Webservice安全性 - 什麼是足夠的？

Question

我正在尋找公開可以由多個客戶端調用來檢索交易數據的Web服務。每個調用客戶端將檢索不同的數據子集。

我們在Websphere 7中託管Webservice--外部web服務本質上是在我們的ESB平臺上運行的真正WS的代理。

目前我已經制定了以下安全：

1）頭（plantext）發送WS-Security的用戶名/密碼。這是通過我們的自定義存儲庫進行身份驗證的（存儲庫在其他地方正在使用，並且已經過安全測試）。

2）HTTPS

3）限制通過防火牆的IP呼叫

4）有效載荷數據使用客戶端公鑰

這是安全的 「足夠」 PGP加密？我很確定有效載荷數據是安全的，但我不完全確定訪問機制是否100％安全？我們正在使用IBM Websphere爲＃1內置的內容。

Answer 1

好吧，因爲您正在使用HTTPS您不必擔心以明文形式發送密碼。所以只要你的認證工作正常（你說回購是安全測試），這是相當安全的。

此外，您使用PGP加密的有效載荷，這是非常安全的 - 至少只要各方處理他們的鑰匙與所需的照顧。

- >你描述的聲音對我來說聽起來相當穩固，特別是對於基本上不可攻擊的PGP的異步加密（除非你考慮社會工程學）。

也許最後的想法（不過我猜你不需要這個建議）：
我不知道有關WebSphere，但在其他應用服務器或ESB產品（例如：JBoss）有每激活一些管理工具默認情況下可以通過網絡自由訪問（只需谷歌/jmx-console ...）。確保使用密碼保護他們或在需要時禁用他們。

Answer 2

對我而言，這是綽綽有餘。我唯一能想到的另外一件事就是使用臨時密碼。詳情請參閱RSA。

Answer 3

是由連接到認證客戶身份服務返回的，或者是返回設置由被傳入的一個參數確定數據的數據子集？