Turinys:
- Apibrėžimas - Ką reiškia interneto paslaugų sauga (WS sauga)?
- „Techopedia“ paaiškina interneto paslaugų saugumą (WS saugumas)
Apibrėžimas - Ką reiškia interneto paslaugų sauga (WS sauga)?
Žiniatinklio paslaugų sauga (WS sauga) yra specifikacija, apibrėžianti, kaip interneto priemonėse įgyvendinamos saugos priemonės, siekiant apsaugoti jas nuo išorinių atakų. Tai protokolų rinkinys, užtikrinantis SOAP pagrįstų pranešimų saugumą įgyvendinant konfidencialumo, vientisumo ir autentifikacijos principus.
Kadangi interneto paslaugos nepriklauso nuo jokios aparatinės ir programinės įrangos diegimo, „WS-Security“ protokolai turi būti pakankamai lankstūs, kad pritaikytų naujus saugos mechanizmus ir pateiktų alternatyvius mechanizmus, jei metodas nėra tinkamas. Kadangi SOAP pagrįsti pranešimai keliauja per kelis tarpininkus, saugos protokolai turi sugebėti identifikuoti netikrus mazgus ir užkirsti kelią duomenų interpretavimui bet kuriame mazge. „WS-Security“ derina geriausius būdus, kaip išspręsti įvairias saugos problemas, leisdamas kūrėjui pritaikyti tam tikrą saugos sprendimą daliai problemos. Pvz., Kūrėjas gali pasirinkti skaitmeninius parašus nepaneigimui ir „Kerberos“ autentifikavimui.
„Techopedia“ paaiškina interneto paslaugų saugumą (WS saugumas)
„WS-Security“ tikslas yra užtikrinti, kad neleistina trečioji šalis netrikdytų ir neaiškintų dviejų šalių bendravimo. Gavėjas turi būti tikras, kad pranešimą iš tikrųjų išsiuntė siuntėjas, ir siuntėjas turėtų būti užtikrintas, kad gavėjas negali paneigti gavęs pranešimą. Galiausiai ryšių metu siunčiami duomenys neturėtų būti keičiami pašalinių šaltinių. Visi su saugumu susiję duomenys pridedami kaip SOAP antraštės dalis. Todėl, suaktyvinus saugos mechanizmus, SOAP pranešimų formavimui yra priskiriama daug išlaidų.
WS-Security SOAP antraštė:
Kūrėjas gali laisvai pasirinkti bet kurį apsaugos mechanizmą ar protokolų rinkinį savo tikslui pasiekti. Sauga įgyvendinama naudojant antraštę, kurią sudaro raktų ir reikšmių porų rinkinys, kur reikšmė atitinkamai keičiasi atsižvelgiant į naudojamo pagrindinio saugumo mechanizmo pokyčius. Šis mechanizmas padeda nustatyti skambinančiojo tapatybę. Jei naudojamas skaitmeninis parašas, antraštėje yra informacijos apie tai, kaip buvo pasirašytas turinys, ir rakto, naudojamo pranešimui pasirašyti, vietą.
Informacija, susijusi su šifravimu, taip pat saugoma SOAP antraštėje. ID atributas saugomas kaip SOAP antraštės dalis, o tai supaprastina apdorojimą. Laiko žyma naudojama kaip papildomas apsaugos nuo pranešimų vientisumo išpuolių lygis. Kai kuriamas pranešimas, laiko žyma susiejama su pranešimu, nurodančiu, kada jis buvo sukurtas. Papildomos laiko žymos naudojamos pranešimo galiojimo laikui pasibaigus ir norint nurodyti, kada pranešimas buvo gautas paskirties mazge.
„WS-Security“ autentifikavimo mechanizmai
- Vartotojo vardas / slaptažodis: vartotojo vardo ir slaptažodžio derinys yra vienas iš pagrindinių naudojamų autentifikavimo mechanizmų ir yra analogiškas HTTP sutikrinimo ir pagrindinio autentifikavimo metodams. Vartotojo vardo žetono elementas naudojamas perduodant vartotojo kredencialus autentifikavimui. Slaptažodis gali būti gabenamas kaip paprastas tekstas arba suvestinis formatas. Kai naudojamas suvestinės metodas, slaptažodis užšifruojamas naudojant SHA1 maišos metodą.
- X.509 metodas: Šis metodas identifikuoja vartotoją pagal viešojo rakto infrastruktūrą, kuri X.509 sertifikatą priskiria konkrečiam vartotojui. Daugiau saugumo galima pridėti naudojant viešąjį raktą ir privatųjį raktą, norint užšifruoti ir iššifruoti X.509 sertifikatą. Norėdami užtikrinti, kad pranešimai nebus pakartojami, gali būti nustatytas laiko tarpas, per kurį pranešimai, atkeliaujantys po tam tikro laiko, bus atmesti.
- „Kerberos“: bilieto koncepcija sudaro pagrindinį „Kerberos“ mechanizmą. Klientas turi autentifikuotis naudodamas raktų paskirstymo centrą (KDC) naudodamas vartotojo vardo ir slaptažodžio derinį arba X.509 sertifikatą. Sėkmingai autentifikavus, vartotojui suteikiamas bilietą suteikiantis bilietas (TGT). Naudodamasis TGT, klientas bando naudotis bilietų suteikimo paslauga (TGS). Šiame etape baigėsi du pirmieji identifikavimo ir autorizacijos vaidmenys. Tada klientas paprašo paslaugų bilieto (ST), kad iš TGS įsigytų tam tikrą išteklių, ir jam suteikiama ST. Klientas naudojasi ST norėdamas pasiekti paslaugą.
- Skaitmeninis parašas: XML parašai naudojami siekiant apsaugoti pranešimą nuo modifikavimo ir aiškinimo. Pasirašymą turi atlikti patikima šalis arba tikrasis siuntėjas.
- Šifravimas: XML šifravimas naudojamas apsaugoti duomenis nuo interpretacijos, padarant juos neįskaitomus trečiosioms šalims. Galima naudoti tiek simetrinį, tiek asimetrinį požiūrį.
„WS-Security“ suteikia galimybę tinkamai panaudoti esamus apsaugos mechanizmus, kad būtų išvengta papildomų išlaidų, įtraukiant naujus mechanizmus.
