Especificación de seguridad de servicios web: una cronología

En esta cronología se describe el proceso utilizado para desarrollar las especificaciones de seguridad de servicios web. La cronología incluye las actividades de OASIS (Organization for the Advancement of Structured Information Standards) y las que no son de OASIS.

Actividades que no son de OASIS

Importante: Hay una diferencia importante entre las aplicaciones de la versión 5.x y la versión 6.0.x. La información sólo da soporte a aplicaciones de la Versión 5.x utilizadas con WebSphere Application Server Versión 6.0.x y posteriores. La información no se aplica a las aplicaciones de la versión 6.0.x.
En abril de 2002, IBM®, Microsoft y VeriSign propusieron la Especificación de Seguridad de servicios web (WS-Security) en sus sitios web. Esta especificación incluía las ideas básicas de las señales de seguridad, las firmas XML y el cifrado XML. La especificación también definía el formato de las señales de nombre de usuario y las señales de seguridad binarias codificadas. Después de un análisis y una prueba de interoperatividad basada en la especificación, se observaron las siguientes cuestiones:
  • La especificación necesita que los procesadores de seguridad de servicios web entiendan el esquema correctamente, para que el procesador distinga entre el atributo de ID de la firma XML y el cifrado XML.
  • La antigüedad del mensaje, que indica si el mensaje cumple con las restricciones de tiempo predefinidas, no se puede determinar.
  • Las series de contraseña convertidas no aumentan la seguridad.
En agosto de 2002, IBM, Microsoft y VeriSign publicaron la adenda Web Services Security Addendum, donde se trataban las cuestiones anteriores. En la adenda se incluyeron las siguientes soluciones:
  • Requerir un atributo de ID global para las firmas XML y el cifrado XML.
  • Utilizar elementos de cabecera de indicación de la hora que indiquen la hora de la creación, la recepción o la caducidad del mensaje.
  • Utilice series de contraseña que se conviertan con una indicación de la hora y un valor de Nonce (señal generada aleatoriamente).

Actividades de OASIS

En junio de 2002, OASIS recibió una especificación de seguridad de servicios web propuesta por IBM, Microsoft y Verisign. Se organizó un comité WSS TC (Web Services Security Technical Committee) en OASIS poco después de la entrega. El comité técnico incluía muchas empresas, entre las que se encontraban IBM, Microsoft, VeriSign, Sun Microsystems y BEA Systems.

En septiembre de 2002, WSS TC publicó su primera especificación, Web Services Security Core Specification, Working Draft 01. Esta especificación incluía el contenido de la especificación de seguridad de servicios web original y la adenda.

El alcance del comité técnico se hizo mayor con el avance de los análisis. Como la especificación Web Services Security Core Specification permite tipos arbitrarios de señales de seguridad, se publicaron varias propuestas como perfiles. Los perfiles describían el método para incorporar señales, incluidas las señales SAML (Security Assertion Markup Language) y las señales Kerberos incorporadas en los mensajes de seguridad de servicios web. Posteriormente, las definiciones de uso de las señales de nombre de usuario y las señales de seguridad binarias X.509, que se habían definido en la especificación original de la seguridad de servicios web, se dividieron en los perfiles.

WebSphere Application Server da soporte a las siguientes especificaciones.
  • Web Services Security: SOAP Message Security Draft 13 (anteriormente Web Services Security Core Specification)
  • Seguridad de servicios web: Borrador número 2 del perfil de señal de nombre de usuario

En la figura siguiente se muestran las distintas especificaciones relacionadas con la seguridad de servicios web. Como se indica en la figura, el nivel de soporte actual de la especificación Web Services Security: SOAP Message Security (Seguridad de servicios web: seguridad de mensajes SOAP) se basa en el borrador Draft 13 de mayo de 2003. El nivel de soporte actual de la especificación Web Services Security: Username Token Profile (Los perfiles de señales de nombre de usuario de la seguridad de servicios web) se basa en el borrador Draft 2 de febrero de 2003.

Figura 1. Soporte de especificación de seguridad de servicios webSoporte de especificación de seguridad de servicios Web

Icon that indicates the type of topic Concept topic



Timestamp icon Last updated: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=cwbs_wssecspecchron
File name: cwbs_wssecspecchron.html