Web Services Security 仕様 - 年表
この年表は、Web Services Security 仕様の作成に使用されるプロセスを説明します。この年表には Organization for the Advancement of Structured Information Standards (OASIS) および非 OASIS アクティビティーの両方が含まれます。
OASIS 以外のアクティビティー
- この仕様では、Web Services Security プロセッサーがスキーマを正しく認識していることが必要になります。 これにより、プロセッサーが XML 署名と XML 暗号化の ID 属性を区別できるようになります。
- メッセージが事前定義された時間制約に従っているかどうかを示す、 メッセージの新鮮度を判別することはできません。
- ダイジェスト・パスワード・ストリングにより、セキュリティーは強化されません。
- XML シグニチャーと XML 暗号化のグローバル ID 属性が必要であること。
- メッセージの作成、受信、または有効期限の時刻を示すタイム・スタンプ・ヘッダー・エレメントを使用すること。
- タイム・スタンプと nonce (ランダムに生成されたトークン) を用いてダイジェストされたパスワード・ストリングを使用すること。
OASIS の活動
2002 年 6 月、OASIS は、IBM、Microsoft、および Verisign から提案された Web Services Security 仕様を受理しました。提出後、直ちに OASIS に Web Services Security Technical Committee (WSS TC) が設立されました。 この技術委員会には、IBM、Microsoft、VeriSign、Sun Microsystems、および BEA Systems を含め、 多くの会社が参与しました。
2002 年 9 月、WSS TC は最初の仕様である Web Services Security Core Specification, Working Draft 01 をパブリッシュしました。 この仕様には、元の Web Services Security 仕様とその補足の両方の内容が含まれていました。
議論が進むに連れて、技術委員会の担当範囲がさらに広がりました。 Web Services Security Core Specification により、 任意のタイプのセキュリティー・トークンを使用できるようになるため、 提案はプロファイルとして公表されました。 このプロファイルには、Web Services Security メッセージに組み込まれる Security Assertion Markup Language (SAML) トークンおよび Kerberos トークンを含め、 トークンを組み込む方法についての説明がありました。 その後、元の Web Services Security 仕様に定義されていたユーザー名トークンと X.509 バイナリー・セキュリティー・トークンの使用法の定義が、 プロファイルに分割されました。
- Web Services Security: SOAP Message Security Draft 13 (以前の Web Services Security Core Specification)
- Web Services Security: Username Token Profile Draft 2
次の図に、さまざまな Web Services Security 関連の仕様を示します。 図に示すように、Web Services Security、 すなわち SOAP メッセージ・セキュリティーの現行サポート・レベルは、 2003 年 5 月から Draft 13 に基づいています。Web Services Security のユーザー名トークン・プロファイルの現行サポート・レベルは、 2003 年 2 月から Draft 2 に基づいています。
