Konsep dasar untuk keamanan web dan web service , Keamanan atau security pada sebuah situs bisa dikatakan merupakan sesuatu hal yang sangat wajib hukumnya bagi para pelaku bisnis online seperti IM ataupun Online Store, pasalnya semua kegiatan yang berkaitan dengan akses data dan lain sebagainya hingga pada akhirnya bisa menjadi materi terjadi pada akses web tersebut.
Bayangkan jika keamanan yang anda gunakan pada web yang anda kelola sangat rentan, sudah bisa dipastikan apakah bisnis anda akan berjalan dengan lancar? tentunya tidak, mengingat persaingan dunia bisnis semakin ketat tentunya akan ada banyak pihak yang akan melakukan segala sesuatu yang bisa mengangkat pamor usahanya tersebut termasuk dengan menimbunkan keberadaan bisnis anda.
Web Service memberikan paradigma baru dalam mengimplementasikan sistem terdistribusi melalui Web dengan menggunakan standard protokol SOAP, WSDL dan UDDI yang berbasis XML. Dengan teknologi Web Service, konsep sistem terdistribusi yang biasanya digunakan pada sistem yang bersifat tertutup dan proprietary (DCOM, CORBA, RMI) dapat diterapkan kedalam sistem yang bersifat terbuka (non-propriertary) berbasis Web. Penerapan Web Service akan memudahkan proses integrasi dan kolaborasi antar aplikasi pada lingkungan platform yang heterogen baik melalui jaringan Intranet maupun Internet, dengan biaya yang lebih murah dan dalam waktu yang relative lebih cepat. Namun demikian, masih banyak yang ragu untuk segera menerapkan Web Service, khususnya jika digunakan untuk mendukung transaksi bisnis melalui Internet (global). Alasan utama yang menjadi perhatian adalah pada aspek keamanan dan kerentanan (vulnerability) yang terdapat pada teknologi Web Service. Sementara itu standard keamanan yang biasa digunakan untuk mengamankan aplikasi berbasis Web pada umumnya tidak cukup mampu untuk mengamankan transaksi Web Service. Pada makalah ini dibahas berbagai arsitektur keamanan dan spesifikasi standard keamananan untuk Web Service.
Baca Juga : Pengertian Sistem Manajemen Basis Data
Teknologi keamanan yang biasa digunakan untuk mengatasi aspek keamanan pada sistem berbasis Web pada umumnya, seperti Secure socket Layer (SSL)/ Transport Secure Layer (TSL), tidak cukup memadai jika diterapkan pada system berbasis Web Service. Hal ini dikarenakan SSL/TLS menyediakan solusi kemanan dengan konteks point-to-point pada level transport layer. Sementara karakteristik transaksi Web Service, membutuhkan pengamanan dalam konteks end-to-end pada level application layer. Teknologi Firewall yang menyediakan pengamanan pada level Network Layer juga tidak cukup memadai, karena karakteristik transaksi Web Service yang menggunakan standard internet (HTTP, SMTP, FTP) akan dilewatkan oleh Firewall karena dianggap Sebagai trafik Internet pada umumnya (firewall friendly).
XML Encryption
Pengamanan terhadap data yang dipertukarkan merupakan salah satu kebutuhan yang muncul pada proses pertukaran data. W3C telah merekomendasikan Enkripsi XML sebagai metode alternatif untuk pengamanan data dengan menggunakan format XML. Namun demikian, Enkripsi XML dirancang untuk dapat diterapkan baik pada data XML maupun data non XML.
Implementasi Enkripsi XML memungkinkan penggabungan data yang telah dienkripsi dengan data yang tidak dienkripsi di dalam satu dokumen XML. Dengan demikian, proses enkripsi maupun dekripsi dapat dilakukan hanya pada data yang memang perlu diamankan saja.
Enkripsi XML telah diimplementasikan baik pada level aplikasi maupun pada level parser. Pada level aplikasi, implementasi Enkripsi XML paling banyak dibuat dengan menggunakan DOM, Document Object Model.
Sementara pada level parser, implementasi Enkripsi XML di antaranya dibuat dengan menggunakan parser Xerces. Enkripsi XML secara umum dapat dianggap sebagai proses transformasi dokumen XML yang belum terenkripsi ke dokumen XML yang sudah terenkripsi. W3C telah merekomendasikan XSLT, Extensible Stylesheet Language Transformations, sebagai bahasa transformasi untuk dokumen XML. Dengan demikian, maka XSLT sebagai bahasa transformasi untuk XML dapat digunakan untuk mengimplementasikan Enkripsi XML.
Xml Key Management Specification
XML key management specification (XMKS) merupakan sebuah spesifikasi infrastruktur yang digunakan untuk pengamanan transaksi berbasis XML. Pada web services digunakan format komunikasi data berbasis XML dan untuk keamanan data-data tersebut digunakan teknik kriptografi kunci-publik. Pengelolaan terhadap kunci-publik ditentukan dengan adanya public-key infrastructure (PKI).
XKMS juga merupakan bentuk pengembangan berikutnya dari PKI yang ada saat ini (PKIX) dan juga melakukan perubahan standar PKI sebagai salah satu bentuk web services. Dengan demikian XKMS dapat melakukan proses registrasi pasangan kunci-publik (private-key dan public-key), penentuan lokasi penyimpanan kunci-publik, validasi kunci-publik, pencabutan (revoke) kuncipublik, dan pemulihan (recover) kuncipublik. Oleh karena itu, keseluruhan struktur PKI akan dikembangkan ke dalam lingkungan berbasis XML. XML Key Management Specification yang diterapkan sebagai web service akan mengurangi bentuk “ketergantungan” terhadap fungsi PKI yang terintegrasi dalam aplikasi. Sebelumnya penyedia PKI haruslah mengembangkan fungsi-fungsi khusus yang diterapkan pada produk aplikasi yang akan digunakan sedangkan dengan adanya XKMS sebagai web service, pada pengembangan produk aplikasi cukup dibuat fungsi untuk menentukan pengguna (client) yang mengakses fungsi/layanan yang disediakan oleh XKMS. Fungsi-fungsi pada XMKS meliputi:
- Registration (registrasi). Layanan pada XKMS dapat digunakan untuk mendaftarkan (registrasi) pasangan kunci dengan menggunakan fungsi “register”. Pembangkitan pasangan kunci-publik dapat dilakukan oleh client ataupun layanan. Pada saat kunci-kunci telah terdaftarkan, layanan XKMS akan melakukan pengelolaan pencabutan ataupun pemulihan kunci-kunci, yang dibangkitkan oleh server ataupun client.
- Locating. Pada XKMS terdapat fungsi yang digunakan untuk mendapatkan kembali kunci-publik yang terdaftar.
- Validation (validasi). Fungsi validasi digunakan untuk memastikan bahwa kunci-publik yang telah didaftarkan dengan layanan XKMS valid dan tidak kadaluarsa ataupun telah dicabut.
WEB SCIENCE SECURITY
WS-Security atau juga dikenal sebagai Web Service Security Core Language (WSS-Core) merupakan spesifikasi keamanan Web Service yang mendefinisikan mekanisme pengamanan pada level pesan SOAP untuk menjamin message integrity & confidentiality.
Standard WS-Security saat ini dikembangkan secara resmi oleh OASIS berdasarkan spesifikasi yang diusulkan oleh Microsoft, IBM, dan VerySign pada 11 April 2002. Selanjutnya, OASIS melalui Web Service Security Technical Committee (WSS) melanjutkan pengembangan WS-Security dengan menetapkan beberapa spesifikasi teknis terpisah, seperti Core Specification, SAML Profile, XMrL Profile, X.509 Profile, dan Karberos Profile. Produk WSS untuk Core Specification (WSS-Core) adalah WSS: Soap Message Security. Spesifikasi lain yang merupakan bagian dari Core Specification ini adalah WSS: User Name Token Profile dan WSS: X.509 Certificate Token Profile.
STANDAR PENGAMANAN WEB
XML signatures merupakan dokumen XML yang berisi informasi mengenai tanda tangan digital. Tanda tangan digital dapat dilakukan terhadap dokumen dengan tipe apapun, termasuk dokumen
XML. XML signatures dapat ditambahkan pada dokumen XML yang ditandatangani ataupun dapat berupa sebuah dokumen XML tersendiri.
Secara garis besar, struktur XML signatures adalah sebagaimana (dimana “?” menandakan nol atau satu kemunculan, “+” menandakan satu atau lebih kemunculan, dan “*” menandakan nol atau lebih kemunculan) ditampilkan pada
Kode XML
Salah satu keuntungan penggunaan standar XML signature adalah dapat dilakukannya penandatanganan sebuah dokumen XML oleh lebih dari satu pihak. Pihak tertentu hanya akan menandatangani elemen XML yang menjadi tanggung jawabnya.