Varnost spletnih storitev (ws varnost) - definicija iz tehopedije

Opredelitev - Kaj pomeni varnost spletnih storitev (WS Security)?

Varnost spletnih storitev (WS Security) je specifikacija, ki določa, kako se v spletnih storitvah izvajajo varnostni ukrepi za zaščito pred zunanjimi napadi. Gre za nabor protokolov, ki zagotavljajo varnost sporočil, ki temeljijo na SOAP, z izvajanjem načel zaupnosti, celovitosti in pristnosti.

Ker so spletne storitve neodvisne od kakršne koli izvedbe strojne in programske opreme, morajo biti protokoli WS-Security dovolj prilagodljivi, da lahko sprejmejo nove varnostne mehanizme in zagotovijo alternativne mehanizme, če pristop ni primeren. Ker sporočila na osnovi SOAP prečkajo več posrednikov, morajo biti varnostni protokoli sposobni prepoznati ponarejena vozlišča in preprečiti interpretacijo podatkov na katerem koli vozlišču. WS-Security združuje najboljše pristope za reševanje različnih varnostnih težav, saj omogoča razvijalcu, da prilagodi določeno varnostno rešitev za del težave. Na primer, lahko razvijalec izbere digitalne podpise za nepovračanje in Kerberos za preverjanje pristnosti.

Techopedia razlaga varnost spletnih storitev (varnost WS)

Cilj WS-Security je zagotoviti, da komunikacija med obema stranema ne prekine ali razlaga nepooblaščene tretje osebe. Prejemnik mora biti prepričan, da je pošiljatelj sporočilo res poslal, in pošiljatelj mora biti prepričan, da prejemnik ne more zavrniti prejema sporočila. Podatkov, poslanih med komunikacijo, ne bi smeli spreminjati nepooblaščeni viri. Vsi podatki, povezani z varnostjo, so dodani kot del glave SOAP. Zato je nastajanje sporočil SOAP veliko obremenitev, ko so aktivirani varnostni mehanizmi.

WS-Security SOAP Header:

Razvijalec lahko izbere kateri koli osnovni varnostni mehanizem ali niz protokolov, da doseže svoj cilj. Varnost se izvaja s pomočjo glave, ki je sestavljena iz niza parov ključ-vrednost, pri čemer se vrednost ustrezno spreminja s spremembami v uporabljenem varnostnem mehanizmu. Ta mehanizem pomaga ugotoviti identiteto kličočega. Če uporabljate digitalni podpis, glava vsebuje informacije o tem, kako je bila podpisana vsebina in lokacijo ključa, ki se uporablja za podpis sporočila.

Informacije, povezane s šifriranjem, so shranjene tudi v glavi SOAP. Atribut ID je shranjen kot del glave SOAP, kar poenostavlja obdelavo. Časovni žig se uporablja kot dodatna raven zaščite pred napadi na integriteto sporočila. Ko je sporočilo ustvarjeno, je časovno žigo povezano s sporočilom, ki označuje, kdaj je bilo ustvarjeno. Dodatne časovne žige se uporabljajo za iztek sporočila in za označitev, kdaj je sporočilo prejeto v ciljnem vozlišču.

WS-varnostni mehanizmi za preverjanje pristnosti

• Uporabniško ime / geslo pristop: Kombinacija uporabniškega imena in gesla je eden izmed osnovnih uporabljenih mehanizmov za preverjanje pristnosti in je analogen načinom overjanja HTTP Digest in Osnovno preverjanje pristnosti. Element žetona uporabniškega imena se uporablja za posredovanje uporabniških poverilnic za preverjanje pristnosti. Geslo je mogoče prenašati v navadnem besedilu ali v prebavnem formatu. Ko uporabimo pristop za prebavo, se geslo šifrira s tehniko šivanja SHA1.
• Pristop X.509: Ta pristop prepozna uporabnika po infrastrukturi javnega ključa, ki potrdilo X.509 presodi določenemu uporabniku. Več varnosti lahko dodate z uporabo javnega in zasebnega ključa za šifriranje in dešifriranje potrdila X.509. Da zagotovite, da se sporočila ne bodo predvajala, lahko določite časovno omejitev za zavrnitev sporočil, ki prispejo po določenem pretečenem času.
• Kerberos: Koncept vozovnice tvori osnovni mehanizem Kerberosa. Naročnik se mora overiti s distribucijskim centrom ključev (KDC) z uporabo kombinacije uporabniškega imena / gesla ali potrdila X.509. Ob uspešni avtentikaciji se uporabniku odobri vozovnica (TGT). Stranka s pomočjo TGT poskuša dostopati do storitve odobritve vozovnic (TGS). Na tem koraku sta prvi dve vlogi identifikacije in avtorizacije končani. Naročnik nato zahteva vstopnico za storitve (ST) za pridobitev določenega vira iz TGS in mu odobri ST. Odjemalec uporablja ST za dostop do storitve.
• Digitalni podpis: podpisi XML se uporabljajo za zaščito sporočila pred spreminjanjem in razlago. Podpis mora opraviti zanesljiva stranka ali pravi pošiljatelj.
• Šifriranje: Šifriranje XML se uporablja za zaščito podatkov pred interpretacijo, zaradi česar jih ni mogoče brati nepooblaščenim tretjim osebam. Uporabljajo se lahko simetrični in asimetrični pristopi.

Varnost WS omogoča, da se obstoječi varnostni mehanizmi ustrezno uporabijo, da se preprečijo morebitni režijski stroški pri vgradnji novih mehanizmov.