WS-Security

A Wikipédiából, a szabad enciklopédiából

WS-Security (Web Services Security, röviden WSS) egy nagyon rugalmas és funkciókban gazdag kiegészítése a SOAP-nak, amellyel a webszolgáltatások biztonságát határozhatjuk meg. Az ún. WS-* (webszolgáltatások) családjába tartozik, melyet az OASIS fogadott el szabványként.

Ez a protokoll az üzenetek integritását és titkosítását határozza meg. Sokféle biztonsági tokent támogat, mint például a SAML, Kerberos, és X.509. A fő hangsúly ennél a protokollnál az XML Signature és az XML Encryption használatán van.

Funkciók[szerkesztés | forrásszöveg szerkesztése]

A WS-Security három fő mechanizmust ír le:

  • Hogyan jelöljük a SOAP üzeneteket, hogy biztosítsuk az integritást. Az üzenetek jelölése "letagadhatatlan" legyen.
  • Hogyan titkosítsuk megfelelően a SOAP üzeneteket.
  • Hogyan csatoljunk az üzenetekhez olyan biztonsági tokeneket, amellyel meggyőződhetünk a küldő személyéről.


A specifikáció lehetőséget ad különböző aláírás formátumok, titkosítási algoritmusok és több bizalmi tartományok használatára, és különböző biztonsági token modellt támogat, mint például:

  • X.509 tanúsítványok
  • Kerberos tikettek
  • Felhasználóazonosító / jelszó megbízólevél
  • SAML-Assertion
  • Felhasználó által definiált token

A tokenek formátumát és szemantikáját a profilhoz tartozó dokumentumban definiálják.
A WS-Security szolgáltatást a SOAP üzenetek fejlécében határozzák meg az alkalmazásrétegben. Példa WS-Security fejlécre:

<?xml version='1.0' encoding='UTF-8'?>
<soapenv:Envelope xmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/"xmlns:xenc="http://www.w3.org/2001/04/xmlenc#">
<soapenv:Header>

<wsse:Security xmlns:wsse="..." soapenv:mustUnderstand="1">
<xenc:EncryptedKey Id="EncKeyId-229902">
<xenc:EncryptionMethod Algorithm="http://www.w3.org/2001/04/xmlenc#rsa-1_5" />
<ds:KeyInfo xmlns:ds="...">
<wsse:SecurityTokenReference>…</wsse:SecurityTokenReference>
</ds:KeyInfo>
<xenc:CipherData>
<xenc:CipherValue>PpAOXj5P0W8ukm...</xenc:CipherValue>
</xenc:CipherData>
<xenc:ReferenceList>
<xenc:DataReference URI="#EncDataId-30957433" />
</xenc:ReferenceList>
</xenc:EncryptedKey>

<ds:Signature xmlns:ds="http://www.w3.org/2000/09/xmldsig#"Id="Signature-17764792">

<ds:SignedInfo>
<ds:CanonicalizationMethod Algorithm=…/>
<ds:SignatureMethod Algorithm=… />
<ds:Transforms>…/ds:Transforms>
<ds:DigestMethod Algorithm="http://www.w3.org/2000/09/xmldsig#sha1" />
<ds:DigestValue>+ECkM6R4GQ7AQ=...</ds:DigestValue>
</ds:SignedInfo>

</ds:Signature> <wsu:Timestamp../> <soapenv:Body xmlns:wsu="..." wsu:Id="id-30957433">

<xenc:EncryptedData Id="EncDataId-30957433”….>

</soapenv:Body>

A fentebb említett mechanizmusok nem adnak teljes körű megoldást a web-szolgáltatások biztonságára. Inkább csak alap építőeleme a biztonságnak, amelyre sok egyéb magasabb szintű biztonsági protokoll építhető. Általában a WS-Security önmagában még nem elegendő a megfelelő biztonság biztosításához.
A kulcsmenedzselés, a bizalom kezelése, a technikai részletek meghatározása (pl.: titkosítás algoritmusa) túlmutat a WS-Security hatáskörén.

Használati esetek[szerkesztés | forrásszöveg szerkesztése]

Átviteli réteg biztonsága (WS-Security nélkül)[szerkesztés | forrásszöveg szerkesztése]

A tipikus SOAP kommunikáció használata esetén két megbízható fél között (HTTPs protokollt használva) egyáltalán nincs is szükség WS-Security használatára.

Vég-vég biztonság[szerkesztés | forrásszöveg szerkesztése]

HA egy SOAP közvetítőre van szükség és a közvetítő egyáltalán nem vagy csak kevésbé megbízható, akkor szükséges az üzenetek megjelölése/címkézése és esetleg titkosítása.

Letagadhatatlanság[szerkesztés | forrásszöveg szerkesztése]

Az általános módszer egy üzenete letagadhatatlanságának biztosítására, az ha tranzakciókat írunk, amely segítségével visszakövethető az üzenet. Ha ez nem lenne elegendő, akkor a digitális aláírás használata is lehet egy másik módszer.

Alternatív adatátviteli kötések[szerkesztés | forrásszöveg szerkesztése]

Habár majdnem minden SOAP szolgáltatás a HTTP protokoll implementációja, elméletben lehetséges más protokollokon alapuló szolgáltatás is, mint pl.: JMS vagy SMTP-n alapuló. Ezekben az esetekben szükséges a vég-vég biztonság meghatározása.

Fordított proxy/Általános biztonsági token[szerkesztés | forrásszöveg szerkesztése]

Még ha a web-szolgáltatás az adatátviteli rétegen megvalósított biztonságra támaszkodik is, lehetséges hogy szükséges a túloldali felhasználóval tudatni, hogy milyen szolgáltatást is használunk. A WSS-fejléc tartalmazhat tokeneket a másik oldali felhasználó számára.

Problémák[szerkesztés | forrásszöveg szerkesztése]

  • Ha az ügyfél és a szolgáltató között gyakori az üzenetváltás, akkor az XML Signature és XML Encryption jelentősen túl lehet terhelve. Ha vég-vég biztonság szükséges, akkor egy olyan protokoll, mint például a WS-SecureConversation csökkentheti a túlterheltséget. Ha elegendő, akkor használjuk az aláírás és a titkosítás közül csak az egyiket, mert az együttes használatuk jelentősen lassíthatja a kommunikációt.
  • Sok XML séma használata, mint például a SOAP, SAML, XML ENC, XML SIG függőségi problémákat okozhatnak. Ha például különböző verziójú függvénykönyvtárakat használnak.

Teljesítmény[szerkesztés | forrásszöveg szerkesztése]

A WS-Security jelentősen túlterhelhet egy SOAP eljárást, mivel nagyon megnöveli az üzenetek számát. Az XML és a titkosítási eljárások gyorsabb CPU-t, több memóriát és nagyobb sávszélességet követelnek.

Egy 2005-ben készített mérés [1] alapján, melyben 25 különböző nagyságú és komplexitású SOAP üzenet feldolgozását vizsgálták WS-Security és WS-SecureConversition által egy Pentium 4/2,8 GHz processzorral szerelt gépen, a következő megállapításokat lehet tenni:

  • A titkosítás gyorsabb, mint az aláírás
  • A titkosítás és aláírás együttes használata 2-7 szer lassabb, mint az aláírás önmagában és jelentősen nagyobb dokumentumokat eredményez.
  • Az üzenet típusától függően a WS-SecureConversation vagy ugyanolyan eredményt adott, vagy legjobb esetben a felére csökkentette az időtartamot.
  • Kevesebb, mint 10 milliszekundumig tart egy 100 kbyte-os tömb aláírása vagy titkosítása, de körülbelül 100~200 kell ahhoz, hogy végrehajtsa a biztonsági műveleteket a SOAP számára.

Egy másik 2006-os[2] mérésen a következő eredmények születtek:

Biztonsági mechanizmus Üzenet/másodperc
WS-Security (X.509) XML Signature & Encryption 352
WS-SecureConversation XML Signature & Encryption 798
Transport Layer Security 2918

Történet[szerkesztés | forrásszöveg szerkesztése]

Eredetileg az IBM, a Microsoft, és a VeriSign fejlesztette ki a protokollt, most viszont már az OASIS közösség által fejlesztett nyílt szabvány lett belőle. 2002-ben az OASIS technikai bizottsága elfogadta a WS-Security szabványt. Ennek következtében a következő verziók kerültek kiadásra:

  • WS-Security 1.0, 2004. április 19-én
  • Az 1.1-es verziót 2006. február 17-én adták ki

Kapcsolódó szabványok[szerkesztés | forrásszöveg szerkesztése]

Lásd még[szerkesztés | forrásszöveg szerkesztése]

Kapcsolódó Linkek[szerkesztés | forrásszöveg szerkesztése]

Referenciák[szerkesztés | forrásszöveg szerkesztése]

  1. Hongbin Liu, Shrideep Pallickara, Geoffrey Fox: Performance of Web Services Security
  2. Francois Lascelles, Aaron Flint: WS Security Performance. Secure Conversation versus the X509 Profile