1. 웹 서비스 보안 정의
- 웹 서비스를 외부의 불법적인 접근과 변조, 무결성 보장을 위하여 암호화 인증 기술을 활용하여 레벨 및 메시지 레벨 보안 유지 기술
2. 웹서비스 보안 취약점
| 공격 형태 | 설명 |
| Man-In-The | -SOAP메시지의 중개자를 공격하여 웹서비스 수요자와 제공자 사이의 |
| -Middle | 메시지 수집 |
| 메시지 변조 | -공격자가 메시지나 첨부물의 전체 또는 일부를 수정하기 위해 |
| SOPA헤더나 body부분 공격 | |
| Spoofing | -공격자가 신뢰된 객체의 Identify를 가지고 목표 객체에 접근 |
| 재생공격 | -공격자가 수요자와 제공자간 행해졌던 통신을 도청하여 나중에 공격 |
| DoS(Denial | -과도한 웹서비스 요청 트랙픽 전송 통해 서비스 지연 또는 Down |
| of Service) |
3. 웹서비스 보안 기술
| 보안 기술 | 내용 | 기능 |
| XML전자서명 | -XML문서 또는 일부에 대한 전자 | .인증제공,메시지 |
| 전자서명 명세 | 무결성 | |
| -SOAP,WSDL 항목에 대한 서명시 적용 | ||
| XML암호화 | -XML문서 또는 일부에 대한 암호화/ | .기밀성 |
| 복호화 명세 | ||
| XACML | -정보 접근 정책을 위한 XML명세 | .접근 제어 |
| -UDDI및 WSDL의 항목 접근 제어 | ||
| XKMS | -공개키 관리 메커니즘 제공 | .인증제공 |
| -공개키 획득과 검증,키등록,폐기,복구 | .부인봉쇄 | |
| SAML | -인증 및 권한 정보 위한 명세 | .인증 |
| -인증에 필요한 정보를 담고 있는 | .권한관리 | |
| 보안 토큰 형태 | ||
| WS-Security | -PKI,SSL,XML서명,XML암호화등 웹서비스 보안 표준 | .인증등 다수기능 |
XACML(eXtensible Access Control Markup Language)
SAML(Security Assertion Markup Language)
XKMS(XML Key Management Spec)
4.웹서비스 보안 동향
-모바일 웹서비스에서 메시지 보호
- 웹서비스의 취약점을 공격하려는 비정상적인 요청을 공격 시그너쳐에 의존하지 않고도 실시간으로 차단 방안
-Cross-site scripting, SQL Injection, Buffer Overflow등 웹 어플리케이션에 대한 보안
'기술 용어 검색' 카테고리의 다른 글
| RBAC (Role Based Access Control) (0) | 2007.11.27 |
|---|---|
| 강성 인증 (Strong authentication) (0) | 2007.11.27 |
| USN (Ubiqutous Sensor Network) 보안 (0) | 2007.11.27 |