentation xmlns:wsdl="http://schemas.xmlsoap.org/wsdl/">Secure web service</wsdl:documentation>
</source>

|}

====Atribút WebServiceBinding====

Atribút '''WebServiceBinding''' špecifikuje, či je XML ASP.NET webová služba v súlade s Web Services Interoperability (WSI) Basic Profile 1.1. <nowiki>[</nowiki>3<nowiki>]</nowiki> Tým, že je trieda webovej služby kvalifikovaná atribútom WebServiceBinding, prehlasuje, že je v súlade so špecifikáciou WSI Basic Profile 1.1. Špecifikácia WSI Basic Profile odstraňuje nejednoznačnú interpretáciu prvokov WSDL dokumentu webovými servermi, napríklad IIS, Apache a architektúrami .NET a J2EE. Prostredníctvom vlastnosti '''ConformsTo''' atribútu WebServiceBinding môžeme nastaviť, či je daná webová služba v súlade so špecifikáciou WSI. Vlastnosť ConformsTo môže nadobúdať tieto hodnoty <nowiki>[</nowiki>3<nowiki>]</nowiki>:

* None, webová služba neprehlasuje že je v súlade s WSI.
* BasicProfile1_1, webová služba prehlasuje že je v súlade so špecifikáciou WSI Basic Profile 1.1.

{|class="wikitable"
'''Tab. 2.7''' Atribút WebServiceBinding
|-
|<source lang=csharp>
[WebServiceBinding(ConformsTo = WsiProfiles.BasicProfile1_1)]
public class WebServiceClas : System.Web.Services.WebService
{...}
</source>
|}

====Atribút WebMethod====

Atribút WebMethod, musí byť aplikovaný na každú metódu triedy XML ASP.NET webovej služby, ktorá má byť dostupná cez HTTP kanál a serializovaná ako XML. Vlastnosti atribútu WebMethod sú v Tab. 2.8.

{|class="wikitable"
'''Tab. 2.8''' Vlastnosti atribútu WebMethod <nowiki>[</nowiki>4<nowiki>]</nowiki>
|align = "justify"|'''Argument'''
|align = "justify"|'''Význam'''
|-
|align = "justify"|Description
|align = "justify"|Popis webovej metódy.
|-
|align = "justify"|MessageName
|align = "justify"|Alias mena metódy, ktorý je používaný v prípade, že máme preťažované metódy, alebo pokiaľ chceme sprístupniť webovú metódu pod iným názvom.
|-
|align = "justify"|CacheDuration
|align = "justify"|Doba, na ktorú je uložená odpoveď webovej metódy do cache. Štandardne je hodnota cache nastavená na nula.
|-
|align = "justify"|EnableSession
|align = "justify"|Určuje, či daná webová metóda môže pristupovať k informácia v kolekcií Session. Umožňuje vytvoriť reláciu medzi webovou službou a klientom.
|-
|align = "justify"|TransactionOption
|align = "justify"|Nastaví, či daná webové metóda podporuje transakcie. Nakoľko webové služby sú bezstavové, môžu sa zúčastniť iba ako koreňový objekt transakcie.
|-
|align = "justify"|BufferResponse
|align = "justify"|Táto vlastnosť umožňuje riadiť, kedy budú dáta vrátené z webovej služby zaslané na klienta. Štandardne je vlastnosť BufferResponse nastavená na true. To znamená, že všetky výsledky sú pre zaslaním na klienta serializované. Pokiaľ je BufferResponse nastavená na false, výsledky sú serializované a posielané na klienta po častiach. Nastavenie vlastnosti BufferResponse na false ma zmysel, len vtedy ak webová služba vracia veľké množstvo dát.
|-
|}

Pri používaný XML ASP.NET webových služieb existujú určité obmedzenia ohľadom vstupných parametrov webových metód a ich návratových hodnôt. Tieto obmedzenie sú z toho dôvodu, že webové služby sú vybudované na štandardoch pre výmenu dát, a tie sú založené na jazyku XML. Webové metódy pracujú so sadou dátových typov, ktoré sú rozpoznávané štandardom schémy XML. Dátové typy webových metód XML ASP.NET webových služieb sú v Tab. 2.9. Toto obmedzenie je logické, pretože iné programovacie jazyky nemajú žiadne mechanizmy na rozpoznávanie napríklad komplexných tried, neboli by schopné interpretovať takéto dátové typy.

{|class="wikitable"
'''Tab. 2.9''' Dátové typy pre parametre a návratové hodnoty webových metód <nowiki>[</nowiki>1<nowiki>]</nowiki>
|align = "justify"|'''Dátový typ'''
|align = "justify"|'''Popis'''
|-
|align = "justify"|Základné dátové typy
|align = "justify"|Jednoduché dátové typy ako int, long, float, double, bool, string, char, byte a iné.
|-
|align = "justify"|Polia
|align = "justify"|Webové služby dokážu pracovať s akýmkoľvek polom podporovaného typu, prípadne kolekciami .NET ako HashTable, prípadne binárnymi poliami.
|-
|align = "justify"|Vlastné objekty
|align = "justify"|Akýkoľvek vlastný objekt môže byť, môže byť webovou službou poslaní na klienta. Prenášajú sa iba verejné členy triedy.
|-
|align = "justify"|Enumerations
|align = "justify"| 
|-
|align = "justify"|XmlNode
|align = "justify"|Objekty založené na System.XmlNode reprezentujúce časti XML dokumentu.
|-
|align = "justify"|DataSet a DataTable
|align = "justify"|Tieto objekty patria medzi dátové objekty ADO.NET a môžu byť použité pre posielanie informácií z relačnej databázy. Tieto objekty sú XML ASP.NET webovou službou automaticky skonvertované na XML.
|-
|}

===Trieda proxy===

Pre korektnú komunikácia klienta s XML ASP.NET webovou službou, musí byť klient schopný vytvárať, posielať a dostávať SOAP správy založené na XML, ktorým bude rozumieť. Principiálne jednoduchý proces, ale v praxi veľmi obtiažny, nakoľko by sme museli dookola písať rovnaký kód infraštruktúry nižšej úrovne. <nowiki>[</nowiki>4<nowiki>]</nowiki>

Platforma .NET to rieši v podobe '''triedy proxy''', ktorá to vykonáva miesto klientskej aplikácie. Trieda proxy zabezpečuje správne vytváranie formátu SOAP správa, riadi prenos správ pomocou HTTP po sieti, tak isto konvertuje výsledok prijatej správy do správneho formátu.

Na vytvorenie triedy proxy v .NET existujú dva spôsoby <nowiki>[</nowiki>1<nowiki>]</nowiki>:

* Pomocou utility wsdl.exe.
* Pomocou webovej referencie v IDE Visual Studio.
Generovanie triedy proxy prostredníctvom utility wsdl.exe''' '''je flexibilnejšie, nakoľko nám umožňuje vygenerovaný kód danej triedy modifikovať.

Názov utility wsdl.exe je odvodený od štandardu Web Service Description Language pre popis XML webových služieb. Tento nástroj vygeneruje z XML webovej služby zdrojový kód triedy proxy vo zvolenom jazyku.

Utilita wsdl.exe podporuje veľké množstvo prepínačov, najbežnejšie argumenty sú v Tab. 2.10.

{|class="wikitable"
'''Tab. 2.10''' Argumenty utility wsdl.exe <nowiki>[</nowiki>1<nowiki>]</nowiki>
|align = "justify"|'''Argument'''
|align = "justify"|'''Význam'''
|-
|align = "justify"|/appsettingurlkey
|align = "justify"|Trieda proxy bude nakonfigurovaná tak, aby načítavala URL zo súboru .<nowiki>*</nowiki>config na klientskej strane.
|-
|align = "justify"|/language
|align = "justify"|Pomocou tohto argumentu špecifikujeme jazyk pre vygenerovanú triedu (C<nowiki> </nowiki>, VB.NET, JS, VJS).
|-
|align = "justify"|/namespace
|align = "justify"|Argument špecifikuje menný priestor pre vygenerovanú triedu proxy.
|-
|align = "justify"|/out
|align = "justify"|Špecifikuje súbor do ktorého sa uloží vygenerovaný kód proxy.
|-
|align = "justify"|/protocol
|align = "justify"|Tento argument špecifikuje protokol, ktorý sa má použiť vo vnútri triedy proxy. Prednastavení protokolom je SOAP. Ďalšie podporované protokoly sú HTTP POST a HTTP GET.
|-
|align = "justify"|/serverInterface
|align = "justify"|Na základe WSDL dokumentu sa vygeneruje kostra webovej služby na strane servera.
|-
|}

Pre korektnú komunikáciu medzi webovou službou a klientmi, aj kvôli zvýšenej bezpečnosti strane prevádzkovateľa webovej služby sa využíva implementácia triedy proxy prostredníctvom DLL (Dynamic-link library) knižnice u klienta.

====Popis kódu triedy proxy====

Každá trieda proxy je vytvorená odvodením z triedy :

* '''System.Web.Services.Protocols.SoapHttpClientProtocol,'''
* '''System.Web.Services.Protocols.HttpGetClientProtocol,'''
* '''System.Web.Services.Protocols.HttpPostClientProtocol.'''
Konkrétny typ použitej triedy, záleží od špecifikácie protokolu, ktorý má trieda proxy používať, pri generovaní prostredníctvom utility wsdl.exe.

Vytvorenie triedy proxy odvodením z príslušnej triedy .NET Framework, umožňuje triede proxy korektne formátovať a konvertovať správy. Dôležité zdedené členy triedy proxy sú v Tab. 2.11.

{|class="wikitable"
'''Tab. 2.11''' Popis členov triedy proxy <nowiki>[</nowiki>7<nowiki>]</nowiki>
|align = "justify"|'''Člen triedy proxy'''
|align = "justify"|'''Popis'''
|-
|align = "justify"|BeginInvoke()
|align = "justify"|Metóda zahajujúca asynchrónne volanie webovej metódy.
|-
|align = "justify"|CancelAsync()
|align = "justify"|Metóda preruší asynchrónne volanie webovej metódy.
|-
|align = "justify"|EndInvoke()
|align = "justify"|Metóda ukončí asynchrónne volanie webovej metódy.
|-
|align = "justify"|AsynInvoke()
|align = "justify"|Metóda zahajujúca asynchrónne volanie webovej metódy, doporučená metóda.
|-
|align = "justify"|Invoke()
|align = "justify"|Metóda zahajujúca synchrónne volanie webovej metódy.
|-
|align = "justify"|Proxy
|align = "justify"|Vlastnosť slúžia na nastavenie a získanie informácie proxy.
|-
|align = "justify"|Timeout
|align = "justify"|Metóda umožňujúca nastaviť dobu čakanie klientskej aplikácie na odpoveď od webovej služby v milisekundách.
|-
|align = "justify"|Url
|align = "justify"|Vlastnosť slúžia na nastavenie alebo získanie URL ASP.NET webovej služby.
|-
|align = "justify"|UserAgent
|align = "justify"|Vlastnosť slúžiaca na nastavenie hlavičky agenta užívateľa, ktorá je odosielaná s každou SOAP požiadavkou, slúži na identifikáciu klienta.
|-
|}

Asynchrónne volanie XML ASP.NET webových služieb umožňuje klientskej aplikácii pokračovať v činnosti, zatiaľ čo čaká na odpoveď od webovej služby. Asynchrónne volanie webovej služby má zmysel použiť, pokiaľ je server webovej služby je pripojený pomalým sieťovaním pripojením. Týmto spôsobom volania webových metód sa v práci nebudeme zaoberať.

Komunikácia klientskej aplikácie s využitím triedy proxy je znázornená na Obr. 2.2.

[[Súbor:dp_2010_jm_4.png|framed|center|Obr. 2.2 Komunikácia klienta s webovou službou prostredníctvom triedy proxy]]

XML ASP.NET webové služby

2010-05-18T20:11:48Z

Ian: /* XML ASP.NET webové služby */

[[Kategória:Študentské práce]][[Kategória:Diplomové práce]][[Kategória:Informatika]][[Kategória:Webové služby]]
{{Praca_uvod|2|Návrh a implementácia bezpečnostnej technológie pre webové služby|XML a webové služby |XML ASP.NET webové služby|Zabezpečennie webových aplikácií|Integrita a dôvernosť komunikácie|Autentifikácia|Autorizácia webových služieb|Zabezpečenie webových služieb|XML security|SOAP Security Enhancement pre ASP.NET webové služby}}
__TOC__
= =
==XML ASP.NET webové služby==

V predchádzajúcej kapitole sme si vysvetlili princípy XML webových služieb, popísali štandardy na ktorých sú vystavané, ich výhody aj nevýhody a spôsob, akým komunikujú webové služby s klientskymi aplikáciami.

Táto práca sa zaoberá bezpečnosťou XML ASP.NET webových služieb. Technológia ASP.NET je integrovaná s programovou platformou .NET Framework. .NET Framework predstavuje programovú platformu, ktorá je rozčlenená do kolekcie funkčných častí, zahŕňajúcich viac ako 7000 tried, štruktúr, rozhraní a ďalších typov. Každá zo skupiny tried v .NET Framework je zoskupená do logickej a hierarchického kontajnera, nazývaného menný priestor. Pre viac informácii o platforme .NET Framework odporúčame referenčnú príručku .NET <nowiki>[</nowiki>31<nowiki>]</nowiki>. Na Obr. 1.2 je znázornená štruktúra programovej platformy .NET Framework 3.5.

[[Súbor:dp_2010_jm_3.png|framed|center|Obr. 2.1 .NET Framework 3.5 <nowiki>[</nowiki>2<nowiki>]</nowiki>]]

Obr. Chyba! V dokumente nie je žiaden text v zadanom štýle..3 .NET Framework 3.5 <nowiki>[</nowiki>2<nowiki>]</nowiki>

ASP.NET implementuje XML webové služby ako súbory s príponou .asmx. Kód webovej služby môže byť umiestnený priamo do súboru .asmx alebo do triedy v súbore s kódom na pozadí. Táto práca predpokladá určitú znalosť programovej platformy .NET Framework a technológie ASP.NET, a preto sa nebudeme samotnou programovou platformou v práci zaoberať.

Pri vytváraní XML ASP.NET webových služieb pod platformou .NET Framework je nutné sa najskôr oboznámiť s niektorými mennými priestormi .NET Framework, ktoré umožňujú komunikovať s technológiou XML webových služieb. Popis jednotlivých menných priestoroch je v Tab. 2.1.

{|class="wikitable"
'''Tab. 2.1''' Menné priestory .NET Framework zamerané na XML ASP.NET webové služby <nowiki>[4</nowiki><nowiki>]</nowiki></nowiki>
|align = "justify"|'''Menný priestor'''
|align = "justify"|'''Význam'''
|-
|align = "justify"|System.Web.Service
|align = "justify"|Obsahuje základné typy nutné pri vytváraný XML webových služieb.
|-
|align = "justify"|System.Web.Service.Configuration
|align = "justify"|Obsahuje typy, ktoré umožňujú konfiguráciu správania sa webových služieb ASP.NET
|-
|align = "justify"|System.Web.Service.Description
|align = "justify"|Obsahuje typy, ktoré umožňujú programátorsky komunikovať s dokumentom WSDL popisujúci danú XML ASP.NET webovú službu.
|-
|align = "justify"|System.Web.Service.Discovery
|align = "justify"|Obsahuje typy, ktoré umožňujú klientovi webovej služby programátorsky zistiť, aké webové služby sú nainštalované na danom servery.
|-
|align = "justify"|System.Web.Service.Discovery
|align = "justify"|Definuje typy, ktoré reprezentujú základ rôznych protokolov XML webových služieb , napríklad HTTP GET, HTTP POST a SOAP.
|-
|}

Všetky menné priestory zamerané na XML ASP.NET webové služby sú obsiahnuté v assembly '''System.Web.Services.dll'''.<nowiki>[</nowiki>1<nowiki>]</nowiki>

Najdôležitejší menný priestor pri vytváraný XML ASP.NET webových služieb je '''System.Web.Services'''. Popis členov tohto menného priestoru je v Tab. 2.2

{|class="wikitable"
'''Tab. 2.2''' Popis menného priestoru System.Web.Services <nowiki>[</nowiki>2<nowiki>]</nowiki>
|align = "justify"|'''Menný priestor'''
|align = "justify"|'''Význam'''
|-
|align = "justify"|WebMethodAttribute
|align = "justify"|Pokiaľ je metóda alebo vlastnosť triedy webovej služby špecifikovaná pomocou tohoto atribútu, znamená to, že člena bude možné volať cez HTTP kanál a serializovať ako XML.
|-
|align = "justify"|WebService
|align = "justify"|Predstavuje základnú, nepovinnú triedu XML ASP.NET webových služieb budovaných pomocou .NET. Pokiaľ je trieda XML webovej služby odvodená z tejto základnej triedy, bude mat schopnosť si uchovávať stavové informácie.
|-
|align = "justify"|WebServiceAttribute
|align = "justify"|Pomocou tohto atribútu sa dajú pridávať informácie do webovej služby, ako napríklad reťazec popisujúci jej funkcionalitu a podkladový priestor XML.
|-
|align = "justify"|WebServiceBindingAttribute
|align = "justify"|Tento atribút deklaruje protokol viazania, ktorý XML ASP.NET webová služba implementuje.
|-
|align = "justify"|WsiProfiles
|align = "justify"|Popisuje špecifikáciu interoperability webovej služby (WSI).
|-
|}

===Základná trieda WebService===

Pokiaľ vytvárame XML ASP.NET webovú službu s využitím IDE Visual Studio, novovytvorené trieda webovej služby automaticky odvodená zo základnej triedy WebService. (pozri Tab. 2.3). To, že trieda webovej služby dedí zo základnej triedy WebService umožňuje prístup ku všetkým zabudovaným objektom ASP.NET, napríklad Application, Session atd. Vlastnosti základnej triedy WebService, ktoré získa trieda webovej služby dedením sú v Tab. 2.4.

{|class="wikitable"
'''Tab. 2.3 ''' Vytvorenie triedy webovej služby dedením zo základnej triedy WebService
|-
|<source lang="csharp">
WebServiceClass: System.Web.Services
</source>

|}

{|class="wikitable"
'''Tab. 2.4''' Vlastnosti základnej triedy WebService <nowiki>[</nowiki>1<nowiki>]</nowiki>
|align = "justify"|'''Vlastnosť'''
|align = "justify"|'''Význam'''
|-
|align = "justify"|Application
|align = "justify"|Inštancia triedy HttpApplicationState, ktorá poskytuje prístup k globálnemu stavu webovej aplikácie.
|-
|align = "justify"|Context
|align = "justify"|Poskytuje prístup k HttpContext, ktorý zapúzdruje všetky špecifiká http kontextu pre aktuálnu požiadavku.
|-
|align = "justify"|Server
|align = "justify"|Poskytuje prístup k objektu HttpServerUtility aktuálneho požiadavku.
|-
|align = "justify"|Session
|align = "justify"|Inštancia triedy HttpSessionState, ktorá poskytuje prístup k aktuálnemu stavu relácie.
|-
|align = "justify"|User
|align = "justify"|Objekt IPrincipal, ktorý umožňuje preskúmať oprávnenia a rolu užívateľa, ktorý bol autentifikovaný.
|-
|}

===Atribúty triedy XML ASP.NET webovej služby===

Každá trieda XML ASP.NET webovej služby môže byť kvalifikovaná pomocou atribútov <nowiki>[</nowiki>7<nowiki>]</nowiki>:

* WebService,
* WebServiceBinding.

====Atribút WebService====

Atribút WebService podporuje niekoľko pomenovaných vlastností, konkrétne tieto <nowiki>[</nowiki>2<nowiki>]</nowiki>:

* Namespace,
* Description,
* Name.
Prostredníctvom vlastnosti '''Namespace''', môžeme vytvoriť menný XML priestor, ktorý sa bude používať vo vnútri WSDL dokumentu (pozri Tab. 2.6). Vlastnosť '''Description''' popisuje webovú službu prostredníctvom textového reťazca. Prostredníctvom vlastnosti '''Name''' môžeme oddeliť názov triedy webovej služby od názvu, pod ktorým bude webová služba sprístupnená z Internetu alebo LAN. <nowiki>[</nowiki>1<nowiki>]</nowiki>

{|class="wikitable"

'''Tab. 2.5''' Vlastnosti atribútu WebService
|-
|<source lang="csharp">
[WebService(Description="Secure web service",
Namespace = "http://DiplomaWork.sk/",
Name= "SecureWebService")]
public class WebServiceClas : System.Web.Services.WebService
{...}
</source>
|}

{|class="wikitable"
'''Tab. 2.6''' Menný priestor WSDL
|-
|<source lang="xml">
<wsdl:documentation xmlns:wsdl="http://schemas.xmlsoap.org/wsdl/">Secure web service</wsdl:documentation>
</source>

|}

====Atribút WebServiceBinding====

Atribút '''WebServiceBinding''' špecifikuje, či je XML ASP.NET webová služba v súlade s Web Services Interoperability (WSI) Basic Profile 1.1. <nowiki>[</nowiki>3<nowiki>]</nowiki> Tým, že je trieda webovej služby kvalifikovaná atribútom WebServiceBinding, prehlasuje, že je v súlade so špecifikáciou WSI Basic Profile 1.1. Špecifikácia WSI Basic Profile odstraňuje nejednoznačnú interpretáciu prvokov WSDL dokumentu webovými servermi, napríklad IIS, Apache a architektúrami .NET a J2EE. Prostredníctvom vlastnosti '''ConformsTo''' atribútu WebServiceBinding môžeme nastaviť, či je daná webová služba v súlade so špecifikáciou WSI. Vlastnosť ConformsTo môže nadobúdať tieto hodnoty <nowiki>[</nowiki>3<nowiki>]</nowiki>:

* None, webová služba neprehlasuje že je v súlade s WSI.
* BasicProfile1_1, webová služba prehlasuje že je v súlade so špecifikáciou WSI Basic Profile 1.1.

{|class="wikitable"
'''Tab. 2.7''' Atribút WebServiceBinding
|-
|<source lang=csharp>
[WebServiceBinding(ConformsTo = WsiProfiles.BasicProfile1_1)]
public class WebServiceClas : System.Web.Services.WebService
{...}
</source>
|}

====Atribút WebMethod====

Atribút WebMethod, musí byť aplikovaný na každú metódu triedy XML ASP.NET webovej služby, ktorá má byť dostupná cez HTTP kanál a serializovaná ako XML. Vlastnosti atribútu WebMethod sú v Tab. 2.8.

{|class="wikitable"
'''Tab. 2.8''' Vlastnosti atribútu WebMethod <nowiki>[</nowiki>4<nowiki>]</nowiki>
|align = "justify"|'''Argument'''
|align = "justify"|'''Význam'''
|-
|align = "justify"|Description
|align = "justify"|Popis webovej metódy.
|-
|align = "justify"|MessageName
|align = "justify"|Alias mena metódy, ktorý je používaný v prípade, že máme preťažované metódy, alebo pokiaľ chceme sprístupniť webovú metódu pod iným názvom.
|-
|align = "justify"|CacheDuration
|align = "justify"|Doba, na ktorú je uložená odpoveď webovej metódy do cache. Štandardne je hodnota cache nastavená na nula.
|-
|align = "justify"|EnableSession
|align = "justify"|Určuje, či daná webová metóda môže pristupovať k informácia v kolekcií Session. Umožňuje vytvoriť reláciu medzi webovou službou a klientom.
|-
|align = "justify"|TransactionOption
|align = "justify"|Nastaví, či daná webové metóda podporuje transakcie. Nakoľko webové služby sú bezstavové, môžu sa zúčastniť iba ako koreňový objekt transakcie.
|-
|align = "justify"|BufferResponse
|align = "justify"|Táto vlastnosť umožňuje riadiť, kedy budú dáta vrátené z webovej služby zaslané na klienta. Štandardne je vlastnosť BufferResponse nastavená na true. To znamená, že všetky výsledky sú pre zaslaním na klienta serializované. Pokiaľ je BufferResponse nastavená na false, výsledky sú serializované a posielané na klienta po častiach. Nastavenie vlastnosti BufferResponse na false ma zmysel, len vtedy ak webová služba vracia veľké množstvo dát.
|-
|}

Pri používaný XML ASP.NET webových služieb existujú určité obmedzenia ohľadom vstupných parametrov webových metód a ich návratových hodnôt. Tieto obmedzenie sú z toho dôvodu, že webové služby sú vybudované na štandardoch pre výmenu dát, a tie sú založené na jazyku XML. Webové metódy pracujú so sadou dátových typov, ktoré sú rozpoznávané štandardom schémy XML. Dátové typy webových metód XML ASP.NET webových služieb sú v Tab. 2.9. Toto obmedzenie je logické, pretože iné programovacie jazyky nemajú žiadne mechanizmy na rozpoznávanie napríklad komplexných tried, neboli by schopné interpretovať takéto dátové typy.

{|class="wikitable"
'''Tab. 2.9''' Dátové typy pre parametre a návratové hodnoty webových metód <nowiki>[</nowiki>1<nowiki>]</nowiki>
|align = "justify"|'''Dátový typ'''
|align = "justify"|'''Popis'''
|-
|align = "justify"|Základné dátové typy
|align = "justify"|Jednoduché dátové typy ako int, long, float, double, bool, string, char, byte a iné.
|-
|align = "justify"|Polia
|align = "justify"|Webové služby dokážu pracovať s akýmkoľvek polom podporovaného typu, prípadne kolekciami .NET ako HashTable, prípadne binárnymi poliami.
|-
|align = "justify"|Vlastné objekty
|align = "justify"|Akýkoľvek vlastný objekt môže byť, môže byť webovou službou poslaní na klienta. Prenášajú sa iba verejné členy triedy.
|-
|align = "justify"|Enumerations
|align = "justify"| 
|-
|align = "justify"|XmlNode
|align = "justify"|Objekty založené na System.XmlNode reprezentujúce časti XML dokumentu.
|-
|align = "justify"|DataSet a DataTable
|align = "justify"|Tieto objekty patria medzi dátové objekty ADO.NET a môžu byť použité pre posielanie informácií z relačnej databázy. Tieto objekty sú XML ASP.NET webovou službou automaticky skonvertované na XML.
|-
|}

===Trieda proxy===

Pre korektnú komunikácia klienta s XML ASP.NET webovou službou, musí byť klient schopný vytvárať, posielať a dostávať SOAP správy založené na XML, ktorým bude rozumieť. Principiálne jednoduchý proces, ale v praxi veľmi obtiažny, nakoľko by sme museli dookola písať rovnaký kód infraštruktúry nižšej úrovne. <nowiki>[</nowiki>4<nowiki>]</nowiki>

Platforma .NET to rieši v podobe '''triedy proxy''', ktorá to vykonáva miesto klientskej aplikácie. Trieda proxy zabezpečuje správne vytváranie formátu SOAP správa, riadi prenos správ pomocou HTTP po sieti, tak isto konvertuje výsledok prijatej správy do správneho formátu.

Na vytvorenie triedy proxy v .NET existujú dva spôsoby <nowiki>[</nowiki>1<nowiki>]</nowiki>:

* Pomocou utility wsdl.exe.
* Pomocou webovej referencie v IDE Visual Studio.
Generovanie triedy proxy prostredníctvom utility wsdl.exe''' '''je flexibilnejšie, nakoľko nám umožňuje vygenerovaný kód danej triedy modifikovať.

Názov utility wsdl.exe je odvodený od štandardu Web Service Description Language pre popis XML webových služieb. Tento nástroj vygeneruje z XML webovej služby zdrojový kód triedy proxy vo zvolenom jazyku.

Utilita wsdl.exe podporuje veľké množstvo prepínačov, najbežnejšie argumenty sú v Tab. 2.10.

{|class="wikitable"
'''Tab. 2.10''' Argumenty utility wsdl.exe <nowiki>[</nowiki>1<nowiki>]</nowiki>
|align = "justify"|'''Argument'''
|align = "justify"|'''Význam'''
|-
|align = "justify"|/appsettingurlkey
|align = "justify"|Trieda proxy bude nakonfigurovaná tak, aby načítavala URL zo súboru .<nowiki>*</nowiki>config na klientskej strane.
|-
|align = "justify"|/language
|align = "justify"|Pomocou tohto argumentu špecifikujeme jazyk pre vygenerovanú triedu (C<nowiki> </nowiki>, VB.NET, JS, VJS).
|-
|align = "justify"|/namespace
|align = "justify"|Argument špecifikuje menný priestor pre vygenerovanú triedu proxy.
|-
|align = "justify"|/out
|align = "justify"|Špecifikuje súbor do ktorého sa uloží vygenerovaný kód proxy.
|-
|align = "justify"|/protocol
|align = "justify"|Tento argument špecifikuje protokol, ktorý sa má použiť vo vnútri triedy proxy. Prednastavení protokolom je SOAP. Ďalšie podporované protokoly sú HTTP POST a HTTP GET.
|-
|align = "justify"|/serverInterface
|align = "justify"|Na základe WSDL dokumentu sa vygeneruje kostra webovej služby na strane servera.
|-
|}

Pre korektnú komunikáciu medzi webovou službou a klientmi, aj kvôli zvýšenej bezpečnosti strane prevádzkovateľa webovej služby sa využíva implementácia triedy proxy prostredníctvom DLL (Dynamic-link library) knižnice u klienta.

====Popis kódu triedy proxy====

Každá trieda proxy je vytvorená odvodením z triedy :

* '''System.Web.Services.Protocols.SoapHttpClientProtocol,'''
* '''System.Web.Services.Protocols.HttpGetClientProtocol,'''
* '''System.Web.Services.Protocols.HttpPostClientProtocol.'''
Konkrétny typ použitej triedy, záleží od špecifikácie protokolu, ktorý má trieda proxy používať, pri generovaní prostredníctvom utility wsdl.exe.

Vytvorenie triedy proxy odvodením z príslušnej triedy .NET Framework, umožňuje triede proxy korektne formátovať a konvertovať správy. Dôležité zdedené členy triedy proxy sú v Tab. 2.11.

{|class="wikitable"
'''Tab. 2.11''' Popis členov triedy proxy <nowiki>[</nowiki>7<nowiki>]</nowiki>
|align = "justify"|'''Člen triedy proxy'''
|align = "justify"|'''Popis'''
|-
|align = "justify"|BeginInvoke()
|align = "justify"|Metóda zahajujúca asynchrónne volanie webovej metódy.
|-
|align = "justify"|CancelAsync()
|align = "justify"|Metóda preruší asynchrónne volanie webovej metódy.
|-
|align = "justify"|EndInvoke()
|align = "justify"|Metóda ukončí asynchrónne volanie webovej metódy.
|-
|align = "justify"|AsynInvoke()
|align = "justify"|Metóda zahajujúca asynchrónne volanie webovej metódy, doporučená metóda.
|-
|align = "justify"|Invoke()
|align = "justify"|Metóda zahajujúca synchrónne volanie webovej metódy.
|-
|align = "justify"|Proxy
|align = "justify"|Vlastnosť slúžia na nastavenie a získanie informácie proxy.
|-
|align = "justify"|Timeout
|align = "justify"|Metóda umožňujúca nastaviť dobu čakanie klientskej aplikácie na odpoveď od webovej služby v milisekundách.
|-
|align = "justify"|Url
|align = "justify"|Vlastnosť slúžia na nastavenie alebo získanie URL ASP.NET webovej služby.
|-
|align = "justify"|UserAgent
|align = "justify"|Vlastnosť slúžiaca na nastavenie hlavičky agenta užívateľa, ktorá je odosielaná s každou SOAP požiadavkou, slúži na identifikáciu klienta.
|-
|}

Asynchrónne volanie XML ASP.NET webových služieb umožňuje klientskej aplikácii pokračovať v činnosti, zatiaľ čo čaká na odpoveď od webovej služby. Asynchrónne volanie webovej služby má zmysel použiť, pokiaľ je server webovej služby je pripojený pomalým sieťovaním pripojením. Týmto spôsobom volania webových metód sa v práci nebudeme zaoberať.

Komunikácia klientskej aplikácie s využitím triedy proxy je znázornená na Obr. 2.2.

[[Súbor:dp_2010_jm_4.png|framed|center|Obr. 2.2 Komunikácia klienta s webovou službou prostredníctvom triedy proxy]]

Návrh a implementácia bezpečnostnej technológie pre webové služby

2010-05-18T20:11:03Z

Ian: /* Životný cyklus webovej služby */

[[Kategória:Študentské práce]][[Kategória:Diplomové práce]][[Kategória:Informatika]][[Kategória:Webové služby]]
{{Hlavička_FM|{{PAGENAME}}|Bc. Ján Minárik|
Ing. Tomáš Páleník|
2009/2010
|Diplomový projekt
|Mechatronika
}}
{{Praca_uvod|1|Návrh a implementácia bezpečnostnej technológie pre webové služby|XML a webové služby |XML ASP.NET webové služby|Zabezpečennie webových aplikácií|Integrita a dôvernosť komunikácie|Autentifikácia|Autorizácia webových služieb|Zabezpečenie webových služieb|XML security|SOAP Security Enhancement pre ASP.NET webové služby}}
__TOC__
{{Abstrakt
|Webové služby predstavujú technológiu založenú na otvorených štandardoch. Stali sa vhodným nástrojom na riešenie integračných problémov v dnešnom zložitom a heterogénnom počítačovom svete. Uplatňujú sa pri budovaní podnikovej aplikačnej architektúry až po distribuovanie komplexných matematických výpočtov.
Táto práca sa zaoberá možnosťami zabezpečenia XML webových služieb a chybami, ktoré pri zabezpečovaní XML webových služieb vznikajú. Je tu prezentovaný vlastný návrh a implementácia bezpečnostnej platformy pre ASP.NET webové služby. Platforma SOAP Security Enhancement poskytuje dva spôsoby autentifikácie klientov, na základe X509 certifikátov a autentifikačných lístkov v SOAP hlavičke. SOAP Security Enhancement podporuje selektívne šifrovanie s využitím kryptografického algoritmu Advanced Encryption Standard a digitálne podpisovanie SOAP správ podľa štandardu XML Signature. Ako autorizačný mechanizmus sme zvolili programovú impersonáciu.

|The XML web services introduce technology that is based on open standards. The web service became an adequate solution for integration problems in modern heterogeneous computers networks. They find their place at business application architecture construction till the distribution of complex mathematical calculation.
The thesis deals with the possibilities of securing XML web services and weakness of XML web security. There is also presented description, design and implementation of the own security platform, called SOAP Security Enhancement. SOAP Security Enhancement offers two ways of client’s authentication with X509 certificate and authentication ticket in SOAP headers. SOAP Security Enhancement supports selectively encryption of SOAP messages with cryptographic algorithm Advanced Encryption Standard and digital sign of SOAP messages by XML Signature standards. Authorization of clients is based on programmatically impersonation.

}}

'''Úvod'''

XML webové služby predstavujú technológiu pre vytváranie distribuovaných aplikácii. Podarilo sa im vyriešiť problém interoperability a zameniteľnosti, s ktorou sa napríklad stretávame pri technológií komponentov. V praxi sú XML webové služby začleňované do servisne orientovaných architektúr. Tu sa prejaví ich hlavný nedostatok, a tým je bezpečnosť. Interoperabilita webových služieb je dosiahnutá použitím SOAP správ, v ktorých sú dáta prenášané vo forme XML. Samotný protokol SOAP nezabezpečuje nijakým spôsobom integritu a dôvernosť komunikácie medzi webovou službou a klientom.
Táto práca sa zaoberá vytvorením bezpečného komunikačného scenára medzi ASP.NET webovou službou a klientskou aplikáciou. V práci sa čitateľ oboznámi so samotnou technológiou XML webových služieb, štandardoch, ktoré používa a takisto je mu priblížené technologické pozadie ASP.NET webových služieb. Ďalej sa v práci venujeme možnostiam autentifikácie, autorizácie klientov ASP.NET webovej služby a spôsobom, akým môžeme zabezpečiť dôvernosť a integritu komunikácie. Tie predstavujú hlavné piliere bezpečnosti webových aplikácii. V kapitolách sú postupne opísané jednotlivé možnosti, vysvetlené ich výhody aj nevýhody, ktoré prináša ich použitie. Hlavná časť práce sa týka vlastnej bezpečnostnej platformy, ktorá poskytuje autentifikáciu klientov, autorizáciu na základe programovej impersonácie a zabezpečuje vytvorenie integrity a dôvernosti komunikačného kanála. Dôvernosť komunikačného kanála je zabezpečená digitálnym podpisovaním SOAP správ a integrita pomocou selektívneho šifrovanie SOAP správ s využitím kryptografického algoritmu AES

=XML a webové služby=
==Porovnanie XML webových služieb s technológiou COM a CORBA==
XML webové služby môžeme definovať ako technológiu založenú na otvorených štandardoch XML, SOAP a WSDL, umožňujúcu vzdialené volanie metód v prostredí internetu. Môže sa zdať, že XML webové služby predstavujú len ďalšiu z radu technológii umožňujúcu remoting.
Na to aby sme pochopili skutočný význam XML webových služieb, sa musíme stručne oboznámiť s technológiou komponentov, ktorá sa objavila v 90. rokoch minulého storočia. V tomto období vznikli dve dominantné technológie COM a CORBA. Ich protokoly umožňovali RPC a ich štandardy boli implementované v rôznych počítačových sieťach. Tieto technológie boli značne sofistikované, ale priniesli so sebou veľa problémov [4]. Napríklad obtiažne nastavenie v lokálnych sieťach a takisto neumožňovali vzájomnú spoluprácu. To znamená pokiaľ sme chceli vybudovať distribuovaný systém, ktorý pozostával z niekoľkých operačných, museli sme pre všetky počítače nadefinovať rovnaký formát paketu, prenosového protokolu atd. S masívnym rozšírením Internetu sa objavili nové problémy, ako priechodnosť protokolov DCOM a CORBA cez firewall a tak isto to, že tieto protokoly sú orientované na spojenie. To znamená, že po celú dobu komunikácie klienta so serverom sa udržuje spojenie. Na strane servera sa môžu uchovávať informácie o klientoch, to môže predstavovať určitý problém, keď klient nekorektne ukončí spojenie, sú zbytočne využívané systémové zdroje. Pokiaľ sa na server snaží pripojiť súčasne veľký počet klientov, server veľmi rýchlo vyčerpá svoju pamäť a kapacitu spojenia [2].
Adekvátnou odpoveďou na riešenie problémov spojených s technológiou komponentov a ich využití pri RPC sa stali XML webové služby. Platforma XML webových služieb predstavuje jednoduché, interoperabilné pracovné prostredie. XML webové služby sa stali vhodným nástrojom na riešenie integračných problémov v dnešnom heterogénnom prostredí počítačových sietí. Problém priechodnosti protokolu cez firewall je u XML webových služieb vyriešení použitím HTTP ako transportného protokolu, a tak isto protokol HTTP je bezstavový. Tým je zabezpečené, že pri nekorektnom ukončení komunikácie klienta s XML webovou službou nie sú zbytočne využívané systémové zdroje [1].
Komunikácie klienta a XML webovej služby je založená na posielaný SOAP správ prostredníctvom HTTP kanála. Klient pošle požiadavku vo forme SOAP správy, XML webová služba ju príjme, vyvolá príslušnú webovú metódu. Výsledok je klientovi zaslaný opätovne vo forme SOAP správy. Následne je spojenie ukončené. XML webové služby dokážu komunikovať s klientmi nezávisle od platformy, na rozdiel od technológie komponentov. To znamená, že nie sú závislé na OS ani na programovacom jazyku, v ktorom boli vytvorené. Dôvod je ten, že na reprezentáciu údajov používajú XML. XML predstavuje štandard špecifikovaný konzorciom W3C pre popis štruktúrovaných dát pomocou čistého textu. V Tab, 1.1 je možné prehľadne vidieť porovnanie technológii DCOM, CORBA a XML webových služieb.
{|class="wikitable"
'''Tab. 1.1''' Porovnanie jednotlivých distribuovaných technológii <nowiki>[4</nowiki><nowiki>]</nowiki>
|-
| 
!CORBA
!DCOM
!Webová služba
|-
!Mechanizmus vzdialeného volania<br>funkcie
|align = "center"|IIOP
|align = "center"|DCE-RPC
|align = "center"|HTTP
|-
!Kódovanie
|align = "center"|CDR
|align = "center"|NDR
|align = "center"|XML
|-
!Popis rozhrania
|align = "center"|IDL
|align = "center"|IDL
|align = "center"|WSDL
|-
!Sprístupnenie
|align = "center"|Naming service<br>Tranding service
|align = "center"|Register
|align = "center"|UDDI
|-
!Prívetivosť voči firewallu
|align = "center"|Nie
|align = "center"|Nie
|align = "center"|Áno
|-
!Zložitosť protokolov
|align = "center"|Vysoká
|align = "center"|Vysoká
|align = "center"|Nízka
|-
!Použitie medzi platformami
|align = "center"|Čiastočná
|align = "center"|Nie
|align = "center"|Áno
|}

==Štandardy XML webových služieb==
Za úspechom webových služieb stoja otvorené štandardy, na ktorých sú XML webové služby vystavané. XML webové služby využívajú štandardizované :
*komunikačné protokoly,
*formáty na popis dát,
*popisné jazyky,
*mechanizmy na „objavovanie“ XML webových služieb.

Pri budovaní XML webových služieb sa využívajú tieto štandardy:
*Simple Object Access Protocol,
*Web Service Description Language,
*Hypertext Transfer Protocol.
V nasledujúcej podkapitole sa budeme venovať práve štandardom XML webových služieb.

==Simple Object Access Protocol==
Ako sme už spomenuli, komunikácia XML webových služieb prebieha prostredníctvom zasielania SOAP správ cez HTTP kanál. Na to, aby sme mohli pochopiť princíp XML webových služieb, sa musíme najskôr oboznámiť so SOAP. SOAP predstavuje medziplatformový štandard, ktorý je používaný pre formátovanie správ zasielaných medzi XML webovými službami a klientskymi aplikáciami. Výhoda SOAP je v jeho flexibilite a jednoduchosti. SOAP môžeme použiť aj s iným transportným protokolom ako HTTP, napríklad SOAP správy môžeme posielať priamo cez TCP/IP spojenie [4].
Každá SOAP správa predstavuje XML dokument. Tento XML dokument ma jeden koreňový prvok <Envelope> , ktorý slúži ako obálka SOAP správy. Zvyšok správy je vo vnútri obálky, ktorá obsahuje hlavičku (prvok <Header>) a telo správy (prvok <Body>). Formát SOAP správy je znázornený na obrázku 1.3.1.[10]

[[Súbor:dp_2010_jm_1.png|framed|center|Obr. 1.1 SOAP správa <nowiki>[</nowiki>3<nowiki>]</nowiki>]]

Existujú dva štýly SOAP [2]:
*štýl dokumentu SOAP (document-style SOAP),
*RPC štýl SOAP.
RPC štýl SOAP je využívaný pri volaní vzdialených objektov. Štýl dokumentu SOAP
zobrazuje dáta, ktoré sú vymenované ako dokumenty, čiže každá SOAP správa obsahuje v tele XML dokument. Tento spôsob kódovania SOAP správ je flexibilnejší ako RPC štýl SOAP. Preto je využívaný XML webovými službami.
SOAP dáta môžu byť kódované dvoma spôsobmi, ako [4] :
*literal,
*SOAP sekcia 5 (SOAP section 5).
Pri kódovaní literal, sú dáta kódované ako špecifické XML schéma. Pri kódovaní SOAP sekcia 5, sú dáta kódované podľa podobných, ale prísnejších pravidiel, stanovených v špecifikácii sekcie 5 štandardu SOAP. Dôvod existencie kódovanie SOAP sekcia 5, je ten že SOAP bolo vyvinuté, ešte pred dokončením štandardu XML schéma. Všetky XML webové služby štandardne využívajú kódovanie literal.

V súčasnosti existujú dve verzie SOAP [10]:
*SOAP 1.1,
*SOAP 1.2.
===Štruktúra Simple Object Access Protocol===

Každá SOAP správa je uzatvorená do koreňového elementu <Envelope>. Vo vnútri obálky sa nachádza nepovinný element <Header> a povinný element <Body>. V tabuľke 1.2 je znázornená základná štruktúra SOAP správy.

{|class="wikitable"
'''Tab. 1.2''' Základná štruktúra SOAP správ
|-
| <source lang="xml">
<soap:Envelope xmlns:soap="http://schemas.xmlsoap.org/soap/envelope/">
<soap:Header>
</soap:Header>
<soap:Body>
</soap:Body>
</soap:Envelope>
</source>
|}

==Web Service Description Language==
WSDL je jazyk založený na XML, ktorý sa používa na popis verejného rozhrania webových služieb a komunikačných protokolov, ktoré podporujú. WSDL predstavuje metajazyk popisujúci tieto charakteristiky webovej metódy [5]:
*názov webovej metódy,
*počet, typy a poradie parametrov,
*typ návratovej hodnoty,
*volajúce konvencie HTTP GET, HTTP POST a SOAP.
Výhodou WSDL je to, že nie je zviazaný so žiadnou platformou alebo objektovým modelom. Je to jazyk XML, ktorý poskytuje rozhranie pre webové služby v rámci všetkých platforiem.
===Základná štruktúra Web Service Description Language===
WSDL dokument je tvorený z piatich hlavných elementov, ktoré sa navzájom kombinujú a popisujú XML webovú službu. Prvé tri elementy <types>, <message> a <portType> sú abstraktné. Vzájomne sa kombinujú a definujú rozhranie XML webovej služby. Posledné dva <binding> a <service> definujú protokol. WSDL dokument má jeden koreňový element <definitions>. Vo vnútri koreňového elementu sa nachádza päť hlavných elementov, pričom element <message> sa môže vyskytnúť viackrát. V Tab. 1.3 je uvedená základná štruktúra WSDL dokumentu.[5],[6]

{|class="wikitable"
'''Tab. 1.3''' Štruktúra WSDL dokumentu
|-
|<source lang="xml">
<wsdl:definitions xmlns:soap="http://schemas.xmlsoap.org/wsdl/soap/">
<wsdl:types>
</wsdl:types>
<wsdl:message>
</wsdl:message>
<wsdl:portType >
</wsdl:portType>
<wsdl:binding>
</wsdl:binding>
<wsdl:service>
</wsdl:service>
</wsdl:definitions>
</source>
|}

Opis hlavných elementov WSDL dokumentu [11]:
*Types. V tejto sekcii sú definované všetky dátové typy XML webovej služby, patria sem aj vlastné dátové typy a formáty správ.
*Message. Táto sekcia poskytuje podrobné informácie o správach a o SOAP požiadavkách a SOAP odpovediach, ktoré sú používané pri komunikácii s XML webovou službou.
*PortType. Táto sekcia zoskupuje informácie do dvojice vstupných a výstupných správ. Každá dvojica reprezentuje metódu.
*Binding. Táto sekcia poskytuje informácie o transportných protokoloch podporovaných XML webovou službou.
*Service. Táto sekcia poskytuje koncové body (URI adresy) webovej služby.
U XML webových služieb vyvíjaných v rámci firmy poprípade pre menší okruh užívateľov sa WSDL dokument generuje automaticky webovým serverom, alebo nástrojom určením na tento účel. Existuje však spôsob vývoja XML webových služieb, ktorý sa nazýva “first WSDL” (najskôr WSDL), kedy sa najskôr vytvorený samotný WSDL dokument, popisujúci XML webovú službu a až potom samotná XML webová služba [7]. Tento spôsob slúži na zvýšenie interoperability. Táto technika vývoja XML webových služieb je nad rámec tejto práce a preto sa ňou nebudeme zaoberať.
Protokol SOAP a HTTP predstavujú spolu s WSDL tri hlavné štandardy, na ktorých sú vystavané XML webové služby. Na lokalizáciu XML webový služieb existuje niekoľko mechanizmov, ktoré umožňujú vyhľadávať webové služby podľa určitých kritérií. Najrozšírenejším je použitie servera Universal Description, Discovery and Integration.

===Universal Description Discovery and Integration===
UDDI je navrhnutý pre webové služby, ktoré sú zdieľané verejne alebo medzi organizáciami či spoločnosťami. Obsahuje mechanizmy pre registrovanie, vyhľadávanie a kategorizovanie webových služieb. V podstate funguje ako veľký adresár obsahujúci o subjektoch a nimi poskytovanými službami. Základný princíp práce s UDDI je nasledovný. Developer prehľadá register, nájde služby ktoré potrebuje a získa pre ne popis WSDL. [7][12]
UDDI predstavuje register, do ktorého môžu poskytovatelia webových služieb ukladať informácie o nimi poskytovanými službami užívatelia si ich môžu potom prehliadať.
Dve centrálne databázy spravujú firmy Microsoft a IBM . V praxi sa však ukázalo, že dve tretiny informácii o webových službách v týchto databázach sú však neplatné [5]. Ďalším problémov, ktorý je výrazný je to, že nikto nezaručuje dôveryhodnosť poskytovateľov služieb.

===WSIL===
Štandard WSIL (Web Service Inspection Language) využíva na popis webovej služby súbor nazvaný inspection.wsil, ten býva lokalizovaní v hlavnom adresári webservera spoločnosti poskytujúcej danú webovú službu. Mechanizmus vyhľadávania pre užívateľa spočíva v tom, že si vyhľadá najskôr konkrétnu spoločnosť poskytujúcu konkrétnu službu, a až potom požiada o popis rozhrania.[8],[5]

===DISCO===
Tento štandard vytvára jediný súbor, v ktorom sú zoskupené informácie o príbuzných webových službách. Súbor býva zvyčajne umiestnení na servery, obsahuje odkazy na poskytované služby a klienti môžu on požiadať. Je to užitočné v tom prípade, že chceme vedieť podrobnejšie informácie o službách určitej spoločnosti. Toto vyhľadávanie nie je moc efektívne cez Internet, ale je vhodné pre lokálne siete, kde si klient hneď po pripojení na server môže pozrieť poskytované služby. Discovery je podporovaný iba Microsoftom, a plánuje sa ho nahradiť štandardom WS-Inspection. [4], [5].

==Výhody a nevýhody webových služieb==
Webové služby riešia problémy ako je priechodnosť cez firewall, spracovanie zložitých transportných protokolov a integrácia rôznorodých platforiem. Globálne rozšírenie Internetu zvýšil dôležitosť a použiteľnosť distribuovaných výpočtov a webové služby predstavujú len ďalší krok vo vývoji distribuovaných komponentov.
Medzi nesporné výhody webových služieb patrí:
*Jednoduchosť a podpora pre širokú škálu platforiem.
*Webová služba môže pridávať nové metódy bez toho, aby to ovplyvnilo činnosť klienta. (webová služba musí ale poskytovať staré metódy a parametre)
*Webové služby sú bezstavové. To znamená, že klient zašle požiadavku na webovú službu, ten ju spracuje, zašle späť výsledok a spojenie je ukončené. Neexistuje tu parameter spojenia.
*Prívetivosť voči firewallu. Firewally môžu predstavovať problém pri technológii distribuovaných objektov. Avšak webové služby využívajú HTTP prenos na portoch 80, 443 a HTTP protokol prakticky vždy prejde cez firewally.

Jednoduchosť webových služieb v porovnaní so sofistikovaným technológiám COM a COBRA sa prejaví aj v tom, že neobsahuje obojstrannú komunikáciu. Pokiaľ sa klient, odpojil, server ho nemôže spätne zavolať.
Hlavnou nevýhodou XML webových služieb je bezpečnosť. XML webové služby neposkytujú žiaden vstavaný mechanizmus zabezpečenia na úrovni SOAP správ.

==Životný cyklus webovej služby==
Obr.1 zobrazuje cyklus webovej služby. Užívateľ si vyhľadá službu priamo cez URL (Uniform Resource Locator) adresu služby, použije DISCO súbor alebo UDDI.
Získa WSDL dokument, ktorý popisuje spôsob komunikácie s webovou službou, akú štruktúru má mať SOAP správa. Po spustení samotnej aplikácie pošle klient SOAP správu službe a tá spustí požadovanú webovú metódu, následne je zaslaná klientovi odpoveď v podobe SOAP správy.

[[Súbor:dp_2010_jm_2.png|framed|center|Obr. 1.2 Komunikácia XML webová služba a klientska aplikácia]]

Princíp komunikácie klientskej aplikácie a XML webovej služby:
*Klientska aplikácia sa pripojí na XML webovú službu priamo cez URL adresu, poprípadne použije klient UDDI.
*Klientska aplikácia získa WSDL dokument, ktorý popisuje spôsob komunikácie klienta s XML webovou službou.
*Klient pošle požiadavku vo forme SOAP správy na XML webovú službu.
*Ta spustí príslušnú webovú metódu a následne je zaslaná odpoveď klientovi vo forme SOAP správy.
*Spojenie je ukončené.

Návrh a implementácia bezpečnostnej technológie pre webové služby

2010-05-18T20:10:30Z

Ian: /* DISCO */

[[Kategória:Študentské práce]][[Kategória:Diplomové práce]][[Kategória:Informatika]][[Kategória:Webové služby]]
{{Hlavička_FM|{{PAGENAME}}|Bc. Ján Minárik|
Ing. Tomáš Páleník|
2009/2010
|Diplomový projekt
|Mechatronika
}}
{{Praca_uvod|1|Návrh a implementácia bezpečnostnej technológie pre webové služby|XML a webové služby |XML ASP.NET webové služby|Zabezpečennie webových aplikácií|Integrita a dôvernosť komunikácie|Autentifikácia|Autorizácia webových služieb|Zabezpečenie webových služieb|XML security|SOAP Security Enhancement pre ASP.NET webové služby}}
__TOC__
{{Abstrakt
|Webové služby predstavujú technológiu založenú na otvorených štandardoch. Stali sa vhodným nástrojom na riešenie integračných problémov v dnešnom zložitom a heterogénnom počítačovom svete. Uplatňujú sa pri budovaní podnikovej aplikačnej architektúry až po distribuovanie komplexných matematických výpočtov.
Táto práca sa zaoberá možnosťami zabezpečenia XML webových služieb a chybami, ktoré pri zabezpečovaní XML webových služieb vznikajú. Je tu prezentovaný vlastný návrh a implementácia bezpečnostnej platformy pre ASP.NET webové služby. Platforma SOAP Security Enhancement poskytuje dva spôsoby autentifikácie klientov, na základe X509 certifikátov a autentifikačných lístkov v SOAP hlavičke. SOAP Security Enhancement podporuje selektívne šifrovanie s využitím kryptografického algoritmu Advanced Encryption Standard a digitálne podpisovanie SOAP správ podľa štandardu XML Signature. Ako autorizačný mechanizmus sme zvolili programovú impersonáciu.

|The XML web services introduce technology that is based on open standards. The web service became an adequate solution for integration problems in modern heterogeneous computers networks. They find their place at business application architecture construction till the distribution of complex mathematical calculation.
The thesis deals with the possibilities of securing XML web services and weakness of XML web security. There is also presented description, design and implementation of the own security platform, called SOAP Security Enhancement. SOAP Security Enhancement offers two ways of client’s authentication with X509 certificate and authentication ticket in SOAP headers. SOAP Security Enhancement supports selectively encryption of SOAP messages with cryptographic algorithm Advanced Encryption Standard and digital sign of SOAP messages by XML Signature standards. Authorization of clients is based on programmatically impersonation.

}}

'''Úvod'''

XML webové služby predstavujú technológiu pre vytváranie distribuovaných aplikácii. Podarilo sa im vyriešiť problém interoperability a zameniteľnosti, s ktorou sa napríklad stretávame pri technológií komponentov. V praxi sú XML webové služby začleňované do servisne orientovaných architektúr. Tu sa prejaví ich hlavný nedostatok, a tým je bezpečnosť. Interoperabilita webových služieb je dosiahnutá použitím SOAP správ, v ktorých sú dáta prenášané vo forme XML. Samotný protokol SOAP nezabezpečuje nijakým spôsobom integritu a dôvernosť komunikácie medzi webovou službou a klientom.
Táto práca sa zaoberá vytvorením bezpečného komunikačného scenára medzi ASP.NET webovou službou a klientskou aplikáciou. V práci sa čitateľ oboznámi so samotnou technológiou XML webových služieb, štandardoch, ktoré používa a takisto je mu priblížené technologické pozadie ASP.NET webových služieb. Ďalej sa v práci venujeme možnostiam autentifikácie, autorizácie klientov ASP.NET webovej služby a spôsobom, akým môžeme zabezpečiť dôvernosť a integritu komunikácie. Tie predstavujú hlavné piliere bezpečnosti webových aplikácii. V kapitolách sú postupne opísané jednotlivé možnosti, vysvetlené ich výhody aj nevýhody, ktoré prináša ich použitie. Hlavná časť práce sa týka vlastnej bezpečnostnej platformy, ktorá poskytuje autentifikáciu klientov, autorizáciu na základe programovej impersonácie a zabezpečuje vytvorenie integrity a dôvernosti komunikačného kanála. Dôvernosť komunikačného kanála je zabezpečená digitálnym podpisovaním SOAP správ a integrita pomocou selektívneho šifrovanie SOAP správ s využitím kryptografického algoritmu AES

=XML a webové služby=
==Porovnanie XML webových služieb s technológiou COM a CORBA==
XML webové služby môžeme definovať ako technológiu založenú na otvorených štandardoch XML, SOAP a WSDL, umožňujúcu vzdialené volanie metód v prostredí internetu. Môže sa zdať, že XML webové služby predstavujú len ďalšiu z radu technológii umožňujúcu remoting.
Na to aby sme pochopili skutočný význam XML webových služieb, sa musíme stručne oboznámiť s technológiou komponentov, ktorá sa objavila v 90. rokoch minulého storočia. V tomto období vznikli dve dominantné technológie COM a CORBA. Ich protokoly umožňovali RPC a ich štandardy boli implementované v rôznych počítačových sieťach. Tieto technológie boli značne sofistikované, ale priniesli so sebou veľa problémov [4]. Napríklad obtiažne nastavenie v lokálnych sieťach a takisto neumožňovali vzájomnú spoluprácu. To znamená pokiaľ sme chceli vybudovať distribuovaný systém, ktorý pozostával z niekoľkých operačných, museli sme pre všetky počítače nadefinovať rovnaký formát paketu, prenosového protokolu atd. S masívnym rozšírením Internetu sa objavili nové problémy, ako priechodnosť protokolov DCOM a CORBA cez firewall a tak isto to, že tieto protokoly sú orientované na spojenie. To znamená, že po celú dobu komunikácie klienta so serverom sa udržuje spojenie. Na strane servera sa môžu uchovávať informácie o klientoch, to môže predstavovať určitý problém, keď klient nekorektne ukončí spojenie, sú zbytočne využívané systémové zdroje. Pokiaľ sa na server snaží pripojiť súčasne veľký počet klientov, server veľmi rýchlo vyčerpá svoju pamäť a kapacitu spojenia [2].
Adekvátnou odpoveďou na riešenie problémov spojených s technológiou komponentov a ich využití pri RPC sa stali XML webové služby. Platforma XML webových služieb predstavuje jednoduché, interoperabilné pracovné prostredie. XML webové služby sa stali vhodným nástrojom na riešenie integračných problémov v dnešnom heterogénnom prostredí počítačových sietí. Problém priechodnosti protokolu cez firewall je u XML webových služieb vyriešení použitím HTTP ako transportného protokolu, a tak isto protokol HTTP je bezstavový. Tým je zabezpečené, že pri nekorektnom ukončení komunikácie klienta s XML webovou službou nie sú zbytočne využívané systémové zdroje [1].
Komunikácie klienta a XML webovej služby je založená na posielaný SOAP správ prostredníctvom HTTP kanála. Klient pošle požiadavku vo forme SOAP správy, XML webová služba ju príjme, vyvolá príslušnú webovú metódu. Výsledok je klientovi zaslaný opätovne vo forme SOAP správy. Následne je spojenie ukončené. XML webové služby dokážu komunikovať s klientmi nezávisle od platformy, na rozdiel od technológie komponentov. To znamená, že nie sú závislé na OS ani na programovacom jazyku, v ktorom boli vytvorené. Dôvod je ten, že na reprezentáciu údajov používajú XML. XML predstavuje štandard špecifikovaný konzorciom W3C pre popis štruktúrovaných dát pomocou čistého textu. V Tab, 1.1 je možné prehľadne vidieť porovnanie technológii DCOM, CORBA a XML webových služieb.
{|class="wikitable"
'''Tab. 1.1''' Porovnanie jednotlivých distribuovaných technológii <nowiki>[4</nowiki><nowiki>]</nowiki>
|-
| 
!CORBA
!DCOM
!Webová služba
|-
!Mechanizmus vzdialeného volania<br>funkcie
|align = "center"|IIOP
|align = "center"|DCE-RPC
|align = "center"|HTTP
|-
!Kódovanie
|align = "center"|CDR
|align = "center"|NDR
|align = "center"|XML
|-
!Popis rozhrania
|align = "center"|IDL
|align = "center"|IDL
|align = "center"|WSDL
|-
!Sprístupnenie
|align = "center"|Naming service<br>Tranding service
|align = "center"|Register
|align = "center"|UDDI
|-
!Prívetivosť voči firewallu
|align = "center"|Nie
|align = "center"|Nie
|align = "center"|Áno
|-
!Zložitosť protokolov
|align = "center"|Vysoká
|align = "center"|Vysoká
|align = "center"|Nízka
|-
!Použitie medzi platformami
|align = "center"|Čiastočná
|align = "center"|Nie
|align = "center"|Áno
|}

==Štandardy XML webových služieb==
Za úspechom webových služieb stoja otvorené štandardy, na ktorých sú XML webové služby vystavané. XML webové služby využívajú štandardizované :
*komunikačné protokoly,
*formáty na popis dát,
*popisné jazyky,
*mechanizmy na „objavovanie“ XML webových služieb.

Pri budovaní XML webových služieb sa využívajú tieto štandardy:
*Simple Object Access Protocol,
*Web Service Description Language,
*Hypertext Transfer Protocol.
V nasledujúcej podkapitole sa budeme venovať práve štandardom XML webových služieb.

==Simple Object Access Protocol==
Ako sme už spomenuli, komunikácia XML webových služieb prebieha prostredníctvom zasielania SOAP správ cez HTTP kanál. Na to, aby sme mohli pochopiť princíp XML webových služieb, sa musíme najskôr oboznámiť so SOAP. SOAP predstavuje medziplatformový štandard, ktorý je používaný pre formátovanie správ zasielaných medzi XML webovými službami a klientskymi aplikáciami. Výhoda SOAP je v jeho flexibilite a jednoduchosti. SOAP môžeme použiť aj s iným transportným protokolom ako HTTP, napríklad SOAP správy môžeme posielať priamo cez TCP/IP spojenie [4].
Každá SOAP správa predstavuje XML dokument. Tento XML dokument ma jeden koreňový prvok <Envelope> , ktorý slúži ako obálka SOAP správy. Zvyšok správy je vo vnútri obálky, ktorá obsahuje hlavičku (prvok <Header>) a telo správy (prvok <Body>). Formát SOAP správy je znázornený na obrázku 1.3.1.[10]

[[Súbor:dp_2010_jm_1.png|framed|center|Obr. 1.1 SOAP správa <nowiki>[</nowiki>3<nowiki>]</nowiki>]]

Existujú dva štýly SOAP [2]:
*štýl dokumentu SOAP (document-style SOAP),
*RPC štýl SOAP.
RPC štýl SOAP je využívaný pri volaní vzdialených objektov. Štýl dokumentu SOAP
zobrazuje dáta, ktoré sú vymenované ako dokumenty, čiže každá SOAP správa obsahuje v tele XML dokument. Tento spôsob kódovania SOAP správ je flexibilnejší ako RPC štýl SOAP. Preto je využívaný XML webovými službami.
SOAP dáta môžu byť kódované dvoma spôsobmi, ako [4] :
*literal,
*SOAP sekcia 5 (SOAP section 5).
Pri kódovaní literal, sú dáta kódované ako špecifické XML schéma. Pri kódovaní SOAP sekcia 5, sú dáta kódované podľa podobných, ale prísnejších pravidiel, stanovených v špecifikácii sekcie 5 štandardu SOAP. Dôvod existencie kódovanie SOAP sekcia 5, je ten že SOAP bolo vyvinuté, ešte pred dokončením štandardu XML schéma. Všetky XML webové služby štandardne využívajú kódovanie literal.

V súčasnosti existujú dve verzie SOAP [10]:
*SOAP 1.1,
*SOAP 1.2.
===Štruktúra Simple Object Access Protocol===

Každá SOAP správa je uzatvorená do koreňového elementu <Envelope>. Vo vnútri obálky sa nachádza nepovinný element <Header> a povinný element <Body>. V tabuľke 1.2 je znázornená základná štruktúra SOAP správy.

{|class="wikitable"
'''Tab. 1.2''' Základná štruktúra SOAP správ
|-
| <source lang="xml">
<soap:Envelope xmlns:soap="http://schemas.xmlsoap.org/soap/envelope/">
<soap:Header>
</soap:Header>
<soap:Body>
</soap:Body>
</soap:Envelope>
</source>
|}

==Web Service Description Language==
WSDL je jazyk založený na XML, ktorý sa používa na popis verejného rozhrania webových služieb a komunikačných protokolov, ktoré podporujú. WSDL predstavuje metajazyk popisujúci tieto charakteristiky webovej metódy [5]:
*názov webovej metódy,
*počet, typy a poradie parametrov,
*typ návratovej hodnoty,
*volajúce konvencie HTTP GET, HTTP POST a SOAP.
Výhodou WSDL je to, že nie je zviazaný so žiadnou platformou alebo objektovým modelom. Je to jazyk XML, ktorý poskytuje rozhranie pre webové služby v rámci všetkých platforiem.
===Základná štruktúra Web Service Description Language===
WSDL dokument je tvorený z piatich hlavných elementov, ktoré sa navzájom kombinujú a popisujú XML webovú službu. Prvé tri elementy <types>, <message> a <portType> sú abstraktné. Vzájomne sa kombinujú a definujú rozhranie XML webovej služby. Posledné dva <binding> a <service> definujú protokol. WSDL dokument má jeden koreňový element <definitions>. Vo vnútri koreňového elementu sa nachádza päť hlavných elementov, pričom element <message> sa môže vyskytnúť viackrát. V Tab. 1.3 je uvedená základná štruktúra WSDL dokumentu.[5],[6]

{|class="wikitable"
'''Tab. 1.3''' Štruktúra WSDL dokumentu
|-
|<source lang="xml">
<wsdl:definitions xmlns:soap="http://schemas.xmlsoap.org/wsdl/soap/">
<wsdl:types>
</wsdl:types>
<wsdl:message>
</wsdl:message>
<wsdl:portType >
</wsdl:portType>
<wsdl:binding>
</wsdl:binding>
<wsdl:service>
</wsdl:service>
</wsdl:definitions>
</source>
|}

Opis hlavných elementov WSDL dokumentu [11]:
*Types. V tejto sekcii sú definované všetky dátové typy XML webovej služby, patria sem aj vlastné dátové typy a formáty správ.
*Message. Táto sekcia poskytuje podrobné informácie o správach a o SOAP požiadavkách a SOAP odpovediach, ktoré sú používané pri komunikácii s XML webovou službou.
*PortType. Táto sekcia zoskupuje informácie do dvojice vstupných a výstupných správ. Každá dvojica reprezentuje metódu.
*Binding. Táto sekcia poskytuje informácie o transportných protokoloch podporovaných XML webovou službou.
*Service. Táto sekcia poskytuje koncové body (URI adresy) webovej služby.
U XML webových služieb vyvíjaných v rámci firmy poprípade pre menší okruh užívateľov sa WSDL dokument generuje automaticky webovým serverom, alebo nástrojom určením na tento účel. Existuje však spôsob vývoja XML webových služieb, ktorý sa nazýva “first WSDL” (najskôr WSDL), kedy sa najskôr vytvorený samotný WSDL dokument, popisujúci XML webovú službu a až potom samotná XML webová služba [7]. Tento spôsob slúži na zvýšenie interoperability. Táto technika vývoja XML webových služieb je nad rámec tejto práce a preto sa ňou nebudeme zaoberať.
Protokol SOAP a HTTP predstavujú spolu s WSDL tri hlavné štandardy, na ktorých sú vystavané XML webové služby. Na lokalizáciu XML webový služieb existuje niekoľko mechanizmov, ktoré umožňujú vyhľadávať webové služby podľa určitých kritérií. Najrozšírenejším je použitie servera Universal Description, Discovery and Integration.

===Universal Description Discovery and Integration===
UDDI je navrhnutý pre webové služby, ktoré sú zdieľané verejne alebo medzi organizáciami či spoločnosťami. Obsahuje mechanizmy pre registrovanie, vyhľadávanie a kategorizovanie webových služieb. V podstate funguje ako veľký adresár obsahujúci o subjektoch a nimi poskytovanými službami. Základný princíp práce s UDDI je nasledovný. Developer prehľadá register, nájde služby ktoré potrebuje a získa pre ne popis WSDL. [7][12]
UDDI predstavuje register, do ktorého môžu poskytovatelia webových služieb ukladať informácie o nimi poskytovanými službami užívatelia si ich môžu potom prehliadať.
Dve centrálne databázy spravujú firmy Microsoft a IBM . V praxi sa však ukázalo, že dve tretiny informácii o webových službách v týchto databázach sú však neplatné [5]. Ďalším problémov, ktorý je výrazný je to, že nikto nezaručuje dôveryhodnosť poskytovateľov služieb.

===WSIL===
Štandard WSIL (Web Service Inspection Language) využíva na popis webovej služby súbor nazvaný inspection.wsil, ten býva lokalizovaní v hlavnom adresári webservera spoločnosti poskytujúcej danú webovú službu. Mechanizmus vyhľadávania pre užívateľa spočíva v tom, že si vyhľadá najskôr konkrétnu spoločnosť poskytujúcu konkrétnu službu, a až potom požiada o popis rozhrania.[8],[5]

===DISCO===
Tento štandard vytvára jediný súbor, v ktorom sú zoskupené informácie o príbuzných webových službách. Súbor býva zvyčajne umiestnení na servery, obsahuje odkazy na poskytované služby a klienti môžu on požiadať. Je to užitočné v tom prípade, že chceme vedieť podrobnejšie informácie o službách určitej spoločnosti. Toto vyhľadávanie nie je moc efektívne cez Internet, ale je vhodné pre lokálne siete, kde si klient hneď po pripojení na server môže pozrieť poskytované služby. Discovery je podporovaný iba Microsoftom, a plánuje sa ho nahradiť štandardom WS-Inspection. [4], [5].

==Výhody a nevýhody webových služieb==
Webové služby riešia problémy ako je priechodnosť cez firewall, spracovanie zložitých transportných protokolov a integrácia rôznorodých platforiem. Globálne rozšírenie Internetu zvýšil dôležitosť a použiteľnosť distribuovaných výpočtov a webové služby predstavujú len ďalší krok vo vývoji distribuovaných komponentov.
Medzi nesporné výhody webových služieb patrí:
*Jednoduchosť a podpora pre širokú škálu platforiem.
*Webová služba môže pridávať nové metódy bez toho, aby to ovplyvnilo činnosť klienta. (webová služba musí ale poskytovať staré metódy a parametre)
*Webové služby sú bezstavové. To znamená, že klient zašle požiadavku na webovú službu, ten ju spracuje, zašle späť výsledok a spojenie je ukončené. Neexistuje tu parameter spojenia.
*Prívetivosť voči firewallu. Firewally môžu predstavovať problém pri technológii distribuovaných objektov. Avšak webové služby využívajú HTTP prenos na portoch 80, 443 a HTTP protokol prakticky vždy prejde cez firewally.

Jednoduchosť webových služieb v porovnaní so sofistikovaným technológiám COM a COBRA sa prejaví aj v tom, že neobsahuje obojstrannú komunikáciu. Pokiaľ sa klient, odpojil, server ho nemôže spätne zavolať.
Hlavnou nevýhodou XML webových služieb je bezpečnosť. XML webové služby neposkytujú žiaden vstavaný mechanizmus zabezpečenia na úrovni SOAP správ.

==Životný cyklus webovej služby==
Obr.1 zobrazuje cyklus webovej služby. Užívateľ si vyhľadá službu priamo cez URL (Uniform Resource Locator) adresu služby, použije DISCO súbor alebo UDDI.
Získa WSDL dokument, ktorý popisuje spôsob komunikácie s webovou službou, akú štruktúru má mať SOAP správa. Po spustený samotnej aplikácie pošle klient SOAP správu službe a tá spustí požadovanú webovú metódu, následne je zaslaná klientovi odpoveď v podobe SOAP správy.

[[Súbor:dp_2010_jm_2.png|framed|center|Obr. 1.2 Komunikácia XML webová služba a klientska aplikácia]]

Princíp komunikácie klientskej aplikácie a XML webovej služby:
*Klientska aplikácia sa pripojí na XML webovú službu priamo cez URL adresu, poprípadne použije klient UDDI.
*Klientska aplikácia získa WSDL dokument, ktorý popisuje spôsob komunikácie klienta s XML webovou službou.
*Klient pošle požiadavku vo forme SOAP správy na XML webovú službu.
*Ta spustí príslušnú webovú metódu a následne je zaslaná odpoveď klientovi vo forme SOAP správy.
*Spojenie je ukončené.

Návrh a implementácia bezpečnostnej technológie pre webové služby

2010-05-18T20:09:53Z

Ian: /* Štandardy XML webových služieb */

[[Kategória:Študentské práce]][[Kategória:Diplomové práce]][[Kategória:Informatika]][[Kategória:Webové služby]]
{{Hlavička_FM|{{PAGENAME}}|Bc. Ján Minárik|
Ing. Tomáš Páleník|
2009/2010
|Diplomový projekt
|Mechatronika
}}
{{Praca_uvod|1|Návrh a implementácia bezpečnostnej technológie pre webové služby|XML a webové služby |XML ASP.NET webové služby|Zabezpečennie webových aplikácií|Integrita a dôvernosť komunikácie|Autentifikácia|Autorizácia webových služieb|Zabezpečenie webových služieb|XML security|SOAP Security Enhancement pre ASP.NET webové služby}}
__TOC__
{{Abstrakt
|Webové služby predstavujú technológiu založenú na otvorených štandardoch. Stali sa vhodným nástrojom na riešenie integračných problémov v dnešnom zložitom a heterogénnom počítačovom svete. Uplatňujú sa pri budovaní podnikovej aplikačnej architektúry až po distribuovanie komplexných matematických výpočtov.
Táto práca sa zaoberá možnosťami zabezpečenia XML webových služieb a chybami, ktoré pri zabezpečovaní XML webových služieb vznikajú. Je tu prezentovaný vlastný návrh a implementácia bezpečnostnej platformy pre ASP.NET webové služby. Platforma SOAP Security Enhancement poskytuje dva spôsoby autentifikácie klientov, na základe X509 certifikátov a autentifikačných lístkov v SOAP hlavičke. SOAP Security Enhancement podporuje selektívne šifrovanie s využitím kryptografického algoritmu Advanced Encryption Standard a digitálne podpisovanie SOAP správ podľa štandardu XML Signature. Ako autorizačný mechanizmus sme zvolili programovú impersonáciu.

|The XML web services introduce technology that is based on open standards. The web service became an adequate solution for integration problems in modern heterogeneous computers networks. They find their place at business application architecture construction till the distribution of complex mathematical calculation.
The thesis deals with the possibilities of securing XML web services and weakness of XML web security. There is also presented description, design and implementation of the own security platform, called SOAP Security Enhancement. SOAP Security Enhancement offers two ways of client’s authentication with X509 certificate and authentication ticket in SOAP headers. SOAP Security Enhancement supports selectively encryption of SOAP messages with cryptographic algorithm Advanced Encryption Standard and digital sign of SOAP messages by XML Signature standards. Authorization of clients is based on programmatically impersonation.

}}

'''Úvod'''

XML webové služby predstavujú technológiu pre vytváranie distribuovaných aplikácii. Podarilo sa im vyriešiť problém interoperability a zameniteľnosti, s ktorou sa napríklad stretávame pri technológií komponentov. V praxi sú XML webové služby začleňované do servisne orientovaných architektúr. Tu sa prejaví ich hlavný nedostatok, a tým je bezpečnosť. Interoperabilita webových služieb je dosiahnutá použitím SOAP správ, v ktorých sú dáta prenášané vo forme XML. Samotný protokol SOAP nezabezpečuje nijakým spôsobom integritu a dôvernosť komunikácie medzi webovou službou a klientom.
Táto práca sa zaoberá vytvorením bezpečného komunikačného scenára medzi ASP.NET webovou službou a klientskou aplikáciou. V práci sa čitateľ oboznámi so samotnou technológiou XML webových služieb, štandardoch, ktoré používa a takisto je mu priblížené technologické pozadie ASP.NET webových služieb. Ďalej sa v práci venujeme možnostiam autentifikácie, autorizácie klientov ASP.NET webovej služby a spôsobom, akým môžeme zabezpečiť dôvernosť a integritu komunikácie. Tie predstavujú hlavné piliere bezpečnosti webových aplikácii. V kapitolách sú postupne opísané jednotlivé možnosti, vysvetlené ich výhody aj nevýhody, ktoré prináša ich použitie. Hlavná časť práce sa týka vlastnej bezpečnostnej platformy, ktorá poskytuje autentifikáciu klientov, autorizáciu na základe programovej impersonácie a zabezpečuje vytvorenie integrity a dôvernosti komunikačného kanála. Dôvernosť komunikačného kanála je zabezpečená digitálnym podpisovaním SOAP správ a integrita pomocou selektívneho šifrovanie SOAP správ s využitím kryptografického algoritmu AES

=XML a webové služby=
==Porovnanie XML webových služieb s technológiou COM a CORBA==
XML webové služby môžeme definovať ako technológiu založenú na otvorených štandardoch XML, SOAP a WSDL, umožňujúcu vzdialené volanie metód v prostredí internetu. Môže sa zdať, že XML webové služby predstavujú len ďalšiu z radu technológii umožňujúcu remoting.
Na to aby sme pochopili skutočný význam XML webových služieb, sa musíme stručne oboznámiť s technológiou komponentov, ktorá sa objavila v 90. rokoch minulého storočia. V tomto období vznikli dve dominantné technológie COM a CORBA. Ich protokoly umožňovali RPC a ich štandardy boli implementované v rôznych počítačových sieťach. Tieto technológie boli značne sofistikované, ale priniesli so sebou veľa problémov [4]. Napríklad obtiažne nastavenie v lokálnych sieťach a takisto neumožňovali vzájomnú spoluprácu. To znamená pokiaľ sme chceli vybudovať distribuovaný systém, ktorý pozostával z niekoľkých operačných, museli sme pre všetky počítače nadefinovať rovnaký formát paketu, prenosového protokolu atd. S masívnym rozšírením Internetu sa objavili nové problémy, ako priechodnosť protokolov DCOM a CORBA cez firewall a tak isto to, že tieto protokoly sú orientované na spojenie. To znamená, že po celú dobu komunikácie klienta so serverom sa udržuje spojenie. Na strane servera sa môžu uchovávať informácie o klientoch, to môže predstavovať určitý problém, keď klient nekorektne ukončí spojenie, sú zbytočne využívané systémové zdroje. Pokiaľ sa na server snaží pripojiť súčasne veľký počet klientov, server veľmi rýchlo vyčerpá svoju pamäť a kapacitu spojenia [2].
Adekvátnou odpoveďou na riešenie problémov spojených s technológiou komponentov a ich využití pri RPC sa stali XML webové služby. Platforma XML webových služieb predstavuje jednoduché, interoperabilné pracovné prostredie. XML webové služby sa stali vhodným nástrojom na riešenie integračných problémov v dnešnom heterogénnom prostredí počítačových sietí. Problém priechodnosti protokolu cez firewall je u XML webových služieb vyriešení použitím HTTP ako transportného protokolu, a tak isto protokol HTTP je bezstavový. Tým je zabezpečené, že pri nekorektnom ukončení komunikácie klienta s XML webovou službou nie sú zbytočne využívané systémové zdroje [1].
Komunikácie klienta a XML webovej služby je založená na posielaný SOAP správ prostredníctvom HTTP kanála. Klient pošle požiadavku vo forme SOAP správy, XML webová služba ju príjme, vyvolá príslušnú webovú metódu. Výsledok je klientovi zaslaný opätovne vo forme SOAP správy. Následne je spojenie ukončené. XML webové služby dokážu komunikovať s klientmi nezávisle od platformy, na rozdiel od technológie komponentov. To znamená, že nie sú závislé na OS ani na programovacom jazyku, v ktorom boli vytvorené. Dôvod je ten, že na reprezentáciu údajov používajú XML. XML predstavuje štandard špecifikovaný konzorciom W3C pre popis štruktúrovaných dát pomocou čistého textu. V Tab, 1.1 je možné prehľadne vidieť porovnanie technológii DCOM, CORBA a XML webových služieb.
{|class="wikitable"
'''Tab. 1.1''' Porovnanie jednotlivých distribuovaných technológii <nowiki>[4</nowiki><nowiki>]</nowiki>
|-
| 
!CORBA
!DCOM
!Webová služba
|-
!Mechanizmus vzdialeného volania<br>funkcie
|align = "center"|IIOP
|align = "center"|DCE-RPC
|align = "center"|HTTP
|-
!Kódovanie
|align = "center"|CDR
|align = "center"|NDR
|align = "center"|XML
|-
!Popis rozhrania
|align = "center"|IDL
|align = "center"|IDL
|align = "center"|WSDL
|-
!Sprístupnenie
|align = "center"|Naming service<br>Tranding service
|align = "center"|Register
|align = "center"|UDDI
|-
!Prívetivosť voči firewallu
|align = "center"|Nie
|align = "center"|Nie
|align = "center"|Áno
|-
!Zložitosť protokolov
|align = "center"|Vysoká
|align = "center"|Vysoká
|align = "center"|Nízka
|-
!Použitie medzi platformami
|align = "center"|Čiastočná
|align = "center"|Nie
|align = "center"|Áno
|}

==Štandardy XML webových služieb==
Za úspechom webových služieb stoja otvorené štandardy, na ktorých sú XML webové služby vystavané. XML webové služby využívajú štandardizované :
*komunikačné protokoly,
*formáty na popis dát,
*popisné jazyky,
*mechanizmy na „objavovanie“ XML webových služieb.

Pri budovaní XML webových služieb sa využívajú tieto štandardy:
*Simple Object Access Protocol,
*Web Service Description Language,
*Hypertext Transfer Protocol.
V nasledujúcej podkapitole sa budeme venovať práve štandardom XML webových služieb.

==Simple Object Access Protocol==
Ako sme už spomenuli, komunikácia XML webových služieb prebieha prostredníctvom zasielania SOAP správ cez HTTP kanál. Na to, aby sme mohli pochopiť princíp XML webových služieb, sa musíme najskôr oboznámiť so SOAP. SOAP predstavuje medziplatformový štandard, ktorý je používaný pre formátovanie správ zasielaných medzi XML webovými službami a klientskymi aplikáciami. Výhoda SOAP je v jeho flexibilite a jednoduchosti. SOAP môžeme použiť aj s iným transportným protokolom ako HTTP, napríklad SOAP správy môžeme posielať priamo cez TCP/IP spojenie [4].
Každá SOAP správa predstavuje XML dokument. Tento XML dokument ma jeden koreňový prvok <Envelope> , ktorý slúži ako obálka SOAP správy. Zvyšok správy je vo vnútri obálky, ktorá obsahuje hlavičku (prvok <Header>) a telo správy (prvok <Body>). Formát SOAP správy je znázornený na obrázku 1.3.1.[10]

[[Súbor:dp_2010_jm_1.png|framed|center|Obr. 1.1 SOAP správa <nowiki>[</nowiki>3<nowiki>]</nowiki>]]

Existujú dva štýly SOAP [2]:
*štýl dokumentu SOAP (document-style SOAP),
*RPC štýl SOAP.
RPC štýl SOAP je využívaný pri volaní vzdialených objektov. Štýl dokumentu SOAP
zobrazuje dáta, ktoré sú vymenované ako dokumenty, čiže každá SOAP správa obsahuje v tele XML dokument. Tento spôsob kódovania SOAP správ je flexibilnejší ako RPC štýl SOAP. Preto je využívaný XML webovými službami.
SOAP dáta môžu byť kódované dvoma spôsobmi, ako [4] :
*literal,
*SOAP sekcia 5 (SOAP section 5).
Pri kódovaní literal, sú dáta kódované ako špecifické XML schéma. Pri kódovaní SOAP sekcia 5, sú dáta kódované podľa podobných, ale prísnejších pravidiel, stanovených v špecifikácii sekcie 5 štandardu SOAP. Dôvod existencie kódovanie SOAP sekcia 5, je ten že SOAP bolo vyvinuté, ešte pred dokončením štandardu XML schéma. Všetky XML webové služby štandardne využívajú kódovanie literal.

V súčasnosti existujú dve verzie SOAP [10]:
*SOAP 1.1,
*SOAP 1.2.
===Štruktúra Simple Object Access Protocol===

Každá SOAP správa je uzatvorená do koreňového elementu <Envelope>. Vo vnútri obálky sa nachádza nepovinný element <Header> a povinný element <Body>. V tabuľke 1.2 je znázornená základná štruktúra SOAP správy.

{|class="wikitable"
'''Tab. 1.2''' Základná štruktúra SOAP správ
|-
| <source lang="xml">
<soap:Envelope xmlns:soap="http://schemas.xmlsoap.org/soap/envelope/">
<soap:Header>
</soap:Header>
<soap:Body>
</soap:Body>
</soap:Envelope>
</source>
|}

==Web Service Description Language==
WSDL je jazyk založený na XML, ktorý sa používa na popis verejného rozhrania webových služieb a komunikačných protokolov, ktoré podporujú. WSDL predstavuje metajazyk popisujúci tieto charakteristiky webovej metódy [5]:
*názov webovej metódy,
*počet, typy a poradie parametrov,
*typ návratovej hodnoty,
*volajúce konvencie HTTP GET, HTTP POST a SOAP.
Výhodou WSDL je to, že nie je zviazaný so žiadnou platformou alebo objektovým modelom. Je to jazyk XML, ktorý poskytuje rozhranie pre webové služby v rámci všetkých platforiem.
===Základná štruktúra Web Service Description Language===
WSDL dokument je tvorený z piatich hlavných elementov, ktoré sa navzájom kombinujú a popisujú XML webovú službu. Prvé tri elementy <types>, <message> a <portType> sú abstraktné. Vzájomne sa kombinujú a definujú rozhranie XML webovej služby. Posledné dva <binding> a <service> definujú protokol. WSDL dokument má jeden koreňový element <definitions>. Vo vnútri koreňového elementu sa nachádza päť hlavných elementov, pričom element <message> sa môže vyskytnúť viackrát. V Tab. 1.3 je uvedená základná štruktúra WSDL dokumentu.[5],[6]

{|class="wikitable"
'''Tab. 1.3''' Štruktúra WSDL dokumentu
|-
|<source lang="xml">
<wsdl:definitions xmlns:soap="http://schemas.xmlsoap.org/wsdl/soap/">
<wsdl:types>
</wsdl:types>
<wsdl:message>
</wsdl:message>
<wsdl:portType >
</wsdl:portType>
<wsdl:binding>
</wsdl:binding>
<wsdl:service>
</wsdl:service>
</wsdl:definitions>
</source>
|}

Opis hlavných elementov WSDL dokumentu [11]:
*Types. V tejto sekcii sú definované všetky dátové typy XML webovej služby, patria sem aj vlastné dátové typy a formáty správ.
*Message. Táto sekcia poskytuje podrobné informácie o správach a o SOAP požiadavkách a SOAP odpovediach, ktoré sú používané pri komunikácii s XML webovou službou.
*PortType. Táto sekcia zoskupuje informácie do dvojice vstupných a výstupných správ. Každá dvojica reprezentuje metódu.
*Binding. Táto sekcia poskytuje informácie o transportných protokoloch podporovaných XML webovou službou.
*Service. Táto sekcia poskytuje koncové body (URI adresy) webovej služby.
U XML webových služieb vyvíjaných v rámci firmy poprípade pre menší okruh užívateľov sa WSDL dokument generuje automaticky webovým serverom, alebo nástrojom určením na tento účel. Existuje však spôsob vývoja XML webových služieb, ktorý sa nazýva “first WSDL” (najskôr WSDL), kedy sa najskôr vytvorený samotný WSDL dokument, popisujúci XML webovú službu a až potom samotná XML webová služba [7]. Tento spôsob slúži na zvýšenie interoperability. Táto technika vývoja XML webových služieb je nad rámec tejto práce a preto sa ňou nebudeme zaoberať.
Protokol SOAP a HTTP predstavujú spolu s WSDL tri hlavné štandardy, na ktorých sú vystavané XML webové služby. Na lokalizáciu XML webový služieb existuje niekoľko mechanizmov, ktoré umožňujú vyhľadávať webové služby podľa určitých kritérií. Najrozšírenejším je použitie servera Universal Description, Discovery and Integration.

===Universal Description Discovery and Integration===
UDDI je navrhnutý pre webové služby, ktoré sú zdieľané verejne alebo medzi organizáciami či spoločnosťami. Obsahuje mechanizmy pre registrovanie, vyhľadávanie a kategorizovanie webových služieb. V podstate funguje ako veľký adresár obsahujúci o subjektoch a nimi poskytovanými službami. Základný princíp práce s UDDI je nasledovný. Developer prehľadá register, nájde služby ktoré potrebuje a získa pre ne popis WSDL. [7][12]
UDDI predstavuje register, do ktorého môžu poskytovatelia webových služieb ukladať informácie o nimi poskytovanými službami užívatelia si ich môžu potom prehliadať.
Dve centrálne databázy spravujú firmy Microsoft a IBM . V praxi sa však ukázalo, že dve tretiny informácii o webových službách v týchto databázach sú však neplatné [5]. Ďalším problémov, ktorý je výrazný je to, že nikto nezaručuje dôveryhodnosť poskytovateľov služieb.

===WSIL===
Štandard WSIL (Web Service Inspection Language) využíva na popis webovej služby súbor nazvaný inspection.wsil, ten býva lokalizovaní v hlavnom adresári webservera spoločnosti poskytujúcej danú webovú službu. Mechanizmus vyhľadávania pre užívateľa spočíva v tom, že si vyhľadá najskôr konkrétnu spoločnosť poskytujúcu konkrétnu službu, a až potom požiada o popis rozhrania.[8],[5]

===DISCO===
Tento štandard vytvára jediný súbor, v ktorom sú zoskupené informácie o príbuzných webových službách. Súbor býva zvyčajne umiestnení na servery, obsahuje odkazy na poskytované služby a klienti môžu on požiadať. Je to užitočné v tom prípade, že chceme vedieť podrobnejšie informácie o službách určitej spoločnosti. Toto vyhľadávanie nie je moc efektívne cez Internet, ale je vhodné pre lokálne siete, kde si klient hneď po pripojený na server môže pozrieť poskytované služby. Discovery je podporovaný iba Microsoftom, a plánuje sa ho nahradiť štandardom WS-Inspection. [4], [5].

==Výhody a nevýhody webových služieb==
Webové služby riešia problémy ako je priechodnosť cez firewall, spracovanie zložitých transportných protokolov a integrácia rôznorodých platforiem. Globálne rozšírenie Internetu zvýšil dôležitosť a použiteľnosť distribuovaných výpočtov a webové služby predstavujú len ďalší krok vo vývoji distribuovaných komponentov.
Medzi nesporné výhody webových služieb patrí:
*Jednoduchosť a podpora pre širokú škálu platforiem.
*Webová služba môže pridávať nové metódy bez toho, aby to ovplyvnilo činnosť klienta. (webová služba musí ale poskytovať staré metódy a parametre)
*Webové služby sú bezstavové. To znamená, že klient zašle požiadavku na webovú službu, ten ju spracuje, zašle späť výsledok a spojenie je ukončené. Neexistuje tu parameter spojenia.
*Prívetivosť voči firewallu. Firewally môžu predstavovať problém pri technológii distribuovaných objektov. Avšak webové služby využívajú HTTP prenos na portoch 80, 443 a HTTP protokol prakticky vždy prejde cez firewally.

Jednoduchosť webových služieb v porovnaní so sofistikovaným technológiám COM a COBRA sa prejaví aj v tom, že neobsahuje obojstrannú komunikáciu. Pokiaľ sa klient, odpojil, server ho nemôže spätne zavolať.
Hlavnou nevýhodou XML webových služieb je bezpečnosť. XML webové služby neposkytujú žiaden vstavaný mechanizmus zabezpečenia na úrovni SOAP správ.

==Životný cyklus webovej služby==
Obr.1 zobrazuje cyklus webovej služby. Užívateľ si vyhľadá službu priamo cez URL (Uniform Resource Locator) adresu služby, použije DISCO súbor alebo UDDI.
Získa WSDL dokument, ktorý popisuje spôsob komunikácie s webovou službou, akú štruktúru má mať SOAP správa. Po spustený samotnej aplikácie pošle klient SOAP správu službe a tá spustí požadovanú webovú metódu, následne je zaslaná klientovi odpoveď v podobe SOAP správy.

[[Súbor:dp_2010_jm_2.png|framed|center|Obr. 1.2 Komunikácia XML webová služba a klientska aplikácia]]

Princíp komunikácie klientskej aplikácie a XML webovej služby:
*Klientska aplikácia sa pripojí na XML webovú službu priamo cez URL adresu, poprípadne použije klient UDDI.
*Klientska aplikácia získa WSDL dokument, ktorý popisuje spôsob komunikácie klienta s XML webovou službou.
*Klient pošle požiadavku vo forme SOAP správy na XML webovú službu.
*Ta spustí príslušnú webovú metódu a následne je zaslaná odpoveď klientovi vo forme SOAP správy.
*Spojenie je ukončené.