웹 서비스 보안 스펙 - 연대기
이 연대기는 웹 서비스 보안 스펙을 개발하는 데 사용된 프로세스를 설명합니다. 연대기에는 OASIS(Organization for the Advancement of Structured Information Standards) 및 비OASIS 활동이 둘 다 포함됩니다.
비OASIS 활동
- 스펙에서는 웹 서비스 보안 프로세서가 XML 서명과 XML 암호화 간의 ID 속성을 구별할 수 있도록 웹 서비스 보안 프로세서가 스키마를 정확히 이해하도록 요구하고 있습니다.
- 메시지가 미리 정의된 시간 제한조건으로 컴파일되었는지 여부를 나타내는 메시지의 갱신 여부를 결정할 수 없습니다.
- 다이제스트된 비밀번호 문자열은 보안을 강화하지 않습니다.
- XML 서명 및 XML 암호화를 위해 글로벌 ID 속성이 필요합니다.
- 메시지의 작성, 수신 또는 만기 시간을 나타내는 시간소인 헤더 요소를 사용합니다.
- 시간소인 및 Nonce(무작위로 생성된 토큰)로 다이제스트된 비밀번호 문자열을 사용합니다.
OASIS 활동
2002년 6월에, OASIS가 IBM, Microsoft 및 Verisign으로부터 제안된 웹 서비스 보안 스펙을 받았습니다. 스펙이 제출된 직후 OASIS에서 WSS TC(Web Services Security Technical Committee)가 조직되었습니다. 기술 위원회는 IBM, Microsoft, VeriSign, Sun Microsystems 및 BEA Systems을 포함한 많은 회사를 포함했습니다.
2002년 9월, WSS TC는 첫 번째 스펙 웹 서비스 보안 코어 스펙, 작업 초안 01을 공개했습니다. 이 스펙에는 원본 웹 서비스 보안 스펙과 부칙의 내용이 모두 포함되어 있습니다.
토론이 진행됨에 따라 기술 위원회가 다루는 범위는 점점 커져 갔습니다. 웹 서비스 보안 코어 스펙을 사용하면 임의의 유형의 보안 토큰을 허용할 수 있으므로 제안서는 프로파일로서 공개되었습니다. 프로파일은 SAML(Security Assertion Markup Language) 토큰 및 웹 서비스 보안 메시지에 임베디드된 Kerberos 토큰을 포함하여 임베딩 토큰의 메소드를 설명했습니다. 결과적으로, 원래 웹 서비스 보안 스펙에 정의된 사용자 이름 토큰 및 X.509 2진 보안 토큰 사용법 정의는 프로파일로 구분됩니다.
- 웹 서비스 보안: SOAP 메시지 보안 작업 초안 13(구 웹 서비스 보안 코어 스펙)
- 웹 서비스 보안: Username 토큰 프로파일 초안 2
다음 그림은 다양한 웹 서비스 보안 관련 스펙을 보여줍니다. 그림에 나와 있듯이, 웹 서비스 보안: SOAP 메시지 보안의 현재 지원 레벨은 2003년 5월의 초안 13에 기초합니다. 웹 서비스 보안 사용자 이름 토큰 프로파일의 현재 지원 레벨은 2003년 2월의 초안 2에 기초합니다.
