目录:
定义-Web服务安全性(WS Security)是什么意思?
Web服务安全性(WS Security)是一个规范,定义了如何在Web服务中实施安全措施以保护其免受外部攻击。 它是一组协议,可通过实施机密性,完整性和身份验证原则来确保基于SOAP的消息的安全性。
因为Web服务独立于任何硬件和软件实现,所以WS-Security协议需要足够灵活以容纳新的安全性机制,并在方法不合适时提供替代机制。 由于基于SOAP的消息遍历多个中介,因此安全协议需要能够识别虚假节点并防止任何节点上的数据解释。 WS-Security通过允许开发人员针对部分问题定制特定的安全解决方案,从而结合了解决不同安全问题的最佳方法。 例如,开发人员可以选择数字签名(不可否认)和Kerberos(身份验证)。
Techopedia解释了Web服务安全性(WS Security)
WS-Security的目的是确保两方之间的通信不会被未授权的第三方中断或解释。 接收者需要确保消息确实是由发送者发送的,发送者应确保接收者不能拒绝接收消息。 最后,在通信过程中发送的数据不应被未经授权的来源更改。 与安全性相关的所有数据都作为SOAP标头的一部分添加。 因此,当激活安全性机制时,SOAP消息的形成将承受相当大的开销。
WS-Security SOAP标头:
开发人员可以自由选择任何基础安全机制或协议集来实现其目标。 使用包含一组键值对的标头来实现安全性,其中值随所使用的基础安全性机制的更改而适当地更改。 该机制有助于识别呼叫者的身份。 如果使用数字签名,则标头包含有关如何对内容进行签名以及用于对消息签名的密钥位置的信息。
与加密有关的信息也存储在SOAP标头中。 ID属性存储为SOAP标头的一部分,从而简化了处理。 时间戳用作防止消息完整性受到攻击的附加保护级别。 创建消息时,时间戳与消息相关联,指示消息的创建时间。 附加时间戳用于消息的到期,并指示何时在目标节点上接收到该消息。
WS-安全认证机制
- 用户名/密码方法:用户名和密码组合是所使用的基本身份验证机制之一,类似于基于HTTP Digest和基于Basic的身份验证方法。 用户名令牌元素用于传递用户凭据以进行身份验证。 密码可以纯文本或摘要格式传输。 使用摘要方法时,将使用SHA1哈希技术对密码进行加密。
- X.509方法:此方法通过将X.509证书映射到特定用户的公钥基础结构来标识用户。 通过使用公用密钥和专用密钥来加密和解密X.509证书,可以增加安全性。 为了确保不重播消息,可以设置时间限制以拒绝在经过一定时间后到达的消息。
- Kerberos:票证的概念构成了Kerberos的基本机制。 客户端需要使用用户名/密码组合或X.509证书向密钥分发中心(KDC)进行身份验证。 成功认证后,将向用户授予票证授予票证(TGT)。 客户端使用TGT尝试访问票证授予服务(TGS)。 在此步骤中,标识和授权的前两个角色已经结束。 然后,客户端请求服务票证(ST)从TGS获取特定资源,并被授予ST。 客户端使用ST来访问服务。
- 数字签名:XML签名用于保护消息不被修改和解释。 签名必须由可靠的一方或真实的发件人执行。
- 加密:XML加密用于防止未经授权的第三方读取数据,从而防止数据解释。 对称和非对称方法都可以使用。
WS-Security允许适当利用现有的安全机制,以防止合并新机制时产生任何开销。
