Web-Services-Security-Spezifikation - eine Chronologie

Diese Chronologie beschreibt den Prozess, mit dem die Web-Services-Security-Spezifikationen entwickelt werden. Die Chronologie umfasst sowohl OASIS-Aktivitäten (Organization for the Advancement of Structured Information Standards) als auch Aktivitäten außerhalb von OASIS.

Aktivitäten außerhalb von OASIS

Wichtig: Es gibt eine wichtige Unterscheidung zwischen Anwendungen der Version 5.x und Version 6.0.x. Die Informationen in diesem Artikel gelten nur für Anwendungen der Version 5.x, die in WebSphere Application Server Version 6.0.x und höher verwendet werden. Diese Informationen gelten nicht für Anwendungen der Version 6.0.x.
Im April 2002 stellten IBM®, Microsoft und VeriSign auf ihren jeweiligen Websites die Web-Services-Security-Spezifikation (WS-Security) vor. Diese Spezifikation enthielt die grundlegenden Konzepte des Sicherheitstoken, der XML-Signatur und der XML-Verschlüsselung. Die Spezifikation definierte auch das Format für Benutzernamenstoken und verschlüsselte binäre Sicherheitstoken. Nachdem einigen Diskussionen geführt und ein Interoperabilitätstest basierend auf der Spezifikation durchgeführt worden war, wurden die folgenden Punkte festgehalten:
  • Die Spezifikation erfordert, dass die Prozessoren für Web Services Security das Schema richtig verstehen, damit der Prozessor zwischen den ID-Attributen für die XML-Signatur und die XML-Verschlüsselung unterscheiden kann.
  • Die Aktualität der Nachricht, d. h. Angaben dazu, ob die Nachricht mit vordefinierten Zeitbeschränkungen übereinstimmt, kann nicht bestimmt werden.
  • Verarbeitete Kennwortzeichenfolgen erhöhen die Sicherheit nicht.
Im August 2002 veröffentlichten IBM, Microsoft und VeriSign das Web Services Security Addendum, mit dem die zuvor aufgelisteten Probleme gelöst werden sollten. Folgende Lösungsstrategien wurden in das Zusatzdokument aufgenommen:
  • Ein globales ID-Attribut für XML-Signatur und XML-Verschlüsselung ist erforderlich.
  • Es müssen Zeitmarkenheaderelemente verwendet werden, die Erstellungszeit, Empfang oder Verfallsdatum der Nachricht anzeigen.
  • Es müssen Kennwortzeichenfolgen verwendet werden, die mit einer Zeitmarke und Nonce, einem nach dem Zufallsprinzip generierten Token, verarbeitet werden.

OASIS-Aktivitäten

Im Juni 2002 erhielt OASIS (Organization for the Advancement of Structured Information Standards) von IBM, Microsoft und Verisign den Vorschlag einer Web-Services-Security-Spezifikation. Bald nach der Einsendung des Vorschlags wurde bei OASIS das WSS TC (Web Services Security Technical Committee) ins Leben gerufen. An diesem Ausschuss waren viele Unternehmen beteiligt, einschließlich IBM, Microsoft VeriSign, Sun Microsystems und BEA Systems.

Im September 2002 veröffentlichte das WSS TC seine erste Spezifikation Web Services Security Core Specification, Working Draft 01. Diese Spezifikation umfasste den Inhalt der ursprünglichen Web-Services-Security-Spezifikation und sowie das Zusatzdokument.

Im weiteren Verlauf der Diskussion deckte der Ausschuss einen immer größeren Bereich ab. Da die Spezifikation "Web Services Security Core Specification" willkürliche Typen von Sicherheitstoken zulässt, wurden Vorschläge als Profile veröffentlicht. Die Profile beschrieben die Methode für das Einbetten von Token, einschließlich der in Web-Service-Security-Nachrichten eingebetteten SAML-Token (Security Assertion Markup Language) und Kerberos-Token. Daraufhin wurden die Definitionen für die Verwendung von Benutzernamenstoken und binären X.509-Sicherheitstoken, die in der ursprünglichen Web-Services-Security-Spezifikation definiert waren, in die Profile unterteilt.

WebSphere Application Server unterstützt die folgenden Spezifikationen:
  • Web Services Security: SOAP Message Security Draft 13 (vorher Web Services Security Core Specification)
  • Web Services Security: Username Token Profile Draft 2

Die folgende Abbildung zeigt die verschiedenen Web-Services-Security-Spezifikationen. Wie in der Abbildung angegeben, basiert die aktuelle Unterstützungsstufe für die Spezifikation "Web Services Security: SOAP message security" auf Entwurf 13 (Draft 13) vom Mai 2003. Die aktuelle Unterstützungsstufe für die Spezifikation "Web Services Security user name token profiles" basiert auf Entwurf 2 (Draft 2) vom Februar 2003.

Abbildung 1. Unterstützung der Web-Services-Security-SpezifikationUnterstützung der Web-Services-Security-Spezifikation

Symbol, das den Typ des Artikels anzeigt. Konzeptartikel



Symbol für Zeitmarke Letzte Aktualisierung: 25.05.2016
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=cwbs_wssecspecchron
Dateiname:cwbs_wssecspecchron.html