Kerberos-Nachrichtenschutz für Web-Services

Die Sicherheit auf Nachrichtenebene basiert auf der Spezifikation "OASIS (Organization for the Advancement of Structured Information Standards) Web Services Security Kerberos Token Profile Version 1.1". Dieser Artikel gibt einen Überblick über die Implementierung des Nachrichtenschutzes mittels eines Kerberos-Tokens für Web-Services.

Nachrichtenschutz

Aufgrund der Implementierung des Kerberos-Tokenprofils gemäß der OASIS-Web-Service-Spezifikation kann der Anwendungsserver mit anderer Web-Service-Technologie zusammenarbeiten. Diese Spezifikation definiert die Standards für den Schutz einer SOAP-Nachricht mit dem Kerberos-Token. Die gegenseitige Authentifizierung wird vom Tokenprofil jedoch nicht festgelegt. Die Spezifikation "OASIS Web Services SOAP Message Security" beschreibt, wie eine SOAP-Nachricht durch Signatur und Verschlüsselung unter Verwendung und Referenzierung eines Kerberos-Tokens geschützt werden kann. Die OASIS-Spezifikation definiert insbesondere, wie das Kerberos-Token als eingeschlossenes oder nicht eingeschlossenes AP_REQ-Paket verschlüsselt und an die SOAP-Nachricht angehängt wird. Das im OASIS-Standard "Kerberos Token Profile" beschriebene Token ist auf die Verwendung des Pakets AP_REQ, bestehend aus einem Service-Ticket und einem Authentifikator, begrenzt. Das Paket AP_REQ wird aus dem Key-Distribution-Center (KDC) abgerufen, das als ein Service zur Authentifizierung über Dritte fungiert.

Gemäß der Definition von "OASIS Web Services Security Kerberos Token Profile 1.1" gibt es mehrere Formate für das Kerberos-Token. Das Tokenformat wird mit dem Attribut @ValueType angegeben. Für das Element muss eines der folgenden Attribute des Typs <@ValueType> angegeben werden:
  • http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#Kerberosv5_AP_REQ
  • http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ
  • http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#Kerberosv5_AP_REQ1510
  • http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ1510
  • http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#Kerberosv5_AP_REQ4120
  • http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ4120

Das resultierende AP_REQ-Token kann entweder "GSS-API framed" (eingeschlossen) oder "raw" (nicht eingeschlossen) sein. Das Token muss Base-64-verschlüsselt sein.


Symbol, das den Typ des Artikels anzeigt. Konzeptartikel



Symbol für Zeitmarke Letzte Aktualisierung: 25.05.2016
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=cwbs_kerberosmsgprotect
Dateiname:cwbs_kerberosmsgprotect.html