Chronologie de la spécification—a de la sécurité des services Web

Cette chronologie décrit le processus permettant de développer les spécifications de sécurité des services Web. La chronologie inclut les activités OASIS (Organization for the Advancement of Structured Information Standards) et non OASIS.

Activités non OASIS

Important : Il existe une différence importante entre les applications de version 5.x et les applications de version 6.0.x. Les informations concernent uniquement les applications Version 5.x utilisées avec WebSphere Application Server Version 6.0.x et versions ultérieures. Elles ne s'appliquent pas aux applications version 6.0.x
En avril 2002, IBM®, Microsoft, et VeriSign ont proposé la spécification Web Services Security (WS-Security) sur leurs sites Web. Cette spécification incluait les idées de base du jeton de sécurité, de la signature XML et du chiffrement XML. Elle définissait également le format des jetons de nom d'utilisateur et des jetons de sécurité binaires codés. Après quelques discussions et un test d'interopérabilité effectué en fonction de la spécification, nous vous signalons les éléments suivants :
  • La spécification requiert que les processeurs de sécurité des services Web maîtrisent le schéma correctement afin que le processeur effectue une distinction entre l'attribut d'ID pour la signature et le chiffrement XML.
  • L'ancienneté du message, qui indique si le message est compatible avec des contraintes horaires prédéfinies, ne peut pas être déterminée.
  • Les chaînes de mot de passe de synthèse ne renforcent pas la sécurité.
En août 2002, IBM, Microsoft, et VeriSign ont publié Web Services Security Addendum, un document qui visait à résoudre les problèmes déjà mentionnés. Les solutions suivantes ont été placées dans le document :
  • un attribut d'ID global est requis pour le chiffrement et la signature XML,
  • utilisez les éléments d'en-tête d'horodatage qui indiquent la date et heure de création, réception ou expiration du message,
  • utilisez les chaînes de mot de passe dont la synthèse a été effectuée avec l'horodatage et l'élément nonce (jeton généré de manière aléatoire).

Activités OASIS

En juin 2002, OASIS a reçu une spécification de sécurité des services Web proposée par IBM, Microsoft et Verisign. Le comité WSS TC (Web Services Security Technical Committee) a été organisé en fonction des activités OASIS peu après la soumission. Le comité technique incluait un grand nombre d'entreprises, notamment IBM, Microsoft, VeriSign, Sun Microsystems et BEA Systems.

En septembre 2002, WSS TC a publié sa première spécification, Web Services Security Core Specification, Working Draft 01. Cette spécification incluait le contenu de la spécification de la sécurité des services Web d'origine et de ses documents supplémentaires.

Les sujets traités par le comité technique devinrent de plus en plus importants au fil de la discussion. Etant donné que la spécification principale de la sécurité des services Web autorise des types arbitraires de jetons de sécurité, des propositions ont été publiés en tant que profils. Les profils décrivaient la méthode d'intégration des jetons, incluant les jetons SAML (Security Assertion Markup Language) et les jetons Kerberos intégrés dans les messages de sécurité des services Web. Ensuite, les définitions de la syntaxe des jetons de nom d'utilisateur et les jetons de sécurité X.509, qui ont été définis dans la spécification de sécurité des services Web d'origine, ont été répartis en profils.

WebSphere Application Server prend en charge les spécifications suivantes :
  • Web Services Security : SOAP Message Security Draft 13 (anciennement spécification principale de la sécurité des services Web)
  • Sécurité des services Web : Username Token Profile Draft 2

La figure suivante affiche les spécifications liées à la sécurité des services Web. Comme indiqué dans la figure, le niveau de prise en charge en cours de Web Services Security: SOAP message security dépend de la version 13 de mai 2003. Le niveau de prise en charge en cours des profils de jeton de nom d'utilisateur de la sécurité des services Web dépend de la version 2 de février 2003.

Figure 1. Support de la spécification de la sécurité des services WebSupport de la spécification de sécurité des services Web

Icône indiquant le type de rubrique Rubrique de concept



Icône d'horodatage Dernière mise à jour: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=cwbs_wssecspecchron
Nom du fichier : cwbs_wssecspecchron.html