为什么需要WS安全性来提供令牌,签名等,如果有ssl通信来实现此目的? WS安全性如何用于提供ssl无法提供的完整性,机密性和真实性?简单地说为什么ws secuirty(如果可能,您可以提供任何示例)
如果paypal的业务合作伙伴在其网站上使用paypal的网络服务。如果该网络服务要求其客户的用户名和密码,paypal如何保护客户数据从那里商业伙伴?如何在客户之间进行肥皂交易, paypal及其业务合作伙伴?plz你能解释一下WS安全概念(提供完整性,机密性,真实性)在这种情况下的作用吗?
答案 0 :(得分:4)
主要区别在于HTTP相关的安全机制保护了Web服务的传输层,WS安全性解决了更高级别的抽象问题。
同样,您可能还有更高级别的安全解决方案(例如:仅加密Web服务中的特定密码字段)或更低级别(如VPN)
不同的方案需要在不同的层中采用不同的安全措施
一些例子: Web服务不仅限于HTTP传输 - 您的环境可能包含其他传输(如使用JMS,MSMQ等进行消息传递)。在Web服务层(而不是传输层)设置安全性将允许您为整个环境使用通用机制。
另一个问题是,当您在Web服务堆栈中走得更高时,http级安全信息会被“窃取” - 例如,在许多地方您不会直接访问服务提供商,而是通过中央ESB(企业服务总线) 。 ESB充当服务的中心枢纽,还可以执行诸如记录,路由,发布到多个服务端点等任务。 使用ESB时,ESB上的http连接断开,服务获得源自ESB的新http连接 - 因此http安全机制无法提供端到端的安全性。 但是,即使通过ESB路由消息,也可以保留WS安全信息
您在上次评论中描述的内容似乎与之前的答案无关
您是说他们有像OpenID或kerberos这样的机制,您可以在其中使用来自一个站点的凭据来访问其他站点吗? 这不是特定于Web服务的,并且存在各种现有协议(我猜他们使用现有协议)。当然,可以使用WS安全标准开发类似的机制。 例如,kerberos协议的工作方式如下: 1.用户向安全服务器进行身份验证 2.安全服务器回复一条签名消息(称为票证),说“用户123已经过身份验证” 3.用户使用此消息来证明他确实是第二个站点的用户123,而不需要第二个站点实际获得他的用户名密码。 该协议基于加密和加密签名 - 两者都可以使用WS安全性。
答案 1 :(得分:2)
SSL(TLS)安全性将保护用户免遭窃听。但它不会保护您(您的网站)免受恶意用户的侵害。你仍然容易受到缓冲区溢出,SQL注入等的攻击。</ p>
答案 2 :(得分:2)
有一个很好的例子,请看Samy Kamkar at Defcon(更短)和at Blackhat(更长)的“我如何遇见你的女朋友”。 Samy解释了使用Web应用程序漏洞侵入使用SSL的人的帐户(在这种情况下是Facebook)。
答案 3 :(得分:2)
SSL和WS-Security之间的主要区别在于,SSL是传输级别,但WS-Security是消息级别...换句话说,当您使用SSL时 - 只要消息离开传输通道 - 它就不安全。但是,WS-Security消息仍然是安全的,消息安全性与传输通道无关。
使用WS-Security,
纯SSL提供身份验证/机密性和完整性 - 但不提供不可否认性。
两条腿OAuth是支持SSL上的不可否认性的标准。
...谢谢
答案 4 :(得分:0)
WS或Web Service Security是SOAP的扩展,它将安全性应用于不同的Web服务。 Ws-Security使用XML签名和加密来提供端到端安全性。该协议的主要焦点是指定如何在Web上的用户和服务提供商之间的消息交换中实施完整性和机密性,例如Paypal。此服务还允许通信不同的安全令牌格式,如SAML,X.509,Kerberos等。与主要侧重于在传输级别提供安全性的HTTP协议不同,WS安全机制在应用层实现更高级别的抽象并提供加密的安全解决方案。
由于每个平台上的安全性需求不同,这两个标准的重点是满足这些安全平台的需求。在此安全性的帮助下,端到端安全性,不可否认性,反向代理,传输绑定等得到了改进。
一般而言,您可以说此服务是另一种为数据交换平台和用户隐私提供更好安全性的方法。还有许多其他服务/软件可以执行相同的任务,例如TOR(为用户隐私提供完整性),ScrapeSentry(提供来自不良机器人流量和垃圾邮件的安全性的服务),Distil Network(另一项服务)阻止网络垃圾邮件垃圾邮件等。但是,每种安全机制的概念都不同,但其主要动机是为用户和企业提供持续可靠的安全性。
答案 5 :(得分:-1)
美好的一天,
SSL/TLS technology是一种安全技术。其目标是保护用户不被黑客窃取他/她的信息(信用卡,地址,电话号码......)。 SSL证书将保护网站,并且每个在网站上连接的人都将确保拥有安全的环境。
安全性的质量取决于相关网站上安装的证书类型,无论是DV(域验证),OV(组织验证),EV(扩展验证),是否存在SGC技术
如果您有任何其他问题,可以提供更多详细信息here。