WS Scurity
WS Scurity
Disusun oleh :
Abstrak
Web Service memberikan paradigma baru dalam mengimplementasikan sistem terdistribusi melalui Web dengan menggunakan standard
protokol SOAP, WSDL dan UDDI yang berbasis XML. Dengan teknologi
Web Service, konsep sistem terdistribusi yang biasanya digunakan pada
sistem yang bersifat tertutup dan proprietary (DCOM, CORBA, RMI)
dapat diterapkan kedalam sistem yang bersifat terbuka (non-propriertary)
berbasis Web.
Penerapan Web Service akan memudahkan proses
integrasi dan kolaborasi antar aplikasi pada lingkungan platform yang
heterogen baik melalui jaringan Intranet maupun Internet, dengan biaya
yang lebih murah dan dalam waktu yang relative lebih cepat.
Namun demikian, masih banyak yang ragu untuk segera
menerapkan Web Service, khususnya jika digunakan untuk mendukung
transaksi bisnis melalui Internet (global). Alasan utama yang menjadi
perhatian adalah pada aspek keamanan dan kerentanan (vulnerability)
yang terdapat pada teknologi Web Service. Sementara itu standard
keamanan yang biasa digunakan untuk mengamankan aplikasi berbasis
Web pada umumnya tidak cukup mampu untuk mengamankan transaksi
Web Service. Pada makalah ini dibahas berbagai aspek kerentanan dan
keamanan yang ada pada Web Service, termasuk arsitektur keamanan
dan spesifikasi standard keamananan untuk Web Service. Secara khusus
dalam makalah ini dibahas spesifikasi WS-Security sebagai standard
keamanan Web Service.
DAFTAR ISI
Ab st rak
D a f t a r I si
ii
BAB I - PENDAHULUAN
. ..... .. ......... ...... ......... ...... ......... ...... .
1.1
P e rm a s a la h a n
. .
1.2
T uj ua n P e n u lis a n . .
1
1
2
BAB II - WE B SE R V ICE
. .
2.1
A rs it e k t u r W e b Se rv i ce . .
2.2
St a n d a rd Te k n o l o g i We b S e r v i ce
. .
3
3
5
B A B I I I - AS P E K K E R E N T A N A N & K E A M A N A N W E B S E R VI C E . .
3.1
Su m be r K e re n t a n a n W e b Se rv i ce
.
3 . 1 . 1 K e r e n t a n a n p a d a X ML .
3 . 1 . 2 K e r e n t a n a n p a d a SO AP .
3.2
As p e k P e n g a m a n a n We b S e r v i ce
.
3 . 3 S e r a n g a n K e a m a n a n pa d a We b Se r vi ce
.
7
7
7
9
10
12
B A B I V - AR S I T E K T UR K E A M A N A N W E B S E R VI C E . .
4.1
Mode l Arsitekt ur Kemanan We b Service ......... ...... ......... ...... ...
4.2
Spes ifikasi Keam anan We b Se rvice ......... ...... ......... ...... ......... ...
15
15
17
19
20
20
21
22
25
BAB VI KESIMPULAN
31
Daftar Pustaka
. .
BAB I
PENDAHULUAN
1.1
PE RM AS AL A H AN
W a l a u p u n W e b S e r v i c e m e n j a n j i k a n s o l u s i u n tu k m e n g a t a s i k e l e m a h a n
t e k n o l o g i b e r b a s i s W e b p ad a u mu mn y a , n amun demi kian masih bany ak y ang merasa
ragu untuk s eg er a m ener apk an W e b S e r v i c e , k h u su sn y a p a d a l i n g k u n g a n I n tern e t
( p u b l i k ) , m i s a l n y a u n t u k m e n d u k u n g t r a n s a k si e - b u s i n es s . K e r a g u a n i n i d i s e b ab k a n
o l e h f a k t o r j a m i n an k ea m a n a n d a r i t e k n o l o g i W e b S e r v i c e. Survey menunjukkan
Tugas EC-7010 : Keamanan Sistem Lanjut 2003
b ah w a f ak t o r k e a ma n an me r u p ak an ma s a l ah u t a ma y an g me n j ad i p er h ati an d al a m
me ngi mpl e me nt as ikan W e b S e r v i c e .
T e k n o l o g i k ea m a n a n y an g b i a s a dig unakan un tuk meng atasi aspek keaman an
p ad a si st e m b e rb a si s Web p a d a u mu mn y a, s ep e rt i S ecu r e so c k et L a ye r (S SL) /
Tran sport Secu re La yer (TSL ), tidak cuk up me mad ai j i k a d i t e r a p k a n p ad a s i s t e m
berb asis Web S ervi ce. Hal in i dikaren a k a n S S L / T L S m e n y e d i a k an s o l u s i k e m a n an
dengan ko ntek s p o i n t- t o - p o i n t p a d a l e v el t ra n sp o rt l a y e r. S e m e n t a r a k a r a k t e r i s t i k
tran saksi Web Service, me mbu t u h k a n p e n g a m a n an d a l a m k o n t e k s e n d - t o - e n d pad a
lev el a p p l i c a t i o n l a y e r. T e k n o l o g i F i r e w a l l y an g m e n y e d i a k a n p e n g a m a n a n p ad a
lev el N e t w o r k L a y e r j u g a t i d a k c u k u p m e m a d a i , k ar en a k a r a k t e r i st i k t r a n sa k si Web
Serv ice y a ng menggu nakan stan dard internet ( HT T P , S M T P , F T P ) a k a n d i l e watk an
o l e h F i r e w a l l k ar e n a d i a n g g a p S e b ag a i trafik Intern et pada u mu mn y a ( fi rewa ll
f r i e n d l y).
W a l a u p u n t e k n o l o g i k e a m a n a n y an g a d a s a a t i n i m a s i h m e m e g a n g p e r a n a n
p e n t i n g , n a m u n d e m i k i a n m a s i h d i p er l u k a n su atu m ek an i s me k ea ma n an p ad a l ev el
a p p p l i c a t i o n l a y e r y an g d ap a t d i t e r i m a l u a s o l e h b er b a g a i p i h a k y an g t e r l i b a t d a l a m
i mp l e m e n t a s i W e b S e r v i c e , d a n m e n d u k u n g a s p ek i n t e r o p er a b i l i t a s d a l a m
m e n g i m p l e m e n t a s i k a n W e b S e rv ic e. Keb e r ada an st an dard k e ma nanan Web Service
tersebut ak an sang at me mpeng a ruhi pro sp ek p en e r a p an W e b S e r v i c e s e c a r a l u a s .
1.2
TUJ U A N PE NU L IS AN
T u j u a n p e n u l i s a n m a k al a h ini ad al ah untuk memb erik an tinj au a n
u mu m
m e n g e n ai b e r b a g a i a s p e k y an g m e n y a n g k u t k ea ma n an d al a m me ngi mpl e me nt as ikan
si st em W e b Servi ce, ant ara l ain melipu ti :
K o n s e p d a s a r t e k n o l o g i W e b S e r v i c e y an g r e l a t i f m a s i h b ar u s e h in g g a p er l u
ada pen je l as an khu su s
A s p ek k er e n t a n a n d a n k e a m a n a n d a r i Web Serv ice y ang perlu diperh atikan
d a l a m m e n g i mp l e m e n t a s i k an W e b S e r v i c e
Model A r s i t ek tur K eam an a n W e b S e r v ice y ang secara konsep sual memb eri
land as an d al a m meng e mbangk an sp esi fik a s i ke a man an Web Se rvi ce
S t a n d ar d K e m a n an u n t u k W e b S e r v i c e y ang ada dan sedang dik e mb angkan saat
ini, khu susny a terhadap sp esifik asi WS-S ecuri ty y ang ak an menj adi
s p e s i f i k a s i i n t i u n t u k d i g u n a k an d a l a m m e n g a m a n k an s i s t e m W e b S e r v i c e .
BAB II
WEB SERVICE
A d a b e r b a g a i v e r s i d e f i n i s i m e n g e n a i W e b S e r v i c e , y an g p a d a i n t i n y a
m e n g g a m b a r k an k ar a k t e r i s t i k d ar i W e b S e r v i c e , y ai t u a n t a r a l a i n s e b ag a i b e r i k u t :
Meru p ak an a p p l i c a t i o n l o g i c y an g d a p a t d i a k s e s
m e n g g u n a k an s t a n d a r d I n t e r n e t ( T C P / I P , H T T P , W e b ) .
Bersifat Loosely
p r o p r i e t a r y)
D i g u n a k a n u n t u k m e n d u k u n g i n t e r o p er a b i l i t a s i n t e r a k s i ma ch i n e-to -ma ch in e
m e l al u i j a r i n g a n I n t e r n e t / In t r a n e t .
coupled,
modu lar
d an
dan
dipublikasikan
terbuk a
(n o n -
W e b S e r v i c e d a p a t d i i m p l e m e nt a s i k an p ad a l i n g k u n g a n i n t e r n a l ( I n t r a n e t )
u n t u k k eb u t u h a n i n t e g r a s i a n tar si st em ap lik asi (E AI=E n t e rp r i s e A p p l i ca t i o n
Integ rat io n) at aupun pada l i ng kun g a n e k st e r n al ( I n te r n et ) u n t u k men d u k u n g a p l i k a s i
b u s i n e s s - t o - b u s i n e s s (e-b u sin e s s).
2.1
Service p r ovid er , y aitu su atu enti tas y a ng meny ediak an int erface t erhadap
s i s t e m y an g m e n j a l a n k a n s u a t u seku mp ulan tug as terten tu.
Service p r ovid er d ap at me r ep re sen ta sik an st atu en ti ta s b i sn i s
a t a u p u n s u a t u k o m p o n e n s o f t w a r e y an g r e u s a b l e.
S e r v i c e r e q u e s t o r , y aitu su atu enti ta s y ang me mint a/ me mp erol eh (da n
me ne muk a n) so f t w a r e s e rv i c e d a l a m r a n g k a m e y e l e s a i k an
suatu tug as terten tu at au meny ed iak an solusi bisn is tertentu.
S er vi c e r e g i st r y , y aitu entit as y ang berti n d a k s e b a g ai p e n y i m p an (r epo sit o ry )
s u a tu so f t w a r e s e rv i c e y an g d i p u b l i k a s i k a n o l e h S e r v i c e
provider.
P e r a n d a n i n t e r a k s i a n t a r k o mp o n e n t e r s e b u t d i t u n j u k k a n p a d a g a mb a r d i b a w a h
ini :
Tugas EC-7010 : Keamanan Sistem Lanjut 2003
D a l a m a r s i t e k t u r i n i , S e r vi ce d ap a t d i d e f i n i s i k an s e b a g ai k o m p o n e n (so f t w a r e
compon ent ) y an g m e m i l i k i k ar a k t e r i s t i k :
Dap at di d e s kr i p si k an dal am su a t u b a h asa f o r m a l
Dap at di pu bl i kas i k an pada su a t u r eg i s t r y o f s er vi c e
D a p at d i t e m u k an ( d i s c o v e r ) m e n ggunakan mekan isme stand ard
D a p at d i m i n t a / d ip e r o l e h ( i n v o k e ) m e l a l u i j a r i n g a n
D a p at d i b a n g u n b e r s a m a s e r v i c e l a i n
W3 C men g i lu s tra sik an mo d el SO A te rs eb u t s eb ag ai d e sk r ip s i p e s an y an g
dipertukarkan, s ep er t i di t unj ukk an p ad a g a m b e r b er i k u t i n i .
.
M o d el A r s i t e k t u r W e b S e r v i c e men ggunakan konsep SOA terseb ut deng an
sed ikit p erbedaan, y a itu :
Web Ser vi ce m enggu nakan S t a n d a r d t e r bu k a , y ai t u : X M L ( e X t e n s i b l e M a r k u p
L a n g u a g e ) s e b ag a i b ah a s a u n t u k m e n d e sk rip s ik an d at a, S OA P (S i mp le O b je ct
Access Pro tocol) seb a gai p rotok ol ko mu n i k a si a n t a r k o mp o n e n , W S DL (Web
S e r v i c e D e s c r i p t i o n L a n g u a g e ) u n t u k men d esk tip sik an s erv i c e,
UD D I
( U n i v er s a l D e s c r i p t i o n , D i s co v e r y a n d I n t e g r a t i o n ) u n t u k s e rv i c e d i s co v er y ,
d a n H T T P s e b ag ai t r a n s p o r t l a y e r .
Tugas EC-7010 : Keamanan Sistem Lanjut 2003
W 3 C m e n g e m b a n g k a n d r a f t a r s i t e k t u r W e b S e r v i c e y an g t e r d i r i d ar i b e b e r a p a
t e k n o l o g i y an g s a l i n g b e r h u b u n g a n d an b e r lapis seperti digamb ark an seb ag a i
beriku t :
2.2
S T A ND A R D T E KN O L O G I W E B S E R V IC E
S e p er t i y an g d i t u n j u k k a n p a d a G a m b a r 1 . 3 t e r s e b u t d i a t a s , W e b s e r v i c e
t e r s u su n d ar i b eb er a p a k o m p o n e n s t a n d ar d b e r b a s i s X M L , y ai t u : S O A P , W S D L , d a n
UD D I .
S i mpl e Ob j e ct A cc e s s P ro t o co l ( S OA P )
S O A P m e r u p ak a n s u a t u p ro t o k o l b e r b a s i s X M L y an g d i g u n a k a n u n t u k k e b u t u h a n
pertuk ar an info r ma si d al a m su atu si st e m te r d i st r i b u si d an t er d e se n t ra l i s a si , sepert i
halny a II OP (pad a CORBA), ORCP (pad a DCOM ) dan JRMP ( p ada RM I) . Berb ed a
d e n g a n R M I , C O R B A d an D C O M , S O A P m e r u p a k a n p r o t o k o l
yang bersifat
i n d e p en d e n t t e r h a d a p p l a t f o r m , m o d e l p e m r o g r a m a n , d a n t r a n s p o r t p ro to c o l y an g
d i g u n a k an d a l a m p r o s e s p er t u k a r a n p es a n S O A P . P e s a n S O A P d ap at d i k i r i m k a n
melalui HTTP, SMTP maupun FTP.
P e s a n S O AP b er b en t u k s ek u mp u l an XM L S ch e ma y an g me n d e f i n i s i k an f o r ma t
untuk men tr an s m i s i k an pes an X M L m e l a l u i j a r i n g a n , t e r m a s u k t i p e d at a d a n c a r a
me n s t r u k t u r k an p e s an s e ca r a t ep at sehingg a d ap at mudah d ipah a mi o leh serv er atau
end-poin t l a i n n y a .
P e s a n S O A P t e r d i r i d ar i 3 b a g i a n , y ai t u :
Envel op e , s u at u ker ang k a y an g m e n d e f i n i si k a n a p a y an g a d a d a l a m pes an
d an bag ai m ana p e s an h a r u s d i p r o se s s e r t a m e n u n j u k k a n r e s i p i e n d ar i
me s s ag e t e r s eb u t .
H e a d e r , b er i s i i n f o r m a s i y an g b e r h u b u n g a n d en g a n k e a m a n a n d a n r o u t i n g .
Keb e rad a a n H ead er d al a m S O A P be rsi f at optional .
B o d y , b e r i s i d at a y an g b e r h u b u n g a n d en g an ap lik asi tertentu y ang sed an g
d i p e r t u k a r k a n . D a t a d i - m a r k - u p s e b a g ai X M L d an d i m a s u k k a n d a l a m
fo r ma t y an g sp esi fik y an g d id ef in isik an d a la m XML Sch e ma.
S t a n d ar d S O A P y an g d ik e m b a n g k a n o l e h W 3 C v er s i t e r a k h i r a d a l a h S O A P v e r s i
1 . 2 y an g d i t e t a p k a n p ad a 2 4 J u n i 2 0 0 3 .
W e b S e r v i ce D e s c r i p ti o n L a n g u a g e ( W S DL )
WS DL me ru p ak an b ah a sa st an d ar d y an g me n y ed iak an mek an is me u n tu k
m e n d e s k r i p s i k a n S e rv ic e y an g d i s e d i a k a n o l e h s i s t e m ( W eb s er vi ce ) , l o k a s i
keberad a an serv ice tersebut dan bag aiman a c ar a me mp ero l eh n y a, se c ar a t e r st r u k t u r
dal a m fo r ma t XM L. WS DL d apa t d i a n a l o g i k a n s e b a g a i I D L (i n t e r f a ce d e f i n i t i o n
l a n g u a g e) d al a m CO RB A d an CO M. S e r v ic e d ed e s k rip s i k an s eb ag ai k o lek si d ar i
e n t r y -p o i n t a t a u p o r t k o m u n i k a s i . W SDL men d esk rip sik an s erv i c e d en g an
menggunak an elemen seb ag ai b e rikut :
T y p e t i p e d at a y an g d i g u n a k a n s ebag ai argu men d a n return ty pe
Mes s ag e m er epr es ent as i k an d ef i n is i d a t a y an g d i t r a n s m i s i k a n
P o r t t y p e s e k u mp u la n o p e r a s i y an g d i d u k u n g o l e h s a t u a t u l e b ih e n d p o i n t
B i n d i n g m e n d e f i n i s i k a n p ro t o k o l d a n f o r m a t p e r t a k a r a n d at a u n t u k o p e r a s i
y ang didefinisik an o l eh Po rt ty pe
P o r t m e n sp e s i f i k as i k a n e n d - p o i n t y an g d i g u n a k a n u n t u k b i n d i n g
Serv ice kolek si en dpoint y ang berk ait a n y an g d i s e d i a k an o l e h W e b s e r v i c e
O p e r a t i o n m e n d e f i n is i k an k e m a m p u an y a n g d i d u k u n g o l e h s e r v i s t e r t e n t u
Uni v e rsa l De s c ri p t i o n , D i s co v e ry & Int eg ra t i o n ( U DD I )
UDDI m er up ak a n s eku m pu la n sp e s i f i k a s i y an g m e n u n j u k k a n r e g i s t r y i n f o r m a s i
m e n g e n ai W e b s e r v i c e . U D D I m e n y e d i a k an m e k an i s m e u n t u k m e m p u b l i k a s i k a n
in fo r ma s i me n g en ai b isn i s d an s e r v i c e p ad a sa t u l o k a si ( rep o sito r y) y an g d i k el o l a
s e c a r a t e r p u s a t d an m e l a k u k a n q u e r y m e n g e n a i i n f o r m a s i t e r s e b u t s e c a r a d i n a m i s d a n
p r o g r a m a t i s . D i r e k t o r y pada UDDI b ertind ak sep erti Y ello w Pages di ma na se rvi ce
d i k a t e g o r i k a n s e s u a i t u j u a n u ta m a n y a. D i r ekto ry UDDI terdiri dari 3 bag i an, y aitu :
Whi t e pag es m en y edi a k a n i n f o r m a si r i n c i m e n g e n a i
o r g a n i sa si y a n g
me n a w ar k a n s er v i c e
Yello w pages men c akup peng akatago rian j e n i s i n d u s t r i b e r d a s a r k a n s t a n d a r d
taxonomi industri
Gr e en p ag es men d esk rip sik a n in t er face d an keb u tuhan untuk memp eroleh
servi ce , s eper t i r et u r n t y pe .
U D DI me ru p ak an f il e X ML S c h e ma y an g men d ef i n isik an
stru k tu r d at a
mengen ai kar akt er i s t i k b is n i s d a n se r vi ce . De skr is i se rvi ce d idef ini sik a n
m e n g g u n a k an d o k u m e n T y p e M o d e l ( t Mo d el) . S ec ar a u mu m U DD I b eri si in fo r ma s i
me n g en ai si ap a y an g men y ed iak an s er v ic e (b u s i n e s s E n t i t y) , S ervi c e ap a y an g
disediakan ( b u s i n e s s S er vi c e), d i man a lo k as i se rv i ce t er sed i a (b in d i n g T e m p l a t e) ,
ref e ren si mengen ai i n for masi b agai man a s ervi c e t er s ebut dip er o leh (t Mo d el) .
Tugas EC-7010 : Keamanan Sistem Lanjut 2003
BAB III
ASPEK KERENTANAN DAN KEAMANAN
WEB SERVICE
Pad a dasarny a si st em W e b Serv ice me milik i k erent anan (vuln erabil ity ) d a s ar
y ang sama deng an s i s t em b er b as is W e b l a i n n y a y an g m e n g g u n a k a n p r o to k o l H T T P .
Namun d e mikian, k a ren a Web Serv ice memilik i a r s i t ek t u r si st e m y an g a g ak b e r b ed a
d en g an si st e m b erb as is W eb l ain n y a, mak a W eb Se rv i c e me mil ik i k er en t an an
ta mb ahan y ang spe si fik. Ka ren t anan ini b er su mb e r p ad a a rsi tek tu r W e b S e r v i c e d a n
protokol y ang di gun akan, y ai t u d a l a m h al i n i a d a l a h : S OAP ( S i mp l e Ob j e ct A cc e s s
Proto col ) y ang ber b as i s X ML (e X t e n d e d M a r k - u p L a n g u a g e).
3.1
S UM B E R K E R E N T AN A N W E B S E RV I CE
D i s a m p i n g m e m i l i k i m e m i l i k i k er en t a n a n y a n g s a m a s e p e rti apli kasi berbasi s
Web lainn y a (HT TP), W eb S ervice me mi lik i k er e n t a n a n t a m b a h a n y an g d i se b abkan
o l e h k ar a k te r i s t i k t e k n o l o g i y an g m e n d a s ar i W e b S e r v i c e , y ai t u X M L d an S O A P .
Ol eh k ar en a itu st an d ard k e a ma n an y an g b ia sa d ig u n ak an p ad a ap lik a si b e rb a si s Web
t i d a k c u k u p m e m a d ai j i k a d i t e r ap k a n p ad a W e b S e r v i c e .
K a r a k t e r i s t i k s p e s i f i k y an g m e njad i su mb er kerentan a n p a d a W e b S e r v i c e
terletak p a da 2 h al b e rikut in i, y aitu :
P r o t o k o l y an g m e n j a d i d a s a r t e k n o l o g i W e b S e r v i c e , y ai t u S O A P y an g
berb asis XML.
Ar sit ek t u r W eb S e r v i c e y an g me mb e r i l an d a s a n d al a m h al me k a n i s me
tran s aks i d an i mpl e m ent as i W eb Se rvi ce.
Dalam subb ab beri k u t in i p er ta ma - t a ma ak an d ib ah as men g en a i k er e n tan an p ad a
X M L y an g m e n ja d i b a s i s t ek n o l o g i W e b S e r v i c e , k e mu d i a n p r o t o k o l S O A P , y an g
j u g a b e r b a s i s X M L , y an g d i g u n a k a n s eb ag a i p r o t o k o l k o mu n ik a s i a n t a r a S e rv i c e
Requ est d a n Service Pro vid er .
3 . 1 . 1 Keren tana n pada X ML ( XM L Vuln erabil ity )
X M L ( e X t e n s i b l e Ma r k - u p L a n g u a g e) d i g u n a k a n se b a g ai t e k n o l o g i d a sa r d ari
W e b S e r v i c e b e r d a s a r k an p er t i mb an g a n b a h w a X M L m e r u p a k a n s t a n d a r d y an g
terbuka dan telah diterima secara luas untuk mendukung transaksi berbasis Internet.
Dalam Arsitek tur W e b S ervi c e, XM L d ii m p l e m e n t a s i k an u n t u k m e n sp es i f i k as i k a n
el e men u t a ma W eb S e r v i c e, y ai t u :
C o m m u n i c a t i o n P r o t o c o l : S OA P ( S i mp l e Ob j ec t Ac c es s P r o t o c o l )
Ser vi c e De sc rip tion : W SD L
Service Pu blica tion & Disco very : UD D I .
X M L me ru p ak an b ah as a g en er ik u n tu k p ertu k ar an d at a me la lu i I n tern et d a n
m e n j a d i s t a n d a r d p la t f o r m k o m u n i k a s i d a l a m s i s t e m y an g h et e r o g e n . T i d ak s e p e r t i
HTM L, X ML me mi sahk an an tar a b agi a n Da ta ( c o n t e n t) d a n b a g ai m a n a d at a
d i t a m p i l k a n (p re s en t a t i o n) secara terstru k tur. Ol eh karen a it u, data p ada XM L
Tugas EC-7010 : Keamanan Sistem Lanjut 2003
D e n g a n k a r a k t e r i s t i k y an g b e r b a s i s t e k s d an b er s i f a t t er b u k a t e r s e b u t , m a k a
kelemah an pada X ML i ni j ug a d a p at m e n j adi su mb er k er e ntan an pa da ap lik as i
berb asis Web Serv ice d eng an me mbuk a p e l u a n g a d a n y a g a n g g u a n a t a u s e r a n g a n
(atta ck ) ter h adap k eam an an dok u m e n W S DL, U D D I d a n p r o t o k o l S O A P y an g
b e r b a s i s X M L . W 3 C d an O A S I S t e l a h m e n et ap k an st an d ard u n tu k men an g a n i
k e r e n t a n a n X M L , y ai t u a n t a r a l a i n : XML Signatu r e, XML En c r y p t i o n , d a n S A M L .
P e mb ah a s a n s el en g k a p n y a men g en a i st an d ar d S AM L i n i ak an d i b er i k an p a d a B ab I I I ,
se me n t ar a XML Sig n a tu re d an XML En c r y pt i o n su d a h d i b ah a s p a d a l a p o r a n tug a s
akhir y ang sud ah ad a seb elu mny a.
Tugas EC-7010 : Keamanan Sistem Lanjut 2003
3.1.2
Security
Context
Service
Security
Context
Intermediary
Service Provider
Security
Context
Service
Intermediary
Service Provider
D a l a m h al i n i , m e k a n i s me k ea ma n an d i t er ap k an d engan me ny isipkan
informasi mengen ai ident itas user ( secu rit y in formation ) d i d a l a m p e s a n S O A P .
I n f o r m a s i t e r s e b u t m encakup antara lain : statu s oten t i k a s i d a r i e n d -u se r ( d a l a m
kasu s ini adalah Bu y er), aktiv itas y ang dipe r b o le h k a n ( o t o r i sa si ) , d an a t r i b u t lai n
m e n g e n ai u s e r t e r s e b u t y an g bergun a u n tuk menetapk an a c c e s s c o n t r o l. OASI S
t e l a h m e n et a p k a n s t a n d a r d u n t u k mak su d t e r s e b u t d e n g a n n a m a S A M L ( S e c u r i t y
A s s e r t i o n M a r k u p L a n g u a g e ) y a ng mensp e sifikasik an bagaiman a info rmasi meng enai
i d e n t i t a s u s e r t e r s e b u t d i d e f i n i s i k an d a l a m d o k u m e n X M L s e b a g ai p e r n y at a a n
(as se rt ion ) m e n g e n ai u s e r . S e m e n t a r a i t u W S - S ecurity men d efin isikan bagai man a
p er n y at aan t e r seb u t d i t e mp atk an d al a m p e s an S O AP. P e mb ah a s a n men g en a i s t an d ar d
in i ak an d i b ah a s p ad a Bab II I.
3.2
AS P E K P E N G AM A NA N W E B S E R V I C E
S e c a r a u mu m ad a 5 a sp ek k ea ma n an d as ar y an g p er l u d i p er h at i k an d al a m
me ngi mpl e me nt as ikan sis te m b e rba si s W e b p a d a u m u mn y a t e r m a s u k d al a m h al i n i
ada lah ap li kas i W e b S er v i c e, y ai t u : Auth en tica tion , A u t h o r i z a t i o n , Co n fi d en tia l it y ,
Data Int eg rit y d an N o n - R e p u d i a t i o n. D i s a m p i n g i t u l a y an an a p l i k a s i b e r b a s i s W eb
haru s d ap at me mberikan k o n t e k s p en g a m a n a n s e c a r a e n d - t o - e n d , dima na setiap
tran s ak s i h aru s d ap at d ij a min k ea ma n an n y a mu la i d a ri a sa l tr a n sak si sa m p ai d en g an
p e n y e l e s a i a n a k h i r t r a n s ak si s e h i n g g a d a p at m e m p e rt a h a n k a n k e a m a n a n y a n g
k o n s i s t e n d i s e m u a tahap an p en golah an transak si.
Ot en tika si
Ot entik asi (Auth ent i cation ) merup akan proses un tuk men g i d e n t i f i k as i P e n g i r i m
m u p u n p e n er i m a . S e p e r t i h a l n y a a p l i k a s i b e r b a s i s W e b l a i n n y a, S e r v i c e r e q u e s t e r
p e r l u d i - o t e n t i k a s i o le h s e r v i c e p r o v i d e r s e b e l u m i n f o r m a s i d i k i r i m . S e b a l i k n y a ,
Se rv i c e re q u es t e r j u g a p er l u m e n g - o t e n t i k a s i S e r vi ce p ro vi d e r. Ot en t i k as i s an g a t
p e n t i n g d a n cru cial d iterapk an untuk melakukan tran sak si di In tern et. Saat ini telah
t e r s e d i a s t a n d a r d y a n g b i a s a d i g u n a k an u n t u k m e n e r a p k a n m e k a n is m e O t e n t i k a s i
pada ap lik asi b erb asi s W eb p ad a u mu mny a, y aitu an tara lain P KI, X.509 Cert ifi cat e ,
Ka rb ero s, LD AP, d a n Acti ve Di recto r y. D a l a m k ai t a n n y a d e n g a n W e b S e r v i c e ,
d o k u m e n W S D L d a p at d i r u s a k m e l a l u j i s e r a n g an spo o fing sed e mikian hin gga S e r vi c e
requ e st er ber ko muni kas i buk an d e n g a n S e r v i c e p r i v i d e r s e s u n g g u h n y a , m e l a i n k a n
Tugas EC-7010 : Keamanan Sistem Lanjut 2003
10
dengan S p o o f e d W e b S e r v i c e. O l e h k a r e n a i t u , d o k u m e n W S D L p er l u d i - o t e n t i k a s i
untuk menjamin in teg ritas d ata.
Oto ri sa si
Oto r i s a si ( a u t h o r i z a t i o n ) men ja min b ah w a r eq u e st e r y an g t e l a h b e r h a s i l m e l a k u k a n
otentikasi dapt meng -a k s e s su mb er d ay a y an g ad a s e su a i d en g a n k ar ak t e r i st i k ak s e s
(access co ntrol ) y ang disediak an. Aplik asi berb asis W e b p e r l u m e l i n d u n g i dat a
f r o n t - e n d m a u p u n b a ck -en d d an su mb er day a si st e m l a i n n y a d e n g a n m e n e r a p k a n
m e k a n is m e k o n t r o l a k s e s , s e b a g a i c o n to h : a p a y an g d a p a t d i l a k u k a n oleh
user/aplik asi, su mb er day a ap a y ang dap at d ia k s e s , d a n o p e r a s i a p a y a n g d a p at
dilakuk an terh ad ap d at a t er s ebu t.
Confid en ciality
Confid enti alit y m e n j a m i n k e r a h a s i a a n ( p r i v a c y) t erh ad ap d at a/in fo r m as i
y an g
d i p e r t u k a r k a n y ai t u d e n g a n m e l i n d u n g i d at a / i n f o r m a s i a g a r t i d a k m u d ah d i b a c a o l e h
entitas (o rang atau aplik asi) y ang tid ak berh ak. Stand ard y a ng biasa digunak a n
u n t u k m e n j a g a k er a h a s i a a n d a t a y an g d i k i r i m a d a l a h m e n g g u n a k a n t e k n o log i
E n k r i p s i , mi s a l n y a d e n g a n me t o d e D i g i t a l S i g n a t u r e. S e r v i c e r e q u e s t e r
menand atangani do ku men y ang dikirimk an den g an su atu p r i v a t e k e y, d a n
m e n g i r i mk a n n y a b e r s a m a a n d en g a n bod y of messag e. S e rv ic e p ro v id e r k e m u d i a n
d a p a t m e m v e r i f i k a s i t a n d a tang an tersebut d engan s end er s pr iva t e ke y un tu k melih at
a p a k a h a d a b a g i a n d a r i d o k u m e n y an g t e l a h b erubah . Deng an cara ini, sistem dap at
menjamin integritas d ata k etik a me l a k u k a n k o mu n i k a s i s a t u s a m a l a i n .
Int eg rita s Da ta
Integ ritas dat a m eng hendak i b a hwa k o m u n ik a s i a n t a r a c l i e n t d an s e r v e r d i l i n d u n g i
dari adany a k e mungk inan un tuk merub ah d at a o l e h u s e r / a p l i k a s i y an g t i d a k m e m i l i k i
h a k u n t u k m e l a k u k a n p e r u b ah an d at a. D en g an k ata la in , Int e g rit as D at a me n j a mi n
b ah w a d at a t i d ak b e r u b ah sel a ma p r o s e s p en g i r i ma n d at a d ar i su mb e r k e t u j u an .
Stand ard y ang biasa digun ak an untuk mengaman k an jalur ko munuik a si b erb asis
Internet adal ah S e c u re So ck et La ye r/ T r a n s p o r t L a y e r S e c u r i t y ( S S L / T S L ) d e n g a n
me n g g u n ak an p r o t o k o l HT T P S . S ep er t i s u d a d i j el a sk an t e r s e b u t d i a t a s, S S L / T S L
me milik i k ontek s k eamanan y ang bersi fat p o i n t - t o -p o i n t ant ar a S e rv i c e r e q u es t o r d a n
Service p r ovid er . A k a n t e t a p i d a l a m b an y ak h a l , s e rv i c e p ro vi d er bukan tujuan fin a l
dari p esan y ang dikirimk an. Service pro vid er d ap at b e rtin d ak s eb ag a i Se rv i c e
Tugas EC-7010 : Keamanan Sistem Lanjut 2003
11
requ e sto r y ang men g irimk an pesan ke berb agai S er vi c e p ro vid er l ain n y a, s ep er t i
digamb ark an seb ag ai beriku t.
U n t u k m e n g a m a n k a n m e k a n i s me t r a n sa k si se p e r t i t e r s e b u t d i a t a s , d i b u t u h k a n
m e k a n is m e k e a m a n a n d e n g a n k o n t e k s end -to- e nd se cu ri ty, y ai t u d e n g a n
m e n g g u n a k an s t a n d ar d X M L Encryp tion d e n g a n c a r a m e n g - e n k ri p s e b ag i a n d a r i
fo r ma t p e s an , d i man a b ag i an p a yload d a r i p e s a n d i - e n k r i p , s e d a n g b ag i a n H e a d e r
d i g u n a k an u n t u k k e b u t u h a n r o u t i n g .
Non -Repu di at i on .
Non-repud i at i on m en jam i n b ah wa m a s i n g - m a s i n g p i h a k y an g t erl ib a t d al a m t ran s ak s i
(cl ien t & se r vi ce p r o vi d er ) tid ak dap at meny angkal terj a d i n y a t r a n s a k si y an g t e l a h
d i l a k u k a n . M e k a n is m e i n i d a p a t d il ak u k a n d en g a n m e n g g u n a k a n t e k n o l o g i d ig ital
signatu r e d a n t i m e s t a m p i n g . D e n g a n t e k n o l o g i d i g i t a l s ig n a t u r e , S e v i c e p ro v i d er
t i d a k h an y a m e m b e r i k a n b u k t i b a h w a t e l a h t e r j a d i t r a n sa k si , t e t a p i j u g a m e r e k a m
t r a n k s a k s i p e s a n k e d a l a m a u d i t l o g y an g t e l ah d it a n d a t a n g a n i p u l a. S ek a l i a u d i t l o g
telah ditandatangan i , ia tidak d a p a t d i m o d i f i k as i ( o l e h Ha ck e r) tanp a merubah
t a n d a t a n g a n s e c a r a s i g n i f i k an .
3.3
SE RA N G AN KE AM AN A N P A DA W E B SE RV I CE
S a l a h s a t u k u n c i k e s e d e r h an aan Web S ervi ce ad al ah bahw a Web S ervi c e
d i i mp el e m e n t a s i k a n p a d a p o r t 8 0 d a n 4 4 3 , s a ma s e p ert i st an d ar d ap l i k a si b er b a si s
Web l ain n y a. Keuntunganny a adalah d a pat meny erdeh anak a n ko munikasi an ta r a
beberap a entit as, tetapi disisi l ain me miliki kelema han deng an membuk a p eluang
m u n cu l n y a g a n g g u a n k e a m a n a n a n y an g k u r a n g d i m e n g e r t i se b el u m n y a. U ntuk
m e n g a t a s i n y a, b i a s a n y a d i g u n a k an F i r e w a l l y an g d ap at m e l a k u k a n t u g a s s e p e r t i p o r t
monito ring dan m eng enal i ad an y a se r a n g a n y an g b e r si f a t b ru t e fo r ce , a k an t et ap i
F i r e w a l l t i d a k d ap at m e l ak u k a n t u g a s u n t u k m e l i h a t i s i p es a n s e b ag ai u p a y a u n t u k
mendetek si dan men c egah ad an y a gangguan k e a m a n a n y an g y a n g l e b ih k o mp l e k s.
Pad a si si lain, Fi rewall tidak dap at me mb erik an protek si t e rhad ap se r angan y ang
b er as al d ar i d al a m ( i n tern al ) p e ru s ah a an i t u s e n d i r i , s e p er t i y a n g d i t u n j u k k a n p ad a
g a m b a r b er i k u t i n i .
Tugas EC-7010 : Keamanan Sistem Lanjut 2003
12
Denial Of Servi ce
C o n to h s e r a n g a n y an g b e r s i f a t d e n ia l o f s e r v i c e (DOS) ini mi salny a pada k a su s
d i man a su atu ap p lik as i Web S erv i c e h an y a ma mp u men er i ma tr an sak si p er se tu ju a n
p i n j a m a n u a n g s e b a n y a k 5 p e r m i n t a a n s e h a r i , t e t a p i s u a t u s e r a n g a n D O S d ap a t
ter jad i j ik a ad a 10 p er min ta an penj a man p e r j a m y a n g d i k i r i m u n t u k d i p ro s e s o l e h
si st e m. Se rang an D OS bi as an y a ak an meny ebabk an k elu mp uhan sistem karen a
k e k u r a n g a n s u m b e r d ay a u n t u k m e l a y an i r e q u e s t y an g ma s u k a k i b a t D O S , y an g d a p a t
b e r a k i b at b er h e n t i n y a o p e r a s i s i s t e m .
Tugas EC-7010 : Keamanan Sistem Lanjut 2003
13
14
BAB IV
ARSITEKTUR KEAMANAN WEB SERVICE
Mo del
arsitektur
k eaman an
Web
Service
men ekank an
pentingny a
m e m a n fa a t k a n p r o se s d a n t e k n o l o g i k e a m a n a n y an g a d a s a a t i n i d e n g a n
m e n g a n ti s i p a s i k e b u t u h a n k e a m a n a n a p l ik a s i u n t u k m a s a m e n d a t a n g . M o d e l i n i
menghend aki ad any a perh atian terh adap beber a p a i s u , y ai t u : m e n y a t u k a n b e r b a g a i
k o n s e p m e n g e n a i k e a m a n a n , s o l u s i t e k n o l o g i ( m i s a l n y a se cu r e m es sa g i n g), pro se s
b i s n i s ( d a l a m t e r m i n o l o g i p o li c y, ri s k, t ru st) , s e r t a k o o r d i n a s i a n t a r a b er b a g a i p i h a k
y an g t e r l i b a t , a n t a r a l a i n : v e n d o r , a p p l i ca t i o n d e v el o p er , n e t w o rk / i n f r a t r u c t u r e
p r o v i d e r , d a n c u s t o me r . M o d e l a r s i t e k t u r y an g d ib ah a s d a l a m b a b i n i b e r d a s a r k a n
u s u l a n d a r i M i c r o s o ft d a n I B M d al a m S e c u r i t y i n a W eb S e r v i c e Wo r l d : A P r o p o s e d
A r c h i t e c t u r e a n d R o a d m a p , Ap ril 7, 2002 , Versi 1.0 .
P e n y at u a n l i n g k u p t e k n o l o g i k ea m a n a n y an g a d a s a a t i n i d i m a k su d k a n u n t u k
me mi sahk a n an ta ra k ebutuh an k ea ma n an s u atu ap lik as i d eng an mek ani s m e tekno log i
y ang digun akan . T uj uanny a ad al a h u n t u k m e m u d ah k a n c u st o me r d al a m m e m b ang un
s u a t u s o l u s i y an g s a l i n g d a p at d i o p e r a s i k an (in tero perab le ) d alam su atu lingkungan
y an g h e t e r o g e n . P r o s e s i n t eg r a s i d i l a k u k a n d e n g a n m e m b u a t a b s t r a k si t e r h a d a p s u a t u
mod el k eaman an tertentu y ang memu n g k i n k a n s u a t u o r g an i s a s i m e n g g u n a k a n
i n v e s t a s i t e k n o l o g i k e a m a n a n y an g a d a s a a t i n i u n t u k b er k o mu n i k as i d e n g a n
organisasi/peru sah aan lain y ang m e n g g u n a k an t e k n o l o g i y an g b e r b e d a .
P a d a s i s i l a i n , s e t i a p W e b S e r v i c e m e m p u n y ai k e b u t u h a n a s p e k k e m a n a n a n
y ang unik di das ar kan pad a k ebu t u h a n b isn i s d an l i n g k u n g a n o p e r a s i o n a l y a n g k h u s u s.
Misalny a, unt uk kebu t uhan i nt er na l , m a k a k e s e d er h a n a a n d an k e m u d ah a n o p e r a s i o n a l
merup akan t unt ut an u tam a, s em e n t a r a u n tu k kebuth an ek stern al (Intern et) dibutuhkan
kemampu a n unt uk ber t ah an t er ha d a p , m i s a l n y a, s e r a n g a n D O S . U n t u k m e n d u k u n g
kebutuh an demikian maka su atu mo d el k eaman an Web Serv ice mengh endaki adan y a
flek sib ilitas dalam menggunak a n mekan isme k e a m a n a n k o n v e n s i o n al , t e t a p i d is i s i
l ai n d ap a t me mb er i k an so l u si b ag i b e r b a g ai ma c a m k eb u t u h an k e a man an si st e m
m e l a l u i p e n e r a p a n k e b i j a k an k e a m a n a n (secu ri ty pol icy) d an p eru b ah an k o n fig u r as i
s i s t e m . D e n g a n k at a l a i n , m od e l a r si t e k t u r k e m a n an Web Servi c e merup akan
s e k u m p u la n a b s t r a k s i k e a m a n a n y an g m e n y at u k a n t e k n o l o g i y an g b e r b e d a - b e d a y an g
telah ad a seb elu mn y a. Mode l a r s i t e k t u r d e m i k i a n d a p at m e m e n u h u i k eb u t u h a n
c u s t o me r y an g s p e s i f i k t e t a p i p a d a s a a t y an g s a m a m e m u n g k i n k a n t e k n o l o g i u n t u k
t er u s b e r k e mb an g d a n d ap at d i i mp l e me n t as i k an s e c ar a b er t ah ap . S eb ag ai co n t o h ,
s u a t u W e b S e r v i c e d ap a t m e n e r a p ak a n m o d e l s ecu r e m es sa g i n g ( me l a l u i en k r i p si
t er h ad ap p es an ) k e t i k a me n g i r i m p e s a n me l a l u i l i n t a s an y an g ama n d en g an
m e n g g u n a k an m e k an i s m e k e a m a n a n b er b a s i s tran spo r t la yer ( S S L / T S L ) y a n g s u d ah
ada. S ehin gga p e s an dapat m e m i l i k i a sp ek i n t eg r i ta s ( a t au conf ident ialit y ) y an g ad a
diluar transport layer.
4.1
M O DE L AR S I T E K T U R K E AM A NA N W E B S E R VI C E
W eb Serv ice d apat diak s e s d en g a n m e n g i r i mk a n p e s a n S O A P k e s e rv i c e en d p o i n t y an g d i i d e n t i f i k a s i k an d e n g a n U R I ( Unif ied Reaou rces Iden tif i er) , u n t u k
me minta aktivitas terten tu p ad a Web Serv i c e , d an k e m u d i a n m en e r i m a r e s p o n p e s a n
SO AP (t er ma suk ada n y a indik a si ad any a kes al ah an, jik a ad a). D al a m k ontek s in i,
tujuan pen g aman an Web Service dib agi dalam b eb erap sub-g o al y ang meny ediak a n
f a s i l i t a s u n t u k m e n g a ma n k an i n t e g r i t a s d a n con fid entia lit y p es a n d an m e n j a m i n
Tugas EC-7010 : Keamanan Sistem Lanjut 2003
15
M o d e l g e n er i k m e s s a g i n g t e r s e b u t , y ai t u c l a i m, p o l i c y d a n s e c u r i t y t o k e n ,
m e n d u k u n g b e b er a p a m o d el y an g l e b ih s pe s i f i k l a i n n y a s e p e r t i h al n y a iden tit ybased s ecu rit y, a cc e s s- co n t ro l l i st, d an ca pabiliti es-based secu rit y . Mod e l ini jug a
m e n d u k u n g t e k n o l o g i y an g a d a s a a t i n i s e p e r t i X . 5 0 9 d a n K a r b e r o .
16
4.2
S P E S IF I KA S I K E AM A NA N W E B S E R VI C E
S p e si f i k a si Ke a ma n an W e b S e r v i c e t er d i r i d a r i sek u mp u l a n sp e si f i k a si t e r p i sa h
y ang dikem b angkan s ecar a hi rark is d an berlapis diat a s p r o to k o l S O A P . M a s i n g m a s i n g s p e s i f i k a s i d i k e m b a n g k a n b er d a sa r k an sp e si f i k as i y an g l ai n . S p e si f i k a si a wa l
k ea ma n an W eb S e r v i ce t er d i r i d ar i :
Mes sag e S ecu ri ty Mo del
Web S er vi ce E ndpoi n t P o l i c y
Tru st Mo d el
P r i v a cy M o d e l
I B M d a n M i c r o so f t m e m b e r i n a m a masing-ma sing sp esifik a si t er s e but ad al ah
WS- Secu ri ty ( u n tu k message secu rity mo del ) , WS- Poli cy ( u n tu k Web Service end p o i n t p o l i c y), W S - Tr u st ( u n tu k Tru st mo d e l) d an WS - Priva cy ( u n t u k P ri va cy mod el) .
Se ca ra be r sa ma sp efi k as i aw al te rs ebut m e n y e d i a k an l a n d a s a n u n t u k m e n e t a p k a n
keaman an y ang interop e rabl e ant ar tru st do main. Be rd as ar kan sp e si f ika si aw al
tersebut, kemudian dap at
dikemb an g k an spesifikasi b e rikutny a yaitu s ecu r e
c o n v e r s a t i o n (WS -S ecu reConv er sation) , fed e ra t e d t r u st ( W S - F e d e r a t i o n ), d a n
o t o r i sa s i ( W S - A u t h o r i z a t i o n ).
Struk tur k erang ka sp esifi k asi k eamanan W eb S ervi c e diilustrasi kan sepert i
g a m b a r d i b aw a h i n i .
Ko m b in a si sp es ifik a si k ea ma n an t er seb u t me mu n g k in k an ad an y a b an y ak
sken ario y ang ak an sulit diimp l emen tasi k a n jika men ggunakan mekan isme keaman an
dasar y ang ad a saat ini.
S e c a r a r i n g k as , sp es i f i k as i k ea ma n an t er s e b u t d ap at d i j el a sk a n s eb ag ai
beriku t :
Spesi fika si Awal
WS-S e cu ri ty : M en j e la sk an b ag ai ma na m e n e r a p k a n X M L s i g n a t u r e d a n X M L
E n cry p t i o n p ad a H e ad e r p e s a n S OA P , ser t a b a g ai ma n a me n y ert ak an
se cu rit y t o ken , t e r m a s u k X . 5 0 9 , K a r b e r o d an U s e r N a m e / P a s s w o r d ,
kedalam pesan SOAP.
WS-Po li cy : men je l ask an k e m a mp u an d an k e n d a l a d a r i s e c u r i t y p o l i c i p ad a
l e v el i n t e r m e d i a t e m a u p u n e n d - p o i n t .
WS-T ru s t
: men j el ask an b ag ai ma n a f r a m e w o r k t r u s t u r e l a t i o n s h i p a n t a r
enti tas bi snis
Tugas EC-7010 : Keamanan Sistem Lanjut 2003
17
W S - P r i v ac y : m e n j e l a s k an s u a t u mo d el b a g a i m a n a W e b S e r v i c e d a n r e q u e s t e r
m e n y a t a k a n p r i v a s i s u b y e k y an g d i i n g i n k a n d an p r i v a s i o r g an i s a s i .
18
BAB V
STANDARD KEAMANAN WEB SERVICE
K e r e n t a n a n y an g a d a p a d a W e b S e r v i c e y an g b er b a s i s X M L m e n j a d i
pertimbang an utama y ang memp engaruh u i k e r a g u - r a g u a n p ar a p e n g g u n a untuk
me ngi mpl e me nt as ikan Web S erv ic e. Ol eh Ka r e n a i t u d i p e r l u k a n s t a n d ar d t e k n o l o g i
k e a m a n a n a n W e b S e r v i c e u n t u k m e n d u k u n g ke a m a n a n p e n er a p a n W eb S e r v i c e s e c a r a
l u a s . W a l a u p u n d e m i k i a n , s t a n d ar d y an g a da s a a t i n i s e p e r t i L D A P , P K I , S S L / T S L
t e t a p m e m e g a n g p er a n a n p e n t i n g u n t u k m en g a m a n k a n W e b S e r v i c e d a l a m k o n t e k s
point-to -p o i nt.
Beb er ap a l em b aga/ organisasi p rofit mau pun non-profit telah berup ay a
untuk mengembangkan standard keamanan XML dan Web Service. Diantara
l e m b a g a / o r g a n i s a s i t e r s e b u t , h i n g g a s a a t i n i a d a 2 l e m b a g a y a n g m e n j a d i r e f e r e n si
d a l a m p e n et a p a n s t a n d a r d k ea m a n a n X M L Web Service y aitu
W3C d an OAS IS .
Tab el b erikut ini menunjukkan beberap a stan d ar d k e a m a n a n X M L W e b S e r v i c e y an g
t e l a h d an s e d a n g d i t e t ap k a n o l e h k e d u a o r g an i s a s i t e r s e b u t [1 0 ] :
Standa rd
Standa rd
Bo d y
Statu s
De sk ri ps i
W3C
Co mpleted
XML Encryption
(XE N C)
W3C
Co mpleted
XML
Key
Man ag e men t
Specification
(XKMS )
Security Assertion Markup
Language
(SAML)
W3C
Working
Dr aft
OASIS
Open
Stand ard
OASIS
Open
Stand ard
WS-Security
OASIS
Working
Dr aft
19
5 . 1 SP ES IF I K AS I WS -Se cu ri ty
WS-S ecu rity at au juga dik enal seb ag ai Web S e rvice S e cu rity Core Language
(WSS -Co re ) meru p ak an sp e sif i k as i k e a m an an W eb Serv ic e y an g men d efin is ik an
m e k a n is m e p e n g a m a n a n p ad a l e v el p e s a n S O A P u n t u k m e n j a m i n messag e integ rit y &
confid enti alit y.
Stand ard WS -S ecu rity saat i n i d i k e mb an g k a n s e ca r a r e s mi o l e h O AS I S
berd asarkan sp esifik asi y ang d i usulk an oleh M i c r o s o f t , I B M , d a n V e r y S i g n p a d a 1 1
A p r i l 2 0 0 2 . S e l a n j u t n y a, O A S I S m e l a l u i W eb S e rv ic e S e cu rit y Te ch n i ca l Co m mi tt ee
(WSS) melanju tkan pengemb an gan WS-Secu rity
dengan menetapk an beberap a
spesi fik asi tekni s t e rpisah, sep e rti Core Sp ec ifi c ation , SAML P rofil e, XM rL Pro fil e,
X.509 Profile, dan Karberos Profile.
P r o d u k W S S u n t u k Core S p ecifi catio n (WSS -C ore) ad al a h WS S : S o a p M e s s a g e
Securi ty . S p esifik asi lain y ang merup akan bagi an dari C o r e S p e c i f i c a t i o n ini ad al ah
WSS: U s e r N a m e T o k e n P r o f i l e d a n WS S : X . 5 0 9 C e r t i f i c a t e T o k e n P r o f i l e.
D i s a m p i n g 2 o rg a n i s a s i t e r s eb u t , a d a o r g an is a s i l a i n y an g j u g a a k t i f
m e n g e m b a n g k a n s t a n d a r d k e a m a n a n W e b S e r v i c e y an g d is p o n s o r i o l e h S u n
Mic ro sy st e m y aitu L i b e r t y A l l i a n c e T e c h n o l o g y G r o u p . N a m u n p a d a a k h i r n y a
le mb aga i n i jug a me ngu mu mkan untuk memfoku skan diri pad a p e ngembang a n
sp e si f i k as i W S - S e c u r i t y d an b er k erj a s a ma d en g an OA S I S u n t u k mak s u d t er s eb u t .
Deng an d e miki an, W S-S ecu rity akan men jadi st and ard d e - f a c t o u n t u k p e n g a m a n an
Web Service.
5 . 1 . 1 Kon s ep da sar W S - S e c u ri t y
S ec a r a u mu m s t a n d ar d W S - Secu rity (versi ori sinal) mend efin isik an suatu
sp e si fik as i men g en a i b ag ai ma n a m e n g a m a n k a n p e s a n S O AP se c ar a
end-to-end,
dengan cara meny ertakan (a tta ch ) d i g it a l s i g n a t u re , enk rip si d an s e c u rit y t o ke n
p a d a b ag i a n H e a d e r d a r i p esan S OAP.
Spesi f ikasi WS S -Core v ersi t erb aru
meny ediak an 3 mekanisme un tuk me mp rotek si pe s an dar i an ca ma n t er h adap up a y a
gangguan keam an an pes an SOA P , y ai t u ( 1 ) K e m a m p u a n u n t u k m e n g i r i m s e c u r i t y
t o k e n s e b a g a i b ag i a n d a r i p es a n S O A P , ( 2 ) M e ss a g e i n t eg r i t y d an ( 3 ) M e s sag e
c o n f i d e n t i a l i t y . N a m u n d e m i k i a n , m e k an i s me tersebut t id ak memb erikan solu si
k e a m a n a n y an g l e n g k a p u n t u k W e b S e r vice. Spesifikasi in i merup ak an b u i l d i n g
b l o c k y an g d i g u n a k a n u n t u k m e n g a k o m o d a - s i k an b er b a g a i v ar i a s i m o d el k e a m a n a n
d a n t e k n o l o g i k e m a n an .
D en g an k a ta l ain , W S-S ecu rity tid ak men sp e sif ik a sik an su a tu mek an is me
keamanan baru, tetapi menyediakan fleksibilitas untuk menggunaan teknologi
k e a m a n a n y an g s u d a h a d a ( X . 5 0 9 , K a r b e r o s, X M L E n c r y p t i o n ) , s e h i n g g a d ap a t
Tugas EC-7010 : Keamanan Sistem Lanjut 2003
20
m e n g a k o m o d a s i b e r b a g a i p e n d e k a t a n k ea ma n an se c ar a u m u m. H al b ar u y an g
dita mb ahk an oleh WS-S e curi ty adalah s u a t u s p e s i f i k a s i u n t u k m e n e r a p k a n
mekan isme keaman an y ang sudah ad a ( e x i s t i n g ) t e r s e b u t k e d al a m p e s a n S O A P .
5 . 1 . 2 Meka ni sme P rotek si Pesan
S e c a r a u mu m s t r u k t u r p e san F o r ma t S O AP y an g men g i mp l e me n t a si k an W S Securi ty terdi ri d ari : En velo p , H e a d e r d a n B o d y sep er ti d ig a mb ark an seb ag a i
beriku t :
21
menerapkan
XML
Encryption
bersamaan
d en g a n
m e m p e r t a h an k a n k e r a h a s i a a n b a g i a n p e s a n S O A P .
s e cur it y
to ken
untuk
5 . 1 . 3 Se cu rity Head er
S etiap p es an SO A P m e m p u n y a i s u a t u P e n e r i m a y an g b er t i n d a k s e b ag ai
p e n e r i m a p es a n d a n m e r e s p o n p e s a n . W S - S e c u r i t y v e r s i o ri g i n a l m e n y e b u t p e n e r i m a
s e b ag ai A k t o r . S e h i n g g a , s e t i a p p e s a n S O A P p a l i n g t i d a k m e m p u n y a i s a t u A k t o r ,
y aitu oran g bertind a k berd asarkan pad a pes a n S O A P t e r s e b u t . S u a t u p e s a n d a p a t
me mpuny ai lebih d ari satu Ak tor jik a me lalu i sed eretan nod e intermed ia ry , s e p er t i
y ang akan dijelask an pada sp esifikasi WS -R outing .
Info rmasi y an g berhubu ngan den g an keamanan p e san SOAP disertak an
(atta ch ) p ad a b ag i an H e ad e r d ari S O AP, t ep at n y a d a l a m b l o k y an g d i a w a l i d e n g a n
tag <S ecurity >. Blok <S ecuri ty > in i me ny ediakan mekan isme untuk me ny ertak an
i n f o r m a s i y an g b er k a i t a n d e n g a n k ea m a n an p ad a p en eri ma te r ten tu , d a n
disp es ifik a sik an oleh atr ibut A ct o r. Con toh sy ntax H e a d e r p ad a p e s a n S O A P m e n u r u t
v e r s i W S - S e c u r i t y v e r s i o risin al ditunjuk kan p ada g a mbar dib a wah ini.
<S:Envelope>
<S:Header>
...
<Security S:actor="..." S:mustUnderstand="...">
...
</Security>
...
</S:Header>
...
</S:Envelope>
G a m b a r 5 . 2 - S tr u k t u r s y n t a x P e s a n S O A P ( v e r s i o r i s i n a l )
22
E l e m e n S e c u r i t y y an g d a p a t d i m a s u k k a n d al a m S e cur it y H ead er p a d a p es a n
SO AP ant a ra lain ad a lah :
Use r N am e T oken
Bin ary Security Token (misalny a u n t u k X . 5 0 9 C e r t i f i c a t e d a n K a r b e r o s)
XML Tok e n (S ecu rity Token Re fe ren ce )
ds: Key Info
ds:Signatu re
XML Encryption
Ti meStamp
C o n t o h p e n g g u n a a n s e cu ri t y t o k en, signatu r e d a n en c r yp t i o n s es u ai d en g a n
s p e s i f i k a s i W S S - C o r e s e c a r a l e n g k a p d ap a t d i l i h a t b e r i k u t i n i :
(001) <?xml version="1.0" encoding="utf-8"?>
(002) <S:Envelope xmlns:S="http://www.w3.org/2001/12/soap-envelope"
xmlns:ds="http://www.w3.org/2000/09/xmldsig#"
xmlns:wsse="http://schemas.xmlsoap.org/ws/2003/06/secext"
xmlns:wsu="http://schemas.xmlsoap.org/ws/2003/06/utility"
xmlns:xenc="http://www.w3.org/2001/04/xmlenc#">
(003) <S:Header>
(004) <wsse:Security>
(005)
<wsu:Timestamp>
(006)
<wsu:Created
(007)
wsu:Id="T0">2001-09-13T08:42:00Z</wsu:Created>
(008)
</wsu:Timestamp>
(009)
(010)
<wsse:BinarySecurityToken
ValueType="wsse:X509v3"
wsu:Id="X509Token"
EncodingType="wsse:Base64Binary">
(011)
MIIEZzCCA9CgAwIBAgIQEmtJZc0rqrKh5i...
(012)
</wsse:BinarySecurityToken>
(013)
<xenc:EncryptedKey>
(014)
<xenc:EncryptionMethod Algorithm=
Tugas EC-7010 : Keamanan Sistem Lanjut 2003
23
(015)
(016)
(017)
(018)
(019)
(020)
(021)
(022)
(023)
(024)
(025)
(026)
(027)
(028)
(029)
(030)
(031)
(032)
(033)
(34)
(035)
(036)
(037)
(038)
(039)
(040)
(041)
(042)
(043)
(044)
(045)
(046)
(047)
(048)
(049)
(050)
(051)
(052)
(053)
(054)
(055)
(056)
(057)
(058)
(059)
"http://www.w3.org/2001/04/xmlenc#rsa-1_5"/>
<ds:KeyInfo>
<wsse:KeyIdentifier EncodingType="wsse:Base64Binary"
ValueType="wsse:X509v3">MIGfMa0GCSq...
</wsse:KeyIdentifier>
</ds:KeyInfo>
<xenc:CipherData>
<xenc:CipherValue>d2FpbmdvbGRfE0lm4byV0...
</xenc:CipherValue>
</xenc:CipherData>
<xenc:ReferenceList>
<xenc:DataReference URI="#enc1"/>
</xenc:ReferenceList>
</xenc:EncryptedKey>
<ds:Signature>
<ds:SignedInfo>
<ds:CanonicalizationMethod
Algorithm="http://www.w3.org/2001/10/xml-exc-c14n#"/>
<ds:SignatureMethod
Algorithm="http://www.w3.org/2000/09/xmldsig#rsa-sha1"/>
<ds:Reference URI="#T0">
<ds:Transforms>
<ds:Transform
Algorithm="http://www.w3.org/2001/10/xml-exc-c14n#"/>
</ds:Transforms>
<ds:DigestMethod
Algorithm="http://www.w3.org/2000/09/xmldsig#sha1"/>
<ds:DigestValue>LyLsF094hPi4wPU...
</ds:DigestValue>
</ds:Reference>
<ds:Reference URI="#body">
<ds:Transforms>
<ds:Transform
Algorithm="http://www.w3.org/2001/10/xml-exc-c14n#"/>
</ds:Transforms>
<ds:DigestMethod
Algorithm="http://www.w3.org/2000/09/xmldsig#sha1"/>
<ds:DigestValue>LyLsF094hPi4wPU...
</ds:DigestValue>
</ds:Reference>
</ds:SignedInfo>
<ds:SignatureValue>
Hp1ZkmFZ/2kQLXDJbchm5gK...
</ds:SignatureValue>
<ds:KeyInfo>
wsse:SecurityTokenReference>
<wsse:Reference URI="#X509Token"/>
</wsse:SecurityTokenReference>
</ds:KeyInfo>
</ds:Signature>
</wsse:Security>
<S:Header>
<S:Body wsu:Id="body">
24
(060)
(061)
(062)
(063)
(064)
(065)
(066)
(067)
(068)
<xenc:EncryptedData
Type="http://www.w3.org/2001/04/xmlenc#Element"
wsu:Id="enc1">
<xenc:EncryptionMethod
Algorithm="http://www.w3.org/2001/04/xmlenc#tripledes-cbc"/>
<xenc:CipherData>
<xenc:CipherValue>d2FpbmdvbGRfE0lm4byV0...
</xenc:CipherValue>
</xenc:CipherData>
</xenc:EncryptedData>
</S:Body>
</S:Envelope>
5 . 2 S KE N AR I O P E N G GU N A AN W S - S e cu ri t y
M ek a ni s m e W S- Secur i t y d a p a t diterapk an untuk meng atasi berb agai isu
k e a m a n a n . B e r i k u t i n i a d a l a h b e b er a p a c o n t o h sk e n a r i o u n t u k m e n d u kun g
i mp l e me n t as i W S - S e cu r i t y b er d as ark an u s u l a n o l e h I B M d an M i c r o s o f t d a l a m
doku men WS -S e cu rit y Ap p No t es ( 1 5 A g u s t u s 2 0 0 2 ) , y ai t u :
Di re ct T ru st u si ng U se r Na m e/ Pa s swo rd
S e r v e r d i m a n a W e b S e r v i c e b e r a d a m e n g g u n a k an p a s a n g a n p u b l i c k e y u n t u k
menjamin keaman an kanal an tara serv er d a n c l i e n t m e l a l u i k o n e k si HT T P d e ng an
m e n g g u n a k an S S L / T S L . R equ es t e r membuk a ko neksi k e Web Serv ice d eng an
m e n g g u n a k an t r an s po rt - l evel s ec u ri t y (SS L/TS L), d i ma n a R eq u es te r me ngiri mk a n
p es an p er min t a an d en g an men y ertak an s ecu ri ty to ken y an g b e r i s i u s e r n a m e d an
passwo rd . S e m e n t a r a W e b S e r v i c e m e n g - o t e n t i k a s i i n f o r m a s i y an g t e r d a p a t d a l a m
p es an , me mp r o s es r e q u es t d an m e r e s p o n h a s i l n y a.
Dalam sk enario ini in tegrit as d a n k e r a h as i a a n p es a n d i t a n g a n i d e n g a n
m e n g g u n a k an m e k an i s m e k ea m a n a n b er b a s i s t r a n s p o r t - l a y e r .
Tugas EC-7010 : Keamanan Sistem Lanjut 2003
25
C o n t o h p e s a n S O A P y an g d i k i r i m d a r i R e q u e s t e r k e W e b S e r v i c e p a d a s c e n a r i o
ini ad al ah seb ag ai b e rikut :
(001) <S:Envelope xmlns:S="http://www.w3.org/2001/12/soap-envelope">
(002)
<S:Header>
(003)
<wsse:Security
xmlns:wsse="http://schemas.xmlsoap.org/ws/2002/07/secext"
S:mustUnderstand="1">
(004)
<wsse:UsernameToken>
(005)
<wsse:Username>Zoe</wsse:Username>
(006)
<wsse:Password>ILoveDogs</wsse:Password>
(007)
</wsse:UsernameToken>
(008)
</wsse:Security>
(009)
</S:Header>
(010)
<S:Body>
(011)
<m:GetLastTradePrice xmlns:m="http://fabrikam123.com/">
(012)
<symbol>DIS</symbol>
(013)
</m:GetLastTradePrice>
(014)
</S:Body>
(015) </S:Envelope>
Di re ct T ru st u si ng S e cu rit y To k en
26
<S:Envelope xmlns:S="http://schemas.xmlsoap.org/soap/envelope/">
<S:Header>
<m:path xmlns:m="http://schemas.xmlsoap.org/rp/">
<m:action>http://fabrikam123.com/getQuote</m:action>
<m:to>http://fabrikam123.com/stocks</m:to>
<m:from>mailto:johnsmith@fabrikam123.com</m:from>
<m:id>uuid:84b9f5d0-33fb-4a81-b02b-5b760641c1d6</m:id>
</m:path>
<wsse:Security
xmlns:wsse="http://schemas.xmlsoap.org/ws/2002/07/secext"
xmlns:wsu="http://schemas.xmlsoap.org/ws/2002/07/utility"
S:mustUnderstand="1">
(010)
<wsse:BinarySecurityToken
EncodingType="wsse:Base64Binary"
wsu:Id="X509Token"
ValueType="wsse:X509v3">
(011)
MIIDQTCCAqqgAwIBAgICAZIhvcNAQEFBQAwTjELMAkGA1UEBhMCS...
(012)
</wsse:BinarySecurityToken>
(013)
<Signature xmlns="http://www.w3.org/2000/09/xmldsig#">
(014)
<SignedInfo>
(015)
<CanonicalizationMethod Algorithm="http://www.w3.org/2001/10/xmlexc-c14n#"/>
(016)
<SignatureMethod Algorithm="http://www.w3.org/2000/09/xmldsig#rsasha1"/>
(017)
<Reference URI="">
(018)
<Transforms>
(019)
<Transform Algorithm="http://...#RoutingTransform"/>
(020)
<Transform Algorithm="http://www.w3.org/2001/10/xml-excc14n#"/>
(021)
</Transforms>
(022)
<DigestMethod
Algorithm="http://www.w3.org/2000/09/xmldsig#sha1"/>
(023)
<DigestValue>yH8GsCH3FT747UhqqzHqqSTj7CM=</DigestValue>
(024)
</Reference>
(025)
</SignedInfo>
(026)
<SignatureValue>
(027)
TQtb/T9NTGgRzbtDCctfw0SKY7/PHVZtPMFoLtPCixU3Kobis/Q...
(028)
</SignatureValue>
(029)
<KeyInfo>
(030)
<wsse:SecurityTokenReference>
(031)
<wsse:Reference URI="#X509Token"/>
(032)
</wsse:SecurityTokenReference>
(033)
</KeyInfo>
(034)
</Signature>
(035)
</wsse:Security>
(036)
</S:Header>
(037)
<S:Body>
(038)
<m:GetLastTradePrice xmlns:m="http://www.fablikam123.com/">
(039)
<symbol>DIS</symbol>
(040)
</m:GetLastTradePrice>
(041)
</S:Body>
(042) </S:Envelope>
(002)
(003)
(004)
(005)
(006)
(007)
(008)
(009)
27
D a l a m s k e n a r i o i n i , s e cu r i t y t o k en t i d a k t e r d a p a t d a l a m p e s a n S O A P ,
melaink an m enggun akan m ekani sm e s ec u rit y to ke n ref e ren c e u n t u k m e n c a r i d a n
m e n g a m b i l t o k e n . R e q u e s t e r men g i r i m p es an k e s er v i c e d e n g a n m e n y e b u t k an
ref e ren si t erh adap keber adaan secu ri ty to ken , d an m en y ed iak an p r o o f - o f - p o s s e s s i o n
d a l a m b en t u k X ML S i g n a t u r e. W e b S e r v i c e m e n g g u n a k a n in fo rmasi y ang ad a p ad a
se cu rit y to ken r ef e re nce u n t u k m e m p e r o l e h se cu rit y tok en d a r i se cu rit y to ken s e rv ic e
dan me mv alid asi p ri v a t e / p u b l i c k e y (pro o f). Web Serv ice meneri ma
( tru st ed )
se cu rit y to ken , sehin gga req u e s t dipro ses dan dik e mbalik an h a silny a k e r eq u e st e r.
C o n t o h p e s a n S O A P y an g d i k i r i m d a r i R e q u e s t e r k e W e b S e r v i c e p a d a s c e n a r i o
ini ad al ah seb ag ai b e rikut :
(002)
(003)
(004)
(005)
(006)
(007)
(008)
(009)
(010)
(011)
(012)
(013)
(014)
(015)
(016)
(017)
(018)
(019)
(020)
(021)
xmlns:S="http://www.w3.org/2001/12/soap-envelope">
<S:Header>
<m:path xmlns:m="http://schemas.xmlsoap.org/rp/">
<m:action>http://fabrikam123.com/getQuote</m:action>
<m:to>http://fabrikam123.com/stocks</m:to>
<m:from>mailto:johnsmith@fabrikam123.com</m:from>
<m:id>uuid:84b9f5d0-33fb-4a81-b02b-5b760641c1d6</m:id>
</m:path>
<wsse:Security
xmlns:wsse="http://schemas.xmlsoap.org/ws/2002/07/secext"
xmlns:wsu="http://schemas.xmlsoap.org/ws/2002/07/utility"
S:mustUnderstand="1">
<wsse:SecurityTokenReference wsu:Id="token1">
<wsse:Reference URI="ldap://fabrikam123.com/CN=John..."/>
</wsse:SecurityTokenReference>
<Signature xmlns="http://www.w3.org/2000/09/xmldsig#">
<SignedInfo>
<CanonicalizationMethod Algorithm="http://www.w3.org/2001/10/xml-excc14n#"/>
<SignatureMethod Algorithm="http://www.w3.org/2000/09/xmldsig#rsasha1"/>
<Reference URI="">
<Transforms>
<Transform
Algorithm="http://...#RoutingTransform"/>
<Transform
Algorithm="http://www.w3.org/2001/10/xml-exc-c14n#"/>
</Transforms>
28
(022)
(023)
(024)
(025)
(026)
(027)
(028)
(029)
(030)
(031)
(032)
(033)
(034)
(035)
(036)
(037)
(038)
(039)
(040)
(041)
(042)
<DigestMethod Algorithm="http://www.w3.org/2000/09/xmldsig#sha1"/>
<DigestValue>yH8G3FT747UhqqzHqqSTj7CM=</DigestValue>
</Reference>
</SignedInfo>
<SignatureValue>
TQtb/+yR56T9NTGgRzbtDCctfw0SKY7/Pq2FoLtPCixU3Kobis/Q...
</SignatureValue>
<KeyInfo>
<wsse:SecurityTokenReference>
<wsse:Reference URI="#token1"/>
</wsse:SecurityTokenReference>
</KeyInfo>
</Signature>
</wsse:Security>
</S:Header>
<S:Body>
<m:GetLastTradePrice xmlns:m="http://www.foo.com/">
<symbol>DIS</symbol>
</m:GetLastTradePrice>
</S:Body>
</S:Envelope>
F i re w a l l P ro c e ss i n g
F i r e w a l l m e l a k u k a n e v a l u a s i t er h a d a p p e s a n S O A P y an g d a t a n g , d a n h a n y a
m e n g i j i n k a n p e s a n y an g b e r a s a l d a r i r e q u e s t e r y an g t e l a h d io t o r i sa si u n t u k m e l e w at i
Firewal l. Dalam skenario in i, Firewall me mbuat keputu san dengan mengev alu as i
se cu rit y to ken y an g d i g u n a k an u n t u k m en a n d a t a n g a n i p e s a n .
Dal a m sken ario y ang lain, Firewal l d apat jug a b ert indak sebagai s e cu ri t y t o k en
y ang mem i nt a ot or i t as dan han y a m e n g i j i n k a n p e sa n y an g m e m i l i k i proof-o fp o ss e ss i o n (priv at e/p ublic k ey ) terhad ap secu ri ty token y an g d i m i n t a o le h F i r e w a l l .
C o n t o h p e s a n S O A P y an g d i k i r i m d a r i R e q u e s t e r k e W e b S er v i c e p a d a sk en a r i o
ini ad al ah seb ag ai b e rikut :
29
<wsse:Security
xmlns:wsse="http://schemas.xmlsoap.org/ws/2002/07/secext"
xmlns:wsu="http://schemas.xmlsoap.org/ws/2002/07/utility"
30
(040)
(041)
(042)
(043)
(044)
(045)
(046)
(047)
(048)
(049)
(050)
(051)
(052)
(053)
(054)
(055)
(056)
(057)
(058)
(059)
(060)
(061)
(062)
(063)
(064)
(065)
(066)
(067)
(068)
(069)
(070)
(071)
(072)
S:mustUnderstand="1">
<wsse:BinarySecurityToken
EncodingType="wsse:Base64Binary"
wsu:Id="X509Token4Stockquote"
ValueType="wsse:X509v3">
MIIDQTCCAqqgAwIBAgICAQQwDQYJKoZIhvcNAQEF...
</wsse:BinarySecurityToken>
<Signature xmlns="http://www.w3.org/2000/09/xmldsig#">
<SignedInfo>
<CanonicalizationMethod
Algorithm="http://www.w3.org/2001/10/xml-exc-c14n#"/>
<SignatureMethod
Algorithm="http://www.w3.org/2000/09/xmldsig#rsa-sha1"/>
<Reference URI="">
<Transforms>
<Transform
Algorithm="http://...#RoutingTransform"/>
<Transform
Algorithm="http://www.w3.org/2001/10/xml-exc-c14n#"/>
</Transforms>
<DigestMethod
Algorithm="http://www.w3.org/2000/09/xmldsig#sha1"/>
<DigestValue>yH8GsCH3FT7qqSTj7CM=</DigestValue>
</Reference>
</SignedInfo>
<SignatureValue>
OZ21MKnCQi2Jglw2qIO5e1azezl/j0BP3h2Ut...
</SignatureValue>
<KeyInfo>
<wsse:SecurityTokenReference>
<wsse:Reference URI="#X509Token4Stockquote"/>
</wsse:SecurityTokenReference>
</KeyInfo>
</Signature>
</wsse:Security>
</S:Header>
<S:Body>
m:GetLastTradePrice xmlns:m="http://www.fabrikam123.com/">
<symbol>DIS</symbol>
</m:GetLastTradePrice>
</S:Body>
</S:Envelope>
31
Is su ed S e c uri ty Toke n
Sken ario ini hampir sama deng an S ecu ri ty To ken A cqui s ition, ke cu ali bah w a
s e c u r i t y t o k e n d i k i r im ke Requ ester dari Secu ri ty T o ken S e rv i ce , k e mu d ian p e s an
p e r m i n t a a n d i k i r i m k e W e b S e r v i c e d e n g a n meny ertak an secu rity token tersebu t
menggunak an elemen <Bin ary Secu rity Tok en>. S e c u r i t y t o k e n d a p a t b e r u p a X.509
at au Ka rbe ros. Sek al i s ecu rity t oken diki r i m o leh S ecu irty to ken se rvi c e, se cu rity
t o k e n t e r s e b u t d a p at d ig u n a k an b eb e r a p a k a l i o l e h , m i s a l n y a u n t u k W e b S e r v i c e y an g
berb eda jik a tok en y a ng dikiri m mengijink a n hal tersebut.
32
BAB VI
KESIMPULAN
Arsitektur dan teknologi Web Service sangat rentan terhadap upaya
gangguan keamanan dari pihak-pihak yang tidak dikehendaki (attacker). Jenis
gangguan kemanan yang dihadapi oleh Web Service pada dasarnya sama
dengan yang dihadapi oleh sistem berbasis Web lainnya. Tetapi Web Service
memperkenalkan sumber sumber kerentanan tambahan yang secara spesifi k
berasal dari protokol berbasis XML (SOAP dan WSDL) yang digunakan dalam
Web Service. Oleh karena itu standard keamanan yang ada saat ini seperti
SSL/TSL tidak cukup memadai, walaupun masih memegang peranan penting,
jika digunakan untuk mengamankan transaksi berbasis Web Service, karena
hanya dapat mengamankan dalam konteks point-to-point. Implementasi Web
Service membutuhkan konsep keamanan pada level application layer yang
bersifat end-to-end.
Dari beberapa spesifikasi stndard keamanan Web Service yang ada,
WS-Security menyediakan arstitektur keamanan yang lebih komprehensif dan
independen terhadap teknologi keamanan yang ada. Spesifikasi WS-Security
ditujukan untuk mengamankan pesan SOAP pada bagian header maupun body.
Konsep WS-Security menekankan pada pemanfaatan teknologi keamanan yang
sudah ada, namun dapat mengantisipasi perkembangan teknologi dimasa depan.
WS-Security menjamin integritas data dan kerahasiaan (confidentiality) dengan
mengimplementasikan teknologi XML Signature dan XML Encryption.
Disamping itu, WS-Security menerapkan konsep mengenai secure messaging
dengan menggunakan security token untuk mengimplementasikan teknologi
kemanan yang ada seperti C.509 certificate maupun Karberos akan
memberikan jaminan pada aspek otentitas dan otorisasi.
Adopsi spesifikasi WS-Security oleh para platform vendor maupun
pengembang perangkat lunak (software developer) sangat menentukan prospek
penerapan Web Service secara luas. Disisi lain, adopsi spesifikasi WS-Security
jika dikaitkan dengan aspek perfomansi sistem akan menjadi pertimbangan
yang dilematis bagi pengguna maupun pengembang perangkat lunak yang akan
menggunakan teknologi Web Service.
)Oo O (
33
DAFTAR PUSTAKA
[1] A n d r e w Y a n g , I mpl em ent Web S er vi c e S ecu r el y , . NET M aga zin e, T echn ic al
Edition, 2003. Available :
http://www.ftponline.com/wss/2003_TE/magazine/features/ayang/
[2] Andy Yang, Web Service Security, eAI Journal, September, 2002.
http://eaijournal.com/PDF/Yang.pdf
Available :
[3]
Caroline Clewlow, SOAP and Security, Whitepaper, Microsoft Corporation, October 2002.
Available : http://www.qinetiq.com
[4]
David Chappell, WS-Security: New Technologies Help You Make Your Web Service More Secure ,
Microsoft Corporation, 2003. Available :
http://msdn.microsoft.com/msdnmag/issues/03/04/WS-Security/
IBM and Microsoft: Web Service Security (WS-Security), Specification, Version 1.0, 02 April
2002. Available : http://www-106.ibm.com/developerworks/library/ws-secure/
[8]
IBM and Microsoft: WS-Security AppNotes, Whitepaper, Version 1.0, 15 Agustus 2002.
Available : http://msdn.microsoft.com/library/default.asp?url=/library/en-us/dnglobspec/html/wssecurity-appnote.asp
[9] M. Curphey, D. Endler, W. Hau, S. Taylor at al., A Guide to Building Secure Web Applications: The
Open Web Application Security Project, 11 September 2002 .
Available : http://www.owasp.org/guide/ .
[10] Maria Tzvetanova, Security for Web Service, Master Thesis, University of Constance , May,
2003. Available :
http://www.inf.uni-konstanz.de/~tzvetano/assets/docs/security_for_webservices.pdf
[11] M. Champion, Ch. Ferris, E. Newcomer, D. Orchard, Web Services Architecture, W3C Working
Draft , 14 November 2002. Available : http://www.w3.org/TR/ws-arch .
[12] M. Bartel, J. Boyer, B. Fox, B. LaMacchia, E. Simon, XML Signature Syntax and Processing,
W3C Recommendation, 12 February 2002 . Available : http://www.w3.org/TR/xmldsig-core/
[13] M. Gudgin, M. Hadley, N. Mendelsohn, J. Moreau, C. Henrik Frystyk Nielsen, S O A P V e r s i o n
1 .2 Pa r t 1 : M e ssa g in g Fra m ewo rk , W3C Recommendation , 24 June 2003. Available :
http://www.w3.org/TR/SOAP.