Web servicesikkerhet (ws security) - definisjon fra techopedia

Definisjon - Hva betyr Web Services Security (WS Security)?

Web Services Security (WS Security) er en spesifikasjon som definerer hvordan sikkerhetstiltak blir implementert i webtjenester for å beskytte dem mot eksterne angrep. Det er et sett med protokoller som sikrer sikkerhet for SOAP-baserte meldinger ved å implementere prinsippene om konfidensialitet, integritet og autentisering.

Fordi webtjenester er uavhengige av implementeringer av maskinvare og programvare, må WS-Security-protokoller være fleksible nok til å imøtekomme nye sikkerhetsmekanismer og gi alternative mekanismer hvis en tilnærming ikke er egnet. Fordi SOAP-baserte meldinger krysser flere mellomledd, trenger sikkerhetsprotokoller å være i stand til å identifisere falske noder og forhindre tolkning av data ved noen noder. WS-Security kombinerer de beste tilnærmingene for å takle forskjellige sikkerhetsproblemer ved å la utvikleren tilpasse en bestemt sikkerhetsløsning for en del av problemet. For eksempel kan utvikleren velge digitale signaturer for ikke-avvising og Kerberos for godkjenning.

Techopedia forklarer Web Services Security (WS Security)

Målet med WS-Security er å sikre at kommunikasjonen mellom to parter ikke blir avbrutt eller tolket av en uautorisert tredjepart. Mottakeren må være trygg på at meldingen faktisk ble sendt av avsenderen, og avsenderen skal være trygg på at mottakeren ikke kan nekte å motta meldingen. Endelig skal dataene som sendes under kommunikasjonen ikke endres av en uautorisert kilde. Alle data relatert til sikkerhet legges til som en del av SOAP-overskriften. Derfor pålegges SOAP-meldingsdannelsen et betydelig overhead når sikkerhetsmekanismer aktiveres.

WS-Security SOAP Header:

Utvikleren står fritt til å velge underliggende sikkerhetsmekanisme eller sett med protokoller for å oppnå sitt mål. Sikkerhet implementeres ved hjelp av en overskrift som består av et sett med nøkkelverdipar der verdien endres riktig med endringer i den underliggende sikkerhetsmekanismen som brukes. Denne mekanismen hjelper deg med å identifisere den som ringer. Hvis en digital signatur brukes, inneholder overskriften informasjon om hvordan innholdet er signert og plasseringen av nøkkelen som brukes til å signere meldingen.

Informasjon relatert til kryptering lagres også i SOAP-overskriften. ID-attributtet lagres som en del av SOAP-overskriften, noe som forenkler behandlingen. Tidsstemplet brukes som et ekstra beskyttelsesnivå mot angrep på meldingsintegriteten. Når en melding opprettes, er en tidsstempel tilknyttet meldingen som indikerer når den ble opprettet. Ytterligere tidsstempler brukes til utløpet av meldingen og for å indikere når meldingen ble mottatt på destinasjonsnoden.

WS-sikkerhetsgodkjenningsmekanismer

• Brukernavn / passordtilnærming: Kombinasjonen av brukernavn og passord er en av de grunnleggende autentiseringsmekanismene som brukes, og er analog med HTTP Digest og Basic-baserte godkjenningsmetoder. Elementet til brukernavnet brukes til å passere brukeropplysninger for autentisering. Passordet kan transporteres som ren tekst eller i fordøyelsesformat. Når fordøyelsesmetoden brukes, krypteres passordet ved bruk av SHA1-hashing-teknikken.
• X.509-tilnærming: Denne tilnærmingen identifiserer brukeren med en offentlig nøkkelinfrastruktur som kartlegger X.509-sertifikatet til en bestemt bruker. Mer sikkerhet kan legges ved å bruke en offentlig nøkkel og en privat nøkkel for å kryptere og dekryptere X.509-sertifikatet. For å sikre at meldinger ikke spilles av igjen, kan det settes en tidsbegrensning for å avvise meldinger som ankommer etter en viss utløpt varighet.
• Kerberos: Konseptet med en billett danner den underliggende mekanismen til Kerberos. Klienten må autentisere med et nøkkel distribusjonssenter (KDC) ved å bruke en brukernavn / passordkombinasjon eller et X.509-sertifikat. Ved vellykket godkjenning får brukeren en billettgivende billett (TGT). Ved hjelp av TGT prøver klienten å få tilgang til en billettgivende tjeneste (TGS). På dette trinnet er de to første rollene med identifikasjon og autorisasjon over. Klienten ber deretter om en servicebillett (ST) for å skaffe seg en spesiell ressurs fra TGS og tildeles ST. Klienten bruker ST for å få tilgang til tjenesten.
• Digital signatur: XML-signaturer brukes for å beskytte meldingen mot endring og tolkning. Signeringen må utføres av en pålitelig part eller den virkelige avsenderen.
• Kryptering: XML-kryptering brukes til å beskytte data mot tolkning ved å gjøre det uleselig for en uautorisert tredjepart. Både symmetriske og asymmetriske tilnærminger kan brukes.

WS-Security gjør det mulig å utnytte eksisterende sikkerhetsmekanismer på riktig måte for å forhindre overhead ved å innlemme nye mekanismer.