Web-Services-Security-Spezifikation - eine Chronologie
Diese Chronologie beschreibt den Prozess, mit dem die Web-Services-Security-Spezifikationen entwickelt werden. Die Chronologie umfasst sowohl OASIS-Aktivitäten (Organization for the Advancement of Structured Information Standards) als auch Aktivitäten außerhalb von OASIS.
Aktivitäten außerhalb von OASIS
- Die Spezifikation erfordert, dass die Prozessoren für Web Services Security das Schema richtig verstehen, damit der Prozessor zwischen den ID-Attributen für die XML-Signatur und die XML-Verschlüsselung unterscheiden kann.
- Die Aktualität der Nachricht, d. h. Angaben dazu, ob die Nachricht mit vordefinierten Zeitbeschränkungen übereinstimmt, kann nicht bestimmt werden.
- Verarbeitete Kennwortzeichenfolgen erhöhen die Sicherheit nicht.
- Ein globales ID-Attribut für XML-Signatur und XML-Verschlüsselung ist erforderlich.
- Es müssen Zeitmarkenheaderelemente verwendet werden, die Erstellungszeit, Empfang oder Verfallsdatum der Nachricht anzeigen.
- Es müssen Kennwortzeichenfolgen verwendet werden, die mit einer Zeitmarke und Nonce, einem nach dem Zufallsprinzip generierten Token, verarbeitet werden.
OASIS-Aktivitäten
Im Juni 2002 erhielt OASIS (Organization for the Advancement of Structured Information Standards) von IBM, Microsoft und Verisign den Vorschlag einer Web-Services-Security-Spezifikation. Bald nach der Einsendung des Vorschlags wurde bei OASIS das WSS TC (Web Services Security Technical Committee) ins Leben gerufen. An diesem Ausschuss waren viele Unternehmen beteiligt, einschließlich IBM, Microsoft VeriSign, Sun Microsystems und BEA Systems.
Im September 2002 veröffentlichte das WSS TC seine erste Spezifikation Web Services Security Core Specification, Working Draft 01. Diese Spezifikation umfasste den Inhalt der ursprünglichen Web-Services-Security-Spezifikation und sowie das Zusatzdokument.
Im weiteren Verlauf der Diskussion deckte der Ausschuss einen immer größeren Bereich ab. Da die Spezifikation "Web Services Security Core Specification" willkürliche Typen von Sicherheitstoken zulässt, wurden Vorschläge als Profile veröffentlicht. Die Profile beschrieben die Methode für das Einbetten von Token, einschließlich der in Web-Service-Security-Nachrichten eingebetteten SAML-Token (Security Assertion Markup Language) und Kerberos-Token. Daraufhin wurden die Definitionen für die Verwendung von Benutzernamenstoken und binären X.509-Sicherheitstoken, die in der ursprünglichen Web-Services-Security-Spezifikation definiert waren, in die Profile unterteilt.
- Web Services Security: SOAP Message Security Draft 13 (vorher Web Services Security Core Specification)
- Web Services Security: Username Token Profile Draft 2
Die folgende Abbildung zeigt die verschiedenen Web-Services-Security-Spezifikationen. Wie in der Abbildung angegeben, basiert die aktuelle Unterstützungsstufe für die Spezifikation "Web Services Security: SOAP message security" auf Entwurf 13 (Draft 13) vom Mai 2003. Die aktuelle Unterstützungsstufe für die Spezifikation "Web Services Security user name token profiles" basiert auf Entwurf 2 (Draft 2) vom Februar 2003.
