PERANCANGAN DAN UJICOBA SISTEM KEAMANAN
PERANCANGAN DAN UJICOBA SISTEM KEAMANAN WEB SERVICE
DENGAN METODE WS-SECURITY
Ari Muzakir
Dosen Universitas Bina Darma
Jalan Jenderal Ahmad Yani No.12 Palembang
Pos-el: [email protected]
Abstract: Web service uses XML technology to exchange data in. Form of security is applied to web
services is to use public-key cryptography techniques. The attack can be a reconnaissance, destruction
or theft of data. The implementation was done by using the security library will provide facilities in
developinga. Web security service for the library support XMLSEC as library supporters and library
class_wssthat have been builtable to overcome the problem of security on the transport path,
especially forauthentication, authorization, and confidentiality request SOAP message. Model WSSecurity usingXMLSignature, XMLEncryption, andSecurityTokenwhich utilizesthe cryptographic
algorithm RSA with1024 bitkey lengt hto provide protection against transmission of data between
client and server web service. The results obtain edare SOAP request messages encrypted and
decryptedable to pitch well and signed and checked their authenticity.
Keywords:Web Service Security, XML Signature, XML Encryption, Security Token.
Abstrak: Web service menggunakan teknologi XML dalam melakukan pertukaran data. Bentuk
pengamanan yang diterapkan pada web services adalah dengan penggunaan teknik kriptografi kuncipublik. Implementasi yang telah dilakukan dengan menggunakan library keamanan akan memberikan
kemudahan dalam membangun keamanan web service karena dengan dukungan library XMLSEC
sebagai library pendukung dan library class_wss yang telah dibangun mampu mengatasi masalah
keamanan pada jalur transport khususnya untuk otentikasi, otorisasi, dan konfidensialitas pesan
SOAP request. Model WS-Security dengan menggunakan XML Signature, XML Encryption,
sertaSecurity Token yang memanfaatkan algoritma kriptografi RSA dengan panjang kunci 1024 bit
mampu memberikan perlindungan terhadap transmisi data antara client dan server web service.Hasil
yang diperoleh yaitu pesan SOAP request terenkripsi dan mampu didekripsi dengan baik serta dapat
ter tandatangani dan dicek keotentikannya.
Kata Kunci: Keamanan Web Service, XML Signature,Encryption, Security Token.
1.
belum sepenuhnya terjamin. Hal ini dibuktikan
PENDAHULUAN
dengan banyaknya faktor yang menimbulkan
Saat ini web services menjadi sangat
celah-celah ancaman terhadap web service
populer di enterprise karena kemampuannya
tersebut seperti yang telah dilakukan oleh
dalam mengintegrasikan aplikasi-aplikasi yang
penelitian terdahulu.
berbeda
platform
dengan
dokumen
XML.XML
menggunakan
Selain itu, pada kerahasiaan pesan yang
Markup
dikirimkan melalui web service masih berupa
untuk
data XML. Sehingga hal ini menyebabkan
yang
terjadinya data yang tidak asli ketika sampai di
web service
sisi penerima. Walaupun pesan telah di enkripsi
mendukung komunikasi antar aplikasi dan
menggunakan suatu algoritma maka bukan
integrasi aplikasi dengan menggunakan XML
berarti bahwa pesan yang di terima oleh
dan
penerima benar-benar masih asli, karena bisa
Language)
adalah
mendefinisikan
data
(eXtensible
sebuah
standar
dalam
sederhana dan fleksibel. Dimana
Web.
Faktor
keamanan
format
pada
jalur
komunikasi antara client ke serverweb serviceitu
Perancangan dan Uji Coba Sistem Keamanan Web Service dengan Metode …… (Ari Muzakir)
1
saja bahwa struktur pesan telah berubah ketika
security seperti yang telah disediakan WS-
pesan dikirimkan atau ketika diterima.
Security(Zhang,
Kemudian masalah keamanan web service
pada
kasus-kasus
sebelumnya
2009).
WS-Security
juga
mengatur cara menyisipkan security token dalam
kebanyakan
pesan SOAP dalam bentuk plaintext maupun
penelitian dilakukan pada satu model keamanan
dalam bentuk biner, seperti sertifikat X.509
atau standar keamanan untuk web service.
(Adriansyah Dkk, 2005). Oleh karena itu,
Sehingga dengan adanya sistem keamanan yang
penelitian ini akan mencoba menghadirkan
seperti ini dirasakan masih kurang memberi
sebuah implementasi dari prototype keamanan
suatu perlindungan yang maksimal terhadap
web service berbasis pengamanan service to
ancaman keamanan web service antara client ke
services
server service sendiri walaupun secara umum
mengamankan data yang diterima dari client
sudah mampu mencukupi. Masih adanya kendala
sebelum di simpan ke database server dengan
mengenai web service yaitu beberapa pihak yang
cara mengenkripsi dan menandatangani serta
masih merasa ragu untuk menerapkan web
menyisipkan security token pada pesan SOAP
service, khususnya mereka yang menggunakan
request dan response dengan memanfaatkan dua
jaringan internet pada transaksinya. Keraguan ini
standar keamanan yang telah ada yaitu XML
dilihat dari tingkat keamanan dari teknologi web
Encryption dan XML Signature. Adapun jalur
service. Aspek keamanan menjadi sangat penting
komunikasi
untuk menjaga data atau informasi agar tidak
menggunakan keamanan berbasis SSL (Security
disalahgunakan
Socket Layer) atau disebut protocol HTTPS.
ataupun
diakses
secara
yang
dapat
antara
user
memproses
ke
dan
serviceclient
Beberapa penelitian yang telah dilakukan
sembarangan (Rakhim, 2010). Transport Layer
digunakan
untuk
berkenaan dengan keamanan webservice ini
Amengenkripsi
pesan
diantaranya mengenai spesifikasi dari keamanan
berbasis web tidak memadai untuk melindungi
web services dan bagaimana spesifikasi tersebut
pesan SOAP karena dirancang untuk beroperasi
menanggulangi ancaman terhadap keamanan
antara
dapat
web services. Baik dari segi security web service
dalam
masih belum matang seperti CORBA dan RMI
Security
(TLS)
mengotentikasi
dua
yang
dan
endpoint.
mengakomodasi
TLS
tidak
webservice
kemampuannya untuk meneruskan pesan ke
(Adriansyah Dkk, 2005).
beberapa webservice lain secara bersamaan.
Selanjutnya, analisa mengenai bagaimana
Pengolahan model webservice membutuhkan
mengatasi tantangan pada keamanan webservice
kemampuan
dengan menyajikan keamanan kerangka atau
untuk
dapat
memberikan
terpadu
yang
didasarkan
pada
pengamanan pesan SOAP dan dokumen XML
framework
mulai
dan
penggunaan otentikasi, otorisasi, kerahasiaan,
intermediary services. Selanjutnya teknologi
dan mekanisme integritas pada web service serta
yang
untuk
dari
client,
mungkin
service
dapat
provider,
dimanfaatkan
untuk
mengintegrasikan
dan
menerapkan
meningkatkan kerahasiaan dan integritas dari
mekanisme keamanan tersebut untuk membuat
web service yaitu SSL/TLS serta message-level
web service kuat terhadap serangan (Zhang,
2
Jurnal Imiah MATRIK Vol.15. No.1, April 2013: 01 - 10
2009). Penelitian mengenai penyajian suatu
digunakan
metode yang komprehensif untuk suatu jaminan
dokumen XML (Supriyanto, 2007). Penelitian
layanan keamanan dalam SOA. dimana metode
lainya yaitu mengenai data XML yang dienkripsi
yang diusulkan mendefinisikan tiga tahap yaitu
menggunakan kunci publik dengan algoritma
securityanalysis, arsitektur jaminan keamanan,
RSA dengan hasil implementasinya berupa dua
dan
buah program komputer yaitu findkey.exe dan
identifikasi
Standar
WS-Security
(Fareghzadeh, 2009).
untuk
proses
penandatanganan
crypto.exe yang dibuat menggunakan bahasa
Selain itu penelitian terhadap keamanan
pemrograman C (Hartono, 2003).
web service juga pernah dilakukan pada integrasi
data laporan kejadian perkara satuan reserse
kriminal (satreskrim) yang dilengkapi dengan
2.
METODOLOGI PENELITIAN
2.1
Analisis Sistem
mekanisme keamanan internal, dimana yang
dilakukan
pada
keamanannya
implementasi
adalah
mekanisme
menambahkan
fungsi-
fungsi keamanan pada tool NuSOAP yang mana
digunakan
sebagai
kerahasiaan
otentikasi
service
menggunakan
metode
WS-Security
memanfaatkan dua teknologi yang sudah ada
kriptografi AES 128 (Kenali, 2010). Selanjutnya
yaitu XML Signature dan XML Encryption
untuk implementasi terhadap otentikasi user
sebagai model pengamanan dokumen XML yang
untuk dokumen XML dengan menggunakan
memanfaatkan kriptografi kunci publik RSA
token
melakukan
SOAP
untuk
menggunakan
username
pesan
serta
Pada penelitian ini, model keamanan web
juga
pernah
pembuktian
dokumen
XML
dan
terhadap
dokumen
dilakukan
,
yang akan digunakan pada metode keamanan
validasi
client server web service. Proses enkripsi dan
pengujian
dekripsi pada kriptografi ini terapkan pada client
terhadap
melakukan
2010).
service dan server service untuk pengamanan
Selanjutnya Untuk mengimplementasikan suatu
jalur komunikasi yang mana menggunakan dua
XML Signature untuk memperoleh dokumen
buah kunci yaitu kunci publik dan kunci rahasia.
XML yang secure pada kasus transkrip online.
Metode dari prototype keamanan web service
Dengan
antara client service dan server service ini
cara
XML
(Rakhim,
memperoleh
transkrip
yang
memiliki tipe format XML yang terdapat digital
dimulai
Signature-nya (Suteja, 2004).
menggunakan SLL ke client service, kemudian
dari
pengiriman
data
dari
user
Kemudian untuk mengimplementasikan
komunikasi antara client service dengan server
algoritma RSA untuk pembuatan pasangan kunci
service dari web service. Di mana data XML
public dan kunci privat guna proses enkripsi dan
akan dienkripsi (encrypt) dan ditandatangani
dekripsi.
(signing) dari client service dan akan didekripsi
Selain
menunjukan
diproses.
itu
jangkauan
Selanjutnya
RSA
data
juga
berperan
yang
dapat
(decrypt) serta diverifikasi ketika diterima oleh
mengimplementasikan
message digest untuk fungsi hash SHA-1 yang
Perancangan dan Uji Coba Sistem Keamanan Web Service dengan Metode …… (Ari Muzakir)
3
server service, selanjutnya data hasil dekripsi
akan disimpan pada databaseserver.
Gambar 1 memperlihatkan alur keamanan
web service antara client service dan server
Analisa kebutuhan sistem menentukan
service, dimana gambaran umum dari keamanan
bagaimana user, data, proses, dan teknologi
sistem ini dimulai dari pengiriman data dari user
informasi dapat saling terhubung, dengan analisa
menggunakan SLL ke client service, kemudian
kebutuhan sistem diharapkan dapat diuraikan
komunikasi antara client service dengan server
secara utuh menjadi komponen-komponen suatu
service dari web service. Selanjutnya data XML
sistem dengan tujuan identifikasi, mengevaluasi
akan dienkripsi (encrypt) dan ditandatangani
permasalahan dan kebutuhan sesuai dengan yang
(signing) serta menyertakan username token dari
diharapkan.
client service dan akan didekripsi (decrypt), di
verifikasi serta di cek username token ketika
2.2
diterima oleh server service, selanjutnya data
Perancangan Sistem
hasil
Sistem aplikasi yang akan dibangun
dekripsi
akan
disimpan
pada
databaseserver.
Rancangan
memiliki arsitektur keamanan secara umum
mekanisme
bertujuan
dari client akan dilakukan otentikasi, otorisasi,
identitas dari user yang melakukan login ke
dan konfidensialitas. Otentikasi dilakukan ketika
sistem dan meminta layanan keamanan data.
client berhasil melakukan login
Pada Gambar 2, disajikan sebuah mekanisme
diberikan akses ke sumber daya sesuai dengan
membuktikan
user
seperti pada gambar 1, di mana setiap request
dan akan
untuk
otentiksi
otentikasi
otentikasi user terhadap sistem.
hak aksesnya dengan memberikan otorisasi
Aplikasi Web Client
layanan yang telah ditentukan pada header
username token, sedangkan konfidensialitas di
Https protocol
Https protocol
gunakan pada proses enkripsi dan dekripsi.
SOAP
Client
Request Method
with security token
(username + password)
+ Parameter
SOAP
Server
Database Server
Response data yang
Dibutuhkan
Gambar 2. Mekanisme Otentikasi User Pada
Web Service
Mekanisme keamanan data ini bertujuan
untuk
memberikan
gambaran
mengenai
kerahasiaan data dalam proses enkripsi dan
proses dekripsi yang melibatkan algortima kunci
Gambar1. Keamanan Antara Client Service
dan ServiceServer dari Web Service
publik. Selain itu, mekanisme keamanan data
juga berupa penandatangan digital atau signing
serta username token. Enkripsi
4
dan signing
Jurnal Imiah MATRIK Vol.15. No.1, April 2013: 01 - 10
terjadi antara clientservicedan serverservice di
2.2.1 Mendefinisikan
Tujuan
dan
mana bertujuan untuk mengamanakan jalur
Mengidentifikasi Kebutuhan Pemakai
transmisi pada webservice sendiri.
Untuk
Implementasi
terhadap
rancangan
mendefinisikan
tujuan
dan
indentifikasi kebutuhan pemakai sendiri, dilihat
akan
dari alur kerja dalam implementasi sistem pada
framework
web service ini dibagi menjadi dua bagian, yaitu
NuSOAP dan menambahkan suatu library yang
berdasarkan pengimplementasian di client dan di
berisi beberapa fungsi yang dipergunakan dalam
server.
arsitektur
keamanan
disesuaikan
dengan
pesan
SOAP
mekanisme
Tahapan
menunjang keamanan webservice pada jalur
pertama
yaitu
Client
transport. Selain itu untuk dapat mencapai
menghasilkan
tujuan dari keamanan tersebut akan dilakukan
kemudian akan diterima oleh client service
modifikasi terhadap rutin dari fungsi-fungsi
sebelum dilanjutkan ke server service. Tahap ini
didalam
juga
berkaitan dengan proses-proses yang dilakukan
untuk
oleh client untuk melakukan request kepada web
classlibrary
NuSOAP
dan
penambahan rutin program lainnya
keperluan keamanan webservice.
keamanan
yang
servicerequest
service dengan menggunakan username token.
Penambahan rutin program dan fungsifungsi
web
untuk
client yaitu: 1) Menginisialisasi username token,
pencapaian keamanan pesan. Dimana agar dapat
cara ini mengimplementasikan untuk kebutuhan
melakukan
1)
inisialisasi username token kedalam SOAP
Kemampuan untuk dapat mengamankan jalur
request yang dikirimkan oleh client service ke
transmisi
server
hal-hal
data
pada
dimaksudkan
Terdapat beberapa langkah yang dilakukan oleh
sebagai
berikut:
webservice
dengan
service
untuk
meminta
layanan
menggunakan security token yang disertakan
webservice yang dituju serta penggunaan metode
pada Header SOAP request, tujuannya adalah
username token dengan cara menyisipkan ke
untuk otentikasi identitas user yang meminta
dalam SOAP Header. Fungsi dari username
layanan serta kendali akses untuk menentukan
token ini adalah untuk memvalidasi pesan SOAP
apakah user tersebut dilayani atau tidak. 2)
request
Kemampuan untuk menjaga kerahasiaan serta
Melakukan
keaslian data didalam pesan SOAP request dan
dibutuhkan.
SOAP response. Kemampuan ini ditunjang
dilakukan pemanggilan salah satu metode yang
dengan penambahan beberapa library dari
telah disediakan pada web service. Jika metode
XMLSEC untuk keperluan enkripsi, dekripsi,
yang dipanggil menggunakan input, maka akan
serta digitalsignature yang mana memanfaatkan
disisipkan pada bagian SOAP Body.
agoritma kriptografi RSA dan RSAwithSHA-1
dengan panjang kunci 1024 bit.
yang
dikirimkan
pemanggilan
Setelah
oleh
client.
metode
menyisipkan
2)
yang
username
Tahap kedua yaitu server service akan
mengotentikasi
client
service
dan
Sedangkan perancangan sistem mengacu
mengembalikan respon ke client. Tahap ini
pada tiga tahapan pengembangan sistem dengan
menjelaskan beberapa proses yang dilakukan
model prototipe, tahapan tersebut yaitu:
oleh serverweb service setelah menerima SOAP
Perancangan dan Uji Coba Sistem Keamanan Web Service dengan Metode …… (Ari Muzakir)
5
Request dari client service. Beberapa proses
yang telah di tanda tangani dan di enkripsi
tersebut adalah: 1) Memastikan integritas pesan.
nantinya dapat diterima oleh pengguna yang
Pilihan
memiliki hak otorisasi.
penggunaan
untuk
mengamankan
komunikasi antara client dan web service
menentukan bagaimana integritas pesan dibuat
2.2.2 Melakukan Perancangan Secara Cepat
dan diverifikasi. Pada penggunaan keamanan
untuk Membuat Prototipe
web service dengan keamananan end to end
Alur perancangan yang dibuat dalam
digunakan
untuk
penelitian ini adalah dengan cara memberikan
memastikan integritas pesan. 2) Mengotentikasi
gambaran alur kerja sistem keamanan web
pengguna. Pada tahap ini, web service akan
service
melakukan otentikasi pengguna melalui pesan
memberikan gambaran mengenai mekanisme
SOAP. Jika otentikasi pengguna berhasil, maka
keamanan yang dimulai dari user mengirimkan
web service akan memberikan service apa saja
data sampai user menerima data.
security
WS-Security
sendiri.
Pada
gambar
3
berikut
yang dapat digunakan berdasarkan method yang
diminta. 3) Memvalidasi password. Pada tahap
user
user
Application Client
Access using https protocol
ini dilakukan validasi password pada SOAP
Https protocol
request yang dikirimkan ke web service dengan
mengecek username token. Jika validasi berhasil
maka
proses
selanjutnya
web
Https protocol
Request
Result
Set Security Token,
Enkripsi Pesan XML,
Signing pesan XML
Dekripsi Pesan
service
Serialisasi
Deserialisasi
SOAP message + Security
Pesan SOAP
memberikan response ke client dengan service
Client Service
Pesan SOAP
internet
yang diminta sebelumnya. 4) Memberikan
respon ke client. Pada tahap terakhir sesuai
user
Pesan SOAP
SOAP message + Security
Pesan SOAP
Deserialisasi
Serialisasi
Cek security token,
Dekripsi pesan XML
Enkripsi Pesan XML,
Signing pesan XML
Service
Response
permintaan clientmengenai service apa saja yang
Server Service
di minta sebelumnya, server melakukan respon
Server Service Provider
tersebut dengan mengirimkan SOAP Response.
5) Mengenkripsi,mendekripsi, menandatangani,
dan memverifikasi data XML. Pada tahap ini,
Database
Server
baik web service client maupun web service
server akan melakukan enkripsi pesan yang akan
dikirimkan
dari
menggunakan
dan
XML
ke
webservice
dengan
Encryption
kriptografi RSA, namun sebelum dokumen di
enkripsi
terlebih
penandatangan
digital
dahulu
dilakukan
menggunakan
XML
Signature dengan kriptografi RSAwithSHA-1.
Hal ini diperlukan untuk pengamanan pada jalur
transport antar service sehingga data dokumen
6
Gambar 3. Alur Mekanisme Keamanan Data
User Pada WebService
Pada penelitian ini rancangan keamanan
tersebut
dititikberatkan
pada
beberapa
mekanisme keamanan, yaitu: 1) Otentikasi, yaitu
sebuah mekanisme keamanan yang bertujuan
untuk membuktikan atau verifikasi otentikasi
user/mesin (client) yang meminta layanan,
sehingga dengan demikian service provider
Jurnal Imiah MATRIK Vol.15. No.1, April 2013: 01 - 10
(server) selanjutnya dapat menentukan apakah
(subjek)
user/mesin
diperbolehkan
untuk
dilayani atau tidak. Mekanisme otentikasi pesan
akan
dilakukan
dengan
cara
menyediakan
fungsi-fungsi dan rutin program untuk keperluan
pembuatan elemen username token, konfigurasi
elemen Header SOAP request serta pengecekan
otentikasi dari security token tersebut pada
server
Selain itu otentikasi juga
service.
dilakukan dengan cara menandatangani atau
signing pesan SOAP request maupun response
dengan
menggunakan
XML
Signature.
Gambar 4. Alur Uji Coba Keamanan
WebService
Fungsinya adalah untuk mengetahui keaslian
data
ketika
dalam
proses
transmisi.
2)
Konfidensialitas, yaitu menjaga kerahasiaan
pesan dari orang yang tidak memiliki hak
3.
HASIL DAN PEMBAHASAN
otorisasi yang ada pada jaringan web, maka
Hasil akhir dari penelitian ini adalah
solusinya adalah dengan melakukan enkripsi
menggunakan
XML
yang
Encryption
ujicoba terhadap setiap modul yang dibangun
dari sistem keamanan web service ini. Kemudian
menggunakan kriptografi algoritma RSA.
selain itu juga untuk memastikan bahwa
2.2.3 Menguji
Coba
dan
Mengevaluasi
spesifikasi kebutuhan dan berjalan sesuai dengan
Prototipe
Setelah
hubungan antarmodul aplikasi telah memenuhi
proses
perancangan
sistem
dilakukan, tahap selanjutnya adalah membuat
skenario yang telah dideskripsikan pada gambar
4.
implementasi dan menguji sistem. Tujuannya
adalah
untuk
mematikan
bahawa
seluruh
3.1
Otentikasi Sistem
komponen yang dibangun dapat bekerja sesuai
Pada
rencana.
Sedangkan
untuk
implementasi
dari
tahap
otentikasi
ini
adalah
bagaimana pengguna dapat menggunakan sistem
keamanan webservice ini, maka dirancang
seperti
arsitektur dan skenario dalam alur yang akan
Otentikasi
diterapkan.
dari
dinyatakan dengan menggunakan security token
keamanan webservice ini dapat diperlihatkan
pada pesan SOAP request. Jika username token
pada gambar 4.
di client service sama dengan username token di
Arsitektur
dan
skenario
yang
telah
antara
dirancang
client
sebelumnya.
dengan
server
server service, maka client service dapat
diizinkan untuk mengakses layanan sesuai
Perancangan dan Uji Coba Sistem Keamanan Web Service dengan Metode …… (Ari Muzakir)
7
dengan nilai parameter yang telah disisipkan
akan disisipkan Signature untuk memastikan
pada Header. Username token sendiri akan di
bahwa data XML yang dikirimkan tidak berubah
enkripsi menggunakan algoritma SHA1, hasilnya
ketika proses pengiriman. Hal ini dapat dilihat
seperti yang ditunjukkan gambar 5.
pada gambar 7.
Gambar 5. Hasil SOAP Request dengan
Username Token
Selain itu otentikasi juga dapat dilakukan
Gambar 7. Hasil Penyisipan XML Signature
pada Pesan SOAP Request
dengan cara mengecek keaslian pesan SOAP
(verifikasi) yang dikirimkan berupa digital
3.2
Otorisasi Pengguna Sistem
signature, hasil yangdidapatkan yaitu valid dan
tidak valid. Gambar 6 memperlihatkan tampilan
dari proses otentikasi dengan cara
Jika
tahap
login
terlewatkan
maka
pegecekan
pengguna dapat mengakses halaman berikutnya
username token serta verifikasi keaslian data
sesuai hak akses. Jika pada tahap otentikasi user
yang diterima di server web service. Hasil dari
maupun
proses
akan
username dan password secara benar, maka
yaitu
otentikasi login dinyatakan gagal dan harus
otentikas
ditulisakan
pada
dan
verifikasi
sebuah
ini
file
”logverifikasi.txt”.
admin
tidak
dapat
menginputkan
mencoba ulang, artinya bahwa user tidak
memiliki otorisasi untuk mengakses sumber daya
yang ada di database.
3.3
Gambar 6. Hasil Log Pengecekan
Otentikasi Security Token dan Verifikasi
Elemen Reference pada XML Signature
Kemudian dengan menggunakan metode
Konfidensialitas Sistem
Client service akan mengenkripsi pesan
SOAP yang akan dikirimkan yaitu pada data
yang akan dikirim dengan memanggil fungsi
XML Signature yang merupakan metode untuk
yang
keaslian data, maka pada pesan SOAP request
menggunakan kunci publik dari client, proses
8
enkripsi
yang
ada
di
server
dan
Jurnal Imiah MATRIK Vol.15. No.1, April 2013: 01 - 10
enkripsi menggunakan algoritma RSA dengan
berisi data yang telah dienkripsi terlihat pada
panjang kunci 1024 bit. Sedangkan proses
elemen
dekripsi dilakukan pada server service dengan
Elemen ini mengindikasikan bahwa data telah
menggunakan kunci privat. Selanjutnya untuk
berhasil dienkripsi.
dan
.
melihat hasil pesan SOAP request ini yang berisi
data terenkripsi dengan menggunakan metode
XML Encryption dapat diperlihatkan pada
4.
SIMPULAN
Gambar 8 berikut.
Berdasarkan
pembahasan
yang
telah
diuraikan pada bagian-bagian sebelumnya, maka
diambil beberapa kesimpulan sebagai berikut:
1) Hasil dari implementasi mengindikasikan
bahwa
otentikasi,
otorisasi,
serta
konfidensialitas dapat terpecahkan dengan
menerapkan
library
konsep
keamanan
keamanan
memanfaatkan
XML
yaitu
berbasis
dengan
Signature,
XML
Encryption, serta SecurityToken.
2) Hasil yang dilakukan pada webservice
Gambar 8. Hasil Pesan SOAP Request
Dengan Model Keamanan Menggunakan
XML Encryption
dengan menerapkan model library class_wss
sebagai library keamanan web service yang
Hasil yang diperoleh dari gambar 8 di atas
dibangun memberikan respon yang baik,
adalah seluruh data tersebut akan dienkripsi oleh
yaitu pesan SOAP request pada saat
client service untuk menjamin kerahasiaan data
dikirimkan dalam bentuk terenkripsi dan
pada
mampu
jalur
transmisi
ke
serverwebservice.
didekripsi
serta
dapat
Kemudian dapat dilihat bahwa ketika data
tertandatangani dan diperiksa keasliannya.
dikirimkan, maka client akan memanggil fungsi
3) Model WS-Security dengan menggunakan
keamanan yang ada di client service yaitu library
XML Signature, XML Encryption, serta
class_wss.php,
Security
selanjutnya
ketika
data
Token
yang
memanfaatkan
dikirimkan dari client service, maka data SOAP
algoritma kriptografi RSA dengan panjang
akan disisipkan username token yang mana akan
kunci
dicocokkan dengan username token miliknya
perlindungan terhadap transmisi data antara
server service, selain itu pesan SOAP akan di
client dan server web service.
1024
bit
mampu
memberikan
digitalsignature dan dienkripsi data. Hasil
enkripsi dari data XML ini dapat dilihat dari
elemen
dan
. Kemudian pesan SOAP yang
Perancangan dan Uji Coba Sistem Keamanan Web Service dengan Metode …… (Ari Muzakir)
9
DAFTAR RUJUKAN
Adriansyah, A, Arifandi, W, dan Wicaksono, N.
2005. Keamanan Web Service, Teknik
Informatika, Institut Teknologi Bandung.
Bandung.
Fareghzadeh, N. 2009. Web Service Security
Method To SOA Development. Jurnal.
World Academy of Science, Engineering
and Technology, No.49, 10 hal.
Hartono, B. 2003. Pemakaian kriptografi kunci
publik dengan algoritma RSA untuk
keamanan data XML. S2 Ilmu Komputer,
Universitas Gadjah Mada. Yogyakarta.
Kenali, E., W. 2010. Implementasi WebService
untuk Integrasi
Data Satuan Reserse
Kriminal (Studi Kasus Polda Lampung.
Tesis S2 Magister Ilmu Komputer,
Universitas Gadjah Mada. Yogyakarta.
Rakhim, R, T. 2010. Keamanan WebService
Menggunakan Token. Tesis S2 Magister
Ilmu Komputer, Universitas Gadjah Mada.
Yogyakarta.
Supriyanto,A. 2007. Otentikasi Dokumen XML
menggunakan Algoritma RSA dan Hash
SHA-1. Tesis S2 Magister Ilmu Komputer,
Universitas Gadjah Mada. Yogyakarta.
Suteja, B. 2004. Implementasi XML Signature
untuk Secure XML Pada Kasus Integritas
Transkrip Online. Tesis S2 Magister Ilmu
Komputer, Universitas Gadjah
Mada.
Yogyakarta.
Zhang, W. 2009. Integrated Security Framework
for Secure WebServices. Research Institute of
Applied Computer Technology, China
Women’s University.
10
10
Jurnal Imiah MATRIK Vol.15. No.1, April 2013: 01 -
DENGAN METODE WS-SECURITY
Ari Muzakir
Dosen Universitas Bina Darma
Jalan Jenderal Ahmad Yani No.12 Palembang
Pos-el: [email protected]
Abstract: Web service uses XML technology to exchange data in. Form of security is applied to web
services is to use public-key cryptography techniques. The attack can be a reconnaissance, destruction
or theft of data. The implementation was done by using the security library will provide facilities in
developinga. Web security service for the library support XMLSEC as library supporters and library
class_wssthat have been builtable to overcome the problem of security on the transport path,
especially forauthentication, authorization, and confidentiality request SOAP message. Model WSSecurity usingXMLSignature, XMLEncryption, andSecurityTokenwhich utilizesthe cryptographic
algorithm RSA with1024 bitkey lengt hto provide protection against transmission of data between
client and server web service. The results obtain edare SOAP request messages encrypted and
decryptedable to pitch well and signed and checked their authenticity.
Keywords:Web Service Security, XML Signature, XML Encryption, Security Token.
Abstrak: Web service menggunakan teknologi XML dalam melakukan pertukaran data. Bentuk
pengamanan yang diterapkan pada web services adalah dengan penggunaan teknik kriptografi kuncipublik. Implementasi yang telah dilakukan dengan menggunakan library keamanan akan memberikan
kemudahan dalam membangun keamanan web service karena dengan dukungan library XMLSEC
sebagai library pendukung dan library class_wss yang telah dibangun mampu mengatasi masalah
keamanan pada jalur transport khususnya untuk otentikasi, otorisasi, dan konfidensialitas pesan
SOAP request. Model WS-Security dengan menggunakan XML Signature, XML Encryption,
sertaSecurity Token yang memanfaatkan algoritma kriptografi RSA dengan panjang kunci 1024 bit
mampu memberikan perlindungan terhadap transmisi data antara client dan server web service.Hasil
yang diperoleh yaitu pesan SOAP request terenkripsi dan mampu didekripsi dengan baik serta dapat
ter tandatangani dan dicek keotentikannya.
Kata Kunci: Keamanan Web Service, XML Signature,Encryption, Security Token.
1.
belum sepenuhnya terjamin. Hal ini dibuktikan
PENDAHULUAN
dengan banyaknya faktor yang menimbulkan
Saat ini web services menjadi sangat
celah-celah ancaman terhadap web service
populer di enterprise karena kemampuannya
tersebut seperti yang telah dilakukan oleh
dalam mengintegrasikan aplikasi-aplikasi yang
penelitian terdahulu.
berbeda
platform
dengan
dokumen
XML.XML
menggunakan
Selain itu, pada kerahasiaan pesan yang
Markup
dikirimkan melalui web service masih berupa
untuk
data XML. Sehingga hal ini menyebabkan
yang
terjadinya data yang tidak asli ketika sampai di
web service
sisi penerima. Walaupun pesan telah di enkripsi
mendukung komunikasi antar aplikasi dan
menggunakan suatu algoritma maka bukan
integrasi aplikasi dengan menggunakan XML
berarti bahwa pesan yang di terima oleh
dan
penerima benar-benar masih asli, karena bisa
Language)
adalah
mendefinisikan
data
(eXtensible
sebuah
standar
dalam
sederhana dan fleksibel. Dimana
Web.
Faktor
keamanan
format
pada
jalur
komunikasi antara client ke serverweb serviceitu
Perancangan dan Uji Coba Sistem Keamanan Web Service dengan Metode …… (Ari Muzakir)
1
saja bahwa struktur pesan telah berubah ketika
security seperti yang telah disediakan WS-
pesan dikirimkan atau ketika diterima.
Security(Zhang,
Kemudian masalah keamanan web service
pada
kasus-kasus
sebelumnya
2009).
WS-Security
juga
mengatur cara menyisipkan security token dalam
kebanyakan
pesan SOAP dalam bentuk plaintext maupun
penelitian dilakukan pada satu model keamanan
dalam bentuk biner, seperti sertifikat X.509
atau standar keamanan untuk web service.
(Adriansyah Dkk, 2005). Oleh karena itu,
Sehingga dengan adanya sistem keamanan yang
penelitian ini akan mencoba menghadirkan
seperti ini dirasakan masih kurang memberi
sebuah implementasi dari prototype keamanan
suatu perlindungan yang maksimal terhadap
web service berbasis pengamanan service to
ancaman keamanan web service antara client ke
services
server service sendiri walaupun secara umum
mengamankan data yang diterima dari client
sudah mampu mencukupi. Masih adanya kendala
sebelum di simpan ke database server dengan
mengenai web service yaitu beberapa pihak yang
cara mengenkripsi dan menandatangani serta
masih merasa ragu untuk menerapkan web
menyisipkan security token pada pesan SOAP
service, khususnya mereka yang menggunakan
request dan response dengan memanfaatkan dua
jaringan internet pada transaksinya. Keraguan ini
standar keamanan yang telah ada yaitu XML
dilihat dari tingkat keamanan dari teknologi web
Encryption dan XML Signature. Adapun jalur
service. Aspek keamanan menjadi sangat penting
komunikasi
untuk menjaga data atau informasi agar tidak
menggunakan keamanan berbasis SSL (Security
disalahgunakan
Socket Layer) atau disebut protocol HTTPS.
ataupun
diakses
secara
yang
dapat
antara
user
memproses
ke
dan
serviceclient
Beberapa penelitian yang telah dilakukan
sembarangan (Rakhim, 2010). Transport Layer
digunakan
untuk
berkenaan dengan keamanan webservice ini
Amengenkripsi
pesan
diantaranya mengenai spesifikasi dari keamanan
berbasis web tidak memadai untuk melindungi
web services dan bagaimana spesifikasi tersebut
pesan SOAP karena dirancang untuk beroperasi
menanggulangi ancaman terhadap keamanan
antara
dapat
web services. Baik dari segi security web service
dalam
masih belum matang seperti CORBA dan RMI
Security
(TLS)
mengotentikasi
dua
yang
dan
endpoint.
mengakomodasi
TLS
tidak
webservice
kemampuannya untuk meneruskan pesan ke
(Adriansyah Dkk, 2005).
beberapa webservice lain secara bersamaan.
Selanjutnya, analisa mengenai bagaimana
Pengolahan model webservice membutuhkan
mengatasi tantangan pada keamanan webservice
kemampuan
dengan menyajikan keamanan kerangka atau
untuk
dapat
memberikan
terpadu
yang
didasarkan
pada
pengamanan pesan SOAP dan dokumen XML
framework
mulai
dan
penggunaan otentikasi, otorisasi, kerahasiaan,
intermediary services. Selanjutnya teknologi
dan mekanisme integritas pada web service serta
yang
untuk
dari
client,
mungkin
service
dapat
provider,
dimanfaatkan
untuk
mengintegrasikan
dan
menerapkan
meningkatkan kerahasiaan dan integritas dari
mekanisme keamanan tersebut untuk membuat
web service yaitu SSL/TLS serta message-level
web service kuat terhadap serangan (Zhang,
2
Jurnal Imiah MATRIK Vol.15. No.1, April 2013: 01 - 10
2009). Penelitian mengenai penyajian suatu
digunakan
metode yang komprehensif untuk suatu jaminan
dokumen XML (Supriyanto, 2007). Penelitian
layanan keamanan dalam SOA. dimana metode
lainya yaitu mengenai data XML yang dienkripsi
yang diusulkan mendefinisikan tiga tahap yaitu
menggunakan kunci publik dengan algoritma
securityanalysis, arsitektur jaminan keamanan,
RSA dengan hasil implementasinya berupa dua
dan
buah program komputer yaitu findkey.exe dan
identifikasi
Standar
WS-Security
(Fareghzadeh, 2009).
untuk
proses
penandatanganan
crypto.exe yang dibuat menggunakan bahasa
Selain itu penelitian terhadap keamanan
pemrograman C (Hartono, 2003).
web service juga pernah dilakukan pada integrasi
data laporan kejadian perkara satuan reserse
kriminal (satreskrim) yang dilengkapi dengan
2.
METODOLOGI PENELITIAN
2.1
Analisis Sistem
mekanisme keamanan internal, dimana yang
dilakukan
pada
keamanannya
implementasi
adalah
mekanisme
menambahkan
fungsi-
fungsi keamanan pada tool NuSOAP yang mana
digunakan
sebagai
kerahasiaan
otentikasi
service
menggunakan
metode
WS-Security
memanfaatkan dua teknologi yang sudah ada
kriptografi AES 128 (Kenali, 2010). Selanjutnya
yaitu XML Signature dan XML Encryption
untuk implementasi terhadap otentikasi user
sebagai model pengamanan dokumen XML yang
untuk dokumen XML dengan menggunakan
memanfaatkan kriptografi kunci publik RSA
token
melakukan
SOAP
untuk
menggunakan
username
pesan
serta
Pada penelitian ini, model keamanan web
juga
pernah
pembuktian
dokumen
XML
dan
terhadap
dokumen
dilakukan
,
yang akan digunakan pada metode keamanan
validasi
client server web service. Proses enkripsi dan
pengujian
dekripsi pada kriptografi ini terapkan pada client
terhadap
melakukan
2010).
service dan server service untuk pengamanan
Selanjutnya Untuk mengimplementasikan suatu
jalur komunikasi yang mana menggunakan dua
XML Signature untuk memperoleh dokumen
buah kunci yaitu kunci publik dan kunci rahasia.
XML yang secure pada kasus transkrip online.
Metode dari prototype keamanan web service
Dengan
antara client service dan server service ini
cara
XML
(Rakhim,
memperoleh
transkrip
yang
memiliki tipe format XML yang terdapat digital
dimulai
Signature-nya (Suteja, 2004).
menggunakan SLL ke client service, kemudian
dari
pengiriman
data
dari
user
Kemudian untuk mengimplementasikan
komunikasi antara client service dengan server
algoritma RSA untuk pembuatan pasangan kunci
service dari web service. Di mana data XML
public dan kunci privat guna proses enkripsi dan
akan dienkripsi (encrypt) dan ditandatangani
dekripsi.
(signing) dari client service dan akan didekripsi
Selain
menunjukan
diproses.
itu
jangkauan
Selanjutnya
RSA
data
juga
berperan
yang
dapat
(decrypt) serta diverifikasi ketika diterima oleh
mengimplementasikan
message digest untuk fungsi hash SHA-1 yang
Perancangan dan Uji Coba Sistem Keamanan Web Service dengan Metode …… (Ari Muzakir)
3
server service, selanjutnya data hasil dekripsi
akan disimpan pada databaseserver.
Gambar 1 memperlihatkan alur keamanan
web service antara client service dan server
Analisa kebutuhan sistem menentukan
service, dimana gambaran umum dari keamanan
bagaimana user, data, proses, dan teknologi
sistem ini dimulai dari pengiriman data dari user
informasi dapat saling terhubung, dengan analisa
menggunakan SLL ke client service, kemudian
kebutuhan sistem diharapkan dapat diuraikan
komunikasi antara client service dengan server
secara utuh menjadi komponen-komponen suatu
service dari web service. Selanjutnya data XML
sistem dengan tujuan identifikasi, mengevaluasi
akan dienkripsi (encrypt) dan ditandatangani
permasalahan dan kebutuhan sesuai dengan yang
(signing) serta menyertakan username token dari
diharapkan.
client service dan akan didekripsi (decrypt), di
verifikasi serta di cek username token ketika
2.2
diterima oleh server service, selanjutnya data
Perancangan Sistem
hasil
Sistem aplikasi yang akan dibangun
dekripsi
akan
disimpan
pada
databaseserver.
Rancangan
memiliki arsitektur keamanan secara umum
mekanisme
bertujuan
dari client akan dilakukan otentikasi, otorisasi,
identitas dari user yang melakukan login ke
dan konfidensialitas. Otentikasi dilakukan ketika
sistem dan meminta layanan keamanan data.
client berhasil melakukan login
Pada Gambar 2, disajikan sebuah mekanisme
diberikan akses ke sumber daya sesuai dengan
membuktikan
user
seperti pada gambar 1, di mana setiap request
dan akan
untuk
otentiksi
otentikasi
otentikasi user terhadap sistem.
hak aksesnya dengan memberikan otorisasi
Aplikasi Web Client
layanan yang telah ditentukan pada header
username token, sedangkan konfidensialitas di
Https protocol
Https protocol
gunakan pada proses enkripsi dan dekripsi.
SOAP
Client
Request Method
with security token
(username + password)
+ Parameter
SOAP
Server
Database Server
Response data yang
Dibutuhkan
Gambar 2. Mekanisme Otentikasi User Pada
Web Service
Mekanisme keamanan data ini bertujuan
untuk
memberikan
gambaran
mengenai
kerahasiaan data dalam proses enkripsi dan
proses dekripsi yang melibatkan algortima kunci
Gambar1. Keamanan Antara Client Service
dan ServiceServer dari Web Service
publik. Selain itu, mekanisme keamanan data
juga berupa penandatangan digital atau signing
serta username token. Enkripsi
4
dan signing
Jurnal Imiah MATRIK Vol.15. No.1, April 2013: 01 - 10
terjadi antara clientservicedan serverservice di
2.2.1 Mendefinisikan
Tujuan
dan
mana bertujuan untuk mengamanakan jalur
Mengidentifikasi Kebutuhan Pemakai
transmisi pada webservice sendiri.
Untuk
Implementasi
terhadap
rancangan
mendefinisikan
tujuan
dan
indentifikasi kebutuhan pemakai sendiri, dilihat
akan
dari alur kerja dalam implementasi sistem pada
framework
web service ini dibagi menjadi dua bagian, yaitu
NuSOAP dan menambahkan suatu library yang
berdasarkan pengimplementasian di client dan di
berisi beberapa fungsi yang dipergunakan dalam
server.
arsitektur
keamanan
disesuaikan
dengan
pesan
SOAP
mekanisme
Tahapan
menunjang keamanan webservice pada jalur
pertama
yaitu
Client
transport. Selain itu untuk dapat mencapai
menghasilkan
tujuan dari keamanan tersebut akan dilakukan
kemudian akan diterima oleh client service
modifikasi terhadap rutin dari fungsi-fungsi
sebelum dilanjutkan ke server service. Tahap ini
didalam
juga
berkaitan dengan proses-proses yang dilakukan
untuk
oleh client untuk melakukan request kepada web
classlibrary
NuSOAP
dan
penambahan rutin program lainnya
keperluan keamanan webservice.
keamanan
yang
servicerequest
service dengan menggunakan username token.
Penambahan rutin program dan fungsifungsi
web
untuk
client yaitu: 1) Menginisialisasi username token,
pencapaian keamanan pesan. Dimana agar dapat
cara ini mengimplementasikan untuk kebutuhan
melakukan
1)
inisialisasi username token kedalam SOAP
Kemampuan untuk dapat mengamankan jalur
request yang dikirimkan oleh client service ke
transmisi
server
hal-hal
data
pada
dimaksudkan
Terdapat beberapa langkah yang dilakukan oleh
sebagai
berikut:
webservice
dengan
service
untuk
meminta
layanan
menggunakan security token yang disertakan
webservice yang dituju serta penggunaan metode
pada Header SOAP request, tujuannya adalah
username token dengan cara menyisipkan ke
untuk otentikasi identitas user yang meminta
dalam SOAP Header. Fungsi dari username
layanan serta kendali akses untuk menentukan
token ini adalah untuk memvalidasi pesan SOAP
apakah user tersebut dilayani atau tidak. 2)
request
Kemampuan untuk menjaga kerahasiaan serta
Melakukan
keaslian data didalam pesan SOAP request dan
dibutuhkan.
SOAP response. Kemampuan ini ditunjang
dilakukan pemanggilan salah satu metode yang
dengan penambahan beberapa library dari
telah disediakan pada web service. Jika metode
XMLSEC untuk keperluan enkripsi, dekripsi,
yang dipanggil menggunakan input, maka akan
serta digitalsignature yang mana memanfaatkan
disisipkan pada bagian SOAP Body.
agoritma kriptografi RSA dan RSAwithSHA-1
dengan panjang kunci 1024 bit.
yang
dikirimkan
pemanggilan
Setelah
oleh
client.
metode
menyisipkan
2)
yang
username
Tahap kedua yaitu server service akan
mengotentikasi
client
service
dan
Sedangkan perancangan sistem mengacu
mengembalikan respon ke client. Tahap ini
pada tiga tahapan pengembangan sistem dengan
menjelaskan beberapa proses yang dilakukan
model prototipe, tahapan tersebut yaitu:
oleh serverweb service setelah menerima SOAP
Perancangan dan Uji Coba Sistem Keamanan Web Service dengan Metode …… (Ari Muzakir)
5
Request dari client service. Beberapa proses
yang telah di tanda tangani dan di enkripsi
tersebut adalah: 1) Memastikan integritas pesan.
nantinya dapat diterima oleh pengguna yang
Pilihan
memiliki hak otorisasi.
penggunaan
untuk
mengamankan
komunikasi antara client dan web service
menentukan bagaimana integritas pesan dibuat
2.2.2 Melakukan Perancangan Secara Cepat
dan diverifikasi. Pada penggunaan keamanan
untuk Membuat Prototipe
web service dengan keamananan end to end
Alur perancangan yang dibuat dalam
digunakan
untuk
penelitian ini adalah dengan cara memberikan
memastikan integritas pesan. 2) Mengotentikasi
gambaran alur kerja sistem keamanan web
pengguna. Pada tahap ini, web service akan
service
melakukan otentikasi pengguna melalui pesan
memberikan gambaran mengenai mekanisme
SOAP. Jika otentikasi pengguna berhasil, maka
keamanan yang dimulai dari user mengirimkan
web service akan memberikan service apa saja
data sampai user menerima data.
security
WS-Security
sendiri.
Pada
gambar
3
berikut
yang dapat digunakan berdasarkan method yang
diminta. 3) Memvalidasi password. Pada tahap
user
user
Application Client
Access using https protocol
ini dilakukan validasi password pada SOAP
Https protocol
request yang dikirimkan ke web service dengan
mengecek username token. Jika validasi berhasil
maka
proses
selanjutnya
web
Https protocol
Request
Result
Set Security Token,
Enkripsi Pesan XML,
Signing pesan XML
Dekripsi Pesan
service
Serialisasi
Deserialisasi
SOAP message + Security
Pesan SOAP
memberikan response ke client dengan service
Client Service
Pesan SOAP
internet
yang diminta sebelumnya. 4) Memberikan
respon ke client. Pada tahap terakhir sesuai
user
Pesan SOAP
SOAP message + Security
Pesan SOAP
Deserialisasi
Serialisasi
Cek security token,
Dekripsi pesan XML
Enkripsi Pesan XML,
Signing pesan XML
Service
Response
permintaan clientmengenai service apa saja yang
Server Service
di minta sebelumnya, server melakukan respon
Server Service Provider
tersebut dengan mengirimkan SOAP Response.
5) Mengenkripsi,mendekripsi, menandatangani,
dan memverifikasi data XML. Pada tahap ini,
Database
Server
baik web service client maupun web service
server akan melakukan enkripsi pesan yang akan
dikirimkan
dari
menggunakan
dan
XML
ke
webservice
dengan
Encryption
kriptografi RSA, namun sebelum dokumen di
enkripsi
terlebih
penandatangan
digital
dahulu
dilakukan
menggunakan
XML
Signature dengan kriptografi RSAwithSHA-1.
Hal ini diperlukan untuk pengamanan pada jalur
transport antar service sehingga data dokumen
6
Gambar 3. Alur Mekanisme Keamanan Data
User Pada WebService
Pada penelitian ini rancangan keamanan
tersebut
dititikberatkan
pada
beberapa
mekanisme keamanan, yaitu: 1) Otentikasi, yaitu
sebuah mekanisme keamanan yang bertujuan
untuk membuktikan atau verifikasi otentikasi
user/mesin (client) yang meminta layanan,
sehingga dengan demikian service provider
Jurnal Imiah MATRIK Vol.15. No.1, April 2013: 01 - 10
(server) selanjutnya dapat menentukan apakah
(subjek)
user/mesin
diperbolehkan
untuk
dilayani atau tidak. Mekanisme otentikasi pesan
akan
dilakukan
dengan
cara
menyediakan
fungsi-fungsi dan rutin program untuk keperluan
pembuatan elemen username token, konfigurasi
elemen Header SOAP request serta pengecekan
otentikasi dari security token tersebut pada
server
Selain itu otentikasi juga
service.
dilakukan dengan cara menandatangani atau
signing pesan SOAP request maupun response
dengan
menggunakan
XML
Signature.
Gambar 4. Alur Uji Coba Keamanan
WebService
Fungsinya adalah untuk mengetahui keaslian
data
ketika
dalam
proses
transmisi.
2)
Konfidensialitas, yaitu menjaga kerahasiaan
pesan dari orang yang tidak memiliki hak
3.
HASIL DAN PEMBAHASAN
otorisasi yang ada pada jaringan web, maka
Hasil akhir dari penelitian ini adalah
solusinya adalah dengan melakukan enkripsi
menggunakan
XML
yang
Encryption
ujicoba terhadap setiap modul yang dibangun
dari sistem keamanan web service ini. Kemudian
menggunakan kriptografi algoritma RSA.
selain itu juga untuk memastikan bahwa
2.2.3 Menguji
Coba
dan
Mengevaluasi
spesifikasi kebutuhan dan berjalan sesuai dengan
Prototipe
Setelah
hubungan antarmodul aplikasi telah memenuhi
proses
perancangan
sistem
dilakukan, tahap selanjutnya adalah membuat
skenario yang telah dideskripsikan pada gambar
4.
implementasi dan menguji sistem. Tujuannya
adalah
untuk
mematikan
bahawa
seluruh
3.1
Otentikasi Sistem
komponen yang dibangun dapat bekerja sesuai
Pada
rencana.
Sedangkan
untuk
implementasi
dari
tahap
otentikasi
ini
adalah
bagaimana pengguna dapat menggunakan sistem
keamanan webservice ini, maka dirancang
seperti
arsitektur dan skenario dalam alur yang akan
Otentikasi
diterapkan.
dari
dinyatakan dengan menggunakan security token
keamanan webservice ini dapat diperlihatkan
pada pesan SOAP request. Jika username token
pada gambar 4.
di client service sama dengan username token di
Arsitektur
dan
skenario
yang
telah
antara
dirancang
client
sebelumnya.
dengan
server
server service, maka client service dapat
diizinkan untuk mengakses layanan sesuai
Perancangan dan Uji Coba Sistem Keamanan Web Service dengan Metode …… (Ari Muzakir)
7
dengan nilai parameter yang telah disisipkan
akan disisipkan Signature untuk memastikan
pada Header. Username token sendiri akan di
bahwa data XML yang dikirimkan tidak berubah
enkripsi menggunakan algoritma SHA1, hasilnya
ketika proses pengiriman. Hal ini dapat dilihat
seperti yang ditunjukkan gambar 5.
pada gambar 7.
Gambar 5. Hasil SOAP Request dengan
Username Token
Selain itu otentikasi juga dapat dilakukan
Gambar 7. Hasil Penyisipan XML Signature
pada Pesan SOAP Request
dengan cara mengecek keaslian pesan SOAP
(verifikasi) yang dikirimkan berupa digital
3.2
Otorisasi Pengguna Sistem
signature, hasil yangdidapatkan yaitu valid dan
tidak valid. Gambar 6 memperlihatkan tampilan
dari proses otentikasi dengan cara
Jika
tahap
login
terlewatkan
maka
pegecekan
pengguna dapat mengakses halaman berikutnya
username token serta verifikasi keaslian data
sesuai hak akses. Jika pada tahap otentikasi user
yang diterima di server web service. Hasil dari
maupun
proses
akan
username dan password secara benar, maka
yaitu
otentikasi login dinyatakan gagal dan harus
otentikas
ditulisakan
pada
dan
verifikasi
sebuah
ini
file
”logverifikasi.txt”.
admin
tidak
dapat
menginputkan
mencoba ulang, artinya bahwa user tidak
memiliki otorisasi untuk mengakses sumber daya
yang ada di database.
3.3
Gambar 6. Hasil Log Pengecekan
Otentikasi Security Token dan Verifikasi
Elemen Reference pada XML Signature
Kemudian dengan menggunakan metode
Konfidensialitas Sistem
Client service akan mengenkripsi pesan
SOAP yang akan dikirimkan yaitu pada data
yang akan dikirim dengan memanggil fungsi
XML Signature yang merupakan metode untuk
yang
keaslian data, maka pada pesan SOAP request
menggunakan kunci publik dari client, proses
8
enkripsi
yang
ada
di
server
dan
Jurnal Imiah MATRIK Vol.15. No.1, April 2013: 01 - 10
enkripsi menggunakan algoritma RSA dengan
berisi data yang telah dienkripsi terlihat pada
panjang kunci 1024 bit. Sedangkan proses
elemen
dekripsi dilakukan pada server service dengan
Elemen ini mengindikasikan bahwa data telah
menggunakan kunci privat. Selanjutnya untuk
berhasil dienkripsi.
dan
.
melihat hasil pesan SOAP request ini yang berisi
data terenkripsi dengan menggunakan metode
XML Encryption dapat diperlihatkan pada
4.
SIMPULAN
Gambar 8 berikut.
Berdasarkan
pembahasan
yang
telah
diuraikan pada bagian-bagian sebelumnya, maka
diambil beberapa kesimpulan sebagai berikut:
1) Hasil dari implementasi mengindikasikan
bahwa
otentikasi,
otorisasi,
serta
konfidensialitas dapat terpecahkan dengan
menerapkan
library
konsep
keamanan
keamanan
memanfaatkan
XML
yaitu
berbasis
dengan
Signature,
XML
Encryption, serta SecurityToken.
2) Hasil yang dilakukan pada webservice
Gambar 8. Hasil Pesan SOAP Request
Dengan Model Keamanan Menggunakan
XML Encryption
dengan menerapkan model library class_wss
sebagai library keamanan web service yang
Hasil yang diperoleh dari gambar 8 di atas
dibangun memberikan respon yang baik,
adalah seluruh data tersebut akan dienkripsi oleh
yaitu pesan SOAP request pada saat
client service untuk menjamin kerahasiaan data
dikirimkan dalam bentuk terenkripsi dan
pada
mampu
jalur
transmisi
ke
serverwebservice.
didekripsi
serta
dapat
Kemudian dapat dilihat bahwa ketika data
tertandatangani dan diperiksa keasliannya.
dikirimkan, maka client akan memanggil fungsi
3) Model WS-Security dengan menggunakan
keamanan yang ada di client service yaitu library
XML Signature, XML Encryption, serta
class_wss.php,
Security
selanjutnya
ketika
data
Token
yang
memanfaatkan
dikirimkan dari client service, maka data SOAP
algoritma kriptografi RSA dengan panjang
akan disisipkan username token yang mana akan
kunci
dicocokkan dengan username token miliknya
perlindungan terhadap transmisi data antara
server service, selain itu pesan SOAP akan di
client dan server web service.
1024
bit
mampu
memberikan
digitalsignature dan dienkripsi data. Hasil
enkripsi dari data XML ini dapat dilihat dari
elemen
dan
. Kemudian pesan SOAP yang
Perancangan dan Uji Coba Sistem Keamanan Web Service dengan Metode …… (Ari Muzakir)
9
DAFTAR RUJUKAN
Adriansyah, A, Arifandi, W, dan Wicaksono, N.
2005. Keamanan Web Service, Teknik
Informatika, Institut Teknologi Bandung.
Bandung.
Fareghzadeh, N. 2009. Web Service Security
Method To SOA Development. Jurnal.
World Academy of Science, Engineering
and Technology, No.49, 10 hal.
Hartono, B. 2003. Pemakaian kriptografi kunci
publik dengan algoritma RSA untuk
keamanan data XML. S2 Ilmu Komputer,
Universitas Gadjah Mada. Yogyakarta.
Kenali, E., W. 2010. Implementasi WebService
untuk Integrasi
Data Satuan Reserse
Kriminal (Studi Kasus Polda Lampung.
Tesis S2 Magister Ilmu Komputer,
Universitas Gadjah Mada. Yogyakarta.
Rakhim, R, T. 2010. Keamanan WebService
Menggunakan Token. Tesis S2 Magister
Ilmu Komputer, Universitas Gadjah Mada.
Yogyakarta.
Supriyanto,A. 2007. Otentikasi Dokumen XML
menggunakan Algoritma RSA dan Hash
SHA-1. Tesis S2 Magister Ilmu Komputer,
Universitas Gadjah Mada. Yogyakarta.
Suteja, B. 2004. Implementasi XML Signature
untuk Secure XML Pada Kasus Integritas
Transkrip Online. Tesis S2 Magister Ilmu
Komputer, Universitas Gadjah
Mada.
Yogyakarta.
Zhang, W. 2009. Integrated Security Framework
for Secure WebServices. Research Institute of
Applied Computer Technology, China
Women’s University.
10
10
Jurnal Imiah MATRIK Vol.15. No.1, April 2013: 01 -