WSS chrání zprávy webových služeb

DEFINICE Specifikace WSS (Web Services Security) definuje mechanismy, jež mají chránit zprávy používané v rámci webov...


DEFINICE
Specifikace WSS (Web Services Security) definuje mechanismy, jež mají chránit
zprávy používané v rámci webových služeb. Jde o standard vyvíjený v rámci
OASIS, který poskytuje rámec pro šifrování, podepisování a autentizaci zpráv
SOAP.
Stejně jako v dalších oblastech IT i u webových služeb je kladen velký důraz na
bezpečnost. Tu má zajistit specifikace skrývající se pod zkratkou WSS (Web
Services Security).
Aplikace webových služeb spolu komunikují prostřednictvím zpráv protokolu SOAP
(Simple Object Access Protocol), které jsou definovány v XML. Tyto zprávy jsou
nejčastěji přenášeny prostřednictvím HTTP, ale v principu mohou být
transportovány i jakýmkoli jiným komunikačním protokolem. Specifikace WSS
poskytuje rámec pro šifrování, podepisování a autentizaci zpráv SOAP.
WSS mimo jiné definuje XML elementy, které mohou být použity k zajištění
ochrany integrity (ochrana před zápisem), utajení (ochrana před čtením) a
autentizace. Činí tak za použití dalších specifikací, přičemž přidává některé
vlastní prvky.
Digitální podpisy a šifrování definuje WSS prostřednictvím odkazů na doporučení
pro digitální podpisy a šifrování XML, a to doporučení vyvinutá ve W3C (World
Wide Web Consortium). Zpracování digitálních podpisů XML dokumentů je přitom
komplexním problémem, protože se bere v potaz skutečnost, že i mírně odlišné
varianty jednoho dokumentu mohou mít stejný význam. Bez dopadu na význam mohou
být přidávány a mazány například mezery, případně lze přesouvat či eliminovat
redundantní deklarace.
Protože by uvedené změny způsobovaly při validaci podpisů zbytečné chyby, je
nezbytné definovat standardizovanou (kanonickou) formu XML dokumentu.
Odesílatel sestaví a podepíše dokument, který má tuto formu, a také příjemce
následně kontroluje podpis vůči standardizovanému tvaru dokumentu.

Variabilita
Protože jsou webové služby využívány v mnoha prostředích, WSS umožňuje používat
k distribuci klíčů a dalších autentizačních informací (na něž odkazuje jako na
tokeny) různé systémy. Certifikáty X.509 a Kerberos jsou přenášeny jako binární
tokeny, zatímco licence XrML nebo SAML jako XML tokeny. WSS rovněž definuje
token "uživatelské jméno", který může být použit v kombinaci s heslem.
Nejdůležitější prvek, jejž WSS definuje, je nazýván Security a obsahuje XML
elementy se vztahem k ochraně zpráv. Security se objevuje v hlavičce SOAP a
může být jeden pro každý uzel, který obdrží zprávu. Informace v tomto elementu
dovoluje odesílateli sdělit příjemci, která data byla podepsána a co bylo
šifrováno, v jakém pořadí provést příslušné bezpečnostní operace a jaké klíče
použít. WSS rovněž umožňuje odesílatelům specifikovat čas a datum vytvoření
a/nebo expirace bezpečnostních informací.
WSS naopak nespecifikuje nějakou zvláštní posloupnost kroků pro výměnu zpráv
nebo šifrovacích operací pro Kerberos či SSL/TLS (Secure Sockets Layer/
/Transport Layer Security). Předpokládá se, že detailní vzory využití budou
definovány v rámci dalších specifikací stejně jako návrh optimálních postupů
pro realizaci některých dalších potřebných funkcí.
Specifikace WSS nicméně může být použita přímo k uspokojení jednodušších
požadavků, například pro podpis nebo šifrování částí nějaké zprávy. S tím, jak
se webové služby stávají stále komplexnějšími, lze očekávat i růst požadavků
směřujících k WSS.

Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.