Zabezpečení webových služeb (zabezpečení WS)

Autor: Randy Alexander
Datum Vytvoření: 2 Duben 2021
Datum Aktualizace: 16 Smět 2024
Anonim
Zabezpečení webových služeb (zabezpečení WS) - Technologie
Zabezpečení webových služeb (zabezpečení WS) - Technologie

Obsah

Definice - Co znamená zabezpečení webových služeb (WS Security)?

Zabezpečení webových služeb (WS Security) je specifikace, která definuje způsob implementace bezpečnostních opatření ve webových službách, které je chrání před vnějšími útoky. Jedná se o sadu protokolů, které zajišťují zabezpečení SOAP na základě implementace principů důvěrnosti, integrity a autentizace.


Protože webové služby jsou nezávislé na jakékoli implementaci hardwaru a softwaru, protokoly WS-Security musí být dostatečně flexibilní, aby vyhovovaly novým bezpečnostním mechanismům a poskytovaly alternativní mechanismy, pokud přístup není vhodný. Protože na bázi SOAP procházejí více zprostředkovatelů, musí být bezpečnostní protokoly schopny identifikovat falešné uzly a zabránit interpretaci dat v jakémkoli uzlu. WS-Security kombinuje nejlepší přístupy k řešení různých bezpečnostních problémů tím, že umožňuje vývojáři přizpůsobit konkrétní bezpečnostní řešení pro část problému. Například vývojář může vybrat digitální podpisy pro nevypovědení a Kerberos pro autentizaci.

Úvod do Microsoft Azure a Microsoft Cloud | V této příručce se dozvíte, o čem cloud computing je a jak vám může Microsoft Azure pomoci migrovat a řídit podnikání z cloudu.

Techopedia vysvětluje zabezpečení webových služeb (zabezpečení WS)

Cílem WS-Security je zajistit, aby komunikace mezi dvěma stranami nebyla přerušena nebo interpretována neoprávněnou třetí stranou. Přijímač musí mít jistotu, že byl skutečně odeslán er, a měl by být zajištěn, že příjemce nemůže odmítnout příjem. Nakonec by data odeslaná během komunikace neměla být změněna neautorizovaným zdrojem. Všechna data související se zabezpečením jsou přidána jako součást záhlaví SOAP. Při aktivaci bezpečnostních mechanismů je tedy na tvorbu SOAP uložena značná režie.


Záhlaví SOAP WS-Security:
Vývojář si může zvolit jakýkoli základní bezpečnostní mechanismus nebo sadu protokolů k dosažení svého cíle. Zabezpečení je implementováno pomocí záhlaví, které se skládá ze sady párů klíč-hodnota, kde se hodnota přiměřeně mění se změnami použitého použitého bezpečnostního mechanismu. Tento mechanismus pomáhá identifikovat identitu volajícího. Pokud je použit digitální podpis, záhlaví obsahuje informace o tom, jak byl podepsán obsah a umístění klíče použitého k podpisu.

Informace týkající se šifrování jsou také uloženy v záhlaví SOAP. Atribut ID je uložen jako součást záhlaví SOAP, což zjednodušuje zpracování. Časové razítko se používá jako další úroveň ochrany před útoky na integritu. Když je vytvořen a, je časové razítko přiřazeno k označení, kdy byl vytvořen. Další časová razítka se používají pro vypršení platnosti a označují, kdy byla přijata v cílovém uzlu.


Mechanismy ověřování zabezpečení WS

  • Přístup s uživatelským jménem a heslem: Kombinace uživatelského jména a hesla je jedním ze základních použitých autentizačních mechanismů a je analogický metodám autentizace založených na HTTP Digest a Basic. Prvek tokenu uživatelského jména se používá k předávání pověření uživatele k ověření. Heslo lze přenášet jako prostý nebo ve formátu digest. Při použití přístupu digest je heslo šifrováno pomocí hashovací techniky SHA1.
  • Přístup X.509: Tento přístup identifikuje uživatele infrastrukturou veřejného klíče, která mapuje certifikát X.509 na konkrétního uživatele. Vyšší zabezpečení lze přidat pomocí veřejného klíče a soukromého klíče k šifrování a dešifrování certifikátu X.509. Aby se zajistilo, že se nebudou přehrávat, lze nastavit časový limit na pokles, který dorazí po uplynutí určité doby.
  • Kerberos: Koncept lístku tvoří základní mechanismus Kerberosu. Klient se musí autentizovat pomocí distribučního centra klíčů (KDC) pomocí kombinace uživatelského jména a hesla nebo certifikátu X.509. Po úspěšném ověření se uživateli udělí lístek udělující lístek (TGT). Pomocí TGT se klient pokusí získat přístup ke službě udělování vstupenek (TGS). V tomto kroku skončily první dvě role identifikace a autorizace. Klient poté požádá o servisní lístek (ST) k získání konkrétního zdroje z TGS a je mu udělen ST. Klient používá ST pro přístup ke službě.
  • Digitální podpis: Podpisy XML se používají k ochraně před změnami a interpretací. Podpis musí být proveden spolehlivou stranou nebo skutečným er.
  • Šifrování: Šifrování XML se používá k ochraně dat před interpretací tím, že je nečitelné neoprávněné třetí straně. Lze použít symetrické i asymetrické přístupy.

WS-Security umožňuje vhodně využít stávající bezpečnostní mechanismy, aby se předešlo jakémukoli režijnímu zatížení při zavádění nových mechanismů.