Securitatea serviciilor web (ws security) - definiție din techopedia

Definiție - Ce înseamnă securitatea serviciilor web (WS Security)?

Securitatea serviciilor web (WS Security) este o specificație care definește modul în care măsurile de securitate sunt puse în aplicare în serviciile web pentru a le proteja de atacuri externe. Este un set de protocoale care asigură securitatea mesajelor bazate pe SOAP prin implementarea principiilor confidențialității, integrității și autentificării.

Deoarece serviciile web sunt independente de orice implementare hardware și software, protocoalele WS-Security trebuie să fie suficient de flexibile pentru a se acomoda cu noi mecanisme de securitate și pentru a oferi mecanisme alternative dacă o abordare nu este potrivită. Deoarece mesajele bazate pe SOAP traversează mai mulți intermediari, protocoalele de securitate trebuie să poată identifica noduri false și să prevină interpretarea datelor la orice noduri. WS-Security combină cele mai bune abordări pentru a rezolva diferite probleme de securitate, permițând dezvoltatorului să personalizeze o anumită soluție de securitate pentru o parte a problemei. De exemplu, dezvoltatorul poate selecta semnături digitale pentru non-repudiere și Kerberos pentru autentificare.

Techopedia explică securitatea serviciilor web (WS Security)

Scopul securității WS este de a asigura că comunicarea între două părți nu este întreruptă sau interpretată de un terț neautorizat. Receptorul trebuie să fie asigurat că mesajul a fost într-adevăr trimis de expeditor, iar expeditorul trebuie să fie asigurat că acesta nu poate refuza primirea mesajului. În cele din urmă, datele trimise în timpul comunicării nu ar trebui modificate de o sursă neautorizată. Toate datele legate de securitate sunt adăugate ca parte a antetului SOAP. Prin urmare, o formare generală considerabilă este impusă formării mesajelor SOAP atunci când sunt activate mecanismele de securitate.

WS-Security SOAP Header:

Dezvoltatorul este liber să aleagă orice mecanism de securitate de bază sau un set de protocoale pentru a-și atinge scopul. Securitatea este implementată folosind un antet care constă dintr-un set de perechi cheie-valoare în care valoarea se modifică în mod corespunzător cu modificări în mecanismul de securitate de bază utilizat. Acest mecanism ajută la identificarea identității apelantului. Dacă se folosește o semnătură digitală, antetul conține informații despre cum a fost semnat conținutul și locația cheii utilizate pentru a semna mesajul.

Informațiile legate de criptare sunt de asemenea stocate în antetul SOAP. Atributul ID este stocat ca parte a antetului SOAP, ceea ce simplifică procesarea. Momentul de timp este utilizat ca nivel suplimentar de protecție împotriva atacurilor asupra integrității mesajului. Când este creat un mesaj, o oră de timp este asociată cu mesajul care indică momentul în care a fost creat. Timpurile de timp suplimentare sunt utilizate pentru expirarea mesajului și pentru a indica când mesajul a fost primit la nodul de destinație.

Mecanisme de autentificare WS-Security

• Abordare utilizator / parolă: Combinația de utilizator și parolă este unul dintre mecanismele de autentificare de bază utilizate și este analogă metodelor de autentificare bazate pe HTTP Digest și Basic. Elementul token al utilizatorului este utilizat pentru a trece datele de autentificare ale utilizatorului pentru autentificare. Parola poate fi transportată ca text simplu sau în format digerare. Atunci când se utilizează abordarea de digerare, parola este criptată folosind tehnica de hashing SHA1.
• Abordare X.509: Această abordare identifică utilizatorul printr-o infrastructură de chei publice care mapează certificatul X.509 cu un anumit utilizator. Mai multă securitate poate fi adăugată folosind o cheie publică și o cheie privată pentru a cripta și decripta certificatul X.509. Pentru a vă asigura că mesajele nu sunt redate, se poate seta o limită de timp pentru a refuza mesajele care sosesc după o anumită durată.
• Kerberos: Conceptul unui bilet formează mecanismul care stă la baza lui Kerberos. Clientul trebuie să se autentifice cu un centru de distribuție a cheilor (KDC) folosind o combinație de nume utilizator / parolă sau un certificat X.509. La autentificarea cu succes, utilizatorului i se acordă un bilet de acordare a biletului (TGT). Utilizând TGT, clientul încearcă să acceseze un serviciu de acordare a biletelor (TGS). La această etapă, primele două roluri de identificare și autorizare s-au încheiat. Clientul solicită apoi un bilet de serviciu (ST) pentru a achiziționa o anumită resursă de la TGS și i se acordă ST. Clientul folosește ST-ul pentru a accesa serviciul.
• Semnătură digitală: Semnăturile XML sunt utilizate pentru a proteja mesajul de modificări și interpretare. Semnarea trebuie să fie efectuată de o parte de încredere sau de expeditorul real.
• Criptare: criptarea XML este utilizată pentru a proteja datele de interpretare, făcându-le iremediabile unui terț neautorizat. Se pot folosi atât abordări simetrice, cât și asimetrice.

WS-Security permite utilizarea mecanismelor de securitate existente în mod corespunzător, pentru a preveni includerea de noi mecanisme.