جدول المحتويات:
التعريف - ماذا يعني أمان خدمات الويب (أمان WS)؟
أمان خدمات الويب (WS Security) هو أحد المواصفات التي تحدد كيفية تنفيذ تدابير الأمان في خدمات الويب لحمايتها من الهجمات الخارجية. إنها مجموعة من البروتوكولات التي تضمن أمان الرسائل المستندة إلى SOAP من خلال تطبيق مبادئ السرية والنزاهة والمصادقة.
نظرًا لأن خدمات الويب مستقلة عن أي من تطبيقات الأجهزة والبرامج ، يجب أن تكون بروتوكولات WS-Security مرنة بما يكفي لاستيعاب آليات الأمان الجديدة وتوفير آليات بديلة إذا كان النهج غير مناسب. نظرًا لأن الرسائل المستندة إلى SOAP تعبر عبر عدة وسطاء ، يجب أن تكون بروتوكولات الأمان قادرة على تحديد العقد المزيفة ومنع تفسير البيانات في أي عقد. يجمع WS-Security بين أفضل الطرق لمعالجة مشكلات الأمان المختلفة عن طريق السماح للمطور بتخصيص حل أمان معين لجزء من المشكلة. على سبيل المثال ، يمكن للمطور تحديد التواقيع الرقمية لعدم التنصل و Kerberos للمصادقة.
تيكوبيديا تشرح أمان خدمات الويب (أمان WS)
الهدف من WS-Security هو التأكد من أن التواصل بين الطرفين لا ينقطع أو يفسر من قبل طرف ثالث غير مصرح به. يحتاج المستلم إلى التأكد من أن الرسالة قد تم إرسالها بالفعل من قبل المرسل ، ويجب أن يضمن المرسل أن المتلقي لا يمكنه رفض تلقي الرسالة. أخيرًا ، لا ينبغي تغيير البيانات المرسلة أثناء الاتصال بواسطة مصدر غير مصرح به. تتم إضافة جميع البيانات المتعلقة بالأمان كجزء من رأس SOAP. لذلك ، يتم فرض حمولة كبيرة على تشكيل رسالة SOAP عند تنشيط آليات الأمان.
WS-Security SOAP Header:
المطور حر في اختيار أي آلية أمنية أو مجموعة من البروتوكولات الأساسية لتحقيق هدفهم. يتم تطبيق الأمان باستخدام رأس يتكون من مجموعة من أزواج قيمة المفتاح حيث تتغير القيمة بشكل مناسب مع التغييرات في آلية الأمان الأساسية المستخدمة. تساعد هذه الآلية في تحديد هوية المتصل. في حالة استخدام توقيع رقمي ، يحتوي الرأس على معلومات حول كيفية توقيع المحتوى وموقع المفتاح المستخدم لتوقيع الرسالة.
يتم أيضًا تخزين المعلومات المتعلقة بالتشفير في رأس SOAP. يتم تخزين سمة المعرف كجزء من رأس SOAP ، مما يبسط المعالجة. يتم استخدام الطابع الزمني كمستوى إضافي من الحماية ضد الهجمات على تكامل الرسائل. عند إنشاء رسالة ، يرتبط الطابع الزمني بالرسالة التي تشير إلى تاريخ إنشائها. يتم استخدام طوابع زمنية إضافية لانتهاء الرسالة ولإشارة إلى متى تم استلام الرسالة في العقدة الوجهة.
آليات مصادقة أمان WS
- نهج اسم المستخدم / كلمة المرور: يعد الجمع بين اسم المستخدم وكلمة المرور أحد آليات المصادقة الأساسية المستخدمة ، وهو مماثل لطرق المصادقة المستندة إلى HTTP Digest و Basic. يتم استخدام عنصر الرمز المميز لاسم المستخدم لتمرير بيانات اعتماد المستخدم للمصادقة. يمكن نقل كلمة المرور كنص عادي أو بتنسيق ملخص. عند استخدام طريقة الهضم ، يتم تشفير كلمة المرور باستخدام تقنية تجزئة SHA1.
- أسلوب X.509: يحدد هذا النهج المستخدم من خلال بنية تحتية للمفتاح العام تقوم بتعيين شهادة X.509 لمستخدم معين. يمكن إضافة المزيد من الأمان باستخدام مفتاح عام ومفتاح خاص لتشفير وفك تشفير شهادة X.509. لضمان عدم إعادة تشغيل الرسائل ، يمكن تعيين حد زمني لرفض الرسائل التي تصل بعد فترة زمنية محددة.
- Kerberos: مفهوم تذكرة تشكل الآلية الأساسية ل Kerberos. يحتاج العميل إلى المصادقة باستخدام مركز توزيع رئيسي (KDC) باستخدام مجموعة اسم المستخدم / كلمة المرور أو شهادة X.509. عند المصادقة الناجحة ، يتم منح المستخدم تذكرة منح التذاكر (TGT). باستخدام TGT ، يحاول العميل الوصول إلى خدمة منح التذاكر (TGS). في هذه الخطوة ، انتهى دوران تحديد الهوية والتخويل. يطلب العميل ثم تذكرة خدمة (ST) للحصول على مورد معين من TGS ويمنح ST. يستخدم العميل ST للوصول إلى الخدمة.
- التوقيع الرقمي: تستخدم توقيعات XML لحماية الرسالة من التعديل والتفسير. يجب أن يتم التوقيع بواسطة طرف موثوق أو مرسل حقيقي.
- التشفير: يستخدم تشفير XML لحماية البيانات من التفسير بجعله غير قابل للقراءة لطرف ثالث غير مصرح به. يمكن استخدام كل من النهج المتماثل وغير المتماثل.
يسمح WS-Security برفع آليات الأمان الحالية بشكل مناسب لمنع أي حمل في دمج آليات جديدة.
