Web Services 安全规范 - 年表

本年表描述用来制定 Web Services 安全规范的过程。年表中同时包含“结构化信息标准促进组织”(OASIS) 活动和非 OASIS 活动。

非 OASIS 活动

要点: V5.x 与 V6.0.x 应用程序之间有一个重要区别。这些信息仅支持与 WebSphere® Application Server V6.0.x 和更高版本配合使用的 V5.x 应用程序。本信息不适用于 V6.0.x 应用程序。
2002 年 4 月,IBM®、Microsoft和 VeriSign 在其 Web 站点上提出 Web Service 安全性 (WS-Security) 规范。此规范包括安全性令牌、XML 签名和 XML 加密的基本思想。此规范还定义了用户名令牌和已编码的二进制安全性令牌的格式。在经过一些讨论和根据规范进行互操作性测试之后,发现下列问题:
  • 此规范要求 Web Service 安全性处理器正确了解模式,以便处理器可以分辨用于 XML 签名的标识属性和 XML 加密。
  • 无法确定消息的新鲜度,而新鲜度表明消息是否遵守预定义的时间约束。
  • 摘要的密码字符串不能增强安全性。
2002 年 8 月,IBM、Microsoft和 VeriSign 出版 Web Service 安全性附录。在附录中放入了以下解决方案:
  • 需要用于 XML 签名和 XML 加密的全局标识属性。
  • 使用表明消息的创建、接收或截止时间的时间戳记头元素。
  • 使用以时间戳记和现时标志(随机生成的令牌)摘要的密码字符串。

OASIS 活动

2002 年 6 月,OASIS 收到 IBM、Microsoft 和 Verisign 提议的 Web Services 安全规范。在此次提交后不久就在 OASIS 成立了 Web Service 安全性技术委员会 (WSS TC)。技术委员会包括很多公司:IBM、Microsoft、VeriSign、Sun Microsystems 和 BEA Systems。

在 2002 年 9 月,WSS TC 发布了它的第一个规范 Web Services Security Core Specification, Working Draft 01。此规范包括原始 Web Services 安全规范及其附录的内容。

随着讨论不断深入,该技术委员会的覆盖面也加大了。因为 Web Service 安全性核心规范允许任意类型的安全性令牌,所以建议以概要文件形式发布。这些概要文件描述了用于嵌入令牌的方法,这些令牌包括嵌入到 Web Service 安全性消息中的安全性断言标记语言 (SAML) 令牌和 Kerberos 令牌。随后,用户名令牌和 X.509 二进制安全性令牌使用的定义(它们在原始的 Web Services 安全规范中定义)被分成概要文件。

WebSphere Application Server 支持以下规范:
  • Web Service 安全性:SOAP Message Security Draft 13(原 Web Service 安全性核心规范)
  • Web Services 安全性:Username Token Profile Draft 2

下图显示了与 Web Service 安全性相关的各种规范。如图中所示,Web Service 安全性的当前支持级别:SOAP 消息安全性是基于 2003 年 5 月的草稿 13。Web Service 安全用户名令牌概要文件的当前支持级别是基于 2003 年 2 月的草稿 2。

图 1. Web Services 安全规范支持Web Services 安全规范支持

指示主题类型的图标 概念主题



时间戳记图标 最近一次更新时间: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=cwbs_wssecspecchron
文件名:cwbs_wssecspecchron.html