Kerberos-Nachrichtenschutz für Web-Services
Die Sicherheit auf Nachrichtenebene basiert auf der Spezifikation "OASIS (Organization for the Advancement of Structured Information Standards) Web Services Security Kerberos Token Profile Version 1.1". Dieser Artikel gibt einen Überblick über die Implementierung des Nachrichtenschutzes mittels eines Kerberos-Tokens für Web-Services.
Nachrichtenschutz
Aufgrund der Implementierung des Kerberos-Tokenprofils gemäß der OASIS-Web-Service-Spezifikation kann der Anwendungsserver mit anderer Web-Service-Technologie zusammenarbeiten. Diese Spezifikation definiert die Standards für den Schutz einer SOAP-Nachricht mit dem Kerberos-Token. Die gegenseitige Authentifizierung wird vom Tokenprofil jedoch nicht festgelegt. Die Spezifikation "OASIS Web Services SOAP Message Security" beschreibt, wie eine SOAP-Nachricht durch Signatur und Verschlüsselung unter Verwendung und Referenzierung eines Kerberos-Tokens geschützt werden kann. Die OASIS-Spezifikation definiert insbesondere, wie das Kerberos-Token als eingeschlossenes oder nicht eingeschlossenes AP_REQ-Paket verschlüsselt und an die SOAP-Nachricht angehängt wird. Das im OASIS-Standard "Kerberos Token Profile" beschriebene Token ist auf die Verwendung des Pakets AP_REQ, bestehend aus einem Service-Ticket und einem Authentifikator, begrenzt. Das Paket AP_REQ wird aus dem Key-Distribution-Center (KDC) abgerufen, das als ein Service zur Authentifizierung über Dritte fungiert.
- http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#Kerberosv5_AP_REQ
- http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ
- http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#Kerberosv5_AP_REQ1510
- http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ1510
- http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#Kerberosv5_AP_REQ4120
- http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ4120
Das resultierende AP_REQ-Token kann entweder "GSS-API framed" (eingeschlossen) oder "raw" (nicht eingeschlossen) sein. Das Token muss Base-64-verschlüsselt sein.