Especificación de seguridad de servicios web: una cronología
En esta cronología se describe el proceso utilizado para desarrollar las especificaciones de seguridad de servicios web. La cronología incluye las actividades de OASIS (Organization for the Advancement of Structured Information Standards) y las que no son de OASIS.
Actividades que no son de OASIS
- La especificación necesita que los procesadores de seguridad de servicios web entiendan el esquema correctamente, para que el procesador distinga entre el atributo de ID de la firma XML y el cifrado XML.
- La antigüedad del mensaje, que indica si el mensaje cumple con las restricciones de tiempo predefinidas, no se puede determinar.
- Las series de contraseña convertidas no aumentan la seguridad.
- Requerir un atributo de ID global para las firmas XML y el cifrado XML.
- Utilizar elementos de cabecera de indicación de la hora que indiquen la hora de la creación, la recepción o la caducidad del mensaje.
- Utilice series de contraseña que se conviertan con una indicación de la hora y un valor de Nonce (señal generada aleatoriamente).
Actividades de OASIS
En junio de 2002, OASIS recibió una especificación de seguridad de servicios web propuesta por IBM, Microsoft y Verisign. Se organizó un comité WSS TC (Web Services Security Technical Committee) en OASIS poco después de la entrega. El comité técnico incluía muchas empresas, entre las que se encontraban IBM, Microsoft, VeriSign, Sun Microsystems y BEA Systems.
En septiembre de 2002, WSS TC publicó su primera especificación, Web Services Security Core Specification, Working Draft 01. Esta especificación incluía el contenido de la especificación de seguridad de servicios web original y la adenda.
El alcance del comité técnico se hizo mayor con el avance de los análisis. Como la especificación Web Services Security Core Specification permite tipos arbitrarios de señales de seguridad, se publicaron varias propuestas como perfiles. Los perfiles describían el método para incorporar señales, incluidas las señales SAML (Security Assertion Markup Language) y las señales Kerberos incorporadas en los mensajes de seguridad de servicios web. Posteriormente, las definiciones de uso de las señales de nombre de usuario y las señales de seguridad binarias X.509, que se habían definido en la especificación original de la seguridad de servicios web, se dividieron en los perfiles.
- Web Services Security: SOAP Message Security Draft 13 (anteriormente Web Services Security Core Specification)
- Seguridad de servicios web: Borrador número 2 del perfil de señal de nombre de usuario
En la figura siguiente se muestran las distintas especificaciones relacionadas con la seguridad de servicios web. Como se indica en la figura, el nivel de soporte actual de la especificación Web Services Security: SOAP Message Security (Seguridad de servicios web: seguridad de mensajes SOAP) se basa en el borrador Draft 13 de mayo de 2003. El nivel de soporte actual de la especificación Web Services Security: Username Token Profile (Los perfiles de señales de nombre de usuario de la seguridad de servicios web) se basa en el borrador Draft 2 de febrero de 2003.
