Webservices-Sicherheit (WS-Sicherheit) - Definition aus techopedia

Definition - Was bedeutet Web Services Security (WS-Sicherheit)?

Web Services Security (WS-Sicherheit) ist eine Spezifikation, die definiert, wie Sicherheitsmaßnahmen in Web Services implementiert werden, um sie vor externen Angriffen zu schützen. Es handelt sich um eine Reihe von Protokollen, die Sicherheit für SOAP-basierte Nachrichten gewährleisten, indem sie die Grundsätze der Vertraulichkeit, Integrität und Authentifizierung implementieren.

Da Webdienste unabhängig von Hardware- und Softwareimplementierungen sind, müssen WS-Sicherheitsprotokolle flexibel genug sein, um neue Sicherheitsmechanismen aufzunehmen und alternative Mechanismen bereitzustellen, wenn ein Ansatz nicht geeignet ist. Da SOAP-basierte Nachrichten mehrere Intermediäre durchlaufen, müssen Sicherheitsprotokolle in der Lage sein, gefälschte Knoten zu identifizieren und die Dateninterpretation an allen Knoten zu verhindern. WS-Security kombiniert die besten Ansätze zur Lösung verschiedener Sicherheitsprobleme, indem der Entwickler eine bestimmte Sicherheitslösung für einen Teil des Problems anpassen kann. Beispielsweise kann der Entwickler digitale Signaturen für die Nicht-Zurückweisung und Kerberos für die Authentifizierung auswählen.

Techopedia erklärt die Sicherheit von Webdiensten (WS-Sicherheit)

Ziel von WS-Security ist es sicherzustellen, dass die Kommunikation zwischen zwei Parteien nicht durch unbefugte Dritte unterbrochen oder interpretiert wird. Der Empfänger muss sicher sein, dass die Nachricht tatsächlich vom Absender gesendet wurde, und der Absender muss sicher sein, dass der Empfänger den Empfang der Nachricht nicht verweigern kann. Schließlich sollten die während der Kommunikation gesendeten Daten nicht von einer nicht autorisierten Quelle geändert werden. Alle sicherheitsrelevanten Daten werden als Teil des SOAP-Headers hinzugefügt. Daher wird der SOAP-Nachrichtenbildung ein beträchtlicher Aufwand auferlegt, wenn Sicherheitsmechanismen aktiviert werden.

WS-Security SOAP Header:

Dem Entwickler steht es frei, einen zugrunde liegenden Sicherheitsmechanismus oder eine Reihe von Protokollen auszuwählen, um das Ziel zu erreichen. Die Sicherheit wird mithilfe eines Headers implementiert, der aus einer Reihe von Schlüssel-Wert-Paaren besteht, wobei sich der Wert bei Änderungen des zugrunde liegenden Sicherheitsmechanismus entsprechend ändert. Dieser Mechanismus hilft, die Identität des Anrufers zu identifizieren. Wenn eine digitale Signatur verwendet wird, enthält der Header Informationen darüber, wie der Inhalt signiert wurde und wo sich der Schlüssel befindet, mit dem die Nachricht signiert wurde.

Informationen zur Verschlüsselung werden ebenfalls im SOAP-Header gespeichert. Das ID-Attribut wird als Teil des SOAP-Headers gespeichert, wodurch die Verarbeitung vereinfacht wird. Der Zeitstempel wird als zusätzliche Schutzstufe gegen Angriffe auf die Nachrichtenintegrität verwendet. Beim Erstellen einer Nachricht wird der Nachricht ein Zeitstempel zugeordnet, der angibt, wann sie erstellt wurde. Zusätzliche Zeitstempel werden verwendet, um den Ablauf der Nachricht anzuzeigen und um anzuzeigen, wann die Nachricht am Zielknoten empfangen wurde.

WS-Sicherheitsauthentifizierungsmechanismen

• Benutzername / Passwort-Ansatz: Die Kombination aus Benutzername und Passwort ist einer der grundlegenden Authentifizierungsmechanismen und entspricht den auf HTTP Digest und Basic basierenden Authentifizierungsmethoden. Das Element username token wird verwendet, um Benutzeranmeldeinformationen für die Authentifizierung zu übergeben. Das Passwort kann als Klartext oder im Digest-Format übertragen werden. Wenn der Digest-Ansatz verwendet wird, wird das Kennwort mit der SHA1-Hashing-Technik verschlüsselt.
• X.509-Ansatz: Dieser Ansatz identifiziert den Benutzer anhand einer öffentlichen Schlüsselinfrastruktur, die das X.509-Zertifikat einem bestimmten Benutzer zuordnet. Sie können die Sicherheit erhöhen, indem Sie das X.509-Zertifikat mit einem öffentlichen und einem privaten Schlüssel verschlüsseln und entschlüsseln. Um sicherzustellen, dass Nachrichten nicht wiederholt werden, kann ein Zeitlimit festgelegt werden, um Nachrichten abzulehnen, die nach einer bestimmten verstrichenen Dauer eingehen.
• Kerberos: Das Konzept eines Tickets bildet den zugrunde liegenden Mechanismus von Kerberos. Der Client muss sich bei einem Key Distribution Center (KDC) mit einer Kombination aus Benutzername und Kennwort oder einem X.509-Zertifikat authentifizieren. Bei erfolgreicher Authentifizierung erhält der Benutzer ein Ticket Granting Ticket (TGT). Mit dem TGT versucht der Client, auf einen Ticket Granting Service (TGS) zuzugreifen. In diesem Schritt sind die ersten beiden Rollen der Identifizierung und Autorisierung beendet. Der Client fordert dann ein Serviceticket (ST) an, um eine bestimmte Ressource vom TGS zu erhalten, und erhält das ST. Der Client verwendet die ST, um auf den Dienst zuzugreifen.
• Digitale Signatur: XML-Signaturen schützen die Nachricht vor Änderungen und Interpretationen. Die Unterzeichnung muss von einer zuverlässigen Partei oder dem tatsächlichen Absender durchgeführt werden.
• Verschlüsselung: Die XML-Verschlüsselung schützt Daten vor Interpretation, indem sie für nicht autorisierte Dritte unlesbar gemacht werden. Es können sowohl symmetrische als auch asymmetrische Ansätze verwendet werden.

Mit WS-Security können vorhandene Sicherheitsmechanismen in geeigneter Weise genutzt werden, um zusätzlichen Aufwand bei der Integration neuer Mechanismen zu vermeiden.