Web services based security application framework model

Abstract

Günümüzde Internet olarak adlandırılan, dağıtık yapıda ve büyük bir bilgi ve iletişim ağına sahibiz. Devlete bağlı organizasyonlar, üniversite ve hastane gibi kurumlar, bilgi kaynaklarını kendi imkanları ile saklar ve üzerinde işlem yaparlar. Bazı bilgileri de, yetki dahilinde diğer kullanıcılara birtakım servisler aracılığı ile kullanıma açmak istemektedirler. Web servis uygulamaları, yeni nesil dağıtık uygulamalarının önemli bir bölümünü oluşturmaktadır. Web servislerinin kullanımı, diğer kurumlar ile entegrasyon sürecinde ve servis temelli mimariye geçişte de en çok tercih edilen yöntemdir. Servis temelli mimari ile geliştirilen uygulamalar, Internet ve Intranet ortamında, hem son kullanıcılara hem de diğer servislere hizmet sunarlar. Servis temelli mimari de güvenlik, bu mimariye geçişte, büyük öneme sahip ve karar verici etkisi bulunmaktadır. Geçen yıllar içinde, Web servis güvenliği ile ilgili standartların geliştirilmesi ve gerçek hayat projelerinde kullanılması yönünde büyük adımlar atıldı. Web servis güvenliği standartları, Servis temelli uygulamaların güvenlik gereksinimlerini karşılamasına destek olacak yeni ve güçlü özellikleri ile, daha geniş kabul görmeye başlamıştır.Tezimizde, güvenlik fonksiyonlarının web servisleri olarak sunulduğu ve tanımlı olan web servislerini güvenli hale getirmeyi hedefleyen bir alt yapı teknoloji modeli sağlamak hedeflenmiştir. Alt yapı teknolojisi, web servislerinin gücünden yararlanmaktadır. Web servislerinin güçlü olduğu özellikler; standartlar üzerine kurulu uygulama entegrasyonu, birbirlerine bağımlılıkları düşük olması, işletim platformu ve geliştirme dili açısından bağımsızlık şeklinde özetlenebilir. Alt yapı teknolojisi, tanımlı web servislerinin güvenlik konfigürasyonlarının ve güvenlik ile ilgili bilgilerin saklandığı bir ilişkisel veri saklama modeline sahiptir. Bu modele veri servisi ile erişilmektedir. Bu çalışmamızda, alt yapı teknolojisinin prensipleri ve mimari modeli sunulmaktadır. Önerilen alt yapı teknoloji modeli ile, Kimlik doğrulama, yetki belirleme, loglama, istisna-hata yönetimi ve raporlama gibi güvenlik fonksiyonları web servisleri olarak modellenir. Web Servis geliştirme ile ilgili standart fonksiyonların sunulduğu, Microsoft Windows Communication Foundation (WCF) alt yapısı üzerine bir katman olarak eklenmiştir. Web servis konfigürasyonları, web yönetim aracı ile verilir. Alt yapı teknolojisi, web servislerinin gücünden istifade eder, web servislerini diğer güvenli web servislerini kullanarak güvenli hale getirir, hafif ve dağıtılabilir yapıdadır, kolay ayarlanabilir ve düşük maliyetlidir, Servis temelli mimari vizyonuna geçiş sürecinde katkı sağlar. Bu çalışmanın, kurumların Web servisleri dünyasına kolay geçiş yapma konusunda cesaret vermesini bekliyoruz. Son olarak, alt yapı teknolojisinin test edilmesi ve etkinliğinin gösterilmesi için bir test projesi sunulmuştur.

Today we have a huge and globally distributed network called the Internet. All business domains like e-government agencies, universities, hospitals store and process their information resources internally, and desire to publish some of these resources as services giving restricted access to the others over the Internet. Web services based applications establish an important part of the next generation distributed computing applications. Using web services is the most dominant way for enterprises to interoperate and adopt Service Oriented Architecture (SOA). SOA applications provide services either to the end user applications or to other services in intranet or in the internet. Security in SOA is a deciding factor for many enterprises when moving to SOA. Within the past years, important steps have been taken in the development of Web Services Security standards and applying these to real life projects. Web Services Security Standards have been widely accepted with new and strong features that help to satisfy the security requirements in SOA applications.This thesis aims to provide a security application framework which all the security features provided by secure web services to secure web services in the framework?s container. The framework utilizes the power of the web services which can be summarized as standards based application integration, being loosely coupled and platform and language independent development. Our framework has a relational repository model that stores security configurations of the web services in the container and other security related information. The repository model can be accessed by a central domain specific Data service. We are presenting the principles and the architectural model of the framework. The proposed framework models all the security related functions like Authentication, Authorization, Auditing, Exception Management and Reporting as web services and adds a layer on top of Web Services development toolkit called Microsoft Windows Communication Foundation which provides standards based functionality. Web Service configurations are arranged by using a Web Management Console. WSSAF utilizes the power of web services, secures web services using other secure web services, is lightweight and distributable, is easy configurable and cost effective and helps in adopting the SOA vision. We expect that WSSAF will encourage the business domains to make an easy transition to the Web Services world. Finally, a case study has been presented to test and show the feasibility of the framework.Keywords : SOA (Service Oriented Architecture), Web Services, Web Services Security, Security Framework