Spisu treści:
- Definicja - Co oznacza bezpieczeństwo usług internetowych (WS Security)?
- Techopedia wyjaśnia bezpieczeństwo usług sieciowych (WS Security)
Definicja - Co oznacza bezpieczeństwo usług internetowych (WS Security)?
Web Services Security (WS Security) to specyfikacja, która określa, w jaki sposób środki bezpieczeństwa są wdrażane w usługach internetowych w celu ochrony ich przed atakami zewnętrznymi. Jest to zestaw protokołów, które zapewniają bezpieczeństwo wiadomości opartych na SOAP poprzez wdrożenie zasad poufności, integralności i uwierzytelniania.
Ponieważ usługi sieciowe są niezależne od jakichkolwiek implementacji sprzętowych i programowych, protokoły WS-Security muszą być wystarczająco elastyczne, aby pomieścić nowe mechanizmy bezpieczeństwa i zapewnić alternatywne mechanizmy, jeśli podejście nie jest odpowiednie. Ponieważ wiadomości oparte na SOAP są przesyłane przez wielu pośredników, protokoły bezpieczeństwa muszą być w stanie identyfikować fałszywe węzły i zapobiegać interpretacji danych w dowolnych węzłach. WS-Security łączy najlepsze podejścia do rozwiązywania różnych problemów związanych z bezpieczeństwem, umożliwiając programistom dostosowanie konkretnego rozwiązania bezpieczeństwa dla części problemu. Na przykład deweloper może wybrać podpisy cyfrowe w celu niezaprzeczenia i protokół Kerberos w celu uwierzytelnienia.
Techopedia wyjaśnia bezpieczeństwo usług sieciowych (WS Security)
Celem WS-Security jest zapewnienie, aby komunikacja między dwiema stronami nie była zakłócana ani interpretowana przez nieupoważnione osoby trzecie. Odbiorca musi mieć pewność, że wiadomość rzeczywiście została wysłana przez nadawcę, a nadawca powinien mieć pewność, że odbiorca nie może odmówić przyjęcia wiadomości. Wreszcie dane przesyłane podczas komunikacji nie powinny być zmieniane przez nieautoryzowane źródło. Wszystkie dane związane z bezpieczeństwem są dodawane jako część nagłówka SOAP. Dlatego na tworzenie wiadomości SOAP nakładany jest znaczny narzut, gdy mechanizmy bezpieczeństwa są aktywowane.
Nagłówek SOAP WS-Security:
Deweloper może wybrać dowolny mechanizm bezpieczeństwa lub zestaw protokołów, aby osiągnąć swój cel. Zabezpieczenia są realizowane za pomocą nagłówka, który składa się z zestawu par klucz-wartość, w których wartość zmienia się odpowiednio wraz ze zmianami zastosowanego mechanizmu bezpieczeństwa. Ten mechanizm pomaga zidentyfikować tożsamość dzwoniącego. Jeśli używany jest podpis cyfrowy, nagłówek zawiera informacje o tym, jak treść została podpisana i lokalizację klucza użytego do podpisania wiadomości.
Informacje związane z szyfrowaniem są również przechowywane w nagłówku SOAP. Atrybut ID jest przechowywany jako część nagłówka SOAP, co upraszcza przetwarzanie. Znacznik czasu jest wykorzystywany jako dodatkowy poziom ochrony przed atakami na integralność wiadomości. Po utworzeniu wiadomości znacznik czasu jest powiązany z wiadomością wskazującą, kiedy została utworzona. Dodatkowe znaczniki czasu są używane do wygaśnięcia wiadomości i do wskazania, kiedy wiadomość została odebrana w węźle docelowym.
Mechanizmy uwierzytelniania WS-Security
- Podejście nazwa użytkownika / hasło: Kombinacja nazwy użytkownika i hasła jest jednym z podstawowych używanych mechanizmów uwierzytelniania i jest analogiczna do metod uwierzytelniania opartego na HTTP Digest i Basic. Element tokenu nazwy użytkownika służy do przekazywania poświadczeń użytkownika w celu uwierzytelnienia. Hasło można przetransportować jako zwykły tekst lub w formie skrótu. Gdy stosowane jest podejście podsumowania, hasło jest szyfrowane przy użyciu techniki mieszania SHA1.
- Podejście X.509: Podejście to identyfikuje użytkownika za pomocą infrastruktury klucza publicznego, która odwzorowuje certyfikat X.509 na konkretnego użytkownika. Większe bezpieczeństwo można dodać, używając klucza publicznego i prywatnego do szyfrowania i deszyfrowania certyfikatu X.509. Aby mieć pewność, że wiadomości nie będą odtwarzane, można ustawić limit czasu na odrzucanie wiadomości, które docierają po upływie określonego czasu.
- Kerberos: Koncepcja biletu stanowi podstawowy mechanizm Kerberos. Klient musi się uwierzytelnić za pomocą centrum dystrybucji kluczy (KDC) za pomocą kombinacji nazwy użytkownika / hasła lub certyfikatu X.509. Po pomyślnym uwierzytelnieniu użytkownik otrzymuje bilet do przyznania biletu (TGT). Korzystając z TGT, klient próbuje uzyskać dostęp do usługi przyznawania biletów (TGS). Na tym etapie zakończono pierwsze dwie role identyfikacji i autoryzacji. Klient następnie żąda biletu serwisowego (ST) w celu nabycia określonego zasobu z TGS i otrzymuje ST. Klient używa ST, aby uzyskać dostęp do usługi.
- Podpis cyfrowy: podpisy XML służą do ochrony wiadomości przed modyfikacją i interpretacją. Podpisanie musi być wykonane przez wiarygodną stronę lub prawdziwego nadawcę.
- Szyfrowanie: Szyfrowanie XML służy do ochrony danych przed interpretacją, uniemożliwiając ich odczytanie przez nieupoważnione osoby trzecie. Można zastosować zarówno podejście symetryczne, jak i asymetryczne.
WS-Security pozwala odpowiednio wykorzystać istniejące mechanizmy bezpieczeństwa, aby zapobiec wszelkim kosztom związanym z wprowadzaniem nowych mechanizmów.