WS-Security

Z witryny IBM - http://www-128.ibm.com/developerworks/library/specification/ws-secure/

Bezpieczeństwo usług internetowych (WS), początkowo zakładano, że WS odbywa się w bezpiecznym środowisku np. poprzez protokół https (transport w niższej warstwie sieciowej). Założenie te nie zawsze może być spełnione dlatego opracowano standard wymiany protokołu SOAP niezależnie od transportu.

• Zabezpieczenie komunikatów SOAP opracowane w WS-Security są w trzech obszarach: integralności (wykorzystuje standard XML Security),
• poufności (XML Encryption) i
• autentykacji (różnego rodzaju żetony stosowane w przemyśle: Username t., X.509 t., SAML t., Kerberos t.)

Celem było stworzenie elastycznej ramy do której można wpisać możliwie dużo istniejących już modeli bezpieczeństwa i technologii kryptograficznych.
WS-S udostępnia ogólny i rozszerzalny mechanizm kojarzenia komunikatu z żetonem (token) bezpieczeństwa.
Podkreśla się, że WS-Security samo w sobie nie jest kompletnym rozwiązanie problemu bezpieczeństwa. Należy je traktować jako część rozwiązania w powiązaniu z innymi metodami zabezpieczeń np. stosowanie specyficznych protokołów. Opis standardu jest na stronach OASIS (ftp://www6.software.ibm.com/software/developer/library/ws-secure.pdf).

Zasoby sieciowe:

• Read the related Web Services Trust specification that explains how trust relationships are defined between Web services.
• Web Services Addressing defines how to identify services across a network.
• Web Services Federation defines mechanisms to allow different security realms to federate by allowing and brokering trust of identities, attributes, authentication between participating Web services.
• Web Services Policy Framework defines how to apply policies to control individual services behavior.
• WS-SecureConversation defines extensions that build on WS-Security to provide secure communication.
• WS-SecurityPolicy is a building block that is used in conjunction with other Web service and application-specific protocols to accommodate a wide variety of security models.
• SOAP 1.1 is the basic messaging transport for all Web services while SOAP 1.2 offers enhancements to the message framework.
• WSDL 1.1 is the current standard language for services description.
• XML Schema, Part 1 and Part 2 are specifications that explain how schemas are organized in XML documents.
• Learn more about the OASIS Web Services Security Technical Committee.
• Implementing WS-Security discuss the security-related requirements of Web services and how they are met using a combination of HTTPS/SSL, digital certificates, and digital signature technologies.
• Best Practices for Web services: Web services security, Part 1 explains the mechanics of how WS-Security works and the options it affords in a service-oriented architecture.
• Best Practices for Web services: Web services security, Part 2 outlines WS-Security capabilities leveraged in real-world customer solutions.
• Security in a Web Services World: A Proposed Architecture and Roadmap describes a proposed strategy for addressing security within a Web service environment.
• Web services standards roadmap tak to wygląda: