Sommario:
- Definizione - Cosa significa Sicurezza dei servizi Web (sicurezza WS)?
- Techopedia spiega Web Services Security (WS Security)
Definizione - Cosa significa Sicurezza dei servizi Web (sicurezza WS)?
Web Services Security (WS Security) è una specifica che definisce le modalità di implementazione delle misure di sicurezza nei servizi Web per proteggerle dagli attacchi esterni. È un insieme di protocolli che garantiscono la sicurezza dei messaggi basati su SOAP implementando i principi di riservatezza, integrità e autenticazione.
Poiché i servizi Web sono indipendenti da qualsiasi implementazione hardware e software, i protocolli WS-Security devono essere abbastanza flessibili da accogliere nuovi meccanismi di sicurezza e fornire meccanismi alternativi se un approccio non è adatto. Poiché i messaggi basati su SOAP attraversano più intermediari, i protocolli di sicurezza devono essere in grado di identificare i nodi falsi e impedire l'interpretazione dei dati in qualsiasi nodo. WS-Security combina i migliori approcci per affrontare diversi problemi di sicurezza consentendo allo sviluppatore di personalizzare una particolare soluzione di sicurezza per una parte del problema. Ad esempio, lo sviluppatore può selezionare le firme digitali per non ripudio e Kerberos per l'autenticazione.
Techopedia spiega Web Services Security (WS Security)
L'obiettivo di WS-Security è garantire che la comunicazione tra due parti non venga interrotta o interpretata da una terza parte non autorizzata. Il destinatario deve essere certo che il messaggio è stato effettivamente inviato dal mittente e il mittente deve essere certo che il destinatario non può negare di ricevere il messaggio. Infine, i dati inviati durante la comunicazione non devono essere modificati da una fonte non autorizzata. Tutti i dati relativi alla sicurezza vengono aggiunti come parte dell'intestazione SOAP. Pertanto, viene imposto un notevole sovraccarico alla formazione del messaggio SOAP quando vengono attivati meccanismi di sicurezza.
Intestazione SOAP WS-Security:
Lo sviluppatore è libero di scegliere qualsiasi meccanismo di sicurezza o set di protocolli per raggiungere il proprio obiettivo. La sicurezza viene implementata utilizzando un'intestazione che consiste in un insieme di coppie chiave-valore in cui il valore cambia in modo appropriato con le modifiche nel meccanismo di sicurezza sottostante utilizzato. Questo meccanismo aiuta a identificare l'identità del chiamante. Se viene utilizzata una firma digitale, l'intestazione contiene informazioni su come è stato firmato il contenuto e sulla posizione della chiave utilizzata per firmare il messaggio.
Le informazioni relative alla crittografia sono anche memorizzate nell'intestazione SOAP. L'attributo ID è memorizzato come parte dell'intestazione SOAP, il che semplifica l'elaborazione. Il timestamp viene utilizzato come ulteriore livello di protezione dagli attacchi all'integrità del messaggio. Quando viene creato un messaggio, un timestamp è associato al messaggio che indica quando è stato creato. Timestamp aggiuntivi vengono utilizzati per la scadenza del messaggio e per indicare quando il messaggio è stato ricevuto nel nodo di destinazione.
Meccanismi di autenticazione WS-Security
- Approccio nome utente / password: la combinazione nome utente e password è uno dei meccanismi di autenticazione di base utilizzati ed è analogo ai metodi di autenticazione basati su Digest HTTP e di base. L'elemento token nome utente viene utilizzato per passare le credenziali dell'utente per l'autenticazione. La password può essere trasportata come testo normale o in formato digest. Quando viene utilizzato l'approccio digest, la password viene crittografata utilizzando la tecnica di hashing SHA1.
- Approccio X.509: questo approccio identifica l'utente tramite un'infrastruttura a chiave pubblica che associa il certificato X.509 a un determinato utente. È possibile aggiungere maggiore sicurezza utilizzando una chiave pubblica e una chiave privata per crittografare e decrittografare il certificato X.509. Per garantire che i messaggi non vengano riprodotti, è possibile impostare un limite di tempo per rifiutare i messaggi che arrivano dopo una certa durata.
- Kerberos: il concetto di biglietto costituisce il meccanismo sottostante di Kerberos. Il client deve autenticarsi con un centro di distribuzione chiavi (KDC) usando una combinazione nome utente / password o un certificato X.509. In caso di autenticazione riuscita, all'utente viene concesso un ticket di concessione ticket (TGT). Utilizzando il TGT, il client tenta di accedere a un servizio di concessione ticket (TGS). A questo punto, i primi due ruoli di identificazione e autorizzazione sono terminati. Il client richiede quindi un ticket di servizio (ST) per acquisire una particolare risorsa dal TGS e gli viene concesso l'ST. Il client utilizza ST per accedere al servizio.
- Firma digitale: le firme XML vengono utilizzate per proteggere il messaggio da modifiche e interpretazioni. La firma deve essere eseguita da una parte affidabile o dal mittente reale.
- Crittografia: la crittografia XML viene utilizzata per proteggere i dati dall'interpretazione rendendoli illeggibili a terze parti non autorizzate. Possono essere utilizzati sia approcci simmetrici che asimmetrici.
WS-Security consente ai meccanismi di sicurezza esistenti di essere sfruttati in modo appropriato per evitare qualsiasi sovraccarico nell'integrazione di nuovi meccanismi.
