Obsah:
- Definícia - Čo znamená bezpečnosť webových služieb (WS Security)?
- Techopedia vysvetľuje Web Services Security (WS Security)
Definícia - Čo znamená bezpečnosť webových služieb (WS Security)?
Zabezpečenie webových služieb (WS Security) je špecifikácia, ktorá definuje spôsob implementácie bezpečnostných opatrení vo webových službách na ich ochranu pred externými útokmi. Je to sada protokolov, ktoré zabezpečujú bezpečnosť správ založených na SOAP implementáciou zásad dôvernosti, integrity a autentifikácie.
Pretože webové služby sú nezávislé od hardvérových a softvérových implementácií, protokoly WS-Security musia byť dostatočne flexibilné, aby vyhovovali novým bezpečnostným mechanizmom a poskytovali alternatívne mechanizmy, ak prístup nie je vhodný. Pretože správy založené na SOAP prechádzajú cez viacerých sprostredkovateľov, bezpečnostné protokoly musia byť schopné identifikovať falošné uzly a zabrániť interpretácii údajov v ktoromkoľvek uzle. WS-Security kombinuje najlepšie prístupy k riešeniu rôznych bezpečnostných problémov tým, že umožňuje vývojárovi prispôsobiť konkrétne bezpečnostné riešenie pre časť problému. Napríklad vývojár môže zvoliť digitálne podpisy na účely nevypovedania a protokol Kerberos na overenie.
Techopedia vysvetľuje Web Services Security (WS Security)
Cieľom WS-Security je zabezpečiť, aby neoprávnená tretia strana neprerušovala alebo nevykladala komunikáciu medzi dvoma stranami. Prijímateľ musí mať istotu, že správa bola skutočne odoslaná odosielateľom, a odosielateľ by mal byť uistený, že príjemca nemôže odmietnuť príjem správy. Nakoniec, údaje odoslané počas komunikácie by nemali byť zmenené neoprávneným zdrojom. Všetky údaje týkajúce sa bezpečnosti sa pridávajú ako súčasť hlavičky SOAP. Preto je pri aktivácii bezpečnostných mechanizmov zavedená značná réžia pri tvorbe správy SOAP.
Hlavička protokolu WS-Security SOAP:
Vývojár si môže zvoliť akýkoľvek základný bezpečnostný mechanizmus alebo sadu protokolov na dosiahnutie svojho cieľa. Zabezpečenie sa implementuje pomocou záhlavia, ktoré pozostáva zo skupiny párov kľúč - hodnota, kde sa hodnota primerane mení so zmenami použitého základného bezpečnostného mechanizmu. Tento mechanizmus pomáha identifikovať totožnosť volajúceho. Ak sa používa digitálny podpis, hlavička obsahuje informácie o spôsobe podpísania obsahu a umiestnení kľúča použitého na podpísanie správy.
Informácie týkajúce sa šifrovania sú tiež uložené v hlavičke SOAP. Atribút ID je uložený ako súčasť hlavičky SOAP, čo zjednodušuje spracovanie. Časová pečiatka sa používa ako dodatočná úroveň ochrany proti útokom na integritu správy. Po vytvorení správy je k správe priradená časová pečiatka označujúca, kedy bola vytvorená. Na vypršanie platnosti správy a na označenie, kedy bola správa prijatá v cieľovom uzle, sa používajú ďalšie časové pečiatky.
Mechanizmy overovania bezpečnosti WS
- Prístup pomocou užívateľského mena a hesla: Kombinácia užívateľského mena a hesla je jedným zo základných použitých mechanizmov autentifikácie a je analogická s metódami autentifikácie založenými na HTTP Digest a Basic. Prvok tokenu používateľského mena sa používa na odovzdanie poverení používateľa na autentifikáciu. Heslo je možné prenášať ako obyčajný text alebo vo formáte digest. Keď sa použije prístup digest, heslo sa zašifruje pomocou hashovacej techniky SHA1.
- Prístup X.509: Tento prístup identifikuje používateľa pomocou infraštruktúry verejného kľúča, ktorá mapuje certifikát X.509 na konkrétneho používateľa. Väčšiu bezpečnosť je možné pridať pomocou verejného kľúča a súkromného kľúča na šifrovanie a dešifrovanie certifikátu X.509. Aby sa zabezpečilo, že sa správy nebudú prehrávať, je možné nastaviť časový limit na odmietnutie správ, ktoré dorazia po určitej uplynutej dobe.
- Kerberos: Koncept lístka tvorí základný mechanizmus Kerberosu. Klient sa musí autentifikovať v distribučnom centre kľúčov (KDC) pomocou kombinácie používateľského mena a hesla alebo certifikátu X.509. Po úspešnej autentifikácii je používateľovi udelený lístok na udelenie vstupenky (TGT). Pomocou TGT sa klient pokúša získať prístup k službe udeľovania lístkov (TGS). V tomto kroku sa skončili prvé dve úlohy identifikácie a autorizácie. Klient potom požiada o servisný lístok (ST) na získanie konkrétneho zdroja z TGS a udelí mu ST. Klient používa ST na prístup k službe.
- Digitálny podpis: Podpisy XML sa používajú na ochranu správy pred úpravami a interpretáciou. Podpis musí byť podpísaný spoľahlivou stranou alebo skutočným odosielateľom.
- Šifrovanie: Šifrovanie XML sa používa na ochranu údajov pred interpretáciou tým, že je nečitateľné pre neoprávnenú tretiu stranu. Môžu sa použiť symetrické aj asymetrické prístupy.
WS-Security umožňuje primerané využitie existujúcich bezpečnostných mechanizmov, aby sa predišlo akejkoľvek réžii pri začleňovaní nových mechanizmov.