Verkkopalvelujen suojaus (ws turvallisuus) - määritelmä techopediasta

Määritelmä - Mitä Web Services Security (WS Security) tarkoittaa?

Web Services -turvallisuus (WS Security) on eritelmä, joka määrittelee, kuinka tietoturvatoimenpiteet toteutetaan verkkopalveluissa niiden suojaamiseksi ulkoisilta hyökkäyksiltä. Se on joukko protokollia, jotka varmistavat SOAP-pohjaisten viestien tietoturvan toteuttamalla luottamuksellisuuden, eheyden ja todennuksen periaatteet.

Koska Web-palvelut ovat riippumattomia kaikista laitteisto- ja ohjelmisto-toteutuksista, WS-Security-protokollien on oltava riittävän joustavia uusien suojausmekanismien mukauttamiseksi ja vaihtoehtoisten mekanismien tarjoamiseksi, jos lähestymistapa ei sovellu. Koska SOAP-pohjaiset viestit kulkevat useiden välittäjien läpi, turvallisuusprotokollien on kyettävä tunnistamaan vääriä solmuja ja estämään tietojen tulkinta millään solmulla. WS-Security yhdistää parhaat toimintatavat eri tietoturvaongelmien ratkaisemiseksi antamalla kehittäjälle mahdollisuuden mukauttaa tietty tietoturvaratkaisu osaan ongelmaa. Kehittäjä voi esimerkiksi valita digitaaliset allekirjoitukset kieltäytymättä jättämisestä ja Kerberos todennusta varten.

Techopedia selittää verkkopalvelujen suojauksen (WS Security)

WS-Securityn tarkoituksena on varmistaa, että luvaton kolmas osapuoli ei keskeytä tai tulkitse kahden osapuolen välistä viestintää. Vastaanottajalle on varmistettava, että lähettäjä todella lähetti viestin, ja lähettäjälle tulisi varmistaa, että vastaanottaja ei voi kieltää viestin vastaanottamista. Viimeinkin viestinnän aikana lähetettyjä tietoja ei tule muuttaa luvattomalta lähteeltä. Kaikki turvallisuuteen liittyvät tiedot lisätään osana SOAP-otsikkoa. Siksi SOAP-sanomien muodostumiselle asetetaan huomattava lisäkustannus, kun turvamekanismit aktivoidaan.

WS-Security SOAP -otsikko:

Kehittäjä voi vapaasti valita minkä tahansa taustalla olevan tietoturvamekanismin tai protokollajoukon tavoitteensa saavuttamiseksi. Suojaus toteutetaan otsikolla, joka koostuu joukosta avain-arvopareja, joissa arvo muuttuu asianmukaisesti käytetyn taustalla olevan turvamekanismin muutosten kanssa. Tämä mekanismi auttaa tunnistamaan soittajan henkilöllisyyden. Jos käytetään digitaalista allekirjoitusta, otsikko sisältää tietoja siitä, kuinka sisältö on allekirjoitettu ja viestin allekirjoittamiseen käytetyn avaimen sijainti.

Salaukseen liittyvät tiedot tallennetaan myös SOAP-otsikkoon. ID-ominaisuus tallennetaan osana SOAP-otsikkoa, mikä yksinkertaistaa käsittelyä. Aikaleimaa käytetään lisäsuojana viestien eheyden hyökkäyksiltä. Kun viesti luodaan, viestiin liitetään aikaleima, joka ilmoittaa sen luomisen. Lisäaikaleimoja käytetään viestin voimassaolon päättymiseen ja ilmoittamaan, milloin viesti vastaanotettiin kohdesolmussa.

WS-Security-todennusmekanismit

• Käyttäjätunnus / salasana -lähestymistapa: Käyttäjätunnuksen ja salasanan yhdistelmä on yksi käytetyistä todennusmekanismeista, ja se on analoginen HTTP Digest- ja Basic-todennusmenetelmille. Käyttäjätunnustunniste-elementtiä käytetään käyttäjän valtuustietojen välittämiseen todennusta varten. Salasana voidaan kuljettaa selkeänä tekstinä tai sulatetussa muodossa. Kun digest-lähestymistapaa käytetään, salasana salataan SHA1-hajautustekniikalla.
• X.509 -lähestymistapa: Tämä lähestymistapa tunnistaa käyttäjän julkisen avaimen infrastruktuurilla, joka kartoittaa X.509-varmenteen tietylle käyttäjälle. Lisää tietoturvaa voidaan lisätä käyttämällä julkista avainta ja yksityistä avainta X.509-varmenteen salaamiseen ja salauksen purkamiseen. Sen varmistamiseksi, että viestejä ei toisteta uudelleen, voidaan asettaa aikaraja hylätä viestit, jotka saapuvat tietyn kuluneen ajan kuluttua.
• Kerberos: Lipun käsite muodostaa Kerberosin taustalla olevan mekanismin. Asiakkaan on todennettava avainten jakelukeskuksella (KDC) käyttämällä käyttäjänimi / salasana-yhdistelmää tai X.509-varmennetta. Onnistuneen todennuksen yhteydessä käyttäjälle myönnetään lipun myöntävä lippu (TGT). TGT: n avulla asiakas yrittää päästä lippujen myöntämispalveluun (TGS). Tässä vaiheessa kaksi ensimmäistä tunnistamis- ja valtuutusroolia ovat ohitse. Sitten asiakas pyytää palvelulippua (ST) hankkimaan tietyn resurssin TGS: ltä ja hänelle myönnetään ST. Asiakas käyttää ST: tä palvelun käyttämiseen.
• Digitaalinen allekirjoitus: XML-allekirjoituksia käytetään suojaamaan viesti muutoksilta ja tulkinnalta. Allekirjoittamisen on oltava luotettavan osapuolen tai todellisen lähettäjän suorittamaa.
• Salaus: XML-salausta käytetään suojaamaan tietoja tulkinnalta tekemällä niistä lukemattomia kolmansille osapuolille. Sekä symmetristä että epäsymmetristä lähestymistapaa voidaan käyttää.

WS-Security mahdollistaa olemassa olevien tietoturvamekanismien hyödyntämisen asianmukaisella tavalla, jotta estetään mahdolliset yleiskustannukset sisällyttämällä uusia mekanismeja.