目次:
定義-Webサービスセキュリティ(WSセキュリティ)とはどういう意味ですか?
Webサービスセキュリティ(WSセキュリティ)は、外部の攻撃からWebサービスを保護するためにWebサービスにセキュリティ対策を実装する方法を定義する仕様です。 これは、機密性、整合性、および認証の原則を実装することにより、SOAPベースのメッセージのセキュリティを確保するプロトコルのセットです。
Webサービスはハードウェアやソフトウェアの実装から独立しているため、WS-Securityプロトコルは、新しいセキュリティメカニズムに対応し、アプローチが適切でない場合に代替メカニズムを提供するのに十分な柔軟性が必要です。 SOAPベースのメッセージは複数の仲介者を通過するため、セキュリティプロトコルは偽のノードを識別し、どのノードでもデータの解釈を防ぐことができる必要があります。 WS-Securityは、開発者が特定のセキュリティソリューションを問題の一部に合わせてカスタマイズできるようにすることで、さまざまなセキュリティ問題に取り組むための最良のアプローチを組み合わせています。 たとえば、開発者は否認防止にデジタル署名を選択し、認証にKerberosを選択できます。
TechopediaがWebサービスセキュリティ(WSセキュリティ)について説明しています
WS-Securityの目的は、2者間の通信が許可されていない第三者によって中断または解釈されないようにすることです。 受信者は、メッセージが送信者によって実際に送信されたことを保証する必要があり、送信者は、受信者がメッセージの受信を拒否できないことを保証する必要があります。 最後に、通信中に送信されるデータは、許可されていないソースによって変更されるべきではありません。 セキュリティに関連するすべてのデータは、SOAPヘッダーの一部として追加されます。 したがって、セキュリティメカニズムをアクティブにすると、SOAPメッセージの形成にかなりのオーバーヘッドがかかります。
WS-Security SOAPヘッダー:
開発者は、目標を達成するために、基礎となるセキュリティメカニズムまたはプロトコルセットを自由に選択できます。 セキュリティは、キーと値のペアのセットで構成されるヘッダーを使用して実装されます。ヘッダーは、使用される基本的なセキュリティメカニズムの変更に応じて値が適切に変更されます。 このメカニズムは、呼び出し元のIDを識別するのに役立ちます。 デジタル署名が使用される場合、ヘッダーには、コンテンツの署名方法とメッセージの署名に使用されるキーの場所に関する情報が含まれます。
暗号化に関連する情報もSOAPヘッダーに保存されます。 ID属性はSOAPヘッダーの一部として保存されるため、処理が簡単になります。 タイムスタンプは、メッセージの整合性に対する攻撃に対する追加の保護レベルとして使用されます。 メッセージが作成されると、タイムスタンプが作成された日時を示すメッセージに関連付けられます。 追加のタイムスタンプは、メッセージの有効期限に使用され、メッセージが宛先ノードで受信されたときを示します。
WS-Security認証メカニズム
- ユーザー名/パスワードアプローチ:ユーザー名とパスワードの組み合わせは、使用される基本的な認証メカニズムの1つであり、HTTPダイジェストおよび基本ベースの認証方法に類似しています。 ユーザー名トークン要素は、認証にユーザー資格情報を渡すために使用されます。 パスワードは、プレーンテキストまたはダイジェスト形式で転送できます。 ダイジェストアプローチを使用する場合、パスワードはSHA1ハッシュ手法を使用して暗号化されます。
- X.509アプローチ:このアプローチは、X.509証明書を特定のユーザーにマップする公開鍵インフラストラクチャによってユーザーを識別します。 公開キーと秘密キーを使用してX.509証明書を暗号化および復号化することにより、セキュリティを強化できます。 メッセージが再生されないようにするために、一定の経過時間後に到着するメッセージを拒否するように時間制限を設定できます。
- Kerberos:チケットの概念は、Kerberosの基礎となるメカニズムを形成します。 クライアントは、ユーザー名/パスワードの組み合わせまたはX.509証明書を使用して、キー配布センター(KDC)で認証する必要があります。 認証に成功すると、ユーザーにチケット許可チケット(TGT)が付与されます。 TGTを使用して、クライアントはチケット許可サービス(TGS)にアクセスしようとします。 このステップで、識別と承認の最初の2つの役割は終了します。 次に、クライアントはTGSから特定のリソースを取得するためにサービスチケット(ST)を要求し、STが許可されます。 クライアントは、STを使用してサービスにアクセスします。
- デジタル署名:XML署名は、メッセージを変更および解釈から保護するために使用されます。 署名は、信頼できる当事者または実際の送信者が実行する必要があります。
- 暗号化:XML暗号化は、不正な第三者がデータを読み取れないようにすることで、データを解釈から保護するために使用されます。 対称アプローチと非対称アプローチの両方を使用できます。
WS-Securityを使用すると、既存のセキュリティメカニズムを適切に活用して、新しいメカニズムを組み込む際のオーバーヘッドを防ぐことができます。
