Übersicht über Standards und Programmiermodelle von Web Services Security auf Nachrichtenebene

Die Standards und Profile von Web Services Security beschreiben, wie die Sicherheit und der Zugriffsschutz für SOAP-Nachrichten gewährleistet werden, die in einer Web-Service-Umgebung ausgetauscht werden.

Für den Schutz von Web-Services müssen Sie eine Vielzahl von Sicherheitsanforderungen berücksichtigen. Dazu gehören unter anderem die Authentifizierung, die Berechtigung, der Datenschutz, die Schaffung eines anerkannten Vertrauensverhältnisses, die Integrität die Vertraulichkeit, sichere Übertragungskanals, die Delegierung und die Überprüfung für ein ganzes Spektrum von Anwendungs- und Geschäftstopologien. Eine der Schlüsselanforderungen für das Sicherheitsmodell in heutigen Geschäftsumgebungen ist die die Möglichkeit der Interoperation zwischen früher inkompatiblen Sicherheitstechnologien in heterogenen Umgebungen. Eine Beschreibung des gesamten Protokollstapels von Web Services Security und eine Roadmap zur Technologie finden Sie in der Veröffentlichung Security in a Web Services World: A Proposed Architecture and Roadmap.

Standards von Web Services Security

Die OASIS-Spezifikation (Organization for the Advancement of Structured Information Standards) WS-Security (Web Services Security) definiert die Kernfunktionen für den Schutz der Integrität und Vertraulichkeit von Nachrichten und stellt Mechanismen bereit, um einer Nachricht sicherheitsrelevante Claim-Informationen zuzuordnen. Web Services Security (WS-Security) ist ein Standard für die Nachrichtenebene und basiert auf dem Schutz von SOAP-Nachrichten durch eine digitale XML-Signatur, der Vertraulichkeit durch XML-Verschlüsselung und der Weitergabe von Berechtigungsnachweisen durch Sicherheitstoken.WebSphere Application Server unterstützt Version 1.1 der Spezifikation "Web Services Security", einschließlich Features wie der Konfiguration von verschlüsselten Headern, Fingerabdrücken und Signaturen, Benutzernamenstokenprofile und X.509-Tokenprofile. Außerdem wird eine eingeschränkte Sicherheitsunterstützung für das Kerberos-Tokenprofil der Version 1.1, WS-SecureConversation Version 1.3, WS-Trust Version 1.3 und WS-SecurityPolicy Version 1.2 angeboten.

Die Spezifikation Web Services Security SOAP Message Security 1.1 beschreibt einen Standardsatz von Erweiterungen für SOAP 1.1, die Sie für die Erstellung sicherer Web-Services verwenden können. Diese Standards gewährleisten den Schutz der Integrität und Vertraulichkeit, der gewöhnlich über Technologien für digitale Signaturen und Verschlüsselung implementiert wird. Darüber hinaus bietet Web Services Security einen allgemeinen Mechanismus für die Zuordnung von Sicherheitstoken zu Nachrichten an. Ein typisches Beispiel für ein Sicherheitstoken ist ein Benutzernamenstoken (UsernameToken), in dem ein Benutzername und ein Kennwort als Text enthalten sind. WS-Security definiert die Verschlüsselung von binären Sicherheitstoken mit Methoden wie X.509-Zertifikaten. Die erforderlichen Sicherheitstoken sind in der Spezifikation "SOAP Message Security 1.1" jedoch nicht definiert. Die Token sind in separaten Profilen, wie z. B. dem Benutzernamenstokenprofil (UsernameToken), dem X.509-Tokenprofil usw. definiert.

Obwohl Web Services Security bei normalen SOAP-Nachrichtenanforderungen eines Clients an einen Service und normalen SOAP-Nachrichtenantworten eines Service an einen Client für die Gewährleistung der Integrität und Vertraulichkeit auf Nachrichtenebene verwendet werden kann, ist sie für den Schutz von SOAP-Fehlernachrichten nicht geeignet.

Kompatibilität zwischen WS-Security Draft 13 und WS-Security Version 1.0 und 1.1

Der Standard WS-Security hat sich über die Jahre hinweg von einem Entwurf hin zu einem OASIS-Standard weiterentwickelt. Die Unterstützung für WS-Security Draft 13 wurde in WebSphere Application Server Version 5.02 und die Unterstützung WS-Security 1.0 in WebSphere Application Server Version 6.0 eingeführt. WS-Security Version 1.1 wird von WebSphere Application Server Version# 6.1 Feature Pack for Web Services nur über die JAX-WS-Laufzeitumgebung unterstützt. Im Artikel Spezifikation Web Services Security - eine Chronologie finden Sie weitere Einzelheiten zur Entwicklung dieser Unterstützung.

Beachten Sie unbedingt, dass ein Client, der WS-Security Draft 13 verwendet, mit Providern, die WS-Security Version 1.0 oder Version 1.1 verwenden, nicht kompatibel ist. Ein Client, der Draft 13 verwendet, kann nur mit einem Web-Service-Provider kommunizieren, der auch Draft 13 verwendet. Ein Client, der Draft 13 verwendet, kann nicht mit einem Provider verwendet werden, der WS-Security Version 1.0 oder Version 1.1 verwendet. Dieses Problem besteht, weil sich das SOAP-Nachrichtenformat für den WS-Security-Header und -Namespace in Anwendungen, die WS-Security Draft 13 verwenden, von dem Nachrichtenformat einer Anwendung unterscheidet, die WS-Security Version 1.0 oder Version 1.1 verwendet.

Die verwendete Version des Standards "WS-Security" hat auch Auswirkungen auf die erforderliche Version der Java™-EE-Anwendung (Java Platform, Enterprise Edition):
  • Java EE Version 1.3 wird nur mit WS-Security Draft 13 verwendet.
  • Java EE Version 1.4 und höher wird mit WS-Security Version 1.0 (JAX-RPC und JAX-WS) und auch mit WS-Security Version 1.1 (JAX-WS) verwendet.

Die folgende Abbildung veranschaulicht die folgenden Kompatibilitätsaspekte:

Interaktion verschiedener Web-Service-Laufzeitumgebungen mit J2EE

Wenn Sie Web-Services über WebSphere Application Server sichern möchten, müssen Sie mehrere verschiedene Konfigurationen angeben. Obwohl Sie diese Konfigurationen nicht in einer speziellen Reihenfolge angeben müssen, verweisen einige Konfigurationen auf andere Konfigurationen. Weitere Informationen hierzu finden Sie im Artikel Hinweise zu Web Services Security.

Aufgrund der Abhängigkeit zwischen den unterschiedlichen WS-Security-Konfigurationen wird empfohlen, die Konfigurationen in der in den folgenden Abschnitten beschriebenen Reihenfolge auf jeder Konfigurationsstufe anzugeben. Sie können Web Services Security je nach Umgebung und Sicherheitsanforderungen auf Anwendungs-, Server- oder Zellenebene konfigurieren.

Programmiermodelle von Web Services Security

Sie können das Programmiermodell JAX-WS (Java™ API for XML-Based Web Services) verwenden, um neue Web-Service-Anwendungen und -Clients zu entwickeln. JAX-WS ist das Web-Service-Programmiermodell der nächsten Generation. JAX-WS vereinfacht die Entwicklung von Web-Services und Clients, weil dieses Programmiermodell eine höhere Plattformunabhängigkeit für Java-Anwendungen bietet, die auf die Verwendung dynamischer Proxys und Java-Annotationen zurückzuführen ist. JAX-WS vereinfacht die Anwendungsentwicklung durch die Unterstützung eines standardisierten, annotationsbasierten Modells für die Entwicklung von Web-Service-Anwendungen und -Clients. JAX-WS-Anwendungen können auf zwei Arten durch Web Services Security gesichert werden. Die Anwendung kann über Richtliniensätze oder über die Verwendung der Anwendungsprogrammierschnittstelle Web Services Security (WSS-API) gesichert werden. Wenn Sie Web-Services über das Programmiermodell JAX-WS (Java API for XML-Based Web Services) sichern möchten, lesen Sie zunächst den Artikel JAX-WS-Web-Services über Sicherheit auf Nachrichtenebene sichern.

Die Spezifikation Java™ API for XML-based RPC (JAX-RPC) ermöglicht die Entwicklung SOAP-basierter, interoperabler und portierbarer Web-Services und Web-Service-Clients. JAX-RPC 1.1 stellt Kern-APIs für die Entwicklung und die Implementierung von Web-Services auf einer Java-Plattform zur Verfügung und ist eine erforderliche Komponente der Plattform Web Services for Java Platform, Enterprise Edition (Java EE). IBM® WebSphere® Application Server unterstützt das Programmiermodell JAX-WS und das Programmiermodell Java API for XML-based RPC (JAX-RPC). JAX-WS ist das Web-Service-Programmiermodell der nächsten Generation, das die vom Programmiermodell JAX-RPC bereitgestellte Grundlage erweitert. Wenn Sie Web-Services über das Programmiermodell JAX-RPC (Java API for XML-based RPC) sichern möchten, lesen Sie zuerst den Artikel JAX-RPC-Web-Services über Sicherheit auf Nachrichtenebene sichern.


Symbol, das den Typ des Artikels anzeigt. Konzeptartikel



Symbol für Zeitmarke Letzte Aktualisierung: 25.05.2016
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=cwbs_wssecsecureoverview
Dateiname:cwbs_wssecsecureoverview.html