สารบัญ:
- คำจำกัดความ - Web Services Security (WS Security) หมายถึงอะไร
- Techopedia อธิบายการรักษาความปลอดภัยเว็บเซอร์วิส (WS Security)
คำจำกัดความ - Web Services Security (WS Security) หมายถึงอะไร
Web Services Security (WS Security) เป็นข้อกำหนดที่กำหนดวิธีการใช้มาตรการรักษาความปลอดภัยในเว็บเซอร์วิสเพื่อปกป้องพวกเขาจากการถูกโจมตีจากภายนอก มันเป็นชุดของโปรโตคอลที่รับประกันความปลอดภัยสำหรับข้อความที่ใช้ SOAP โดยใช้หลักการของการรักษาความลับความสมบูรณ์และการรับรองความถูกต้อง
เนื่องจากบริการบนเว็บนั้นไม่ขึ้นอยู่กับการใช้งานของฮาร์ดแวร์และซอฟต์แวร์โปรโตคอล WS-Security จึงจำเป็นต้องมีความยืดหยุ่นเพียงพอที่จะรองรับกลไกความปลอดภัยใหม่และจัดหากลไกทางเลือกหากวิธีการไม่เหมาะสม เนื่องจากข้อความที่ใช้ SOAP จะผ่านตัวกลางหลายตัวโปรโตคอลความปลอดภัยจึงต้องสามารถระบุโหนดปลอมและป้องกันการตีความข้อมูลที่โหนดใด ๆ WS-Security รวมวิธีการที่ดีที่สุดในการจัดการกับปัญหาด้านความปลอดภัยที่แตกต่างกันโดยให้นักพัฒนาสามารถปรับแต่งโซลูชันความปลอดภัยเฉพาะสำหรับส่วนของปัญหา ตัวอย่างเช่นนักพัฒนาสามารถเลือกลายเซ็นดิจิทัลสำหรับการปฏิเสธที่ไม่ใช่และ Kerberos สำหรับการตรวจสอบ
Techopedia อธิบายการรักษาความปลอดภัยเว็บเซอร์วิส (WS Security)
เป้าหมายของ WS-Security คือเพื่อให้แน่ใจว่าการสื่อสารระหว่างสองฝ่ายจะไม่ถูกขัดจังหวะหรือตีความโดยบุคคลที่สามที่ไม่ได้รับอนุญาต ผู้รับต้องมั่นใจว่าข้อความนั้นถูกส่งโดยผู้ส่งจริงและผู้ส่งควรมั่นใจได้ว่าผู้รับไม่สามารถปฏิเสธการรับข้อความได้ ในที่สุดข้อมูลที่ส่งระหว่างการสื่อสารไม่ควรเปลี่ยนแปลงโดยแหล่งที่ไม่ได้รับอนุญาต ข้อมูลทั้งหมดที่เกี่ยวข้องกับความปลอดภัยจะถูกเพิ่มเป็นส่วนหนึ่งของส่วนหัว SOAP ดังนั้นจึงมีการกำหนดค่าใช้จ่ายจำนวนมากในการสร้างข้อความ SOAP เมื่อเปิดใช้งานกลไกความปลอดภัย
ส่วนหัวของ WS-Security SOAP:
ผู้พัฒนามีอิสระที่จะเลือกกลไกการรักษาความปลอดภัยหรือชุดของโปรโตคอลเพื่อให้บรรลุเป้าหมาย การรักษาความปลอดภัยจะดำเนินการโดยใช้ส่วนหัวซึ่งประกอบด้วยชุดของคู่คีย์ - ค่าที่การเปลี่ยนแปลงค่าอย่างเหมาะสมกับการเปลี่ยนแปลงในกลไกความปลอดภัยพื้นฐานที่ใช้ กลไกนี้ช่วยในการระบุตัวตนของผู้โทร หากมีการใช้ลายเซ็นดิจิทัลส่วนหัวจะมีข้อมูลเกี่ยวกับวิธีการเซ็นชื่อเนื้อหาและตำแหน่งของคีย์ที่ใช้ในการเซ็นข้อความ
ข้อมูลที่เกี่ยวข้องกับการเข้ารหัสจะถูกเก็บไว้ในส่วนหัว SOAP แอตทริบิวต์ ID ถูกเก็บไว้เป็นส่วนหนึ่งของส่วนหัว SOAP ซึ่งทำให้การประมวลผลง่ายขึ้น การประทับเวลาถูกใช้เป็นระดับการป้องกันเพิ่มเติมจากการโจมตีความสมบูรณ์ของข้อความ เมื่อข้อความถูกสร้างขึ้นการประทับเวลาจะเชื่อมโยงกับข้อความที่ระบุเมื่อมันถูกสร้างขึ้น การประทับเวลาเพิ่มเติมจะใช้สำหรับการหมดอายุของข้อความและเพื่อระบุว่าเมื่อใดที่ได้รับข้อความที่โหนดปลายทาง
กลไกการพิสูจน์ตัวตน WS-Security
- วิธีการชื่อผู้ใช้ / รหัสผ่าน: การรวมชื่อผู้ใช้และรหัสผ่านเป็นหนึ่งในกลไกการตรวจสอบสิทธิ์ขั้นพื้นฐานที่ใช้และคล้ายกับวิธีการตรวจสอบ HTTP Digest และพื้นฐาน องค์ประกอบโทเค็นชื่อผู้ใช้จะถูกส่งผ่านข้อมูลรับรองผู้ใช้สำหรับการตรวจสอบ รหัสผ่านสามารถขนส่งเป็นข้อความธรรมดาหรือในรูปแบบย่อย เมื่อใช้วิธีการแยกย่อยรหัสผ่านจะถูกเข้ารหัสโดยใช้เทคนิคการแฮช SHA1
- วิธีการ X.509: วิธีการนี้ระบุผู้ใช้ด้วยโครงสร้างพื้นฐานกุญแจสาธารณะซึ่งจับคู่ใบรับรอง X.509 กับผู้ใช้เฉพาะราย ความปลอดภัยที่มากขึ้นสามารถเพิ่มได้โดยใช้กุญแจสาธารณะและกุญแจส่วนตัวเพื่อเข้ารหัสและถอดรหัสใบรับรอง X.509 เพื่อให้แน่ใจว่าข้อความจะไม่ถูกเล่นซ้ำการ จำกัด เวลาสามารถกำหนดให้ปฏิเสธข้อความที่มาถึงหลังจากช่วงเวลาที่ผ่านไป
- Kerberos: แนวคิดของตั๋วเป็นกลไกพื้นฐานของ Kerberos ไคลเอนต์ต้องรับรองความถูกต้องกับศูนย์แจกจ่ายคีย์ (KDC) โดยใช้ชื่อผู้ใช้ / รหัสผ่านหรือใบรับรอง X.509 ในการรับรองความถูกต้องที่ประสบความสำเร็จผู้ใช้จะได้รับตั๋วให้สิทธิ์ตั๋ว (TGT) เมื่อใช้ TGT ลูกค้าจะพยายามเข้าถึงบริการการให้ตั๋ว (TGS) ในขั้นตอนนี้สองบทบาทแรกของการระบุและการอนุญาตมีมากกว่า จากนั้นลูกค้าร้องขอ Service ticket (ST) เพื่อรับทรัพยากรเฉพาะจาก TGS และได้รับ ST ไคลเอ็นต์ใช้ ST เพื่อเข้าถึงบริการ
- ลายเซ็นดิจิทัล: ลายเซ็น XML ใช้เพื่อป้องกันข้อความจากการดัดแปลงและตีความ การลงนามจะต้องดำเนินการโดยบุคคลที่เชื่อถือได้หรือผู้ส่งจริง
- การเข้ารหัส: การเข้ารหัส XML ใช้เพื่อปกป้องข้อมูลจากการตีความโดยทำให้ไม่สามารถอ่านได้กับบุคคลที่สามที่ไม่ได้รับอนุญาต สามารถใช้วิธีการทั้งแบบสมมาตรและแบบอสมมาตร
WS-Security ช่วยให้กลไกความปลอดภัยที่มีอยู่สามารถใช้ประโยชน์อย่างเหมาะสมเพื่อป้องกันค่าใช้จ่ายใด ๆ ในการรวมกลไกใหม่
