Security services web (ws security): definició de techopedia

Definició: què significa la seguretat dels serveis web (WS Security)?

La seguretat dels serveis web (WS Security) és una especificació que defineix com s’implementen les mesures de seguretat als serveis web per protegir-los d’atacs externs. És un conjunt de protocols que asseguren la seguretat dels missatges basats en SOAP mitjançant la implementació dels principis de confidencialitat, integritat i autenticació.

Com que els serveis web són independents de qualsevol implementació de maquinari i programari, els protocols WS-Security han de ser prou flexibles com per adaptar-se a nous mecanismes de seguretat i proporcionar mecanismes alternatius si un enfocament no és adequat. Com que els missatges basats en SOAP recorren diversos intermediaris, els protocols de seguretat han de ser capaços d’identificar nodes falsos i evitar la interpretació de dades en qualsevol node. WS-Security combina els millors enfocaments per fer front a diferents problemes de seguretat, permetent al desenvolupador personalitzar una solució de seguretat particular per a una part del problema. Per exemple, el desenvolupador pot seleccionar signatures digitals per a no-repudi i Kerberos per a l'autenticació.

Techopedia explica la seguretat dels serveis web (WS Security)

L’objectiu de WS-Security és garantir que la comunicació entre dues parts no sigui interrompuda ni interpretada per un tercer no autoritzat. El receptor ha d’assegurar-se que el missatge ha estat realment enviat per part del remitent i s’ha d’assegurar que l’enviador no pot negar el missatge. Finalment, les dades enviades durant la comunicació no han de ser alterades per una font no autoritzada. Totes les dades relacionades amb la seguretat s’afegeixen com a part de la capçalera de SOAP. Per tant, s’imposa una despesa considerable a la formació de missatges SOAP quan s’activen els mecanismes de seguretat.

Capçalera de sabó WS-Security:

El desenvolupador és lliure de triar qualsevol mecanisme de seguretat subjacent o conjunt de protocols per assolir el seu objectiu. La seguretat s’implementa mitjançant un encapçalament que consta d’un conjunt de parells de valor clau on el valor canvia adequadament amb els canvis en el mecanisme de seguretat subjacent utilitzat. Aquest mecanisme ajuda a identificar la identitat de la persona que truca. Si s’utilitza una signatura digital, l’encapçalament conté informació sobre com s’ha signat el contingut i la ubicació de la clau que s’utilitza per signar el missatge.

La informació relacionada amb el xifrat també es guarda a la capçalera de SOAP. L'atribut ID es guarda com a part de la capçalera de SOAP, que simplifica el processament. La marca de temps s'utilitza com a nivell addicional de protecció contra atacs a la integritat del missatge. Quan es crea un missatge, s’associa una marca de temps amb el missatge que indica quan va ser creat. Els segells de marca addicionals s’utilitzen per a la caducitat del missatge i per indicar quan s’ha rebut el missatge al node de destinació.

Mecanismes d'autenticació de seguretat WS

• Enfocament del nom d’usuari / contrasenya: La combinació de nom d’usuari i contrasenya és un dels mecanismes bàsics d’autenticació utilitzats i és anàloga als mètodes d’autenticació basats en HTTP Digest i Basic. L’element testimoni del nom d’usuari s’utilitza per passar les credencials d’usuari per a l’autenticació. La contrasenya es pot transportar com a text normal o en format de digest. Quan s’utilitza l’enfocament de digestió, la contrasenya es xifra mitjançant la tècnica de hashing SHA1.
• Enfocament X.509: aquest enfocament identifica l'usuari mitjançant una infraestructura de clau pública que assigna el certificat X.509 a un usuari concret. Es pot afegir més seguretat mitjançant la clau pública i una clau privada per xifrar i desxifrar el certificat X.509. Per assegurar-se que no es reprodueixen els missatges, es pot definir un límit de temps per rebutjar els missatges que arribin després d’una certa durada transcorreguda.
• Kerberos: El concepte d’un bitllet forma el mecanisme subjacent de Kerberos. El client ha d’autenticar-se amb un centre de distribució de claus (KDC) mitjançant una combinació de nom d’usuari / contrasenya o un certificat X.509. En autenticar-se correctament, l’usuari té un bitllet d’atorgament de bitllets (TGT). Amb el TGT, el client intenta accedir a un servei d’atorgament de bitllets (TGS). En aquest pas, s’han acabat els dos primers papers d’identificació i autorització. Aleshores, el client sol·licita un bitllet de servei (ST) per adquirir un recurs particular del TGS i se li concedeix ST. El client utilitza ST per accedir al servei.
• Signatura digital: les signatures XML s’utilitzen per protegir el missatge de la modificació i la interpretació. La signatura ha de ser realitzada per una part fiable o l’enviador real.
• Xifratge: el xifratge XML s'utilitza per protegir les dades de la interpretació convertint-la en il·legible a un tercer no autoritzat. Es poden utilitzar tant enfocaments simètrics com asimètrics.

WS-Security permet aprofitar els mecanismes de seguretat existents de manera adequada per evitar que hi hagi cap tipus general d’incorporar nous mecanismes.