Indholdsfortegnelse:
- Definition - Hvad betyder Web Services Security (WS Security)?
- Techopedia forklarer Web Services Security (WS Security)
Definition - Hvad betyder Web Services Security (WS Security)?
Web Services Security (WS Security) er en specifikation, der definerer, hvordan sikkerhedsforanstaltninger implementeres i webservices for at beskytte dem mod eksterne angreb. Det er et sæt protokoller, der sikrer sikkerhed for SOAP-baserede meddelelser ved at implementere principperne om fortrolighed, integritet og godkendelse.
Da webservices er uafhængige af implementeringer af hardware og software, skal WS-Security-protokoller være fleksible nok til at rumme nye sikkerhedsmekanismer og give alternative mekanismer, hvis en tilgang ikke er egnet. Da SOAP-baserede meddelelser gennemgår flere formidlere, skal sikkerhedsprotokoller være i stand til at identificere falske noder og forhindre datatolkning på nogen noder. WS-Security kombinerer de bedste tilgange til at tackle forskellige sikkerhedsproblemer ved at lade udvikleren tilpasse en bestemt sikkerhedsløsning til en del af problemet. For eksempel kan udvikleren vælge digitale signaturer til ikke-afvisning og Kerberos til godkendelse.
Techopedia forklarer Web Services Security (WS Security)
Formålet med WS-Security er at sikre, at kommunikationen mellem to parter ikke afbrydes eller tolkes af en uautoriseret tredjepart. Modtageren skal være sikker på, at meddelelsen faktisk blev sendt af afsenderen, og afsenderen skal være sikker på, at modtageren ikke kan nægte at modtage beskeden. Endelig skal de data, der sendes under kommunikationen, ikke ændres af en uautoriseret kilde. Alle data relateret til sikkerhed tilføjes som en del af SOAP-overskriften. Derfor pålægges SOAP-meddelelsesdannelsen en betydelig omkostning, når sikkerhedsmekanismer aktiveres.
WS-Security SOAP Header:
Udvikleren kan frit vælge enhver underliggende sikkerhedsmekanisme eller sæt af protokoller for at nå deres mål. Sikkerhed implementeres ved hjælp af en header, der består af et sæt nøgleværdipar, hvor værdien ændres korrekt med ændringer i den underliggende sikkerhedsmekanisme, der anvendes. Denne mekanisme hjælper med at identificere den, der ringer op. Hvis der bruges en digital signatur, indeholder overskriften oplysninger om, hvordan indholdet er underskrevet, og placeringen af nøglen, der bruges til at underskrive beskeden.
Oplysninger relateret til kryptering gemmes også i SOAP-overskriften. ID-attributten gemmes som en del af SOAP-overskriften, hvilket forenkler behandlingen. Tidsstemplet bruges som et ekstra beskyttelsesniveau mod angreb på meddelelsens integritet. Når der oprettes en meddelelse, er en tidsstempel tilknyttet beskeden, der angiver, hvornår den blev oprettet. Yderligere tidsstempler bruges til udløbet af meddelelsen og til at indikere, hvornår meddelelsen blev modtaget på destinationsnoden.
WS-sikkerhedsgodkendelsesmekanismer
- Brugernavn / adgangskode-tilgang: Kombinationen af brugernavn og adgangskode er en af de anvendte grundlæggende godkendelsesmekanismer og er analog med HTTP Digest og Basic-baseret godkendelsesmetoder. Tegnelementet til brugernavn bruges til at videregive brugeroplysninger til godkendelse. Adgangskoden kan transporteres som almindelig tekst eller i fordøjelsesformat. Når du bruger digest-metoden, krypteres adgangskoden ved hjælp af SHA1-hashing-teknikken.
- X.509-tilgang: Denne tilgang identificerer brugeren ved en offentlig nøgleinfrastruktur, der kortlægger X.509-certifikatet til en bestemt bruger. Mere sikkerhed kan tilføjes ved hjælp af en offentlig nøgle og en privat nøgle til at kryptere og dekryptere X.509-certifikatet. For at sikre, at meddelelser ikke afspilles, kan en tidsbegrænsning indstilles til at afvise meddelelser, der ankommer efter en bestemt forløbet varighed.
- Kerberos: Begrebet en billet danner den underliggende mekanisme for Kerberos. Klienten skal autentificere med et nøgledistributionscenter (KDC) vha. En kombination af brugernavn / adgangskode eller et X.509-certifikat. Ved vellykket godkendelse tildeles brugeren en billetudstedelsesbillet (TGT). Ved hjælp af TGT forsøger klienten at få adgang til en billetudstedelsestjeneste (TGS). På dette trin er de to første roller med identifikation og autorisation forbi. Klienten anmoder derefter om en servicebillet (ST) for at erhverve en bestemt ressource fra TGS og tildeles ST. Klienten bruger ST til at få adgang til tjenesten.
- Digital signatur: XML-signaturer bruges til at beskytte beskeden mod ændring og fortolkning. Signeringen skal udføres af en pålidelig part eller den rigtige afsender.
- Kryptering: XML-kryptering bruges til at beskytte data mod fortolkning ved at gøre dem uleselige for en uautoriseret tredjepart. Både symmetriske og asymmetriske tilgange kan anvendes.
WS-Security gør det muligt at udnytte de eksisterende sikkerhedsmekanismer passende for at forhindre enhver omkostning ved at inkorporere nye mekanismer.
