Web Services Secure Conversation 标准
Web Services Secure Conversation (WS-SecureConversation) 是提议的“结构化信息标准促进组织”(OASIS) 标准,它定义了一些机制,用于建立和共享安全上下文以及从安全上下文导出密钥,以支持安全对话。
OASIS 中的基本 Web Service 安全性 (WS-Security) 标准定义如何对 SOAP 消息进行数字签名和加密,以提供消息级别保护。标准还定义如何连接和引用数字签名和加密的安全性令牌。但是,在交换长整型系列的相关消息时,它不提供基于会话的保护。WS-Security 规范着重于消息认证模型。虽然此方法在许多情况下非常有用,但是易受各种形式的攻击。
WS-SecureConversation 规范引入了安全上下文的概念及其用法。安全上下文令牌是新的 WS-Security 令牌类型,它表示安全上下文抽象概念。该令牌通过 URI 标识并由协商的密钥和其他与安全性相关的属性组成。上下文认证模型认证一系列消息,从而解决相关问题。上下文认证模型提高了后续交换的总体性能和安全性,但在正常应用程序交换之前进行认证时,它需要其他通信。
OASIS WS-SecureConversation V1.0 规范定义在 Web Service 安全性 (WS-Security) 和 Web Services Trust (WS-Trust) 标准基础上构建的扩展,以在一条或多条消息之间提供安全通信。
IBM®、Microsoft和其他供应商从 2004 年开始就使用 WS-SecureConversation 规范。在 2005 年 2 月共同发布了此文档的草稿。WS-SecureConversation 草稿被提交给于 2005 年 12 月成立的 OASIS Web Service 安全交换技术委员会 (WS-SX TC),同时包括 Web Services Trust (WS-Trust) 和 Web Services Security Policy (WS-SecurityPolicy) 草稿,一起开始标准化进程。
已在 2005 年 2 月向 OASIS 提交了 WS-SecureConversation 规范的修订 V1.1 草稿版,并进一步定义了 V1.0 中的扩展。此规范定义了一些扩展以允许建立和共享安全上下文以及派生会话密钥。这些扩展允许建立上下文以及交换可能更高效的密钥或新密钥材料。
最新的规范标准版本是 V1.3,该版本已在 2007 年 3 月 1 日被 WS-SX TC 批准。该级别规范的主要要求包括导出密钥、消息令牌密钥和可扩展的安全上下文。WebSphere® Application Server 添加对 WS-SecureConversation V1.3 的支持,使用规范中定义的标准故障代码提供改进的错误处理。
Web Services Secure Conversation (WS-SecureConversation) 标准是一个构建块,它与其他特定于 Web Service 和应用程序的协议(例如,Web Service 安全性和 Web Services Trust)配合使用,以容纳大量的安全性模块和技术。WS-SecureConversation 在 WS-Security 和 WS-Trust 模型的基础上构建,用于提供服务之间的安全通信。WS-SecureConversation 草稿规范描述如何在两方之间建立安全上下文令牌,而 WS-Trust 规范描述如何发出和交换安全性令牌。
- 描述安全上下文令牌。
- 定义如何建立安全上下文。
- 描述如何修正、更新和取消安全上下文。WebSphere Application Server 不支持修改上下文。
- 指定如何计算派生的密钥。
- 指定如何使特定安全上下文与操作相关联(如果存在多个安全上下文的话)。
WebSphere Application Server 支持客户机与目标服务端点建立安全对话。
- 在发起方与接收方之间建立的安全上下文令牌。
- 对于安全上下文令牌受支持的操作,例如发出令牌、更新令牌和取消令牌。
- 派生的密钥(显式的和隐式的)
和 WebSphere Application Server 一起提供的安全对话不支持从第三方信任服务器获取的安全上下文令牌 (SCT),也不支持由客户机创建的安全上下文令牌。
- 请参数此规范的模式:WS-SecureConversation 模式
- 请参阅以下用于 WS-SecureConversation:http://schemas.xmlsoap.org/ws/2005/02/sc 和 http://docs.oasis-open.org/ws-sx/ws-secureconversation/200512 的名称空间前缀。