Сигурност на уеб услугите (ws security) - определение от techopedia

Определение - Какво означава сигурност на уеб услугите (WS Security)?

Сигурност на уеб услугите (WS Security) е спецификация, която определя как мерките за сигурност се прилагат в уеб услугите, за да ги защитят от външни атаки. Това е набор от протоколи, които гарантират сигурност за SOAP-базирани съобщения чрез прилагане на принципите за конфиденциалност, цялостност и автентификация.

Тъй като уеб услугите са независими от каквито и да било реализации на хардуер и софтуер, WS-Security протоколите трябва да бъдат достатъчно гъвкави, за да приспособят нови механизми за сигурност и да осигурят алтернативни механизми, ако подходът не е подходящ. Тъй като съобщенията на базата на SOAP преминават през множество посредници, протоколите за сигурност трябва да могат да идентифицират фалшиви възли и да предотвратят интерпретирането на данни във всякакви възли. WS-Security съчетава най-добрите подходи за справяне с различни проблеми със сигурността, като позволява на разработчика да персонализира конкретно решение за сигурност за част от проблема. Например, програмистът може да избере цифрови подписи за неповторение и Kerberos за удостоверяване.

Techopedia обяснява сигурността на уеб услугите (WS Security)

Целта на WS-Security е да гарантира, че комуникацията между две страни не се прекъсва или интерпретира от неоторизирана трета страна. Получателят трябва да бъде сигурен, че съобщението наистина е изпратено от подателя и изпращачът трябва да бъде сигурен, че получателят не може да откаже получаването му. И накрая, данните, изпратени по време на комуникация, не трябва да се променят от неоторизиран източник. Всички данни, свързани със сигурността, се добавят като част от заглавката на SOAP. Поради това се налага значителни режийни разходи за формирането на SOAP съобщения, когато се активират механизмите за защита.

WS-Security SOAP Header:

Програмистът е свободен да избере всеки основен механизъм за защита или набор от протоколи, за да постигне целта си. Сигурността се реализира с помощта на заглавка, която се състои от набор от двойки ключ-стойност, където стойността се променя по подходящ начин с промените в използвания механизъм за защита. Този механизъм помага да се идентифицира самоличността на обаждащия се. Ако се използва цифров подпис, заглавката съдържа информация за това как съдържанието е подписано и местоположението на ключа, използван за подписване на съобщението.

Информацията, свързана с криптирането, също се съхранява в заглавката на SOAP. Атрибутът ID се съхранява като част от заглавката на SOAP, което опростява обработката. Временната марка се използва като допълнително ниво на защита срещу атаки срещу целостта на съобщението. Когато е създадено съобщение, времева марка се свързва със съобщението, указващо кога е създадено. Допълнителни времеви отметки се използват за изтичане на съобщението и за да посочат кога съобщението е получено в целевия възел.

WS-Механизми за удостоверяване на сигурността

• Подход на потребителско име / парола: Комбинацията потребителско име и парола е един от основните механизми за автентификация, използвани и е аналог на методите за удостоверяване на HTTP Digest и Basic. Елементът за означение на потребителското име се използва за предаване на потребителски идентификационни данни за удостоверяване. Паролата може да бъде транспортирана като обикновен текст или във формат за превод. Когато се използва дайджестният подход, паролата се криптира чрез техниката на хеширане на SHA1.
• Подход X.509: Този подход идентифицира потребителя чрез инфраструктура с публичен ключ, която картографира сертификата X.509 на конкретен потребител. Може да се добави повече сигурност, като се използва публичен ключ и частен ключ за криптиране и дешифриране на сертификата X.509. За да се гарантира, че съобщенията не се възпроизвеждат, може да бъде зададен срок за отхвърляне на съобщения, които пристигат след определена изминала продължителност.
• Kerberos: Концепцията за билет формира основния механизъм на Kerberos. Клиентът трябва да се удостоверява с ключ за разпространение на ключове (KDC), използвайки комбинация от потребителско име / парола или X.509 сертификат. При успешно удостоверяване на потребителя се предоставя билет за предоставяне на билет (TGT). Използвайки TGT, клиентът се опитва да получи достъп до услуга за предоставяне на билети (TGS). На тази стъпка първите две роли на идентификация и разрешение са приключили. След това клиентът иска сервизен билет (ST), за да придобие определен ресурс от TGS и му се предоставя ST. Клиентът използва ST за достъп до услугата.
• Цифров подпис: XML подписите се използват за защита на съобщението от модификация и интерпретация. Подписването трябва да се извърши от надеждна страна или от реалния подател.
• Шифроване: XML криптирането се използва за защита на данните от интерпретация, като го прави нечетлив за неоторизирана трета страна. Могат да се използват както симетрични, така и асиметрични подходи.

WS-Security позволява съществуващите механизми за защита да се използват по подходящ начин, за да се предотврати всякакви режийни разходи при включване на нови механизми.