Web Services Security 仕様 - 年表

この年表は、Web Services Security 仕様の作成に使用されるプロセスを説明します。この年表には Organization for the Advancement of Structured Information Standards (OASIS) および非 OASIS アクティビティーの両方が含まれます。

OASIS 以外のアクティビティー

重要: バージョン 5.x とバージョン 6.0.x のアプリケーションには重要な相違点があります。この情報は、WebSphere® Application Server バージョン 6.0.x 以降で使用されるバージョン 5.x アプリケーションのみをサポートしています。 この情報はバージョン 6.0.x アプリケーションには適用されません。
2002 年 4 月、IBM®、Microsoft、および VeriSign は、それぞれの Web サイトで Web Services Security (WS-Security) 仕様 を提案しました。この仕様には、セキュリティー・トークン、XML シグニチャー、および XML 暗号化の基本理念が含まれています。 この仕様には、ユーザー名トークンおよびエンコードされたバイナリー・セキュリティー・トークンのフォーマットも定義されています。 度重なる検討と、仕様に基づいたインターオペラビリティー・テストが行われた後、以下の問題が指摘されました。
  • この仕様では、Web Services Security プロセッサーがスキーマを正しく認識していることが必要になります。 これにより、プロセッサーが XML 署名と XML 暗号化の ID 属性を区別できるようになります。
  • メッセージが事前定義された時間制約に従っているかどうかを示す、 メッセージの新鮮度を判別することはできません。
  • ダイジェスト・パスワード・ストリングにより、セキュリティーは強化されません。
2002 年 8 月、IBM、Microsoft、および VeriSign は、 Web Services Security Addendum を公表し、 その時点までに確認された問題に対応する意思を示しました。この補足には、以下の解決策が示されました。
  • XML シグニチャーと XML 暗号化のグローバル ID 属性が必要であること。
  • メッセージの作成、受信、または有効期限の時刻を示すタイム・スタンプ・ヘッダー・エレメントを使用すること。
  • タイム・スタンプと nonce (ランダムに生成されたトークン) を用いてダイジェストされたパスワード・ストリングを使用すること。

OASIS の活動

2002 年 6 月、OASIS は、IBM、Microsoft、および Verisign から提案された Web Services Security 仕様を受理しました。提出後、直ちに OASIS に Web Services Security Technical Committee (WSS TC) が設立されました。 この技術委員会には、IBM、Microsoft、VeriSign、Sun Microsystems、および BEA Systems を含め、 多くの会社が参与しました。

2002 年 9 月、WSS TC は最初の仕様である Web Services Security Core Specification, Working Draft 01 をパブリッシュしました。 この仕様には、元の Web Services Security 仕様とその補足の両方の内容が含まれていました。

議論が進むに連れて、技術委員会の担当範囲がさらに広がりました。 Web Services Security Core Specification により、 任意のタイプのセキュリティー・トークンを使用できるようになるため、 提案はプロファイルとして公表されました。 このプロファイルには、Web Services Security メッセージに組み込まれる Security Assertion Markup Language (SAML) トークンおよび Kerberos トークンを含め、 トークンを組み込む方法についての説明がありました。 その後、元の Web Services Security 仕様に定義されていたユーザー名トークンと X.509 バイナリー・セキュリティー・トークンの使用法の定義が、 プロファイルに分割されました。

WebSphere Application Server は以下の仕様をサポートします。
  • Web Services Security: SOAP Message Security Draft 13 (以前の Web Services Security Core Specification)
  • Web Services Security: Username Token Profile Draft 2

次の図に、さまざまな Web Services Security 関連の仕様を示します。 図に示すように、Web Services Security、 すなわち SOAP メッセージ・セキュリティーの現行サポート・レベルは、 2003 年 5 月から Draft 13 に基づいています。Web Services Security のユーザー名トークン・プロファイルの現行サポート・レベルは、 2003 年 2 月から Draft 2 に基づいています。

図 1. Web Services Security 仕様のサポートWeb Services Security 仕様のサポート

トピックのタイプを示すアイコン 概念トピック



タイム・スタンプ・アイコン 最終更新: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=cwbs_wssecspecchron
ファイル名:cwbs_wssecspecchron.html