Keselamatan perkhidmatan web (ws security) - definisi dari techopedia

Definisi - Apa maksud Perkhidmatan Keselamatan Web (WS Security)?

Keselamatan Perkhidmatan Web (WS Security) adalah spesifikasi yang menentukan bagaimana langkah-langkah keselamatan dilaksanakan dalam perkhidmatan web untuk melindungi mereka dari serangan luar. Ini adalah satu set protokol yang memastikan keselamatan mesej berasaskan SOAP dengan melaksanakan prinsip-prinsip kerahsiaan, integriti dan pengesahan.

Oleh kerana perkhidmatan Web bebas daripada sebarang perkakasan dan pelaksanaan perisian, protokol WS-Security perlu cukup fleksibel untuk menampung mekanisme keselamatan baru dan menyediakan mekanisme alternatif jika pendekatan tidak sesuai. Oleh kerana mesej berasaskan SOAP melintasi pelbagai perantara, protokol keselamatan perlu mengenal pasti nod palsu dan menghalang penafsiran data di mana-mana nod. WS-Security menggabungkan pendekatan terbaik untuk menangani masalah keselamatan yang berbeza dengan membenarkan pemaju menyesuaikan penyelesaian keselamatan tertentu untuk sebahagian masalahnya. Sebagai contoh, pemaju boleh memilih tandatangan digital untuk tidak ditolak dan Kerberos untuk pengesahan.

Techopedia menerangkan Keselamatan Perkhidmatan Web (WS Security)

Tujuan WS-Security adalah memastikan komunikasi antara dua pihak tidak terganggu atau ditafsirkan oleh pihak ketiga yang tidak dibenarkan. Penerima perlu yakin bahawa mesej itu sememangnya dihantar oleh pengirim, dan pengirim haruslah dijamin penerima tidak boleh menolak mesej tersebut. Akhirnya, data yang dihantar semasa komunikasi tidak boleh diubah oleh sumber yang tidak dibenarkan. Semua data yang berkaitan dengan keselamatan ditambah sebagai sebahagian daripada pengepala SOAP. Oleh itu, overhead yang besar dikenakan pada pembentukan mesej SOAP apabila mekanisme keselamatan diaktifkan.

WS-Security SOAP Header:

Pemaju bebas untuk memilih sebarang mekanisme keselamatan asas atau set protokol untuk mencapai matlamat mereka. Keselamatan dilaksanakan menggunakan header yang terdiri daripada satu set pasangan nilai utama dimana nilai berubah dengan sewajarnya dengan perubahan dalam mekanisme keselamatan yang digunakan. Mekanisme ini membantu mengenal pasti identiti pemanggil. Sekiranya tandatangan digital digunakan, tajuk mengandungi maklumat mengenai bagaimana kandungan telah ditandatangani dan lokasi kunci yang digunakan untuk menandatangani mesej.

Maklumat yang berkaitan dengan penyulitan juga disimpan dalam pengepala SOAP. Atribut ID disimpan sebagai sebahagian daripada pengepala SOAP, yang memudahkan pemprosesan. Timestamp digunakan sebagai tahap perlindungan tambahan terhadap serangan ke atas integriti mesej. Apabila mesej dibuat, timestamp dikaitkan dengan mesej yang menunjukkan apabila ia dibuat. Masa cap tambahan digunakan untuk tamat tempoh mesej dan untuk menunjukkan apabila mesej diterima di nod destinasi.

Mekanisme Pengesahan WS-Keselamatan

• Pendekatan Nama Pengguna / Kata Laluan: Gabungan nama pengguna dan kata laluan adalah salah satu mekanisme asas pengesahan yang digunakan, dan sama dengan kaedah pengesahan HTTP Digest dan Asas. Elemen token nama pengguna digunakan untuk meluluskan kelayakan pengguna untuk pengesahan. Kata laluan boleh diangkut sebagai teks biasa atau dalam format pencernaan. Apabila pendekatan pencernaan digunakan, kata laluan disulitkan menggunakan teknik hashing SHA1.
• Pendekatan X.509: Pendekatan ini mengenalpasti pengguna dengan infrastruktur utama awam yang memaparkan sijil X.509 kepada pengguna tertentu. Lebih banyak keselamatan boleh ditambah dengan menggunakan kunci awam dan kunci persendirian untuk menyulitkan dan menyahsulit sijil X.509. Untuk memastikan mesej tidak dimainkan semula, had masa boleh ditetapkan untuk menolak mesej yang tiba selepas tempoh berlalu tertentu.
• Kerberos: Konsep tiket membentuk mekanisme asas Kerberos. Pelanggan perlu mengesahkan dengan pusat pengedaran utama (KDC) menggunakan gabungan nama pengguna / kata laluan atau sijil X.509. Pada pengesahan yang berjaya, pengguna diberikan tiket pemberian tiket (TGT). Menggunakan TGT, pelanggan cuba mengakses perkhidmatan pemberian tiket (TGS). Pada langkah ini, dua peranan pengenalan dan kebenaran pertama berakhir. Pelanggan kemudian meminta tiket perkhidmatan (ST) untuk memperoleh sumber tertentu dari TGS dan diberikan ST. Pelanggan menggunakan ST untuk mengakses perkhidmatan tersebut.
• Tandatangan Digital: Tandatangan XML digunakan untuk melindungi mesej daripada pengubahsuaian dan tafsiran. Penandatanganan mesti dilakukan oleh pihak yang boleh dipercayai atau pengirim sebenar.
• Penyulitan: Penyulitan XML digunakan untuk melindungi data daripada tafsiran dengan menjadikannya tidak boleh dibaca kepada pihak ketiga yang tidak dibenarkan. Kedua-dua pendekatan simetri dan asimetri boleh digunakan.

WS-Security membolehkan mekanisme keselamatan yang sedia ada dimanfaatkan dengan sewajarnya untuk mengelakkan overhead dalam menggabungkan mekanisme baru.