Ασφάλεια υπηρεσιών ιστού (ws security) - ορισμός από την τεχνολογία

Ορισμός - Τι σημαίνει Ασφάλεια Web Services (Ασφάλεια WS);

Η Ασφάλεια Υπηρεσιών Web (WS Security) είναι μια προδιαγραφή που καθορίζει τον τρόπο με τον οποίο εφαρμόζονται τα μέτρα ασφαλείας σε υπηρεσίες ιστού για την προστασία τους από εξωτερικές επιθέσεις. Πρόκειται για ένα σύνολο πρωτοκόλλων που εξασφαλίζουν την ασφάλεια των μηνυμάτων με βάση το SOAP, εφαρμόζοντας τις αρχές της εμπιστευτικότητας, της ακεραιότητας και της αυθεντικότητας.

Επειδή οι υπηρεσίες Web είναι ανεξάρτητες από οποιαδήποτε υλοποίηση υλικού και λογισμικού, τα πρωτόκολλα WS-Security πρέπει να είναι αρκετά ευέλικτα ώστε να προσαρμόζονται σε νέους μηχανισμούς ασφαλείας και να παρέχουν εναλλακτικούς μηχανισμούς αν μια προσέγγιση δεν είναι κατάλληλη. Επειδή τα μηνύματα που βασίζονται σε SOAP περνούν από πολλαπλούς διαμεσολαβητές, τα πρωτόκολλα ασφαλείας πρέπει να είναι σε θέση να αναγνωρίζουν ψεύτικους κόμβους και να εμποδίζουν την ερμηνεία δεδομένων σε οποιονδήποτε κόμβο. Το WS-Security συνδυάζει τις καλύτερες προσεγγίσεις για την αντιμετώπιση διαφορετικών προβλημάτων ασφάλειας επιτρέποντας στον προγραμματιστή να προσαρμόσει μια συγκεκριμένη λύση ασφαλείας για ένα μέρος του προβλήματος. Για παράδειγμα, ο προγραμματιστής μπορεί να επιλέξει ψηφιακές υπογραφές για μη απόρριψη και Kerberos για έλεγχο ταυτότητας.

Η Techopedia εξηγεί την Ασφάλεια Web Services (Ασφάλεια WS)

Σκοπός της WS-Security είναι να διασφαλίσει ότι η επικοινωνία μεταξύ δύο μερών δεν διακόπτεται ή ερμηνεύεται από μη εξουσιοδοτημένο τρίτο μέρος. Ο δέκτης πρέπει να είναι σίγουρος ότι το μήνυμα έχει πράγματι αποσταλεί από τον αποστολέα και ο αποστολέας θα πρέπει να είναι σίγουρος ότι ο δέκτης δεν μπορεί να αρνηθεί να λάβει το μήνυμα. Τέλος, τα δεδομένα που αποστέλλονται κατά τη διάρκεια της επικοινωνίας δεν πρέπει να μεταβάλλονται από μη εξουσιοδοτημένη πηγή. Όλα τα δεδομένα που σχετίζονται με την ασφάλεια προστίθενται ως μέρος της κεφαλίδας SOAP. Ως εκ τούτου, επιβάλλεται σημαντική επιβάρυνση στο σχηματισμό μηνυμάτων SOAP όταν ενεργοποιούνται μηχανισμοί ασφαλείας.

WS-Security SOAP Header:

Ο προγραμματιστής είναι ελεύθερος να επιλέξει οποιονδήποτε υποκείμενο μηχανισμό ασφαλείας ή σύνολο πρωτοκόλλων για να επιτύχει το στόχο τους. Η ασφάλεια υλοποιείται χρησιμοποιώντας μια κεφαλίδα η οποία αποτελείται από ένα σύνολο ζευγών κλειδί-τιμής όπου η τιμή αλλάζει κατάλληλα με τις αλλαγές στον υποκείμενο μηχανισμό ασφαλείας που χρησιμοποιείται. Αυτός ο μηχανισμός βοηθά στην αναγνώριση της ταυτότητας του καλούντος. Εάν χρησιμοποιείται ψηφιακή υπογραφή, η κεφαλίδα περιέχει πληροφορίες σχετικά με τον τρόπο υπογραφής του περιεχομένου και την τοποθεσία του κλειδιού που χρησιμοποιείται για την υπογραφή του μηνύματος.

Οι πληροφορίες που σχετίζονται με την κρυπτογράφηση αποθηκεύονται επίσης στην κεφαλίδα SOAP. Το χαρακτηριστικό ID αποθηκεύεται ως μέρος της κεφαλίδας SOAP, το οποίο απλοποιεί την επεξεργασία. Το timestamp χρησιμοποιείται ως πρόσθετο επίπεδο προστασίας από επιθέσεις κατά της ακεραιότητας του μηνύματος. Όταν δημιουργείται ένα μήνυμα, μια χρονική σήμανση συσχετίζεται με το μήνυμα που δηλώνει πότε δημιουργήθηκε. Επιπλέον χρονικά σήματα χρησιμοποιούνται για τη λήξη του μηνύματος και για να υποδείξουν πότε το μήνυμα ελήφθη στον κόμβο προορισμού.

Μηχανισμοί ελέγχου ταυτότητας WS

• Προσέγγιση με όνομα χρήστη / κωδικό πρόσβασης: Ο συνδυασμός ονόματος χρήστη και κωδικού πρόσβασης είναι ένας από τους βασικούς μηχανισμούς ελέγχου ταυτότητας που χρησιμοποιούνται και είναι ανάλογος με τις μεθόδους ελέγχου ταυτότητας HTTP Digest και Basic. Το στοιχείο διακριτικού ονόματος χρήστη χρησιμοποιείται για τη μετάδοση διαπιστευτηρίων χρήστη για έλεγχο ταυτότητας. Ο κωδικός πρόσβασης μπορεί να μεταφερθεί ως απλό κείμενο ή σε μορφή digest. Όταν χρησιμοποιείται η μέθοδος digest, ο κωδικός πρόσβασης κρυπτογραφείται χρησιμοποιώντας την τεχνική εκκαθάρισης SHA1.
• Προσέγγιση X.509: Αυτή η προσέγγιση προσδιορίζει τον χρήστη από μια υποδομή δημόσιου κλειδιού που χαρτογραφεί το πιστοποιητικό X.509 σε έναν συγκεκριμένο χρήστη. Περισσότερη ασφάλεια μπορεί να προστεθεί χρησιμοποιώντας ένα δημόσιο κλειδί και ένα ιδιωτικό κλειδί για την κρυπτογράφηση και αποκρυπτογράφηση του πιστοποιητικού X.509. Για να διασφαλιστεί ότι τα μηνύματα δεν επαναλαμβάνονται, μπορεί να οριστεί χρονικό όριο για την απόρριψη μηνυμάτων που φθάνουν μετά από μια ορισμένη διάρκεια.
• Kerberos: Η έννοια του εισιτηρίου αποτελεί τον βασικό μηχανισμό του Kerberos. Ο πελάτης πρέπει να πιστοποιήσει την ταυτότητά του με ένα κέντρο διανομής κλειδιών (KDC) χρησιμοποιώντας έναν συνδυασμό ονόματος χρήστη / κωδικού πρόσβασης ή πιστοποιητικό X.509. Κατά την επιτυχή εξακρίβωση της ταυτότητας, ο χρήστης λαμβάνει ένα εισιτήριο έκδοσης εισιτηρίου (TGT). Χρησιμοποιώντας το TGT, ο πελάτης προσπαθεί να αποκτήσει πρόσβαση σε μια υπηρεσία χορήγησης εισιτηρίων (TGS). Σε αυτό το βήμα, οι δύο πρώτοι ρόλοι αναγνώρισης και εξουσιοδότησης έχουν τελειώσει. Ο πελάτης ζητά τότε ένα εισιτήριο εξυπηρέτησης (ST) για να αποκτήσει έναν συγκεκριμένο πόρο από το TGS και του χορηγείται το ST. Ο πελάτης χρησιμοποιεί το ST για πρόσβαση στην υπηρεσία.
• Ψηφιακή υπογραφή: Οι υπογραφές XML χρησιμοποιούνται για την προστασία του μηνύματος από την τροποποίηση και την ερμηνεία. Η υπογραφή πρέπει να γίνεται από ένα αξιόπιστο συμβαλλόμενο μέρος ή από τον πραγματικό αποστολέα.
• Κρυπτογράφηση: Η κρυπτογράφηση XML χρησιμοποιείται για την προστασία των δεδομένων από την ερμηνεία καθιστώντας τη μη αναγνώσιμη σε μη εξουσιοδοτημένο τρίτο μέρος. Μπορούν να χρησιμοποιηθούν τόσο συμμετρικές όσο και ασύμμετρες προσεγγίσεις.

Το WS-Security επιτρέπει την κατάλληλη αξιοποίηση των υφιστάμενων μηχανισμών ασφαλείας για την αποφυγή τυχόν γενικών εξόδων για την ενσωμάτωση νέων μηχανισμών.