אבטחת שירותי אינטרנט (אבטחת ws) - הגדרה מטכנולוגיה

הגדרה - מה המשמעות של אבטחת שירותי אינטרנט (WS Security)?

אבטחת שירותי אינטרנט (WS Security) הוא מפרט המגדיר כיצד מיושמים אמצעי אבטחה בשירותי אינטרנט כדי להגן עליהם מפני התקפות חיצוניות. זוהי מערכת של פרוטוקולים המבטיחים אבטחה למסרים מבוססי SOAP על ידי יישום עקרונות הסודיות, היושרה והאימות.

מכיוון ששירותי רשת אינם תלויים בכל יישום חומרה ותוכנה, פרוטוקולי WS-Security צריכים להיות גמישים מספיק כדי להתאים למנגנוני אבטחה חדשים ולספק מנגנונים חלופיים אם גישה אינה מתאימה. מכיוון שהודעות מבוססות SOAP עוברות מתווכים מרובים, פרוטוקולי אבטחה צריכים להיות מסוגלים לזהות צמתים מזויפים ולמנוע פרשנות נתונים בכל צמתים. WS-Security משלב את הגישות הטובות ביותר להתמודדות עם בעיות אבטחה שונות בכך שהוא מאפשר למפתח להתאים אישית פיתרון אבטחה מסוים עבור חלק מהבעיה. לדוגמה, היזם יכול לבחור חתימות דיגיטליות לאי-דחייה ו- Kerberos לאימות.

Techopedia מסביר אבטחת שירותי אינטרנט (אבטחת WS)

מטרת WS-Security היא להבטיח שתקשורת בין שני צדדים לא תופרעה או תפורש על ידי צד שלישי בלתי מורשה. יש להבטיח למקבל כי ההודעה אכן נשלחה על ידי השולח, ויש להבטיח לשולח שהמקלט אינו יכול להכחיש את קבלת ההודעה. לבסוף, אין לשנות את הנתונים שנשלחו במהלך התקשורת על ידי גורם לא מורשה. כל הנתונים הקשורים לאבטחה מתווספים כחלק מכותרת SOAP. לכן, תקורה ניכרת על היווצרות ההודעות SOAP כאשר מופעלים מנגנוני אבטחה.

כותרת סבון WS-Security:

היזם רשאי לבחור בכל מנגנון אבטחה או מערך פרוטוקולים שעומד בבסיסו כדי להשיג את מטרתם. האבטחה מיושמת באמצעות כותרת הכוללת קבוצה של זוגות ערכי מפתח שבהם הערך משתנה בהתאם עם שינויים במנגנון האבטחה הבסיסי בו נעשה שימוש. מנגנון זה מסייע בזיהוי זהותו של המתקשר. אם משתמשים בחתימה דיגיטלית, הכותרת מכילה מידע על אופן החתימה של התוכן ומיקום המפתח המשמש לחתימת ההודעה.

מידע הקשור להצפנה נשמר גם בכותרת SOAP. תכונת ה- ID נשמרת כחלק מכותרת SOAP, שמפשטת את העיבוד. חותמת הזמן משמשת כאמצעי הגנה נוסף מפני התקפות על שלמות ההודעה. כאשר נוצרת הודעה, חותמת חותמת זמן להודעה המציינת מתי היא נוצרה. חותמות זמן נוספות משמשות לתום פקודת ההודעה וכדי לציין מתי התקבלה ההודעה בצומת היעד.

מנגנוני אימות WS-Security

• גישת שם משתמש / סיסמה: שילוב שם המשתמש והסיסמה הוא אחד ממנגנוני האימות הבסיסיים שבהם נעשה שימוש, והוא מקביל לשיטות אימות מבוססות HTTP ודיוק. אלמנט אסימון שם המשתמש משמש להעברת אישורי משתמשים לאימות. ניתן להעביר את הסיסמה כטקסט רגיל או בתבנית עיכול. כאשר משתמשים בגישת העיכול, הסיסמה מוצפנת בטכניקת hashing SHA1.
• גישת X.509: גישה זו מזהה את המשתמש על ידי תשתית מפתח ציבורי הממפה את אישור X.509 למשתמש מסוים. ניתן להוסיף יותר אבטחה על ידי שימוש במפתח ציבורי ובמפתח פרטי להצפנת ופענוח אישור X.509. כדי להבטיח שההודעות לא יופעלו מחדש, ניתן להגדיר מגבלת זמן שתדחה את ההודעות המגיעות לאחר פרק זמן מסוים.
• Kerberos: מושג הכרטיס מהווה את המנגנון הבסיסי של Kerberos. הלקוח צריך לאמת באמצעות מרכז הפצת מקשים (KDC) באמצעות שילוב שם משתמש / סיסמא או אישור X.509. באימות מוצלח, מקבלים למשתמש כרטיס מעניק כרטיס (TGT). באמצעות ה- TGT הלקוח מנסה לגשת לשירות הענקת כרטיסים (TGS). בשלב זה נגמרו שני התפקידים הראשונים של זיהוי והרשאה. לאחר מכן הלקוח מבקש מכרטיס שירות (ST) לרכישת משאב מסוים מ- TGS ומוענק לו ST. הלקוח משתמש ב- ST כדי לגשת לשירות.
• חתימה דיגיטלית: חתימות XML משמשות להגנה על ההודעה מפני שינוי ופרשנות. החתימה צריכה להתבצע על ידי גורם אמין או השולח האמיתי.
• הצפנה: הצפנת XML משמשת להגנה על נתונים מפני פרשנות על ידי הפיכתם לקריאה לצד שלישי בלתי מורשה. ניתן להשתמש בגישות סימטריות ואסימטריות כאחד.

WS-Security מאפשרת למנף את מנגנוני האבטחה הקיימים באופן מתאים כדי למנוע תקורה בשילוב מנגנונים חדשים.