Seguridad sa mga serbisyo sa web (seguridad ng ws) - kahulugan mula sa techopedia

Kahulugan - Ano ang ibig sabihin ng Security sa Web Services (WS Security)?

Ang Web Services Security (WS Security) ay isang pagtutukoy na tumutukoy kung paano ipinatupad ang mga hakbang sa seguridad sa mga serbisyo sa web upang maprotektahan ang mga ito mula sa mga panlabas na pag-atake. Ito ay isang hanay ng mga protocol na matiyak ang seguridad para sa mga mensahe na batay sa SOAP sa pamamagitan ng pagpapatupad ng mga prinsipyo ng pagiging kompidensiyal, integridad at pagpapatotoo.

Dahil ang mga serbisyo sa Web ay independiyente sa anumang mga pagpapatupad ng hardware at software, ang mga protocol ng WS-Security ay kailangang maging sapat na kakayahang umangkop upang mapaunlakan ang mga bagong mekanismo ng seguridad at magbigay ng alternatibong mekanismo kung ang isang diskarte ay hindi angkop. Dahil ang mga mensahe na nakabase sa SOAP ay dumaan sa maraming mga tagapamagitan, ang mga protocol ng seguridad ay kailangang makilala ang mga pekeng node at maiwasan ang interpretasyon ng data sa anumang mga node. Pinagsasama ng WS-Security ang pinakamahusay na mga diskarte upang ma-tackle ang iba't ibang mga problema sa seguridad sa pamamagitan ng pagpayag sa developer na ipasadya ang isang partikular na solusyon sa seguridad para sa isang bahagi ng problema. Halimbawa, ang developer ay maaaring pumili ng mga digital na lagda para sa hindi pagtanggi at Kerberos para sa pagpapatunay.

Ipinapaliwanag ng Techopedia ang Security sa Web Services (WS Security)

Ang layunin ng WS-Security ay upang matiyak na ang komunikasyon sa pagitan ng dalawang partido ay hindi makagambala o binibigyang kahulugan ng isang hindi awtorisadong third party. Kailangang matiyak ng tatanggap na ang mensahe ay talagang ipinadala ng nagpadala, at ang nagpadala ay dapat masiguro na ang tatanggap ay hindi maaaring tanggihan ang pagtanggap ng mensahe. Sa wakas, ang data na ipinadala sa panahon ng komunikasyon ay hindi dapat mabago ng isang hindi awtorisadong mapagkukunan. Ang lahat ng data na may kaugnayan sa seguridad ay idinagdag bilang bahagi ng header ng SOAP. Samakatuwid, ang isang malaking overhead ay ipinataw sa pagbuo ng mensahe ng SOAP kapag ang mga mekanismo ng seguridad ay isinaaktibo.

WS-Security SOAP Header:

Ang developer ay libre upang pumili ng anumang nakapailalim na mekanismo ng seguridad o hanay ng mga protocol upang makamit ang kanilang layunin. Ang seguridad ay ipinatupad gamit ang isang header na binubuo ng isang hanay ng mga pares ng key-halaga kung saan ang halaga ay naaangkop na naaangkop sa mga pagbabago sa pinagbabatayan na mekanismo ng seguridad. Ang mekanismong ito ay tumutulong upang makilala ang pagkakakilanlan ng tumatawag. Kung ang isang digital na pirma ay ginagamit, ang header ay naglalaman ng impormasyon tungkol sa kung paano nilagdaan ang nilalaman at ang lokasyon ng key na ginamit upang mag-sign ang mensahe.

Ang impormasyon na may kaugnayan sa pag-encrypt ay naka-imbak din sa header ng SOAP. Ang katangian ng ID ay naka-imbak bilang bahagi ng header ng SOAP, na pinapadali ang pagproseso. Ang timestamp ay ginagamit bilang isang karagdagang antas ng proteksyon laban sa mga pag-atake sa integridad ng mensahe. Kapag nilikha ang isang mensahe, ang isang timestamp ay nauugnay sa mensahe na nagpapahiwatig nang nilikha ito. Ang mga karagdagang timestamp ay ginagamit para sa pag-expire ng mensahe at upang ipahiwatig kung kailan natanggap ang mensahe sa node ng patutunguhan.

Mga mekanismo ng pagpapatunay ng WS-Security

• Diskarte sa Username / Password: Ang kumbinasyon ng username at password ay isa sa mga pangunahing mekanismo ng pagpapatunay na ginamit, at magkatulad sa mga pamamaraan ng HTTP Digest at Basic based authentication. Ginagamit ang elemento ng token ng username upang maipasa ang mga kredensyal ng gumagamit para sa pagpapatunay. Ang password ay maaaring maipadala bilang payak na teksto o sa format ng digest. Kapag ginamit ang diskarte sa digest, ang password ay naka-encrypt gamit ang SHA1 hashing technique.
• Diskarte ng X.509: Ang pamamaraang ito ay kinikilala ang gumagamit sa pamamagitan ng isang pampublikong susi na imprastraktura na naglalagay ng mapa ng X.509 sertipiko sa isang partikular na gumagamit. Ang karagdagang seguridad ay maaaring maidagdag sa pamamagitan ng paggamit ng isang pampublikong susi at isang pribadong key upang i-encrypt at i-decrypt ang X.509 sertipiko. Upang matiyak na ang mga mensahe ay hindi na-replay, ang isang limitasyon ng oras ay maaaring itakda upang tanggihan ang mga mensahe na darating pagkatapos ng isang tiyak na tagal ng oras.
• Kerberos: Ang konsepto ng isang tiket ay bumubuo sa pinagbabatayan na mekanismo ng Kerberos. Kailangang patunayan ng kliyente sa isang pangunahing sentro ng pamamahagi (KDC) gamit ang isang kumbinasyon ng username / password o isang sertipiko ng X.509. Sa matagumpay na pagpapatunay, ang gumagamit ay binigyan ng tiket ng pagbibigay ng tiket (TGT). Gamit ang TGT, sinusubukan ng kliyente na mag-access ng serbisyo sa pagbibigay ng tiket (TGS). Sa hakbang na ito, natapos ang unang dalawang tungkulin ng pagkakakilanlan at pahintulot. Pagkatapos ay hiniling ng kliyente ang isang ticket sa serbisyo (ST) upang makakuha ng isang partikular na mapagkukunan mula sa TGS at binigyan ng ST. Ginagamit ng kliyente ang ST upang ma-access ang serbisyo.
• Digital Signature: Ang mga lagda ng XML ay ginagamit upang maprotektahan ang mensahe mula sa pagbabago at interpretasyon. Ang pag-sign ay dapat isagawa ng isang maaasahang partido o ang tunay na nagpadala.
• Pag-encrypt: Ang XML encryption ay ginagamit upang maprotektahan ang data mula sa interpretasyon sa pamamagitan ng paggawa nito na hindi mabasa sa isang hindi awtorisadong third party. Ang parehong mga diskarte sa simetriko at simetriko ay maaaring magamit.

Pinapayagan ng WS-Security ang umiiral na mga mekanismo ng seguridad na maipagamit nang naaangkop upang maiwasan ang anumang overhead sa pagsasama ng mga bagong mekanismo.