Sicherheit bei Web Services

  • Artikel

Veröffentlicht: 19. Feb 2004 | Aktualisiert: 15. Nov 2004

Von Jürgen Mauerer

Web Services kommen in der Praxis derzeit vor allem in geschlossenen Anwendungsumgebungen wie Intranets und Extranets vor. Der Grund: Viele Unternehmen zweifeln (noch) an der Sicherheit der Webdienste. Dabei gibt es mit Web Services Security (WS-Security) eine Spezifikation, die die wichtigsten Sicherheitsanforderungen erfüllt. WS-Security wurde von IBM, Microsoft und VeriSign im Rahmen der GXA-Initiative gemeinsam spezifiziert.

Um für stärkere Sicherheit zu sorgen, hat Microsoft die Web Services Enhancements (WSE) veröffentlicht. Sie implementieren außer WS-Security noch andere Spezifikationen aus der Global XML Web Services Architecture (GXA). Hierzu zählen WS-Routing & WS-Referral zum Adressieren und Weiterleiten von SOAP-Nachrichten über Zwischenstationen sowie DIME mit WS-Attachments zum Versenden großer Datenmengen als Anhänge zu einer SOAP-Nachricht.

Von enormer Bedeutung ist aber der Punkt Sicherheit. Vor den WSE gingen Informationen in SOAP-Paketen unverschlüsselt über die Leitung. Gespräche zwischen Client und Web Service waren ein offenes Buch für den, der Zugriff auf die Leitung hatte. Web Service Enhancements (WSE) schieben dem einen Riegel vor. Sie verschlüsseln den Body eines SOAP-Pakets. Eine Reihe von Filtern kümmert sich im Hintergrund um das Kodieren und Dekodieren mit Hilfe der Public-Key-Encryption oder stellt per elektronischer Unterschrift die Unversehrtheit eines Datenpakets sicher.

Grundlegendes zu WS-Security
Dieser Artikel beschreibt, wie WS-Security zum Einbetten der Sicherheit in die SOAP-Nachricht verwendet wird. Dabei werden die von WS-Security abgedeckten Bereiche wie Authentifizierung, Signaturen und Verschlüsselung, untersucht und erläutert.

Erweiterte Sicherheit in Web Services-Anwendungen mit den WSE und WS-Security
In diesem Artikel erfahren Sie, wie man mittels WS-Security-Spezifikation und den Microsoft Web Services Enhancements for .NET eine sichere Web Services-Kommunikation aufbaut. Zudem zeigt er, wie Sie einer SOAP-Nachricht Benutzerinformationen hinzufügen, sie anschließend verschlüsseln und signieren können.

Verschlüsseln von SOAP-Nachrichten mit Web Services Enhancements
Dieser Artikel enthält eine Übersicht über die Verschlüsselung von SOAP-Nachrichten und ihre Definition in den Spezifikationen WS-Security und XML Encryption.

Sichere Datenübertragung mit XML Web Services
XML Web Services verbinden verschiedene Anwendungen und Rechnerwelten, lassen aber die Frage nach der Sicherheit zunächst unbeantwortet. Dieser Artikel zeigt, welche Sicherheitsmechanismen es gibt, wenn ASP.NET eingesetzt wird.

Bb979035.pfeilrechts(de-de,MSDN.10).gifAllgemein: Web Services und GXA
Bb979035.pfeilrechts(de-de,MSDN.10).gifBasis: Metasprache XML
Bb979035.pfeilrechts(de-de,MSDN.10).gifSOAP, UDDI und WSDL
Bb979035.pfeilrechts(de-de,MSDN.10).gifSicherheit bei Web Services
Bb979035.pfeilrechts(de-de,MSDN.10).gifNächste Generation: Indigo
Bb979035.pfeilrechts(de-de,MSDN.10).gifTools und Code zum Download