Beveiliging van webservices (ws-beveiliging) - definitie van techopedia

Definitie - Wat betekent Web Services Security (WS Security)?

Web Services Security (WS Security) is een specificatie die definieert hoe beveiligingsmaatregelen worden geïmplementeerd in webservices om ze te beschermen tegen externe aanvallen. Het is een set protocollen die de beveiliging van op SOAP gebaseerde berichten garanderen door de principes van vertrouwelijkheid, integriteit en authenticatie te implementeren.

Omdat webservices onafhankelijk zijn van hardware- en software-implementaties, moeten WS-Security-protocollen flexibel genoeg zijn om nieuwe beveiligingsmechanismen te huisvesten en alternatieve mechanismen bieden als een aanpak niet geschikt is. Omdat op SOAP gebaseerde berichten meerdere tussenpersonen doorkruisen, moeten beveiligingsprotocollen nepknooppunten kunnen identificeren en gegevensinterpretatie op alle knooppunten kunnen voorkomen. WS-Security combineert de beste benaderingen om verschillende beveiligingsproblemen aan te pakken door de ontwikkelaar in staat te stellen een specifieke beveiligingsoplossing aan te passen voor een deel van het probleem. De ontwikkelaar kan bijvoorbeeld digitale handtekeningen selecteren voor niet-afwijzing en Kerberos voor authenticatie.

Techopedia verklaart Web Services Security (WS Security)

Het doel van WS-Security is ervoor te zorgen dat de communicatie tussen twee partijen niet wordt onderbroken of geïnterpreteerd door een ongeautoriseerde derde partij. De ontvanger moet er zeker van zijn dat het bericht inderdaad door de afzender is verzonden en de afzender moet er zeker van zijn dat de ontvanger het bericht niet kan ontkennen. Ten slotte mogen de gegevens die tijdens de communicatie worden verzonden niet door een niet-geautoriseerde bron worden gewijzigd. Alle gegevens met betrekking tot beveiliging worden toegevoegd als onderdeel van de SOAP-header. Daarom wordt een aanzienlijke overhead opgelegd aan de vorming van SOAP-berichten wanneer beveiligingsmechanismen worden geactiveerd.

WS-Security SOAP-header:

De ontwikkelaar is vrij om elk onderliggende beveiligingsmechanisme of een reeks protocollen te kiezen om hun doel te bereiken. Beveiliging wordt geïmplementeerd met behulp van een header die bestaat uit een set sleutel / waarde-paren waarbij de waarde op de juiste manier verandert met wijzigingen in het onderliggende beveiligingsmechanisme dat wordt gebruikt. Dit mechanisme helpt de identiteit van de beller te identificeren. Als een digitale handtekening wordt gebruikt, bevat de koptekst informatie over hoe de inhoud is ondertekend en de locatie van de sleutel die is gebruikt om het bericht te ondertekenen.

Informatie met betrekking tot codering wordt ook opgeslagen in de SOAP-header. Het ID-kenmerk wordt opgeslagen als onderdeel van de SOAP-header, wat de verwerking vereenvoudigt. De tijdstempel wordt gebruikt als een extra beveiligingsniveau tegen aanvallen op de berichtintegriteit. Wanneer een bericht wordt gemaakt, wordt een tijdstempel aan het bericht gekoppeld die aangeeft wanneer het is gemaakt. Extra tijdstempels worden gebruikt voor het verlopen van het bericht en om aan te geven wanneer het bericht is ontvangen op het bestemmingsknooppunt.

WS-Security Authentication Mechanisms

• Gebruikersnaam / wachtwoordbenadering: de combinatie van gebruikersnaam en wachtwoord is een van de gebruikte basale authenticatiemechanismen en is analoog aan de op HTTP Digest en Basic gebaseerde authenticatiemethoden. Het gebruikersnaam token-element wordt gebruikt om gebruikersreferenties door te geven voor authenticatie. Het wachtwoord kan worden getransporteerd als tekst zonder opmaak of in digest-formaat. Wanneer de digest-benadering wordt gebruikt, wordt het wachtwoord gecodeerd met behulp van de SHA1-hashtechniek.
• X.509-benadering: deze benadering identificeert de gebruiker door een openbare sleutelinfrastructuur die het X.509-certificaat toewijst aan een bepaalde gebruiker. Meer beveiliging kan worden toegevoegd door een openbare sleutel en een privésleutel te gebruiken om het X.509-certificaat te coderen en te decoderen. Om ervoor te zorgen dat berichten niet worden afgespeeld, kan een tijdslimiet worden ingesteld om berichten te weigeren die na een bepaalde verstreken tijd aankomen.
• Kerberos: Het concept van een ticket vormt het onderliggende mechanisme van Kerberos. De client moet worden geverifieerd met een sleuteldistributiecentrum (KDC) met een combinatie van gebruikersnaam en wachtwoord of een X.509-certificaat. Na succesvolle authenticatie krijgt de gebruiker een ticket granting ticket (TGT). Met behulp van de TGT probeert de client toegang te krijgen tot een TGS (Ticket Granting Service). Bij deze stap zijn de eerste twee rollen van identificatie en autorisatie voorbij. De klant vraagt ​​vervolgens om een ​​serviceticket (ST) om een ​​bepaalde bron van de TGS te verwerven en krijgt de ST. De client gebruikt de ST om toegang te krijgen tot de service.
• Digitale handtekening: XML-handtekeningen worden gebruikt om het bericht te beschermen tegen wijziging en interpretatie. De ondertekening moet worden uitgevoerd door een betrouwbare partij of de echte afzender.
• Codering: XML-codering wordt gebruikt om gegevens tegen interpretatie te beschermen door deze onleesbaar te maken voor een ongeautoriseerde derde partij. Zowel symmetrische als asymmetrische benaderingen kunnen worden gebruikt.

WS-Security maakt het mogelijk bestaande beveiligingsmechanismen op passende wijze te gebruiken om te voorkomen dat overhead bij het inbouwen van nieuwe mechanismen.