WS Scurity

TINJAUAN ASPEK KEAMANAN
SISTEM WEB SERVICE
Tugas Akhir Semester I - 2003/2004

EC 7010 - Keamanan Sistem Lanjut
Disusun oleh :
Fx. Dwi I Rusiawan / 23202065
Program Studi Magister Teknologi Informasi - Dept. Teknik Elektro

Institut Teknologi Bandung
2003
Abstrak
Web Service memberikan paradigma baru dalam mengimplementasikan sistem terdistribusi melalui Web dengan menggunakan standard
protokol SOAP, WSDL dan UDDI yang berbasis XML. Dengan teknologi
Web Service, konsep sistem terdistribusi yang biasanya digunakan pada
sistem yang bersifat tertutup dan proprietary (DCOM, CORBA, RMI)
dapat diterapkan kedalam sistem yang bersifat terbuka (non-propriertary)
berbasis Web.
Penerapan Web Service akan memudahkan proses
integrasi dan kolaborasi antar aplikasi pada lingkungan platform yang
heterogen baik melalui jaringan Intranet maupun Internet, dengan biaya
yang lebih murah dan dalam waktu yang relative lebih cepat.
Namun demikian, masih banyak yang ragu untuk segera
menerapkan Web Service, khususnya jika digunakan untuk mendukung
transaksi bisnis melalui Internet (global). Alasan utama yang menjadi
perhatian adalah pada aspek keamanan dan kerentanan (vulnerability)
yang terdapat pada teknologi Web Service. Sementara itu standard
keamanan yang biasa digunakan untuk mengamankan aplikasi berbasis
Web pada umumnya tidak cukup mampu untuk mengamankan transaksi
Web Service. Pada makalah ini dibahas berbagai aspek kerentanan dan
keamanan yang ada pada Web Service, termasuk arsitektur keamanan
dan spesifikasi standard keamananan untuk Web Service. Secara khusus
dalam makalah ini dibahas spesifikasi WS-Security sebagai standard
keamanan Web Service.
Kata kunci : Web Service, XML, SOAP, WS-Security.
DAFTAR ISI
Ab st rak
D a f t a r I si
......... ...... ......... ...... ......... ...... ......... ...... ......... .
ii
BAB I - PENDAHULUAN
. ..... .. ......... ...... ......... ...... ......... ...... .
1.1
P e rm a s a la h a n
. .
1.2
T uj ua n P e n u lis a n . .
1
1
2
BAB II - WE B SE R V ICE
. .
2.1
A rs it e k t u r W e b Se rv i ce . .
2.2
St a n d a rd Te k n o l o g i We b S e r v i ce
. .
3
3
5
B A B I I I - AS P E K K E R E N T A N A N & K E A M A N A N W E B S E R VI C E . .
3.1
Su m be r K e re n t a n a n W e b Se rv i ce
.
3 . 1 . 1 K e r e n t a n a n p a d a X ML .
3 . 1 . 2 K e r e n t a n a n p a d a SO AP .
3.2
As p e k P e n g a m a n a n We b S e r v i ce
.
3 . 3 S e r a n g a n K e a m a n a n pa d a We b Se r vi ce
.
7
7
7
9
10
12
B A B I V - AR S I T E K T UR K E A M A N A N W E B S E R VI C E . .
4.1
Mode l Arsitekt ur Kemanan We b Service ......... ...... ......... ...... ...
4.2
Spes ifikasi Keam anan We b Se rvice ......... ...... ......... ...... ......... ...
15
15
17
B A B V - S T A N D A R D K E A M A N A N W E B S E R V I C E .. ... ......... ...... ..

5.1
Spe s if ika s i W S- Se c u r it y
. .
5 . 1 .1 K o n s e p D a s a r W S - S e c u r i t y
..
5 . 1 .2 M e k a n is m e P ro t e k s i P e s a n
..
5 . 1 . 3 Se c u rit y He a d e r . .
5.2
Ske n a ri o P e n g g u n a a n WS -Se c u ri t y . .
19
20
20
21
22
25
BAB VI KESIMPULAN
31
Daftar Pustaka
. .
Tinjauan Aspek Keamanan Sistem Web Service
BAB I
PENDAHULUAN
Perk em b angan I nt er net i ku t m e m p e n g a r u h i e v o l u si p er k e m b a n g a n s i s t e m

terd istribu si (d i s t r i b u t ed s ys t e m), d ar i si st e m y an g b erd a s ark an p ad a p l atfo r m
p r o p r i e t a r y ( D C O M , C O R B A , R M I ) m e n u j u p l a t f o r m y an g l e b i h t e r b u k a ( W e b ) .
Mo men tu m p e rk e mb a n g an in i d ia wa li d en g an k eh ad iran XML (e X t en si b l e M a r kup
L a n g u a g e) u n t u k m e n d u k u n g p e r t u k a r a n d a t a b er b a si s W e b s e c a r a l eb i h f l e k s i b el .
Keb e rad aan standard XML k e mudian ik ut m e n d o r o n g p e n e t a p a n s t a n d a r d p r o t o k o l
ko munik asi unt uk m endukung m e k a n ism e t r a n sf e r d a t a p a d a s i s t e m t e r d i s t r i b u s i
me l alu i j a rin g an In t ern et y an g d ik en al seb ag ai S i m p l e O b j e c t A c c e s s P r o t o ko l
( S O A P ) p ad a t a h u n 1 9 9 8 . P a d a a k h ir n y a k e d u a t e k n o l o g i i n i ( X M L d a n S O A P )
k e m u d i a n m e n d a s a r i p e r k e m b a n g a n a rs i t e k t u r t e k n o l o g i y an g m e m u n g k i n k a n u n t u k
m e n e r a p k a n k o n s e p s i s t e m t e r d i s t r i b u s i p a d a j a r i n g a n I n t e r n e t b e r b a si s W e b , y ang
k e m u d i a n d i k e n al s e b a g a i W eb Se rv ic e.
S t a n d a r d X M L d an S O A P d i k e m b a n g k a n o l e h Wo rld Wi de Web Consortiu m
(W3C). Selanju tny a, W3C jug a terlib at d a l a m p e n g e m b an g a n s t a n d ar d p r o t o k o l d a n
a r s i t e k t u r u n t u k W e b S e r v i c e, s ep e rti W S DL ( W e b S e r v i c e D e s c r i p t i o n L a n g u a g e) ,
t e r m a s u k s t a n d ar d t e k n o l o g i k e m a n a n u n t u k W e b S e r v i c e s e p er t i X M L E n c r y p t i o n ,
XML Sign ature, dl s. Di samp ing W3C, b eb erapa org a nisasi l ain saat ini ju ga t e rlib at
d a l a m p e n g e m b a n g a n s t a n d ar d untuk Web Serv ice, sep e rti Organization fo r
A d v a n ce m e n t o f S t r u c t u r e d I n f o r m a t i o n S t a n d a r d (OAS I S), W eb S er vi ce
Interop era bilit y Org anization ( W S -I ), d an Liberty Allian ce Technolog y Group y an g
d i s p o n s o r i o l e h S u n M i c r o s y st e m .
W eb Serv ice me milik i keunggu lan d ib a n d i n g t e k n o l o g i d en g a n s i s t e m
terd istribu si y ang su dah ad a sepert i CORBA , DC O M d an RM I k ar en a k ar ak t eri st i k
Web S erv i ce y an g b e rsi fa t te rb u k a, n o n - p r o p r i e r t a r y, l o o se l y c o u p l e d , d an m o d u l a r .
W e b S e r v i c e d a p at d i i mp le m e n t a s i k an b a i k u n t u k l i n g k u n g a n i n t e r n a l ( I n t r a n e t )
maupun untuk lingkungan publik (Internet). Dalam lingkungan internal, Web Service
me mb e rik a n k e mu d ah an d an so l u si b a ru u ntuk meng integ rasik an berbag ai platfor m
aplik asi
y ang
ad a
dalam
org anisasi/p eru sahaan
( E n t e rp r i s e s
A p p l i ca t i o n
Integ rat io n/EAI ). Dalam ling kungan p ublik, Web Serv ice akan me mp erb aruh u i
k o n s e p t r a n s a k si b er b a s i s I n t e r n e t s e p er t i e-bu sin es s d e n g a n c a r a m e n g i n t e g r a s i k a n
p r o s e s b i s n i s d e n g a n p a r t n er b i s n i s s e c ara lebih mud ah, sed erh ana d an murah. Dan
secara u m u m, Web Service akan me n gubah paradig ma p a ra p engguna maupu n
p e n g e m b a n g p e r a n g k a t l u n ak , d a r i A P I (a p p l i c a t i o n p r o g r a m i n t e r f a ce ) - b a se d
me nj adi m es s ag e- ba s ed.
1.1
PE RM AS AL A H AN
W a l a u p u n W e b S e r v i c e m e n j a n j i k a n s o l u s i u n tu k m e n g a t a s i k e l e m a h a n
t e k n o l o g i b e r b a s i s W e b p ad a u mu mn y a , n amun demi kian masih bany ak y ang merasa
ragu untuk s eg er a m ener apk an W e b S e r v i c e , k h u su sn y a p a d a l i n g k u n g a n I n tern e t
( p u b l i k ) , m i s a l n y a u n t u k m e n d u k u n g t r a n s a k si e - b u s i n es s . K e r a g u a n i n i d i s e b ab k a n
o l e h f a k t o r j a m i n an k ea m a n a n d a r i t e k n o l o g i W e b S e r v i c e. Survey menunjukkan
Tugas EC-7010 : Keamanan Sistem Lanjut 2003
b ah w a f ak t o r k e a ma n an me r u p ak an ma s a l ah u t a ma y an g me n j ad i p er h ati an d al a m
me ngi mpl e me nt as ikan W e b S e r v i c e .
T e k n o l o g i k ea m a n a n y an g b i a s a dig unakan un tuk meng atasi aspek keaman an
p ad a si st e m b e rb a si s Web p a d a u mu mn y a, s ep e rt i S ecu r e so c k et L a ye r (S SL) /
Tran sport Secu re La yer (TSL ), tidak cuk up me mad ai j i k a d i t e r a p k a n p ad a s i s t e m
berb asis Web S ervi ce. Hal in i dikaren a k a n S S L / T L S m e n y e d i a k an s o l u s i k e m a n an
dengan ko ntek s p o i n t- t o - p o i n t p a d a l e v el t ra n sp o rt l a y e r. S e m e n t a r a k a r a k t e r i s t i k
tran saksi Web Service, me mbu t u h k a n p e n g a m a n an d a l a m k o n t e k s e n d - t o - e n d pad a
lev el a p p l i c a t i o n l a y e r. T e k n o l o g i F i r e w a l l y an g m e n y e d i a k a n p e n g a m a n a n p ad a
lev el N e t w o r k L a y e r j u g a t i d a k c u k u p m e m a d a i , k ar en a k a r a k t e r i st i k t r a n sa k si Web
Serv ice y a ng menggu nakan stan dard internet ( HT T P , S M T P , F T P ) a k a n d i l e watk an
o l e h F i r e w a l l k ar e n a d i a n g g a p S e b ag a i trafik Intern et pada u mu mn y a ( fi rewa ll
f r i e n d l y).
W a l a u p u n t e k n o l o g i k e a m a n a n y an g a d a s a a t i n i m a s i h m e m e g a n g p e r a n a n
p e n t i n g , n a m u n d e m i k i a n m a s i h d i p er l u k a n su atu m ek an i s me k ea ma n an p ad a l ev el
a p p p l i c a t i o n l a y e r y an g d ap a t d i t e r i m a l u a s o l e h b er b a g a i p i h a k y an g t e r l i b a t d a l a m
i mp l e m e n t a s i W e b S e r v i c e , d a n m e n d u k u n g a s p ek i n t e r o p er a b i l i t a s d a l a m
m e n g i m p l e m e n t a s i k a n W e b S e rv ic e. Keb e r ada an st an dard k e ma nanan Web Service
tersebut ak an sang at me mpeng a ruhi pro sp ek p en e r a p an W e b S e r v i c e s e c a r a l u a s .
1.2
TUJ U A N PE NU L IS AN
T u j u a n p e n u l i s a n m a k al a h ini ad al ah untuk memb erik an tinj au a n
u mu m
m e n g e n ai b e r b a g a i a s p e k y an g m e n y a n g k u t k ea ma n an d al a m me ngi mpl e me nt as ikan
si st em W e b Servi ce, ant ara l ain melipu ti :
K o n s e p d a s a r t e k n o l o g i W e b S e r v i c e y an g r e l a t i f m a s i h b ar u s e h in g g a p er l u
ada pen je l as an khu su s
A s p ek k er e n t a n a n d a n k e a m a n a n d a r i Web Serv ice y ang perlu diperh atikan
d a l a m m e n g i mp l e m e n t a s i k an W e b S e r v i c e
Model A r s i t ek tur K eam an a n W e b S e r v ice y ang secara konsep sual memb eri
land as an d al a m meng e mbangk an sp esi fik a s i ke a man an Web Se rvi ce
S t a n d ar d K e m a n an u n t u k W e b S e r v i c e y ang ada dan sedang dik e mb angkan saat
ini, khu susny a terhadap sp esifik asi WS-S ecuri ty y ang ak an menj adi
s p e s i f i k a s i i n t i u n t u k d i g u n a k an d a l a m m e n g a m a n k an s i s t e m W e b S e r v i c e .
BAB II
WEB SERVICE
A d a b e r b a g a i v e r s i d e f i n i s i m e n g e n a i W e b S e r v i c e , y an g p a d a i n t i n y a
m e n g g a m b a r k an k ar a k t e r i s t i k d ar i W e b S e r v i c e , y ai t u a n t a r a l a i n s e b ag a i b e r i k u t :
Meru p ak an a p p l i c a t i o n l o g i c y an g d a p a t d i a k s e s
m e n g g u n a k an s t a n d a r d I n t e r n e t ( T C P / I P , H T T P , W e b ) .
Did esk rip s ik an d al a m fo r ma t X ML.
Did enti fik as ikan den g an U n i v e r s a l R e s o u r c e s I d e n t i f i e r ( U RI)
Bersifat Loosely
p r o p r i e t a r y)
D i g u n a k a n u n t u k m e n d u k u n g i n t e r o p er a b i l i t a s i n t e r a k s i ma ch i n e-to -ma ch in e
m e l al u i j a r i n g a n I n t e r n e t / In t r a n e t .
coupled,
s e l f - con tain ed,
modu lar
d an
dan
dipublikasikan
terbuk a
(n o n -
W e b S e r v i c e d a p a t d i i m p l e m e nt a s i k an p ad a l i n g k u n g a n i n t e r n a l ( I n t r a n e t )
u n t u k k eb u t u h a n i n t e g r a s i a n tar si st em ap lik asi (E AI=E n t e rp r i s e A p p l i ca t i o n
Integ rat io n) at aupun pada l i ng kun g a n e k st e r n al ( I n te r n et ) u n t u k men d u k u n g a p l i k a s i
b u s i n e s s - t o - b u s i n e s s (e-b u sin e s s).
2.1
ARSITE KTUR WE B S E RVICE

K o n se p a r s i t e k t u r y an g men d a s a r i t e k n o l o g i W e b s e r v i c e a d a l a h S er vi c e
Or ien ted A rch it ecu r e ( S O A ) . D a l a m a r i t e k t u r i n i , s u a t u a p l i k a s i d i m o d e l k a n s e b ag a i
ko mp o sisi dari seku mpulan s e rv i c e y ang disediakan oleh su atu ko mponen . Lokas i
k e b e r a d a a n k o mp o n e n t e r s e b u t d a p a t d i t e m u k an o l e h cli ent s e ca r a d i n a m i s, d al a m
arti tid ak diny atak an secara st a t i s t e t a p i m e n g g u n a k an m e k a n i s m e d i sco ve r y u n t u k
m e n c a r i k eb e r a d a a n k o mp o n e n t e r s e b u t .
D e m i k i a n p u l a , cli ent d ap at me min t a
(invo ke) se r vi ce t e r s e b u t s e c a r a d i n a m i s p u l a . D al a m ar sit ek t u r i n i , S O A
m e n d e f i n i s i k a n 3 p e r a n b er b e d a y an g m e n u n j u k k a n p er a n d a r i m a s i n g - m a s i n g
k o mp o n e n d a l a m s i s t e m , y ai t u :
Service p r ovid er , y aitu su atu enti tas y a ng meny ediak an int erface t erhadap
s i s t e m y an g m e n j a l a n k a n s u a t u seku mp ulan tug as terten tu.
Service p r ovid er d ap at me r ep re sen ta sik an st atu en ti ta s b i sn i s
a t a u p u n s u a t u k o m p o n e n s o f t w a r e y an g r e u s a b l e.
S e r v i c e r e q u e s t o r , y aitu su atu enti ta s y ang me mint a/ me mp erol eh (da n
me ne muk a n) so f t w a r e s e rv i c e d a l a m r a n g k a m e y e l e s a i k an
suatu tug as terten tu at au meny ed iak an solusi bisn is tertentu.
S er vi c e r e g i st r y , y aitu entit as y ang berti n d a k s e b a g ai p e n y i m p an (r epo sit o ry )
s u a tu so f t w a r e s e rv i c e y an g d i p u b l i k a s i k a n o l e h S e r v i c e
provider.
P e r a n d a n i n t e r a k s i a n t a r k o mp o n e n t e r s e b u t d i t u n j u k k a n p a d a g a mb a r d i b a w a h
ini :
Gambar 2.1- Konsep Service Oriented Architecture
D a l a m a r s i t e k t u r i n i , S e r vi ce d ap a t d i d e f i n i s i k an s e b a g ai k o m p o n e n (so f t w a r e
compon ent ) y an g m e m i l i k i k ar a k t e r i s t i k :
Dap at di d e s kr i p si k an dal am su a t u b a h asa f o r m a l
Dap at di pu bl i kas i k an pada su a t u r eg i s t r y o f s er vi c e
D a p at d i t e m u k an ( d i s c o v e r ) m e n ggunakan mekan isme stand ard
D a p at d i m i n t a / d ip e r o l e h ( i n v o k e ) m e l a l u i j a r i n g a n
D a p at d i b a n g u n b e r s a m a s e r v i c e l a i n
W3 C men g i lu s tra sik an mo d el SO A te rs eb u t s eb ag ai d e sk r ip s i p e s an y an g
dipertukarkan, s ep er t i di t unj ukk an p ad a g a m b e r b er i k u t i n i .
Gambar 2.2- Diagram generik Model Service Oriented Architecture
.
M o d el A r s i t e k t u r W e b S e r v i c e men ggunakan konsep SOA terseb ut deng an
sed ikit p erbedaan, y a itu :
Web Ser vi ce m enggu nakan S t a n d a r d t e r bu k a , y ai t u : X M L ( e X t e n s i b l e M a r k u p
L a n g u a g e ) s e b ag a i b ah a s a u n t u k m e n d e sk rip s ik an d at a, S OA P (S i mp le O b je ct
Access Pro tocol) seb a gai p rotok ol ko mu n i k a si a n t a r k o mp o n e n , W S DL (Web
S e r v i c e D e s c r i p t i o n L a n g u a g e ) u n t u k men d esk tip sik an s erv i c e,
UD D I
( U n i v er s a l D e s c r i p t i o n , D i s co v e r y a n d I n t e g r a t i o n ) u n t u k s e rv i c e d i s co v er y ,
d a n H T T P s e b ag ai t r a n s p o r t l a y e r .
Stand ard Web S erv i ce merup a kan m e ssa ge-ba sed , b u k a n A P I - b a s e d . D a l a m

hal ini, k o munik a si antara Web S erv ic e, S ervi ce R eque s ter d an S ervi c e
Reg is t r y m enggunak a n pes a n S OAP b er b a si s XM L .
W 3 C m e n g e m b a n g k a n d r a f t a r s i t e k t u r W e b S e r v i c e y an g t e r d i r i d ar i b e b e r a p a
t e k n o l o g i y an g s a l i n g b e r h u b u n g a n d an b e r lapis seperti digamb ark an seb ag a i
beriku t :
Gambar 2.3- Arsitektur Web Service
2.2
S T A ND A R D T E KN O L O G I W E B S E R V IC E
S e p er t i y an g d i t u n j u k k a n p a d a G a m b a r 1 . 3 t e r s e b u t d i a t a s , W e b s e r v i c e
t e r s u su n d ar i b eb er a p a k o m p o n e n s t a n d ar d b e r b a s i s X M L , y ai t u : S O A P , W S D L , d a n
UD D I .
S i mpl e Ob j e ct A cc e s s P ro t o co l ( S OA P )
S O A P m e r u p ak a n s u a t u p ro t o k o l b e r b a s i s X M L y an g d i g u n a k a n u n t u k k e b u t u h a n
pertuk ar an info r ma si d al a m su atu si st e m te r d i st r i b u si d an t er d e se n t ra l i s a si , sepert i
halny a II OP (pad a CORBA), ORCP (pad a DCOM ) dan JRMP ( p ada RM I) . Berb ed a
d e n g a n R M I , C O R B A d an D C O M , S O A P m e r u p a k a n p r o t o k o l
yang bersifat
i n d e p en d e n t t e r h a d a p p l a t f o r m , m o d e l p e m r o g r a m a n , d a n t r a n s p o r t p ro to c o l y an g
d i g u n a k an d a l a m p r o s e s p er t u k a r a n p es a n S O A P . P e s a n S O A P d ap at d i k i r i m k a n
melalui HTTP, SMTP maupun FTP.
P e s a n S O AP b er b en t u k s ek u mp u l an XM L S ch e ma y an g me n d e f i n i s i k an f o r ma t
untuk men tr an s m i s i k an pes an X M L m e l a l u i j a r i n g a n , t e r m a s u k t i p e d at a d a n c a r a
me n s t r u k t u r k an p e s an s e ca r a t ep at sehingg a d ap at mudah d ipah a mi o leh serv er atau
end-poin t l a i n n y a .
P e s a n S O A P t e r d i r i d ar i 3 b a g i a n , y ai t u :
Envel op e , s u at u ker ang k a y an g m e n d e f i n i si k a n a p a y an g a d a d a l a m pes an
d an bag ai m ana p e s an h a r u s d i p r o se s s e r t a m e n u n j u k k a n r e s i p i e n d ar i
me s s ag e t e r s eb u t .
H e a d e r , b er i s i i n f o r m a s i y an g b e r h u b u n g a n d en g a n k e a m a n a n d a n r o u t i n g .
Keb e rad a a n H ead er d al a m S O A P be rsi f at optional .
B o d y , b e r i s i d at a y an g b e r h u b u n g a n d en g an ap lik asi tertentu y ang sed an g
d i p e r t u k a r k a n . D a t a d i - m a r k - u p s e b a g ai X M L d an d i m a s u k k a n d a l a m
fo r ma t y an g sp esi fik y an g d id ef in isik an d a la m XML Sch e ma.
S t a n d ar d S O A P y an g d ik e m b a n g k a n o l e h W 3 C v er s i t e r a k h i r a d a l a h S O A P v e r s i
1 . 2 y an g d i t e t a p k a n p ad a 2 4 J u n i 2 0 0 3 .
W e b S e r v i ce D e s c r i p ti o n L a n g u a g e ( W S DL )
WS DL me ru p ak an b ah a sa st an d ar d y an g me n y ed iak an mek an is me u n tu k
m e n d e s k r i p s i k a n S e rv ic e y an g d i s e d i a k a n o l e h s i s t e m ( W eb s er vi ce ) , l o k a s i
keberad a an serv ice tersebut dan bag aiman a c ar a me mp ero l eh n y a, se c ar a t e r st r u k t u r
dal a m fo r ma t XM L. WS DL d apa t d i a n a l o g i k a n s e b a g a i I D L (i n t e r f a ce d e f i n i t i o n
l a n g u a g e) d al a m CO RB A d an CO M. S e r v ic e d ed e s k rip s i k an s eb ag ai k o lek si d ar i
e n t r y -p o i n t a t a u p o r t k o m u n i k a s i . W SDL men d esk rip sik an s erv i c e d en g an
menggunak an elemen seb ag ai b e rikut :
T y p e t i p e d at a y an g d i g u n a k a n s ebag ai argu men d a n return ty pe
Mes s ag e m er epr es ent as i k an d ef i n is i d a t a y an g d i t r a n s m i s i k a n
P o r t t y p e s e k u mp u la n o p e r a s i y an g d i d u k u n g o l e h s a t u a t u l e b ih e n d p o i n t
B i n d i n g m e n d e f i n i s i k a n p ro t o k o l d a n f o r m a t p e r t a k a r a n d at a u n t u k o p e r a s i
y ang didefinisik an o l eh Po rt ty pe
P o r t m e n sp e s i f i k as i k a n e n d - p o i n t y an g d i g u n a k a n u n t u k b i n d i n g
Serv ice kolek si en dpoint y ang berk ait a n y an g d i s e d i a k an o l e h W e b s e r v i c e
O p e r a t i o n m e n d e f i n is i k an k e m a m p u an y a n g d i d u k u n g o l e h s e r v i s t e r t e n t u
Uni v e rsa l De s c ri p t i o n , D i s co v e ry & Int eg ra t i o n ( U DD I )
UDDI m er up ak a n s eku m pu la n sp e s i f i k a s i y an g m e n u n j u k k a n r e g i s t r y i n f o r m a s i
m e n g e n ai W e b s e r v i c e . U D D I m e n y e d i a k an m e k an i s m e u n t u k m e m p u b l i k a s i k a n
in fo r ma s i me n g en ai b isn i s d an s e r v i c e p ad a sa t u l o k a si ( rep o sito r y) y an g d i k el o l a
s e c a r a t e r p u s a t d an m e l a k u k a n q u e r y m e n g e n a i i n f o r m a s i t e r s e b u t s e c a r a d i n a m i s d a n
p r o g r a m a t i s . D i r e k t o r y pada UDDI b ertind ak sep erti Y ello w Pages di ma na se rvi ce
d i k a t e g o r i k a n s e s u a i t u j u a n u ta m a n y a. D i r ekto ry UDDI terdiri dari 3 bag i an, y aitu :
Whi t e pag es m en y edi a k a n i n f o r m a si r i n c i m e n g e n a i
o r g a n i sa si y a n g
me n a w ar k a n s er v i c e
Yello w pages men c akup peng akatago rian j e n i s i n d u s t r i b e r d a s a r k a n s t a n d a r d
taxonomi industri
Gr e en p ag es men d esk rip sik a n in t er face d an keb u tuhan untuk memp eroleh
servi ce , s eper t i r et u r n t y pe .
U D DI me ru p ak an f il e X ML S c h e ma y an g men d ef i n isik an
stru k tu r d at a
mengen ai kar akt er i s t i k b is n i s d a n se r vi ce . De skr is i se rvi ce d idef ini sik a n
m e n g g u n a k an d o k u m e n T y p e M o d e l ( t Mo d el) . S ec ar a u mu m U DD I b eri si in fo r ma s i
me n g en ai si ap a y an g men y ed iak an s er v ic e (b u s i n e s s E n t i t y) , S ervi c e ap a y an g
disediakan ( b u s i n e s s S er vi c e), d i man a lo k as i se rv i ce t er sed i a (b in d i n g T e m p l a t e) ,
ref e ren si mengen ai i n for masi b agai man a s ervi c e t er s ebut dip er o leh (t Mo d el) .
BAB III
ASPEK KERENTANAN DAN KEAMANAN
WEB SERVICE
Pad a dasarny a si st em W e b Serv ice me milik i k erent anan (vuln erabil ity ) d a s ar
y ang sama deng an s i s t em b er b as is W e b l a i n n y a y an g m e n g g u n a k a n p r o to k o l H T T P .
Namun d e mikian, k a ren a Web Serv ice memilik i a r s i t ek t u r si st e m y an g a g ak b e r b ed a
d en g an si st e m b erb as is W eb l ain n y a, mak a W eb Se rv i c e me mil ik i k er en t an an
ta mb ahan y ang spe si fik. Ka ren t anan ini b er su mb e r p ad a a rsi tek tu r W e b S e r v i c e d a n
protokol y ang di gun akan, y ai t u d a l a m h al i n i a d a l a h : S OAP ( S i mp l e Ob j e ct A cc e s s
Proto col ) y ang ber b as i s X ML (e X t e n d e d M a r k - u p L a n g u a g e).
3.1
S UM B E R K E R E N T AN A N W E B S E RV I CE
D i s a m p i n g m e m i l i k i m e m i l i k i k er en t a n a n y a n g s a m a s e p e rti apli kasi berbasi s
Web lainn y a (HT TP), W eb S ervice me mi lik i k er e n t a n a n t a m b a h a n y an g d i se b abkan
o l e h k ar a k te r i s t i k t e k n o l o g i y an g m e n d a s ar i W e b S e r v i c e , y ai t u X M L d an S O A P .
Ol eh k ar en a itu st an d ard k e a ma n an y an g b ia sa d ig u n ak an p ad a ap lik a si b e rb a si s Web
t i d a k c u k u p m e m a d ai j i k a d i t e r ap k a n p ad a W e b S e r v i c e .
K a r a k t e r i s t i k s p e s i f i k y an g m e njad i su mb er kerentan a n p a d a W e b S e r v i c e
terletak p a da 2 h al b e rikut in i, y aitu :
P r o t o k o l y an g m e n j a d i d a s a r t e k n o l o g i W e b S e r v i c e , y ai t u S O A P y an g
berb asis XML.
Ar sit ek t u r W eb S e r v i c e y an g me mb e r i l an d a s a n d al a m h al me k a n i s me
tran s aks i d an i mpl e m ent as i W eb Se rvi ce.
Dalam subb ab beri k u t in i p er ta ma - t a ma ak an d ib ah as men g en a i k er e n tan an p ad a
X M L y an g m e n ja d i b a s i s t ek n o l o g i W e b S e r v i c e , k e mu d i a n p r o t o k o l S O A P , y an g
j u g a b e r b a s i s X M L , y an g d i g u n a k a n s eb ag a i p r o t o k o l k o mu n ik a s i a n t a r a S e rv i c e
Requ est d a n Service Pro vid er .
3 . 1 . 1 Keren tana n pada X ML ( XM L Vuln erabil ity )
X M L ( e X t e n s i b l e Ma r k - u p L a n g u a g e) d i g u n a k a n se b a g ai t e k n o l o g i d a sa r d ari
W e b S e r v i c e b e r d a s a r k an p er t i mb an g a n b a h w a X M L m e r u p a k a n s t a n d a r d y an g
terbuka dan telah diterima secara luas untuk mendukung transaksi berbasis Internet.
Dalam Arsitek tur W e b S ervi c e, XM L d ii m p l e m e n t a s i k an u n t u k m e n sp es i f i k as i k a n
el e men u t a ma W eb S e r v i c e, y ai t u :
C o m m u n i c a t i o n P r o t o c o l : S OA P ( S i mp l e Ob j ec t Ac c es s P r o t o c o l )
Ser vi c e De sc rip tion : W SD L
Service Pu blica tion & Disco very : UD D I .
X M L me ru p ak an b ah as a g en er ik u n tu k p ertu k ar an d at a me la lu i I n tern et d a n
m e n j a d i s t a n d a r d p la t f o r m k o m u n i k a s i d a l a m s i s t e m y an g h et e r o g e n . T i d ak s e p e r t i
HTM L, X ML me mi sahk an an tar a b agi a n Da ta ( c o n t e n t) d a n b a g ai m a n a d at a
d i t a m p i l k a n (p re s en t a t i o n) secara terstru k tur. Ol eh karen a it u, data p ada XM L
me mbuka kemungk i nan unt u k d a p a t d i m a n i p u l a si o l e h si a p a p u n y a n g dap a t

m e m b a c a n y a. X M L j u g a m u d ah d i t e r j e m a h k an o l eh b er b ag a i b ah a s a p e m r o g r a ma n .
K a r e n a s i f a t y an g b e r b a s i s t e k s , m u d a h d i b a c a o l e h m a n u sia (h u man -r e ad eb l e), mak a
d o k u m e n X M L m u d ah u n t u k d i - d e b u g d a n d ilewatk an melalui Firewall. Su atu
aplik asi
y ang
berbasis
XML
dap a t
m e n d e f i n i s i k an
markup
tag
untuk
me r ep r es e n t a sik an e l e me n d at a y an g b e r bed a d al a m su atu f ile t e k s s e d e m i k i a n
h i n g g a d a t a d ap at d ib a c a d an d i p r o s e s o l e h a p l l i k a s i y an g m e n g g u n a k a n X M L .
Deng an menggunak a n XML, su atu entitas b i s n i s d a p a t m e n d e f i n i s i k an s u a t u p o l i c y
dan meng eks pr es i kan n y a dal am do k u m e n XM L .
Gambar 3.1- Contoh WSDL berbasis XML
D e n g a n k a r a k t e r i s t i k y an g b e r b a s i s t e k s d an b er s i f a t t er b u k a t e r s e b u t , m a k a
kelemah an pada X ML i ni j ug a d a p at m e n j adi su mb er k er e ntan an pa da ap lik as i
berb asis Web Serv ice d eng an me mbuk a p e l u a n g a d a n y a g a n g g u a n a t a u s e r a n g a n
(atta ck ) ter h adap k eam an an dok u m e n W S DL, U D D I d a n p r o t o k o l S O A P y an g
b e r b a s i s X M L . W 3 C d an O A S I S t e l a h m e n et ap k an st an d ard u n tu k men an g a n i
k e r e n t a n a n X M L , y ai t u a n t a r a l a i n : XML Signatu r e, XML En c r y p t i o n , d a n S A M L .
P e mb ah a s a n s el en g k a p n y a men g en a i st an d ar d S AM L i n i ak an d i b er i k an p a d a B ab I I I ,
se me n t ar a XML Sig n a tu re d an XML En c r y pt i o n su d a h d i b ah a s p a d a l a p o r a n tug a s
akhir y ang sud ah ad a seb elu mny a.
3.1.2
Keren tan a n Pada S O AP

S O AP merup akan stand ard p r o t o k o l k o m u n i k a s i u n tu k p e r t u k a r a n i n f o r m a s i
dal a m si st e m W e b S er v i c e. Pada u mu m ny a pesan SOAP dik irim melalui protoko l
HTTP. Namu m demi kian p ada dasarny a S O A P m e r u p a k a n p ro t o k o l y an g i n d e p en d e n
terh ad ap l ay er t ran s port. Deng an k at a l ai n , p e s a n S O A P j u g a d a p a t d i k i r i m m e l a l u i
S M T P , at a u F T P . D al a m s at u t r an s ak si W eb S e r v i c e, su a t u p es an S OA P d ap a t
berj al an mel alui lay e r transpo rt y ang berbed a - b ed a, mi s al n y a, pada tah a p pertama
m e n g g u n a k an H T T P , k e m u d i a n d i t e r u s k a n m e l a l u i S M T P , d an s e t e r u s n y a.
Pad a aplik asi b erb asis W e b , b i s a n y a d i g u n a k a n s t a n d a r d p e n g a m a n an Secu re
Socket La yer/Tran sp ort Secu re Layer ( S S L / T S L ) u n t u k m e n g a m a n k a n t r a n s a k s i
mel alui HTTP. SSL me mberik an jamin an confid enti alit y melal u i mek ani sme enkrip si
dan jaminan ot ent i k as i m enggu na k a n se t i f ik a t d i g i t a l X . 5 0 9 u n t u k s e s i H T T P y an g
bersifat tu nggal dan poi nt - t o -p o i n t. N a m u n d e m i k i a n , S S L t i d a k d a p at m e n y e d i a k an
me kan is me a u d i t t r a i l y an g d a p at men j a mi n b ah w a s e si t e r s e b u t ad a a t au p er n ah
terjad i.
Security
Context
Service
Security
Context
Intermediary
Service Provider
Gambar 3.2- Model kemanan dengan konteks point-to-point
Ole h kar en a i t u, s ol u s i t erh adap ke le ma han d ari SSL in i ad al ah d engan c ar a

m e n e r a p k a n m e k an i s m e p en g a m an a n p a d a p e sa n S OAP i t u se n d i r i , b u k a n h an y a pad a
lay er t ran sport di man a pesan S OAP diki ri m. So lusi ini menj amin b ah wa jika S OAP
dikiri m me lalu i jalur tran sport y ang tid ak a ma n , a t au j i k a p e san S O AP h ar u s d i k i r i m
m e l a l u i b e b e r a p a l a y er t r a n s p o r t y an g b er b e d a - b e d a d a n d al a m l i n g k u n g a n y an g t i d a k
a m a n , p e s a n S O A P t e r s e b u t d ap a t t e t ap d i j a m i n a m a n . M i s a l n y a , j i k a d i g u n a k a n
analogi an tara S OAP dan E mail . Jika E ma il dik iri m mel alui Int ern et, mak a tidak lah
c u k u p j i k a h a n y a m e n g - e n k r i p l i n k a n t a r Mail serv er, untuk itu pesan Email itu
send iri ju ga p er l u d i- enk r i p. D e m i k i a n j u g a h al n y a d en g a n p e s a n S O A P . O A S I S
t e l a h m e n g e m b a n g k a n s t a n d ar d u n t u k m e n g amank an pesan SOAP ini d e ngan n a ma
WS- Secu ri ty y ang ak an dib ah as pad a Bab III.
P ad a sisi lain, d a l a m W e b S e r v i c e , p e s a n S O A P d i- g e n era te o l e h a p l ik as i,
b u k a n o l e h man u s i a / o r a n g . A k a n t e t ap i k e p u t u s a n u n t u k p e n g a m a n a n n y a t e t a p
didasarkan pada id en titas orang y ang melak u k a n t r a n s a k si . M i s a l n y a d a l a m s i t u a s i
d i m a n a W e b S e r v i c e d i g u n a k an p a d a k as u s peng ad aan barang, di m a n a s e o ra n g b u y e r
masuk ke su atu Portal Pengadaan Barang d engan mengotentik asi d iriny a
m e n g g u n a k an p a s s w o r d u n t u k m e m b u at P ur c h as e O r d e r r e q u e s t . P e s a n S O A P
k e m u d i a n d i k i r i m k e b e b e r a p a S u p p l i er a t a s n a m a B u y e r t e r s e b u t . S u p p l i e r
menggunak an mekan isme p en g aman an lay er t r a n s p o r t u n t u k m e n g - o t e n t i k a s i
p e n g i r i m p es a n S O A P t e r s e b u t, d a l a m h al i n i P o r t a l P e n g ad a a n B a r a n g . J i k a S u p p l i e r
ingin men g et ahui si apa iden ti ta s Buy er y an g me n g i r i m P u r c h as e O r d e r r e q u e s t
t e s e b u t , a p a y an g h a r u s d i l a k u k a n ? M e k a n is me p en g a man an l ay er t r an s p o r t s ep er t i
S S L t i d a k d a p a t m e l a k u k a n k eb u t u h a n d e m i k i a n . O l e h k ar e n a i t u k o n t e k s k e a m a n a n
haru s d apat dap at me njamin me kanisme p engaman an e n d - t o - e n d , d i mu l ai d ar i en d Tugas EC-7010 : Keamanan Sistem Lanjut 2003
user y ang me l akuk an ot ent i k as i m e n g g u n a k an p asswo rd (d alam con to h tersebu t

ada lah B u y e r ) s a m p ai d e n g a n W e b S e r vi c e y an g b e k e r j a a t a s n a m a e n d -u s e r d en g a n
m e n g g u n a k an p es a n S O A P .
Security
Context
Service
Intermediary
Service Provider
Gambar 3.3- Model kemanan dengan konteks end-to-end
D a l a m h al i n i , m e k a n i s me k ea ma n an d i t er ap k an d engan me ny isipkan
informasi mengen ai ident itas user ( secu rit y in formation ) d i d a l a m p e s a n S O A P .
I n f o r m a s i t e r s e b u t m encakup antara lain : statu s oten t i k a s i d a r i e n d -u se r ( d a l a m
kasu s ini adalah Bu y er), aktiv itas y ang dipe r b o le h k a n ( o t o r i sa si ) , d an a t r i b u t lai n
m e n g e n ai u s e r t e r s e b u t y an g bergun a u n tuk menetapk an a c c e s s c o n t r o l. OASI S
t e l a h m e n et a p k a n s t a n d a r d u n t u k mak su d t e r s e b u t d e n g a n n a m a S A M L ( S e c u r i t y
A s s e r t i o n M a r k u p L a n g u a g e ) y a ng mensp e sifikasik an bagaiman a info rmasi meng enai
i d e n t i t a s u s e r t e r s e b u t d i d e f i n i s i k an d a l a m d o k u m e n X M L s e b a g ai p e r n y at a a n
(as se rt ion ) m e n g e n ai u s e r . S e m e n t a r a i t u W S - S ecurity men d efin isikan bagai man a
p er n y at aan t e r seb u t d i t e mp atk an d al a m p e s an S O AP. P e mb ah a s a n men g en a i s t an d ar d
in i ak an d i b ah a s p ad a Bab II I.
3.2
AS P E K P E N G AM A NA N W E B S E R V I C E
S e c a r a u mu m ad a 5 a sp ek k ea ma n an d as ar y an g p er l u d i p er h at i k an d al a m
me ngi mpl e me nt as ikan sis te m b e rba si s W e b p a d a u m u mn y a t e r m a s u k d al a m h al i n i
ada lah ap li kas i W e b S er v i c e, y ai t u : Auth en tica tion , A u t h o r i z a t i o n , Co n fi d en tia l it y ,
Data Int eg rit y d an N o n - R e p u d i a t i o n. D i s a m p i n g i t u l a y an an a p l i k a s i b e r b a s i s W eb
haru s d ap at me mberikan k o n t e k s p en g a m a n a n s e c a r a e n d - t o - e n d , dima na setiap
tran s ak s i h aru s d ap at d ij a min k ea ma n an n y a mu la i d a ri a sa l tr a n sak si sa m p ai d en g an
p e n y e l e s a i a n a k h i r t r a n s ak si s e h i n g g a d a p at m e m p e rt a h a n k a n k e a m a n a n y a n g
k o n s i s t e n d i s e m u a tahap an p en golah an transak si.
Ot en tika si
Ot entik asi (Auth ent i cation ) merup akan proses un tuk men g i d e n t i f i k as i P e n g i r i m
m u p u n p e n er i m a . S e p e r t i h a l n y a a p l i k a s i b e r b a s i s W e b l a i n n y a, S e r v i c e r e q u e s t e r
p e r l u d i - o t e n t i k a s i o le h s e r v i c e p r o v i d e r s e b e l u m i n f o r m a s i d i k i r i m . S e b a l i k n y a ,
Se rv i c e re q u es t e r j u g a p er l u m e n g - o t e n t i k a s i S e r vi ce p ro vi d e r. Ot en t i k as i s an g a t
p e n t i n g d a n cru cial d iterapk an untuk melakukan tran sak si di In tern et. Saat ini telah
t e r s e d i a s t a n d a r d y a n g b i a s a d i g u n a k an u n t u k m e n e r a p k a n m e k a n is m e O t e n t i k a s i
pada ap lik asi b erb asi s W eb p ad a u mu mny a, y aitu an tara lain P KI, X.509 Cert ifi cat e ,
Ka rb ero s, LD AP, d a n Acti ve Di recto r y. D a l a m k ai t a n n y a d e n g a n W e b S e r v i c e ,
d o k u m e n W S D L d a p at d i r u s a k m e l a l u j i s e r a n g an spo o fing sed e mikian hin gga S e r vi c e
requ e st er ber ko muni kas i buk an d e n g a n S e r v i c e p r i v i d e r s e s u n g g u h n y a , m e l a i n k a n
10
dengan S p o o f e d W e b S e r v i c e. O l e h k a r e n a i t u , d o k u m e n W S D L p er l u d i - o t e n t i k a s i
untuk menjamin in teg ritas d ata.
Gambar 3.4- Mekanisme Spoofing terhadap WSDL
Oto ri sa si
Oto r i s a si ( a u t h o r i z a t i o n ) men ja min b ah w a r eq u e st e r y an g t e l a h b e r h a s i l m e l a k u k a n
otentikasi dapt meng -a k s e s su mb er d ay a y an g ad a s e su a i d en g a n k ar ak t e r i st i k ak s e s
(access co ntrol ) y ang disediak an. Aplik asi berb asis W e b p e r l u m e l i n d u n g i dat a
f r o n t - e n d m a u p u n b a ck -en d d an su mb er day a si st e m l a i n n y a d e n g a n m e n e r a p k a n
m e k a n is m e k o n t r o l a k s e s , s e b a g a i c o n to h : a p a y an g d a p a t d i l a k u k a n oleh
user/aplik asi, su mb er day a ap a y ang dap at d ia k s e s , d a n o p e r a s i a p a y a n g d a p at
dilakuk an terh ad ap d at a t er s ebu t.
Confid en ciality
Confid enti alit y m e n j a m i n k e r a h a s i a a n ( p r i v a c y) t erh ad ap d at a/in fo r m as i
y an g
d i p e r t u k a r k a n y ai t u d e n g a n m e l i n d u n g i d at a / i n f o r m a s i a g a r t i d a k m u d ah d i b a c a o l e h
entitas (o rang atau aplik asi) y ang tid ak berh ak. Stand ard y a ng biasa digunak a n
u n t u k m e n j a g a k er a h a s i a a n d a t a y an g d i k i r i m a d a l a h m e n g g u n a k a n t e k n o log i
E n k r i p s i , mi s a l n y a d e n g a n me t o d e D i g i t a l S i g n a t u r e. S e r v i c e r e q u e s t e r
menand atangani do ku men y ang dikirimk an den g an su atu p r i v a t e k e y, d a n
m e n g i r i mk a n n y a b e r s a m a a n d en g a n bod y of messag e. S e rv ic e p ro v id e r k e m u d i a n
d a p a t m e m v e r i f i k a s i t a n d a tang an tersebut d engan s end er s pr iva t e ke y un tu k melih at
a p a k a h a d a b a g i a n d a r i d o k u m e n y an g t e l a h b erubah . Deng an cara ini, sistem dap at
menjamin integritas d ata k etik a me l a k u k a n k o mu n i k a s i s a t u s a m a l a i n .
Int eg rita s Da ta
Integ ritas dat a m eng hendak i b a hwa k o m u n ik a s i a n t a r a c l i e n t d an s e r v e r d i l i n d u n g i
dari adany a k e mungk inan un tuk merub ah d at a o l e h u s e r / a p l i k a s i y an g t i d a k m e m i l i k i
h a k u n t u k m e l a k u k a n p e r u b ah an d at a. D en g an k ata la in , Int e g rit as D at a me n j a mi n
b ah w a d at a t i d ak b e r u b ah sel a ma p r o s e s p en g i r i ma n d at a d ar i su mb e r k e t u j u an .
Stand ard y ang biasa digun ak an untuk mengaman k an jalur ko munuik a si b erb asis
Internet adal ah S e c u re So ck et La ye r/ T r a n s p o r t L a y e r S e c u r i t y ( S S L / T S L ) d e n g a n
me n g g u n ak an p r o t o k o l HT T P S . S ep er t i s u d a d i j el a sk an t e r s e b u t d i a t a s, S S L / T S L
me milik i k ontek s k eamanan y ang bersi fat p o i n t - t o -p o i n t ant ar a S e rv i c e r e q u es t o r d a n
Service p r ovid er . A k a n t e t a p i d a l a m b an y ak h a l , s e rv i c e p ro vi d er bukan tujuan fin a l
dari p esan y ang dikirimk an. Service pro vid er d ap at b e rtin d ak s eb ag a i Se rv i c e
11
requ e sto r y ang men g irimk an pesan ke berb agai S er vi c e p ro vid er l ain n y a, s ep er t i
digamb ark an seb ag ai beriku t.
Gambar 3.5- Model Transaksi dalam Web Service
U n t u k m e n g a m a n k a n m e k a n i s me t r a n sa k si se p e r t i t e r s e b u t d i a t a s , d i b u t u h k a n
m e k a n is m e k e a m a n a n d e n g a n k o n t e k s end -to- e nd se cu ri ty, y ai t u d e n g a n
m e n g g u n a k an s t a n d ar d X M L Encryp tion d e n g a n c a r a m e n g - e n k ri p s e b ag i a n d a r i
fo r ma t p e s an , d i man a b ag i an p a yload d a r i p e s a n d i - e n k r i p , s e d a n g b ag i a n H e a d e r
d i g u n a k an u n t u k k e b u t u h a n r o u t i n g .
Non -Repu di at i on .
Non-repud i at i on m en jam i n b ah wa m a s i n g - m a s i n g p i h a k y an g t erl ib a t d al a m t ran s ak s i
(cl ien t & se r vi ce p r o vi d er ) tid ak dap at meny angkal terj a d i n y a t r a n s a k si y an g t e l a h
d i l a k u k a n . M e k a n is m e i n i d a p a t d il ak u k a n d en g a n m e n g g u n a k a n t e k n o l o g i d ig ital
signatu r e d a n t i m e s t a m p i n g . D e n g a n t e k n o l o g i d i g i t a l s ig n a t u r e , S e v i c e p ro v i d er
t i d a k h an y a m e m b e r i k a n b u k t i b a h w a t e l a h t e r j a d i t r a n sa k si , t e t a p i j u g a m e r e k a m
t r a n k s a k s i p e s a n k e d a l a m a u d i t l o g y an g t e l ah d it a n d a t a n g a n i p u l a. S ek a l i a u d i t l o g
telah ditandatangan i , ia tidak d a p a t d i m o d i f i k as i ( o l e h Ha ck e r) tanp a merubah
t a n d a t a n g a n s e c a r a s i g n i f i k an .
3.3
SE RA N G AN KE AM AN A N P A DA W E B SE RV I CE
S a l a h s a t u k u n c i k e s e d e r h an aan Web S ervi ce ad al ah bahw a Web S ervi c e
d i i mp el e m e n t a s i k a n p a d a p o r t 8 0 d a n 4 4 3 , s a ma s e p ert i st an d ar d ap l i k a si b er b a si s
Web l ain n y a. Keuntunganny a adalah d a pat meny erdeh anak a n ko munikasi an ta r a
beberap a entit as, tetapi disisi l ain me miliki kelema han deng an membuk a p eluang
m u n cu l n y a g a n g g u a n k e a m a n a n a n y an g k u r a n g d i m e n g e r t i se b el u m n y a. U ntuk
m e n g a t a s i n y a, b i a s a n y a d i g u n a k an F i r e w a l l y an g d ap at m e l a k u k a n t u g a s s e p e r t i p o r t
monito ring dan m eng enal i ad an y a se r a n g a n y an g b e r si f a t b ru t e fo r ce , a k an t et ap i
F i r e w a l l t i d a k d ap at m e l ak u k a n t u g a s u n t u k m e l i h a t i s i p es a n s e b ag ai u p a y a u n t u k
mendetek si dan men c egah ad an y a gangguan k e a m a n a n y an g y a n g l e b ih k o mp l e k s.
Pad a si si lain, Fi rewall tidak dap at me mb erik an protek si t e rhad ap se r angan y ang
b er as al d ar i d al a m ( i n tern al ) p e ru s ah a an i t u s e n d i r i , s e p er t i y a n g d i t u n j u k k a n p ad a
g a m b a r b er i k u t i n i .
12
Gambar 3.6 Contoh implementasi Keamanan Web Service

dengan meggunakan Firewall
F i re w all d ap at me n g en a li p e s an S OA P, t et ap i men g an g g ap n y a h an y a seb ag ai

t r a f i k n o r ma l b i a s a s ep e r t i t r af i k HT T P p ad a u mu m n y a . W a l a u p u n d e m i k i a n F i r e w a l l
j u g a d a p at d i a t u r (co nfigure) u n tu k m e n o l a k a t a u m e n g i j i n k a n t r a f i k S OAP . S O A P
i n t e r f a c e m e r u p ak a n p e r a n g k a t l u n a k y an g me m i l i k i f o r m a t A p p l i c a t i o n P ro g r am
Interfa c e ( AP I ) d an d ap at me n j al an k an b er b aga i ma c a m f u n g si . M i s a l n y a, su a t u
ap lik a si W eb Se rv i ce d ap at t erd i ri d ar i r a t u s a n a t a u r i b u a n o p e r a s i y an g d ap a t
d i l a k u k a n , s e m u a n y a m e l a l u i p o r t 8 0 . S em e t a r a i t u d o k u m e n W S D L d a n i s i U D D I
meny ediak an info rmasi rin ci y ang memb eri p elu an g untuk Ha c k e r u n t u k m e l i h a t
isin y a k ar en a k a rak t eri st ik X ML y an g b er sif at ( s el f - d e s cr i b i n g) dan secara jelas
m e n u n j u k k a n e l e m e n d a t a . B eb erapa jen is serang an y ang mung kin terjad i terh ad ap
aplik asi b e rbasi s W eb juga bi sa terjad i pad a ap lik asi Web S erv i ce, y aitu antara l ain
ad a lah D e n ial o f Se rv ic e ( D O S), Bu ff er Ov e rflo w , Rep ly Atta ck , d an Di ctio n ar y
Att a ck.
Gambar 3.7- Jenis gangguan kemanan pada Web Service
Denial Of Servi ce
C o n to h s e r a n g a n y an g b e r s i f a t d e n ia l o f s e r v i c e (DOS) ini mi salny a pada k a su s
d i man a su atu ap p lik as i Web S erv i c e h an y a ma mp u men er i ma tr an sak si p er se tu ju a n
p i n j a m a n u a n g s e b a n y a k 5 p e r m i n t a a n s e h a r i , t e t a p i s u a t u s e r a n g a n D O S d ap a t
ter jad i j ik a ad a 10 p er min ta an penj a man p e r j a m y a n g d i k i r i m u n t u k d i p ro s e s o l e h
si st e m. Se rang an D OS bi as an y a ak an meny ebabk an k elu mp uhan sistem karen a
k e k u r a n g a n s u m b e r d ay a u n t u k m e l a y an i r e q u e s t y an g ma s u k a k i b a t D O S , y an g d a p a t
b e r a k i b at b er h e n t i n y a o p e r a s i s i s t e m .
13
Buf fer Ov erflo w

S erang an b u f f e r o ve r f l o w p a da Web S e rvice t erj adi jik a a d a p a r a m e t e r d a t a y an g
d i k i r i m l e b i h p a n j a n g d a r i p ad a y an g b i s a ditang an i oleh sistem y ang meny ebabk a n
s i s t e m m e n g a l a m i c r a s h , at au s i st e m m e n j a l a n k a n k o d e y an g t i d a k d i k e h e n d a k i
(undesired cod e) y a n g d i k i r i m o l e h
p e n y e r an g .
Metode untuk melakukan ini
b i a s a n y a d i l a k u k a n d en g a n c a r a m e n g i r i m k a n p as s w o r d d e n g a n j u m l a h k a r a k t e r l e b i h
p a n j a n g d a r i y an g d i h a r a p k a n . Serang an y ang sama dengan b u ffe r o ve rf lo w ad al ah
d i k en al s e b ag a i f o r m a t s t r i n g a t t a c k, y an g b e r u p a p e n g i r i m a n s t r i n g a t a u k ar a k t e r
y ang tidak me milik i fungsi sep e rti tand a p et i k , t a n d a k u r u n g , a t a u w i l d c a r d .
Re ply At t a ck
Reply attck dilak ukan deng an meny a l i n p e sa n y an g v a l i d k e m u d i a n m e n g i r i mkan
k e W eb S e r v i c e s er v e r s e c ar a b e r u l an g - u l an g , s ep er t i h al n y a D OS . Un t u k men an g an i
serang an ini dap at menggunak a n metod e y ang sama dalam menghadap i DOS. Dalam
beberap a k asu s, R epl y atta ck l e b ih mu d ah d it ek si o l eh Web S e rv ic e k a re n a p ay lo ad
pesan d apat dengan m ud ah di b ac a . De n g a n bantu an tool y ang tep at, pola serang an
Repl y atta ck d a p a t d i t e k s i s e c a r a m u d a h w a l a u p u n j i r a s e r a n g an d i k i r i mk a n mel a l u i
berb agai mediu m sep e rti HTTP, HTT PS, S MTP, a tau me l alui be rbag ai int e rfa c e y ang
berb eda.
Di ctio nary At tac k
Di ction a ry at tack t erj adi ji ka s eor ang ha ck er meny erang dengan cara men coba
me masukk an u ser I D d an Pas s w o r d u n t u k m a suk ke si st e m at au b erb a g ai si st e m
se c ar a ma nual at au oto mati s ( prog ra mma tically ).
Oleh karena itu seoran g
Ad min i st r a t o r h a r u s d ap a t mey ak i n k an b a h wa p a s s wo r d t i d ak mu d ah d i t eb ak d a n
s e l a l u d i p e r b a r u h u i / d i r u b a h s e c a r a p er i o d i k .
14
BAB IV
ARSITEKTUR KEAMANAN WEB SERVICE
Mo del
arsitektur
k eaman an
Web
Service
men ekank an
pentingny a
m e m a n fa a t k a n p r o se s d a n t e k n o l o g i k e a m a n a n y an g a d a s a a t i n i d e n g a n
m e n g a n ti s i p a s i k e b u t u h a n k e a m a n a n a p l ik a s i u n t u k m a s a m e n d a t a n g . M o d e l i n i
menghend aki ad any a perh atian terh adap beber a p a i s u , y ai t u : m e n y a t u k a n b e r b a g a i
k o n s e p m e n g e n a i k e a m a n a n , s o l u s i t e k n o l o g i ( m i s a l n y a se cu r e m es sa g i n g), pro se s
b i s n i s ( d a l a m t e r m i n o l o g i p o li c y, ri s k, t ru st) , s e r t a k o o r d i n a s i a n t a r a b er b a g a i p i h a k
y an g t e r l i b a t , a n t a r a l a i n : v e n d o r , a p p l i ca t i o n d e v el o p er , n e t w o rk / i n f r a t r u c t u r e
p r o v i d e r , d a n c u s t o me r . M o d e l a r s i t e k t u r y an g d ib ah a s d a l a m b a b i n i b e r d a s a r k a n
u s u l a n d a r i M i c r o s o ft d a n I B M d al a m S e c u r i t y i n a W eb S e r v i c e Wo r l d : A P r o p o s e d
A r c h i t e c t u r e a n d R o a d m a p , Ap ril 7, 2002 , Versi 1.0 .
P e n y at u a n l i n g k u p t e k n o l o g i k ea m a n a n y an g a d a s a a t i n i d i m a k su d k a n u n t u k
me mi sahk a n an ta ra k ebutuh an k ea ma n an s u atu ap lik as i d eng an mek ani s m e tekno log i
y ang digun akan . T uj uanny a ad al a h u n t u k m e m u d ah k a n c u st o me r d al a m m e m b ang un
s u a t u s o l u s i y an g s a l i n g d a p at d i o p e r a s i k an (in tero perab le ) d alam su atu lingkungan
y an g h e t e r o g e n . P r o s e s i n t eg r a s i d i l a k u k a n d e n g a n m e m b u a t a b s t r a k si t e r h a d a p s u a t u
mod el k eaman an tertentu y ang memu n g k i n k a n s u a t u o r g an i s a s i m e n g g u n a k a n
i n v e s t a s i t e k n o l o g i k e a m a n a n y an g a d a s a a t i n i u n t u k b er k o mu n i k as i d e n g a n
organisasi/peru sah aan lain y ang m e n g g u n a k an t e k n o l o g i y an g b e r b e d a .
P a d a s i s i l a i n , s e t i a p W e b S e r v i c e m e m p u n y ai k e b u t u h a n a s p e k k e m a n a n a n
y ang unik di das ar kan pad a k ebu t u h a n b isn i s d an l i n g k u n g a n o p e r a s i o n a l y a n g k h u s u s.
Misalny a, unt uk kebu t uhan i nt er na l , m a k a k e s e d er h a n a a n d an k e m u d ah a n o p e r a s i o n a l
merup akan t unt ut an u tam a, s em e n t a r a u n tu k kebuth an ek stern al (Intern et) dibutuhkan
kemampu a n unt uk ber t ah an t er ha d a p , m i s a l n y a, s e r a n g a n D O S . U n t u k m e n d u k u n g
kebutuh an demikian maka su atu mo d el k eaman an Web Serv ice mengh endaki adan y a
flek sib ilitas dalam menggunak a n mekan isme k e a m a n a n k o n v e n s i o n al , t e t a p i d is i s i
l ai n d ap a t me mb er i k an so l u si b ag i b e r b a g ai ma c a m k eb u t u h an k e a man an si st e m
m e l a l u i p e n e r a p a n k e b i j a k an k e a m a n a n (secu ri ty pol icy) d an p eru b ah an k o n fig u r as i
s i s t e m . D e n g a n k at a l a i n , m od e l a r si t e k t u r k e m a n an Web Servi c e merup akan
s e k u m p u la n a b s t r a k s i k e a m a n a n y an g m e n y at u k a n t e k n o l o g i y an g b e r b e d a - b e d a y an g
telah ad a seb elu mn y a. Mode l a r s i t e k t u r d e m i k i a n d a p at m e m e n u h u i k eb u t u h a n
c u s t o me r y an g s p e s i f i k t e t a p i p a d a s a a t y an g s a m a m e m u n g k i n k a n t e k n o l o g i u n t u k
t er u s b e r k e mb an g d a n d ap at d i i mp l e me n t as i k an s e c ar a b er t ah ap . S eb ag ai co n t o h ,
s u a t u W e b S e r v i c e d ap a t m e n e r a p ak a n m o d e l s ecu r e m es sa g i n g ( me l a l u i en k r i p si
t er h ad ap p es an ) k e t i k a me n g i r i m p e s a n me l a l u i l i n t a s an y an g ama n d en g an
m e n g g u n a k an m e k an i s m e k e a m a n a n b er b a s i s tran spo r t la yer ( S S L / T S L ) y a n g s u d ah
ada. S ehin gga p e s an dapat m e m i l i k i a sp ek i n t eg r i ta s ( a t au conf ident ialit y ) y an g ad a
diluar transport layer.
4.1
M O DE L AR S I T E K T U R K E AM A NA N W E B S E R VI C E
W eb Serv ice d apat diak s e s d en g a n m e n g i r i mk a n p e s a n S O A P k e s e rv i c e en d p o i n t y an g d i i d e n t i f i k a s i k an d e n g a n U R I ( Unif ied Reaou rces Iden tif i er) , u n t u k
me minta aktivitas terten tu p ad a Web Serv i c e , d an k e m u d i a n m en e r i m a r e s p o n p e s a n
SO AP (t er ma suk ada n y a indik a si ad any a kes al ah an, jik a ad a). D al a m k ontek s in i,
tujuan pen g aman an Web Service dib agi dalam b eb erap sub-g o al y ang meny ediak a n
f a s i l i t a s u n t u k m e n g a ma n k an i n t e g r i t a s d a n con fid entia lit y p es a n d an m e n j a m i n
15
se rvi ce h any a ak an mel akuk an pe rk er ja anny a s esu ai d en g an i si p es an y ang

merup akan ekspresi dari C l a i m y an g d i b u t u h k a n o l e h s u a t u P o l i c y . F u n g s i
p e n g a m a n a n t e r h a d a p i n t e g r i t a s d an c o n f i d e n t ia l i t i t y p e s a n d ap at d i t e r ap k an
m e n g g u n a k an t e k n o l o g i S S L / T S L m a u p u n I P S e c . N a m u n d e m i k ia n S S L / T S L m a u p u n
I P S e c h a n y a m e n y e d i a k a n k o n t e k s k ea m a n a n y an g b e r s i f a t p o i n t - t o - p o i n t.
M o d el a r s i t e k t u r W e b S e r v i c e y an g k o mp r e h en s i f m e m b u t u h k a n m e k a n is m e
keaman an dengan ko ntek s end - to-end . Model ini menghend ak i ad any a pengaman an
pada lay er tran sport maupun ap likasi.
IBM dan Microsoft
m e n g u s u lk a n s u a t u m o d e l a r s i t e k t u r k ea m a n a n W e b
Serv ice u n t uk m em enuhi k eb u tu h a n t e r se b u t diatas deng an su a t u k a r a k t e r i s t i k
seb ag ai b e rik u t :
W e b S e r v i c e m e n g h e n d a k i b a h wa s e t i a p p e s a n y an g m a s u k d a p a t m e n u n j u k k a n
d i r i n y a s e b a g ai s e k u mp u l a n cla i m ( m i s a l n y a : n a m a , k e y , p e r m i s s i o n ,
kapab ilit as, dls). Ji ka su atu pesan d at ang tan p a memi li ki clai m y an g
d i b u t u h k a n , mak a W e b S e r v i c e d a p a t m e n o lak atau menerima p e s a n t e r s e b u t .
S e k u m p u l a n c l a i m d an i n f o r m a s i y an g b er k a i t a n d en g a n n y a d i s e b u t s e b a g a i
Poli cy.
Suatu r eq u es t e r d ap a t mengirim p esan d engan men unjukkan bukti men g enai
clai m y an g d i b u t u h k a n W e b S e r v ice dengan meny ertakan S e c u r i t y t o k e n
b er sa ma d en g an p e s a n t e r s eb u t . J ad i , p e sa n me min t a t i n d ak an t er t en t u k e p ad a
servi ce d a n me m buk t i kan b a h w a p e n g i r i m p e s a n m e m i l i k i c l a i m y an g m e m i n t a
t i n d a k an t e r s e b u t .
Jik a r eq u es t e r t i d a k m e m i l i k i cla im y an g d i k e h e n d a k i , r e q u e s t e r a t a u
seseorang y ang meng atasn a mak anny a d ap at me n cob a me mpe ro leh cl ai m y ang
d i p e r l u k a n d e n g a n m e n g k o n t a k W e b S e r vi c e l a i n . W e b S e r v i c e i n i , y an g
d i s eb u t s e b ag a i Secu rit y Tok en Servi c e, d ap a t m e n g h e n d a k i s e k u mp u l a n clai m.
Secu ri ty to ken se r vi c e b er t i n d a k s e b a g ai p e r a n t a r a tru st ant ar a b erb aga i tru st
dom ai n y a ng ber b ed a deng a n m e n y e r t a k a n Se cur ity t o ken .
M o d e l t e r s e b u t d i i l u s t r a s i k an pad a gamb ar dibawah ini, di mana seti a p
Requ ester dapat menjadi S ecu rit y To ken S e rv ic e , d an S ecu rit y T o k en S e r v i c e d a p a t
m e n j a d i W e b S e r v i c e , y an g m e n g e k s p r e s i k an P o l i c y dan mengh endak i S e c u rit y t o k en .
Gambar 4.1 - Model generik security messaging pada Web Service
M o d e l g e n er i k m e s s a g i n g t e r s e b u t , y ai t u c l a i m, p o l i c y d a n s e c u r i t y t o k e n ,
m e n d u k u n g b e b er a p a m o d el y an g l e b ih s pe s i f i k l a i n n y a s e p e r t i h al n y a iden tit ybased s ecu rit y, a cc e s s- co n t ro l l i st, d an ca pabiliti es-based secu rit y . Mod e l ini jug a
m e n d u k u n g t e k n o l o g i y an g a d a s a a t i n i s e p e r t i X . 5 0 9 d a n K a r b e r o .
16
4.2
S P E S IF I KA S I K E AM A NA N W E B S E R VI C E
S p e si f i k a si Ke a ma n an W e b S e r v i c e t er d i r i d a r i sek u mp u l a n sp e si f i k a si t e r p i sa h
y ang dikem b angkan s ecar a hi rark is d an berlapis diat a s p r o to k o l S O A P . M a s i n g m a s i n g s p e s i f i k a s i d i k e m b a n g k a n b er d a sa r k an sp e si f i k as i y an g l ai n . S p e si f i k a si a wa l
k ea ma n an W eb S e r v i ce t er d i r i d ar i :
Mes sag e S ecu ri ty Mo del
Web S er vi ce E ndpoi n t P o l i c y
Tru st Mo d el
P r i v a cy M o d e l
I B M d a n M i c r o so f t m e m b e r i n a m a masing-ma sing sp esifik a si t er s e but ad al ah
WS- Secu ri ty ( u n tu k message secu rity mo del ) , WS- Poli cy ( u n tu k Web Service end p o i n t p o l i c y), W S - Tr u st ( u n tu k Tru st mo d e l) d an WS - Priva cy ( u n t u k P ri va cy mod el) .
Se ca ra be r sa ma sp efi k as i aw al te rs ebut m e n y e d i a k an l a n d a s a n u n t u k m e n e t a p k a n
keaman an y ang interop e rabl e ant ar tru st do main. Be rd as ar kan sp e si f ika si aw al
tersebut, kemudian dap at
dikemb an g k an spesifikasi b e rikutny a yaitu s ecu r e
c o n v e r s a t i o n (WS -S ecu reConv er sation) , fed e ra t e d t r u st ( W S - F e d e r a t i o n ), d a n
o t o r i sa s i ( W S - A u t h o r i z a t i o n ).
Struk tur k erang ka sp esifi k asi k eamanan W eb S ervi c e diilustrasi kan sepert i
g a m b a r d i b aw a h i n i .
Gambar 4.2 Arsitektur & Roadmap Spesifikasi Keamanan

untuk Web Service
Ko m b in a si sp es ifik a si k ea ma n an t er seb u t me mu n g k in k an ad an y a b an y ak
sken ario y ang ak an sulit diimp l emen tasi k a n jika men ggunakan mekan isme keaman an
dasar y ang ad a saat ini.
S e c a r a r i n g k as , sp es i f i k as i k ea ma n an t er s e b u t d ap at d i j el a sk a n s eb ag ai
beriku t :
Spesi fika si Awal
WS-S e cu ri ty : M en j e la sk an b ag ai ma na m e n e r a p k a n X M L s i g n a t u r e d a n X M L
E n cry p t i o n p ad a H e ad e r p e s a n S OA P , ser t a b a g ai ma n a me n y ert ak an
se cu rit y t o ken , t e r m a s u k X . 5 0 9 , K a r b e r o d an U s e r N a m e / P a s s w o r d ,
kedalam pesan SOAP.
WS-Po li cy : men je l ask an k e m a mp u an d an k e n d a l a d a r i s e c u r i t y p o l i c i p ad a
l e v el i n t e r m e d i a t e m a u p u n e n d - p o i n t .
WS-T ru s t
: men j el ask an b ag ai ma n a f r a m e w o r k t r u s t u r e l a t i o n s h i p a n t a r
enti tas bi snis
17
W S - P r i v ac y : m e n j e l a s k an s u a t u mo d el b a g a i m a n a W e b S e r v i c e d a n r e q u e s t e r
m e n y a t a k a n p r i v a s i s u b y e k y an g d i i n g i n k a n d an p r i v a s i o r g an i s a s i .
Spesi fika si beri kutn y a

WS-SecureConversation
:
menjelaskan
bagaimana
mengelola
dan
me melakuk an otentik asi p ertuk aran p esan
WS-F ed er a tion : me nj el ask a n bag ai m ana me n g integ ra sik an b erb a g ai
me kan is me man aje me n ident it as
W S - A u t h o r i z a t i o n : m e n j e l a s k a n b a g ai m a na d at a o t o ris a si d an au th o ri za t io n
policy .
18
BAB V
STANDARD KEAMANAN WEB SERVICE
K e r e n t a n a n y an g a d a p a d a W e b S e r v i c e y an g b er b a s i s X M L m e n j a d i
pertimbang an utama y ang memp engaruh u i k e r a g u - r a g u a n p ar a p e n g g u n a untuk
me ngi mpl e me nt as ikan Web S erv ic e. Ol eh Ka r e n a i t u d i p e r l u k a n s t a n d ar d t e k n o l o g i
k e a m a n a n a n W e b S e r v i c e u n t u k m e n d u k u n g ke a m a n a n p e n er a p a n W eb S e r v i c e s e c a r a
l u a s . W a l a u p u n d e m i k i a n , s t a n d ar d y an g a da s a a t i n i s e p e r t i L D A P , P K I , S S L / T S L
t e t a p m e m e g a n g p er a n a n p e n t i n g u n t u k m en g a m a n k a n W e b S e r v i c e d a l a m k o n t e k s
point-to -p o i nt.
Beb er ap a l em b aga/ organisasi p rofit mau pun non-profit telah berup ay a
untuk mengembangkan standard keamanan XML dan Web Service. Diantara
l e m b a g a / o r g a n i s a s i t e r s e b u t , h i n g g a s a a t i n i a d a 2 l e m b a g a y a n g m e n j a d i r e f e r e n si
d a l a m p e n et a p a n s t a n d a r d k ea m a n a n X M L Web Service y aitu
W3C d an OAS IS .
Tab el b erikut ini menunjukkan beberap a stan d ar d k e a m a n a n X M L W e b S e r v i c e y an g
t e l a h d an s e d a n g d i t e t ap k a n o l e h k e d u a o r g an i s a s i t e r s e b u t [1 0 ] :
Standa rd
Standa rd
Bo d y
Statu s
De sk ri ps i
XML Digital Signature

(XDS IG)
W3C
Co mpleted
XML Encryption
(XE N C)
W3C
Co mpleted
Protokol u n tuk men a ndai isi

d o k u m e n d ig i t a l .
Memberikan aspek integri
tas d ata, d an non-rep udia
tion
Protokol u n tuk meng engkripsi dan dekrip si isi
d o k u m e n d ig i t a l .
XML
Key
Man ag e men t
Specification
(XKMS )
Security Assertion Markup
Language
(SAML)
W3C
Working
Dr aft
OASIS
Open
Stand ard
Exten sibl e Access Co ntrol

Markup Language
(XACML)
OASIS
Open
Stand ard
WS-Security
OASIS
Working
Dr aft
Protokol untuk mendistri

busik an d a n me-reg istrasi
public key
M e n y e d i a k an k er a n g k a
XML untuk Web Service
y an g men d u k u n g p e r t u k a r
an ot entik asi d an oto r isasi
infor masi ant ar a p art ner
b i sn i s
S p e si f i k a si XM L u n t u k
me ngek spr es ikan Poli cy
tent ang ak ses in formasi
mel alui Int ern et.
S e k u m p u l a n s t a n d ar d u n t u k
mengamankan
pesan
SO AP p ad a asp ek i n t eg r i t y
d a n confid entia l- l it y
Dalam bab in i fokus p e mbah asan hany a pada stand a rd W S - S e c u ri t y y an g

m e n j a d i r e f e r e n si p e n t i n g b ag i p e n e r a p an X M L W e b S e r v i c e , d e n g a n p er t i m b a n g a n
seb ag ai b e rik u t :
19
WS-S e curi ty akan menj adi r ef er ens i st a n d ar d k e a ma n an W e b S er v i c e o l eh

b e r b a g a i p i h a k ( u s e r , v e n d o r, o r g a n i s a s i l a i n n y a ) .
W S - S e c u r i t y t i d a k m e n s p e s i f i k a s i k a n s t an d ar d k ea ma n an t er t en t u y an g
b e r b e d a , t e t a p i m e m a n f a a t k a n b e r b a g a i st an d a r d k ea ma n a n l ai n , s ep e r t i
X . 5 0 9 , K a r b e r o s, X M L D i g it a l S i g n a t u r e , X M L E n c r y p t i o n , S A M L , X K M S ,
dls.
W S - S e c u r i t y i n d e p e n d e n t t e r h a d a p t e k n o logi keama n an pad a lay er tran sport.
Stan d ard k ea ma n an p ad a l ev e l tran sp o r t s e p e r t i S S L / T L S , K a r b e r o s, X . 5 0 9 ,
L D A P , d l s s u d ah b a n y a k d i b a h a s p a d a berb agai l iterature y ang me mb ahas
k e a m a n a n a p l i k a s i b e r b a s i s W e b p a d a u mu mn y a , s e h in g g a t i d a k d i b a h as s e c a r a
d et ail d al a m b ab in i .
W S - S e c u r i t y m e r u p a k a n i m p l e me n t as i d a r i mo d el ar sit ek t u r k ea ma n an W eb
S e r v i c e s e p e r t i y an g d i b a h as p a d a B a b I I I .
5 . 1 SP ES IF I K AS I WS -Se cu ri ty
WS-S ecu rity at au juga dik enal seb ag ai Web S e rvice S e cu rity Core Language
(WSS -Co re ) meru p ak an sp e sif i k as i k e a m an an W eb Serv ic e y an g men d efin is ik an
m e k a n is m e p e n g a m a n a n p ad a l e v el p e s a n S O A P u n t u k m e n j a m i n messag e integ rit y &
confid enti alit y.
Stand ard WS -S ecu rity saat i n i d i k e mb an g k a n s e ca r a r e s mi o l e h O AS I S
berd asarkan sp esifik asi y ang d i usulk an oleh M i c r o s o f t , I B M , d a n V e r y S i g n p a d a 1 1
A p r i l 2 0 0 2 . S e l a n j u t n y a, O A S I S m e l a l u i W eb S e rv ic e S e cu rit y Te ch n i ca l Co m mi tt ee
(WSS) melanju tkan pengemb an gan WS-Secu rity
dengan menetapk an beberap a
spesi fik asi tekni s t e rpisah, sep e rti Core Sp ec ifi c ation , SAML P rofil e, XM rL Pro fil e,
X.509 Profile, dan Karberos Profile.
P r o d u k W S S u n t u k Core S p ecifi catio n (WSS -C ore) ad al a h WS S : S o a p M e s s a g e
Securi ty . S p esifik asi lain y ang merup akan bagi an dari C o r e S p e c i f i c a t i o n ini ad al ah
WSS: U s e r N a m e T o k e n P r o f i l e d a n WS S : X . 5 0 9 C e r t i f i c a t e T o k e n P r o f i l e.
D i s a m p i n g 2 o rg a n i s a s i t e r s eb u t , a d a o r g an is a s i l a i n y an g j u g a a k t i f
m e n g e m b a n g k a n s t a n d a r d k e a m a n a n W e b S e r v i c e y an g d is p o n s o r i o l e h S u n
Mic ro sy st e m y aitu L i b e r t y A l l i a n c e T e c h n o l o g y G r o u p . N a m u n p a d a a k h i r n y a
le mb aga i n i jug a me ngu mu mkan untuk memfoku skan diri pad a p e ngembang a n
sp e si f i k as i W S - S e c u r i t y d an b er k erj a s a ma d en g an OA S I S u n t u k mak s u d t er s eb u t .
Deng an d e miki an, W S-S ecu rity akan men jadi st and ard d e - f a c t o u n t u k p e n g a m a n an
Web Service.
5 . 1 . 1 Kon s ep da sar W S - S e c u ri t y
S ec a r a u mu m s t a n d ar d W S - Secu rity (versi ori sinal) mend efin isik an suatu
sp e si fik as i men g en a i b ag ai ma n a m e n g a m a n k a n p e s a n S O AP se c ar a
end-to-end,
dengan cara meny ertakan (a tta ch ) d i g it a l s i g n a t u re , enk rip si d an s e c u rit y t o ke n
p a d a b ag i a n H e a d e r d a r i p esan S OAP.
Spesi f ikasi WS S -Core v ersi t erb aru
meny ediak an 3 mekanisme un tuk me mp rotek si pe s an dar i an ca ma n t er h adap up a y a
gangguan keam an an pes an SOA P , y ai t u ( 1 ) K e m a m p u a n u n t u k m e n g i r i m s e c u r i t y
t o k e n s e b a g a i b ag i a n d a r i p es a n S O A P , ( 2 ) M e ss a g e i n t eg r i t y d an ( 3 ) M e s sag e
c o n f i d e n t i a l i t y . N a m u n d e m i k i a n , m e k an i s me tersebut t id ak memb erikan solu si
k e a m a n a n y an g l e n g k a p u n t u k W e b S e r vice. Spesifikasi in i merup ak an b u i l d i n g
b l o c k y an g d i g u n a k a n u n t u k m e n g a k o m o d a - s i k an b er b a g a i v ar i a s i m o d el k e a m a n a n
d a n t e k n o l o g i k e m a n an .
D en g an k a ta l ain , W S-S ecu rity tid ak men sp e sif ik a sik an su a tu mek an is me
keamanan baru, tetapi menyediakan fleksibilitas untuk menggunaan teknologi
k e a m a n a n y an g s u d a h a d a ( X . 5 0 9 , K a r b e r o s, X M L E n c r y p t i o n ) , s e h i n g g a d ap a t
20
m e n g a k o m o d a s i b e r b a g a i p e n d e k a t a n k ea ma n an se c ar a u m u m. H al b ar u y an g
dita mb ahk an oleh WS-S e curi ty adalah s u a t u s p e s i f i k a s i u n t u k m e n e r a p k a n
mekan isme keaman an y ang sudah ad a ( e x i s t i n g ) t e r s e b u t k e d al a m p e s a n S O A P .
5 . 1 . 2 Meka ni sme P rotek si Pesan
S e c a r a u mu m s t r u k t u r p e san F o r ma t S O AP y an g men g i mp l e me n t a si k an W S Securi ty terdi ri d ari : En velo p , H e a d e r d a n B o d y sep er ti d ig a mb ark an seb ag a i
beriku t :
Gambar 5.1- Diagram Struktur Pesan SOAP
Sp es ifik a si k ea ma n an Web S e rvi ce d it er ap k an pad a b agi an H e a d er d an/ at au

Bo d y d ari p es an S O A P. WS S- C o re me n sp es ifik a sik a n mo d el k e a man an p e san d al a m
d a l a m b en t u k s e cu r i t y t o ken y an g d i g ab u n g d e n g a n t e k n o l o g i d i g i t a l s i g n a t u r e u n t u k
melindungi dan m eng- ot en t i k asi p esa n S OAP . Secu ri ty Tok en me ny ediakan
m e k a n is m e u n t u k m e m b u k t i k a n i n f o r m a si m e n g e n ai k ey d a r i P e n g i r i m . N a m u n
demiki an, sp esifik asi in i tid ak mendefini sik an metod e kh usus untu k melakuk an
o t e n t i k a s i , t e t a p i h an y a m e n u n j u k k a n b ah wa s e cu ri t y t o k en d a p at d it er ap k an d al a m
p e s a n S O A P . D e k l a r a s i se cu rit y tok en d ap at d i s y a h k an o l e h O t o r i s a t o r a t a u p u n t i d a k
perlu d isy ahkan. S ecu rit y to k en y an g p e r l a p e n g e s a h a n d i s e b u t signed secu rity to ken .
C o n t o h p e n g g u n a a n sig n ed s e c u rit y t o k en ad al ah X . 5 0 9 C e r t i f i c a t e d an Ka rb ero s.
S e cu r i t y t o k en y an g t i d ak p er l u p en g e s a h an ( u n si g n ed s e cu r i t y t o k en ) me me r l u k a n
mekan isme untuk menolak at au me n eri ma p e san b e rs ark a n k ep er c a y aan p ad a
i n f o r m a s i a t a u p e n g e t a h u an y an g d i s e r t a k a n p a d a p es a n t e r s e b u t . C o n t o h unsigned
se cu rit y to ken ini ad alah p enggu naan U s er name /Pa ss word .
S ig n a t u r e di gu nakan unt uk me m v e r i f i k a si k easl ian d a n integrit as p e san.
S i g n a t u r e j u g a d ap a t d i g u n a k a n o l e h P e n g ir i m u n t u k m e n u n j u k k a n k u n c i y ang
d i g u n a k an u n t u k m e n k o n f i r m a s i cla im y ang ad a dalam s ec u rit y t o ke n, s e h i n g g a
me mb e r i k a n i d en t i t as p ad a p e s a n t e r s eb u t .
W S S - C o r e m e n sp e s i f i k as i k a n p rotek si p esan d engan men erapkan en kripsi dan
d i g i t a l s i g n a t u r e p a d a H ea d er d a n / a t a u B o d y d ar i p e s a n S O A P u n t u k m e n j a m i n
in teg rit a s d an k er ah as ia an p e s an . In t eg ri t a s p es a n d i b er i k a n d e n g a n m e n e r a p k a n
X M L S ig n a t u r e b er s a ma an d en g an s ecu rit y to ken u n t u k m e n j a m i n b a h w a m o d i f i k as i
terh ad ap p es an d ap at d it ek si. Se mn et ar a i t u , k e r a h a s i a a n p e s a n d i b er i k a n d en g a n
21
menerapkan
XML
Encryption
bersamaan
d en g a n
m e m p e r t a h an k a n k e r a h a s i a a n b a g i a n p e s a n S O A P .
s e cur it y
to ken
untuk
5 . 1 . 3 Se cu rity Head er
S etiap p es an SO A P m e m p u n y a i s u a t u P e n e r i m a y an g b er t i n d a k s e b ag ai
p e n e r i m a p es a n d a n m e r e s p o n p e s a n . W S - S e c u r i t y v e r s i o ri g i n a l m e n y e b u t p e n e r i m a
s e b ag ai A k t o r . S e h i n g g a , s e t i a p p e s a n S O A P p a l i n g t i d a k m e m p u n y a i s a t u A k t o r ,
y aitu oran g bertind a k berd asarkan pad a pes a n S O A P t e r s e b u t . S u a t u p e s a n d a p a t
me mpuny ai lebih d ari satu Ak tor jik a me lalu i sed eretan nod e intermed ia ry , s e p er t i
y ang akan dijelask an pada sp esifikasi WS -R outing .
Info rmasi y an g berhubu ngan den g an keamanan p e san SOAP disertak an
(atta ch ) p ad a b ag i an H e ad e r d ari S O AP, t ep at n y a d a l a m b l o k y an g d i a w a l i d e n g a n
tag <S ecurity >. Blok <S ecuri ty > in i me ny ediakan mekan isme untuk me ny ertak an
i n f o r m a s i y an g b er k a i t a n d e n g a n k ea m a n an p ad a p en eri ma te r ten tu , d a n
disp es ifik a sik an oleh atr ibut A ct o r. Con toh sy ntax H e a d e r p ad a p e s a n S O A P m e n u r u t
v e r s i W S - S e c u r i t y v e r s i o risin al ditunjuk kan p ada g a mbar dib a wah ini.
<S:Envelope>
<S:Header>
...
<Security S:actor="..." S:mustUnderstand="...">
...
</Security>
...
</S:Header>
...
</S:Envelope>
G a m b a r 5 . 2 - S tr u k t u r s y n t a x P e s a n S O A P ( v e r s i o r i s i n a l )
Untuk setiap targ et Pen eri m a y an g b e r b e d a , i n f o r m a s i y an g b er k a i t a n d en g a n

k ea ma n an h ar u s d i t u l i sk an d al a m e l e me n Secu rity Header y an g b e r b e d a . S e h i n g g a
Secu ri ty Head e r d ap a t mu n cu l b e b e r a p a k al i d a l a m p e s a n S O A P . D a l a m
perj al an an ny a, s atu at au leb i h H e ade r baru d ap at d itamb ahkan jik a diperluk an
penamb ah an Targ et Pene r i m a b a r u y an g b e l u m d is p e s i f i k as i k a n . A t r i b u t A cto r d a l a m
se ti ap S e c u r i t y H e a d e r me n g id en ti fik a sik an si a p a y an g men e ri m a in fo r ma s i
k e a m a n a n t e r s e b u t. J i k a a t r i b u t Acto r t i d a k d i s e b u t k a n , e l e m e n Secu rity Head er
d a p a t d i k o n s u ms i o l e h s e t i a p o ra n g , t e ta p i tid ak d ap a t d ih ap u s s a mp ai men c ap ai
t u j u a n a k h ir n y a. E l e m e n S e cu rity Header juga men unjukkan tahap an ek ripsi dan
penand atan ganan y ang dilakuk an oleh Pengirim ketik a me m b u a t p es a n S O A P .
S ecu r i t y H e ad e r d i t a m b ah k an p a d a p e s an S OA P s e c ar a b e r u r u t a n t er h ad ap
e l e m e n y an g s u d a a d a , u n t u k m e n j a m i n b ah wa a p l i k a si p en e r i m a d ap at m e m p ro s es
se ti ap sub- el e men se s u ai deng an urutan k e ber ada ann y a pada e l e men H ead er. Na mun
demiki an, Spes i fi k as i W S- Secur i t y i n i tidak men y ebutkan secara kh usus mod e
p e n g u r u t a n u n t u k p e n g o l a h a n s u b - e l e m e n t e r se b u t, s e h i n g g a a p l i k a s i P e n er i m a d ap a t
m e n g g u n a k an a p a p u n P o l i c y y ang d i p e r l u k a n .
Dalam sp esifikasi terb ar u WSS-Core (WSS: SOAP M e ssag e S ecu rity ) y ang
ditetapk an OASIS W e b Servi c e Securi ty TC ( W S S ) , a t r i b u t u n t u k a k t o r i n i d i d i g an t i
22
d e n g a n a t r i b u t ro le , dan sp esifikasi S ecu rity Head er terb aru menjadi seb ag ai

beriku t :
<S:Envelope>
<S:Header>
...
<wsse:Security S:role="..."
S:mustUnderstand="...">
...
</wsse:Security>
...
</S:Header>
...
</S:Envelope>
Gambar 5.3- Struktur syntax Pesan SOAP (versi WSS Core)
E l e m e n S e c u r i t y y an g d a p a t d i m a s u k k a n d al a m S e cur it y H ead er p a d a p es a n
SO AP ant a ra lain ad a lah :
Use r N am e T oken
Bin ary Security Token (misalny a u n t u k X . 5 0 9 C e r t i f i c a t e d a n K a r b e r o s)
XML Tok e n (S ecu rity Token Re fe ren ce )
ds: Key Info
ds:Signatu re
XML Encryption
Ti meStamp
C o n t o h p e n g g u n a a n s e cu ri t y t o k en, signatu r e d a n en c r yp t i o n s es u ai d en g a n
s p e s i f i k a s i W S S - C o r e s e c a r a l e n g k a p d ap a t d i l i h a t b e r i k u t i n i :
(001) <?xml version="1.0" encoding="utf-8"?>
(002) <S:Envelope xmlns:S="http://www.w3.org/2001/12/soap-envelope"
xmlns:ds="http://www.w3.org/2000/09/xmldsig#"
xmlns:wsse="http://schemas.xmlsoap.org/ws/2003/06/secext"
xmlns:wsu="http://schemas.xmlsoap.org/ws/2003/06/utility"
xmlns:xenc="http://www.w3.org/2001/04/xmlenc#">
(003) <S:Header>
(004) <wsse:Security>
(005)
<wsu:Timestamp>
(006)
<wsu:Created
(007)
wsu:Id="T0">2001-09-13T08:42:00Z</wsu:Created>
(008)
</wsu:Timestamp>
(009)
(010)
<wsse:BinarySecurityToken
ValueType="wsse:X509v3"
wsu:Id="X509Token"
EncodingType="wsse:Base64Binary">
(011)
MIIEZzCCA9CgAwIBAgIQEmtJZc0rqrKh5i...
(012)
</wsse:BinarySecurityToken>
(013)
<xenc:EncryptedKey>
(014)
<xenc:EncryptionMethod Algorithm=
23
(015)
(016)
(017)
(018)
(019)
(020)
(021)
(022)
(023)
(024)
(025)
(026)
(027)
(028)
(029)
(030)
(031)
(032)
(033)
(34)
(035)
(036)
(037)
(038)
(039)
(040)
(041)
(042)
(043)
(044)
(045)
(046)
(047)
(048)
(049)
(050)
(051)
(052)
(053)
(054)
(055)
(056)
(057)
(058)
(059)
"http://www.w3.org/2001/04/xmlenc#rsa-1_5"/>
<ds:KeyInfo>
<wsse:KeyIdentifier EncodingType="wsse:Base64Binary"
ValueType="wsse:X509v3">MIGfMa0GCSq...
</wsse:KeyIdentifier>
</ds:KeyInfo>
<xenc:CipherData>
<xenc:CipherValue>d2FpbmdvbGRfE0lm4byV0...
</xenc:CipherValue>
</xenc:CipherData>
<xenc:ReferenceList>
<xenc:DataReference URI="#enc1"/>
</xenc:ReferenceList>
</xenc:EncryptedKey>
<ds:Signature>
<ds:SignedInfo>
<ds:CanonicalizationMethod
Algorithm="http://www.w3.org/2001/10/xml-exc-c14n#"/>
<ds:SignatureMethod
Algorithm="http://www.w3.org/2000/09/xmldsig#rsa-sha1"/>
<ds:Reference URI="#T0">
<ds:Transforms>
<ds:Transform
</ds:Transforms>
<ds:DigestMethod
Algorithm="http://www.w3.org/2000/09/xmldsig#sha1"/>
<ds:DigestValue>LyLsF094hPi4wPU...
</ds:DigestValue>
</ds:Reference>
<ds:Reference URI="#body">
<ds:Transforms>
<ds:Transform
</ds:Transforms>
<ds:DigestMethod
<ds:DigestValue>LyLsF094hPi4wPU...
</ds:DigestValue>
</ds:Reference>
</ds:SignedInfo>
<ds:SignatureValue>
Hp1ZkmFZ/2kQLXDJbchm5gK...
</ds:SignatureValue>
<ds:KeyInfo>
wsse:SecurityTokenReference>
<wsse:Reference URI="#X509Token"/>
</wsse:SecurityTokenReference>
</ds:KeyInfo>
</ds:Signature>
</wsse:Security>
<S:Header>
<S:Body wsu:Id="body">
24
(060)
(061)
(062)
(063)
(064)
(065)
(066)
(067)
(068)
<xenc:EncryptedData
Type="http://www.w3.org/2001/04/xmlenc#Element"
wsu:Id="enc1">
<xenc:EncryptionMethod
Algorithm="http://www.w3.org/2001/04/xmlenc#tripledes-cbc"/>
<xenc:CipherData>
<xenc:CipherValue>d2FpbmdvbGRfE0lm4byV0...
</xenc:CipherValue>
</xenc:CipherData>
</xenc:EncryptedData>
</S:Body>
</S:Envelope>
5 . 2 S KE N AR I O P E N G GU N A AN W S - S e cu ri t y
M ek a ni s m e W S- Secur i t y d a p a t diterapk an untuk meng atasi berb agai isu
k e a m a n a n . B e r i k u t i n i a d a l a h b e b er a p a c o n t o h sk e n a r i o u n t u k m e n d u kun g
i mp l e me n t as i W S - S e cu r i t y b er d as ark an u s u l a n o l e h I B M d an M i c r o s o f t d a l a m
doku men WS -S e cu rit y Ap p No t es ( 1 5 A g u s t u s 2 0 0 2 ) , y ai t u :
Di re ct Tr u st u sin g Us e r Na me /Pa ss wo rd sk en ario in i mengilu strasikan

proses o tentikasi me nggunakan Us e r N a me d an Pa ss wo rd d e n g a n t r a n s p o r t leve l s ecu r i t y
Di re ct Tru st u sin g S e cu r it y To k en - s k e n a r i o i n i m e n g i l u s t r a s i k a n d i r e c t t r u s t
m e n g g u n a k an X . 5 0 9 c e r t i f i c a t e d an K a r b e r o s s e r v i c e t i c k e t .
Security Token Acquisition skenario ini mengilustrasikan otentikasi
m e n g g u n a k an s e c u r i t y t o k e n
F i r e w a l l P ro c e ss i n g - sk en ario ini meng il ustrasi k a n b a g a i m a n a f i r e w a l l d ap a t
m e n d u k u n g W S - S e c u ri t y d e n g a n d e r a j a t k en d a l i y an g b e s a r .
Is sued S e c u rit y To ke n - sk en ario ini men g ilust rasik an mek ani sme ot enti kasi
dasar
Di re ct T ru st u si ng U se r Na m e/ Pa s swo rd
S e r v e r d i m a n a W e b S e r v i c e b e r a d a m e n g g u n a k an p a s a n g a n p u b l i c k e y u n t u k
menjamin keaman an kanal an tara serv er d a n c l i e n t m e l a l u i k o n e k si HT T P d e ng an
m e n g g u n a k an S S L / T S L . R equ es t e r membuk a ko neksi k e Web Serv ice d eng an
m e n g g u n a k an t r an s po rt - l evel s ec u ri t y (SS L/TS L), d i ma n a R eq u es te r me ngiri mk a n
p es an p er min t a an d en g an men y ertak an s ecu ri ty to ken y an g b e r i s i u s e r n a m e d an
passwo rd . S e m e n t a r a W e b S e r v i c e m e n g - o t e n t i k a s i i n f o r m a s i y an g t e r d a p a t d a l a m
p es an , me mp r o s es r e q u es t d an m e r e s p o n h a s i l n y a.
Dalam sk enario ini in tegrit as d a n k e r a h as i a a n p es a n d i t a n g a n i d e n g a n
m e n g g u n a k an m e k an i s m e k ea m a n a n b er b a s i s t r a n s p o r t - l a y e r .
25
C o n t o h p e s a n S O A P y an g d i k i r i m d a r i R e q u e s t e r k e W e b S e r v i c e p a d a s c e n a r i o
ini ad al ah seb ag ai b e rikut :
(001) <S:Envelope xmlns:S="http://www.w3.org/2001/12/soap-envelope">
(002)
<S:Header>
(003)
<wsse:Security
S:mustUnderstand="1">
(004)
<wsse:UsernameToken>
(005)
<wsse:Username>Zoe</wsse:Username>
(006)
<wsse:Password>ILoveDogs</wsse:Password>
(007)
</wsse:UsernameToken>
(008)
</wsse:Security>
(009)
</S:Header>
(010)
<S:Body>
(011)
<m:GetLastTradePrice xmlns:m="http://fabrikam123.com/">
(012)
<symbol>DIS</symbol>
(013)
</m:GetLastTradePrice>
(014)
</S:Body>
(015) </S:Envelope>
Di re ct T ru st u si ng S e cu rit y To k en
Sk en ario ini me ngilust rasi kan p e n g g u n a a n s e c u ri t y t o k en y an g s e c a r a l a n g s u n g

dipercay a valid ( t ru s ted ) o l e h W e b S e r v i ce . D a l a m h a l i n i , d i r ec t t ru st b er art i b ah wa
security token dik en a l dan d iverifik a si ol eh W eb S e rvice. Skenario ini mengangg a p
b a h w a R e q u e s t e r d a n W e b S e r v i c e t e l ah m e n g g u n a k a n b eb e r a p a m e k an i sm e u n tuk
m e n e t a p k a n tru st rel a tionship dalam men ggunakan se cu rit y to ken . D e n g a n k a t a l a i n ,
kedua belah pi hak m e m aham i d e n g a n b ai k p o l i c y u n t u k p ri v a cy m a s i n g - m a s i n g .
R eq u e st er m e n g i r i m p es a n
k e W e b S e r v ice deng an dengan meny ertak an
se cu rit y to ken , dan me mbe rik a n p r o o f - o f - p o s s e s s i o n (p u b l i c / p r i v a t e k e y) t e rhad ap
se cu rit y to ken m engg unakan dig ital signa t u re . S erv ic e me l akuk an v er ifik a si te rh adap
public/p ri vate key d an m e n g e v a l u a s i s e c u r i t y t o k en, me mpr o se s p er m inta an d an
mengemb a l i kan h a s i l pem r o ses ann y a .
26

(001)
<S:Envelope xmlns:S="http://schemas.xmlsoap.org/soap/envelope/">
<S:Header>
<m:path xmlns:m="http://schemas.xmlsoap.org/rp/">
<m:action>http://fabrikam123.com/getQuote</m:action>
<m:to>http://fabrikam123.com/stocks</m:to>
<m:from>mailto:johnsmith@fabrikam123.com</m:from>
<m:id>uuid:84b9f5d0-33fb-4a81-b02b-5b760641c1d6</m:id>
</m:path>
<wsse:Security
(010)
EncodingType="wsse:Base64Binary"
wsu:Id="X509Token"
ValueType="wsse:X509v3">
(011)
MIIDQTCCAqqgAwIBAgICAZIhvcNAQEFBQAwTjELMAkGA1UEBhMCS...
(012)
(013)
<Signature xmlns="http://www.w3.org/2000/09/xmldsig#">
(014)
<SignedInfo>
(015)
<CanonicalizationMethod Algorithm="http://www.w3.org/2001/10/xmlexc-c14n#"/>
(016)
<SignatureMethod Algorithm="http://www.w3.org/2000/09/xmldsig#rsasha1"/>
(017)
<Reference URI="">
(018)
<Transforms>
(019)
<Transform Algorithm="http://...#RoutingTransform"/>
(020)
<Transform Algorithm="http://www.w3.org/2001/10/xml-excc14n#"/>
(021)
</Transforms>
(022)
<DigestMethod
(023)
<DigestValue>yH8GsCH3FT747UhqqzHqqSTj7CM=</DigestValue>
(024)
</Reference>
(025)
</SignedInfo>
(026)
<SignatureValue>
(027)
TQtb/T9NTGgRzbtDCctfw0SKY7/PHVZtPMFoLtPCixU3Kobis/Q...
(028)
</SignatureValue>
(029)
<KeyInfo>
(030)
<wsse:SecurityTokenReference>
(031)
<wsse:Reference URI="#X509Token"/>
(032)
(033)
</KeyInfo>
(034)
</Signature>
(035)
</wsse:Security>
(036)
</S:Header>
(037)
<S:Body>
(038)
<m:GetLastTradePrice xmlns:m="http://www.fablikam123.com/">
(039)
(040)
(041)
</S:Body>
(042) </S:Envelope>
(002)
(003)
(004)
(005)
(006)
(007)
(008)
(009)
27
Secu rit y T oken Acq u isit ion
D a l a m s k e n a r i o i n i , s e cu r i t y t o k en t i d a k t e r d a p a t d a l a m p e s a n S O A P ,
melaink an m enggun akan m ekani sm e s ec u rit y to ke n ref e ren c e u n t u k m e n c a r i d a n
m e n g a m b i l t o k e n . R e q u e s t e r men g i r i m p es an k e s er v i c e d e n g a n m e n y e b u t k an
ref e ren si t erh adap keber adaan secu ri ty to ken , d an m en y ed iak an p r o o f - o f - p o s s e s s i o n
d a l a m b en t u k X ML S i g n a t u r e. W e b S e r v i c e m e n g g u n a k a n in fo rmasi y ang ad a p ad a
se cu rit y to ken r ef e re nce u n t u k m e m p e r o l e h se cu rit y tok en d a r i se cu rit y to ken s e rv ic e
dan me mv alid asi p ri v a t e / p u b l i c k e y (pro o f). Web Serv ice meneri ma
( tru st ed )
se cu rit y to ken , sehin gga req u e s t dipro ses dan dik e mbalik an h a silny a k e r eq u e st e r.
(002)
(003)
(004)
(005)
(006)
(007)
(008)
(009)
(010)
(011)
(012)
(013)
(014)
(015)
(016)
(017)
(018)
(019)
(020)
(021)
xmlns:S="http://www.w3.org/2001/12/soap-envelope">
<S:Header>
</m:path>
<wsse:Security
<wsse:SecurityTokenReference wsu:Id="token1">
<wsse:Reference URI="ldap://fabrikam123.com/CN=John..."/>
<SignedInfo>
<CanonicalizationMethod Algorithm="http://www.w3.org/2001/10/xml-excc14n#"/>
<SignatureMethod Algorithm="http://www.w3.org/2000/09/xmldsig#rsasha1"/>
<Reference URI="">
<Transforms>
<Transform
Algorithm="http://...#RoutingTransform"/>
<Transform
</Transforms>
28
(022)
(023)
(024)
(025)
(026)
(027)
(028)
(029)
(030)
(031)
(032)
(033)
(034)
(035)
(036)
(037)
(038)
(039)
(040)
(041)
(042)
<DigestMethod Algorithm="http://www.w3.org/2000/09/xmldsig#sha1"/>
<DigestValue>yH8G3FT747UhqqzHqqSTj7CM=</DigestValue>
</Reference>
</SignedInfo>
<SignatureValue>
TQtb/+yR56T9NTGgRzbtDCctfw0SKY7/Pq2FoLtPCixU3Kobis/Q...
</SignatureValue>
<KeyInfo>
<wsse:Reference URI="#token1"/>
</KeyInfo>
</Signature>
</wsse:Security>
</S:Header>
<S:Body>
<m:GetLastTradePrice xmlns:m="http://www.foo.com/">
</S:Body>
</S:Envelope>
F i re w a l l P ro c e ss i n g
F i r e w a l l m e l a k u k a n e v a l u a s i t er h a d a p p e s a n S O A P y an g d a t a n g , d a n h a n y a
m e n g i j i n k a n p e s a n y an g b e r a s a l d a r i r e q u e s t e r y an g t e l a h d io t o r i sa si u n t u k m e l e w at i
Firewal l. Dalam skenario in i, Firewall me mbuat keputu san dengan mengev alu as i
se cu rit y to ken y an g d i g u n a k an u n t u k m en a n d a t a n g a n i p e s a n .
Dal a m sken ario y ang lain, Firewal l d apat jug a b ert indak sebagai s e cu ri t y t o k en
y ang mem i nt a ot or i t as dan han y a m e n g i j i n k a n p e sa n y an g m e m i l i k i proof-o fp o ss e ss i o n (priv at e/p ublic k ey ) terhad ap secu ri ty token y an g d i m i n t a o le h F i r e w a l l .
C o n t o h p e s a n S O A P y an g d i k i r i m d a r i R e q u e s t e r k e W e b S er v i c e p a d a sk en a r i o
29
(001) <S:Envelope xmlns:S="http://schemas.xmlsoap.org/soap/envelope/">

(002)
<S:Header>
(003)
(004)
(005)
(006)
<m:fwd>
(007)
<m:via>http://firewall.fabrikam123.com/</m:via>
(008)
</m:fwd>
(009)
(010)
(011)
</m:path>
(012)
<wsse:Security
S:actor="http://firewall.fabrikam123.com/"
(013)
wsu:Id="X509Token4Firewall"
(014)
MIIDQTCCAqqgAwIBAgICAQQwDQYJ...
(015)
(016)
(017)
<SignedInfo>
(018)
<CanonicalizationMethod
Algorithm="http://www.w3.org/2001/10/xml-exc-14n#"/>
(019)
<SignatureMethod
(020)
<Reference URI="">
(021)
<Transforms>
(022)
<Transform Algorithm="http://...#RoutingTransform"/>
(023)
<Transform Algorithm="http://www.w3.org/2001/10/xmlexc-c14n#"/>
(024)
</Transforms>
(025)
<DigestMethod
(026)
<DigestValue>yH8GsCH3FTqzHqqSTj7CM=</DigestValue>
(027)
</Reference>
(028)
</SignedInfo>
(029)
<SignatureValue>
(030)
f5JJPvwToxNBBzy5R3om/ZtTK63jw...
(031)
</SignatureValue>
(032)
<KeyInfo>
(033)
(034)
<wsse:Reference URI="#X509Token4Firewall"/>
(035)
(036)
</KeyInfo>
(037)
</Signature>
(038)
</wsse:Security>
(39)
<wsse:Security
30
(040)
(041)
(042)
(043)
(044)
(045)
(046)
(047)
(048)
(049)
(050)
(051)
(052)
(053)
(054)
(055)
(056)
(057)
(058)
(059)
(060)
(061)
(062)
(063)
(064)
(065)
(066)
(067)
(068)
(069)
(070)
(071)
(072)
wsu:Id="X509Token4Stockquote"
MIIDQTCCAqqgAwIBAgICAQQwDQYJKoZIhvcNAQEF...
<SignedInfo>
<CanonicalizationMethod
<SignatureMethod
<Reference URI="">
<Transforms>
<Transform
Algorithm="http://...#RoutingTransform"/>
<Transform
</Transforms>
<DigestMethod
<DigestValue>yH8GsCH3FT7qqSTj7CM=</DigestValue>
</Reference>
</SignedInfo>
<SignatureValue>
OZ21MKnCQi2Jglw2qIO5e1azezl/j0BP3h2Ut...
</SignatureValue>
<KeyInfo>
<wsse:Reference URI="#X509Token4Stockquote"/>
</KeyInfo>
</Signature>
</wsse:Security>
</S:Header>
<S:Body>
m:GetLastTradePrice xmlns:m="http://www.fabrikam123.com/">
</S:Body>
</S:Envelope>
31
Is su ed S e c uri ty Toke n
Sken ario ini hampir sama deng an S ecu ri ty To ken A cqui s ition, ke cu ali bah w a
s e c u r i t y t o k e n d i k i r im ke Requ ester dari Secu ri ty T o ken S e rv i ce , k e mu d ian p e s an
p e r m i n t a a n d i k i r i m k e W e b S e r v i c e d e n g a n meny ertak an secu rity token tersebu t
menggunak an elemen <Bin ary Secu rity Tok en>. S e c u r i t y t o k e n d a p a t b e r u p a X.509
at au Ka rbe ros. Sek al i s ecu rity t oken diki r i m o leh S ecu irty to ken se rvi c e, se cu rity
t o k e n t e r s e b u t d a p at d ig u n a k an b eb e r a p a k a l i o l e h , m i s a l n y a u n t u k W e b S e r v i c e y an g
berb eda jik a tok en y a ng dikiri m mengijink a n hal tersebut.
32
BAB VI
KESIMPULAN
Arsitektur dan teknologi Web Service sangat rentan terhadap upaya
gangguan keamanan dari pihak-pihak yang tidak dikehendaki (attacker). Jenis
gangguan kemanan yang dihadapi oleh Web Service pada dasarnya sama
dengan yang dihadapi oleh sistem berbasis Web lainnya. Tetapi Web Service
memperkenalkan sumber sumber kerentanan tambahan yang secara spesifi k
berasal dari protokol berbasis XML (SOAP dan WSDL) yang digunakan dalam
Web Service. Oleh karena itu standard keamanan yang ada saat ini seperti
SSL/TSL tidak cukup memadai, walaupun masih memegang peranan penting,
jika digunakan untuk mengamankan transaksi berbasis Web Service, karena
hanya dapat mengamankan dalam konteks point-to-point. Implementasi Web
Service membutuhkan konsep keamanan pada level application layer yang
bersifat end-to-end.
Dari beberapa spesifikasi stndard keamanan Web Service yang ada,
WS-Security menyediakan arstitektur keamanan yang lebih komprehensif dan
independen terhadap teknologi keamanan yang ada. Spesifikasi WS-Security
ditujukan untuk mengamankan pesan SOAP pada bagian header maupun body.
Konsep WS-Security menekankan pada pemanfaatan teknologi keamanan yang
sudah ada, namun dapat mengantisipasi perkembangan teknologi dimasa depan.
WS-Security menjamin integritas data dan kerahasiaan (confidentiality) dengan
mengimplementasikan teknologi XML Signature dan XML Encryption.
Disamping itu, WS-Security menerapkan konsep mengenai secure messaging
dengan menggunakan security token untuk mengimplementasikan teknologi
kemanan yang ada seperti C.509 certificate maupun Karberos akan
memberikan jaminan pada aspek otentitas dan otorisasi.
Adopsi spesifikasi WS-Security oleh para platform vendor maupun
pengembang perangkat lunak (software developer) sangat menentukan prospek
penerapan Web Service secara luas. Disisi lain, adopsi spesifikasi WS-Security
jika dikaitkan dengan aspek perfomansi sistem akan menjadi pertimbangan
yang dilematis bagi pengguna maupun pengembang perangkat lunak yang akan
menggunakan teknologi Web Service.
)Oo O (
33
DAFTAR PUSTAKA
[1] A n d r e w Y a n g , I mpl em ent Web S er vi c e S ecu r el y , . NET M aga zin e, T echn ic al
Edition, 2003. Available :
http://www.ftponline.com/wss/2003_TE/magazine/features/ayang/
[2] Andy Yang, Web Service Security, eAI Journal, September, 2002.
http://eaijournal.com/PDF/Yang.pdf
Available :
[3]
Caroline Clewlow, SOAP and Security, Whitepaper, Microsoft Corporation, October 2002.
Available : http://www.qinetiq.com
[4]
David Chappell, WS-Security: New Technologies Help You Make Your Web Service More Secure ,
Microsoft Corporation, 2003. Available :
http://msdn.microsoft.com/msdnmag/issues/03/04/WS-Security/
[5] E. Christensen, F. Curbera, G. Meredith, S. Weerawarana: Web Services Description Language

(WSDL) 1.1, 15 March 2001. Available : http://www.w3.org/TR/wsdl.
[6] IBM and Microsoft: Security in a Web Services World: A Proposed Architecture and Roadmap,
Whitepaper, Version 1.0, 7 April 2002. Available :
http://www-106.ibm.com/developerworks/library/ws-secmap/
[7]
IBM and Microsoft: Web Service Security (WS-Security), Specification, Version 1.0, 02 April
2002. Available : http://www-106.ibm.com/developerworks/library/ws-secure/
[8]
IBM and Microsoft: WS-Security AppNotes, Whitepaper, Version 1.0, 15 Agustus 2002.
Available : http://msdn.microsoft.com/library/default.asp?url=/library/en-us/dnglobspec/html/wssecurity-appnote.asp
[9] M. Curphey, D. Endler, W. Hau, S. Taylor at al., A Guide to Building Secure Web Applications: The
Open Web Application Security Project, 11 September 2002 .
Available : http://www.owasp.org/guide/ .
[10] Maria Tzvetanova, Security for Web Service, Master Thesis, University of Constance , May,
2003. Available :
http://www.inf.uni-konstanz.de/~tzvetano/assets/docs/security_for_webservices.pdf
[11] M. Champion, Ch. Ferris, E. Newcomer, D. Orchard, Web Services Architecture, W3C Working
Draft , 14 November 2002. Available : http://www.w3.org/TR/ws-arch .
[12] M. Bartel, J. Boyer, B. Fox, B. LaMacchia, E. Simon, XML Signature Syntax and Processing,
W3C Recommendation, 12 February 2002 . Available : http://www.w3.org/TR/xmldsig-core/
[13] M. Gudgin, M. Hadley, N. Mendelsohn, J. Moreau, C. Henrik Frystyk Nielsen, S O A P V e r s i o n
1 .2 Pa r t 1 : M e ssa g in g Fra m ewo rk , W3C Recommendation , 24 June 2003. Available :
http://www.w3.org/TR/SOAP.
[1 4 ] M a rk ONeil l, A r chi t ect i n g S e c u ri t y f o r W e b S e rv i c e , J A V A P r o , A g u s t u s

2003. Available :
http://www.ftponline.com/javapro/2003_08/magazine/features/moneill/default_pf.aspx
[15] M. Hondo,Securing Web Services, IBM System Journal, Volume 41, Number 2, 02 April 2002 .
Available : http://www.research.ibm.com/journal/sj/412/hondo.html
[16] OASIS Security Services Technical Committee, Assertions and Protocol for the OASIS Security
Assertion Markup Language (SAML), Committee Specification 01, 31 May 2002.
Available : http://www.oasis-open.org/committees/security/docs/cs-sstc-core-01.pdf
[17] OASIS Security Services Technical Committee, Security Assertion Markup Language, 1
December 2002 .
Available : http://www.oasis-open.org/committees/security/
[18] OASIS Web Services Technical Committee, Web Services Security Core Specification, Working
Draft 17, 27 Agustus 2003. Available :
http://www.oasis-open.org/committees/wss/documents/WSS-Core-17-082703-merged.pdf
[19] Scott Seely, Understanding WS-Security, Microsoft Corporation, October 2002. Available :
http://www-106.ibm.com/developerworks/library/ws-secmap/
[20] The Stencil Group, Inc., The Evolution of UDDI, UDDI.org, White Paper, 19 July 2002.
Available : http://www.uddi.org/pubs/the_evolution_of_uddi_20020719.pdf.
[21] T. Imamura, B. Dillaway, E. Simon, XML Encryption Syntax and Processing, W3C
Recommendation 10 December 2002 . Available : http://www.w3.org/TR/xmlenc-core/
[22] Westbridge Technology,Inc., Technology Managers Guide to XML Web Service Security, 6
Januari 2003. Available : http://www.westbridgetech.com

WS Scurity

Diunggah oleh

Informasi Dokumen

Hak Cipta

Format Tersedia

Bagikan dokumen Ini

Bagikan atau Tanam Dokumen

Opsi Berbagi

Apakah menurut Anda dokumen ini bermanfaat?

Apakah konten ini tidak pantas?

Hak Cipta:

Format Tersedia

WS Scurity

Diunggah oleh

Hak Cipta:

Format Tersedia

TINJAUAN ASPEK KEAMANAN

SISTEM WEB SERVICE

Tugas Akhir Semester I - 2003/2004

Fx. Dwi I Rusiawan / 23202065

Program Studi Magister Teknologi Informasi - Dept. Teknik Elektro

Kata kunci : Web Service, XML, SOAP, WS-Security.

......... ...... ......... ...... ......... ...... ......... ...... ......... .

B A B V - S T A N D A R D K E A M A N A N W E B S E R V I C E .. ... ......... ...... ..

Tinjauan Aspek Keamanan Sistem Web Service

Perk em b angan I nt er net i ku t m e m p e n g a r u h i e v o l u si p er k e m b a n g a n s i s t e m

Tinjauan Aspek Keamanan Sistem Web Service

Tugas EC-7010 : Keamanan Sistem Lanjut 2003

Tinjauan Aspek Keamanan Sistem Web Service

Did esk rip s ik an d al a m fo r ma t X ML.

Did enti fik as ikan den g an U n i v e r s a l R e s o u r c e s I d e n t i f i e r ( U RI)

s e l f - con tain ed,

ARSITE KTUR WE B S E RVICE

Tinjauan Aspek Keamanan Sistem Web Service

Gambar 2.1- Konsep Service Oriented Architecture

Gambar 2.2- Diagram generik Model Service Oriented Architecture

Tinjauan Aspek Keamanan Sistem Web Service

Stand ard Web S erv i ce merup a kan m e ssa ge-ba sed , b u k a n A P I - b a s e d . D a l a m

Gambar 2.3- Arsitektur Web Service

Tugas EC-7010 : Keamanan Sistem Lanjut 2003

Tinjauan Aspek Keamanan Sistem Web Service

Tinjauan Aspek Keamanan Sistem Web Service

Tinjauan Aspek Keamanan Sistem Web Service

me mbuka kemungk i nan unt u k d a p a t d i m a n i p u l a si o l e h si a p a p u n y a n g dap a t

Gambar 3.1- Contoh WSDL berbasis XML

Tinjauan Aspek Keamanan Sistem Web Service

Keren tan a n Pada S O AP

Gambar 3.2- Model kemanan dengan konteks point-to-point

Ole h kar en a i t u, s ol u s i t erh adap ke le ma han d ari SSL in i ad al ah d engan c ar a

Tinjauan Aspek Keamanan Sistem Web Service

user y ang me l akuk an ot ent i k as i m e n g g u n a k an p asswo rd (d alam con to h tersebu t

Gambar 3.3- Model kemanan dengan konteks end-to-end

Tinjauan Aspek Keamanan Sistem Web Service

Gambar 3.4- Mekanisme Spoofing terhadap WSDL

Tinjauan Aspek Keamanan Sistem Web Service

Gambar 3.5- Model Transaksi dalam Web Service

Tinjauan Aspek Keamanan Sistem Web Service

Gambar 3.6 Contoh implementasi Keamanan Web Service

F i re w all d ap at me n g en a li p e s an S OA P, t et ap i men g an g g ap n y a h an y a seb ag ai

Gambar 3.7- Jenis gangguan kemanan pada Web Service

Tinjauan Aspek Keamanan Sistem Web Service

Buf fer Ov erflo w

Tugas EC-7010 : Keamanan Sistem Lanjut 2003

Tinjauan Aspek Keamanan Sistem Web Service

Tinjauan Aspek Keamanan Sistem Web Service

se rvi ce h any a ak an mel akuk an pe rk er ja anny a s esu ai d en g an i si p es an y ang

Gambar 4.1 - Model generik security messaging pada Web Service

Tugas EC-7010 : Keamanan Sistem Lanjut 2003

Tinjauan Aspek Keamanan Sistem Web Service

Gambar 4.2 Arsitektur & Roadmap Spesifikasi Keamanan

Tinjauan Aspek Keamanan Sistem Web Service

Spesi fika si beri kutn y a

Tugas EC-7010 : Keamanan Sistem Lanjut 2003

Tinjauan Aspek Keamanan Sistem Web Service

XML Digital Signature

Protokol u n tuk men a ndai isi

Exten sibl e Access Co ntrol

Protokol untuk mendistri

Dalam bab in i fokus p e mbah asan hany a pada stand a rd W S - S e c u ri t y y an g

Tinjauan Aspek Keamanan Sistem Web Service