WS-Security
WS-Security ist ein Entwurf für mehr Sicherheit auf Nachrichtenebene bei SOAP-Nachrichten und definiert standardisierte Orte und Syntax, mit denen Sicherheits-Token (wie X.509-Zertifikate und Kerberos-Tickets) in SOAP-Headern übertragen werden können, um den Inhalt der SOAP-Nachrichten zu sichern.
WS-Security nutzt die bestehenden XML Digital Signature- und XML Encryption-Spezifikationen, um die Ergebnisse von Signier- bzw. Verschlüsselungsvorgänge in der XML-Syntax zu erfassen. Im Wesentlichen soll WS-Security standardisieren, wo die Datenblöcke XML-Signatur und XML-Verschlüsselung innerhalb einer SOAP-Nachricht übertragen werden.
Warum ist es nötig?
Sicherheitsmechanismen wie TLS (Transport Layer Security) sind für die WS-Security nicht ausreichend. Da TLS einen sicheren Kanal schafft, durch den Nachrichten fließen, ist es nicht in der Lage, differenzierten Schutz zu bieten, z. B. nur bestimmte Komponenten dieser Nachrichten zu verschlüsseln und/oder zu signieren. Dies ist relevant, wenn nicht sensible Teile der Nachricht von Zwischenakteuren aufgerufen oder geändert werden müssen. Darüber hinaus ist TLS in einem Szenario, in dem eine SOAP-Nachricht durch mehrere Akteure fließen könnte, nicht in der Lage, einen End-to-End-Schutz zu bieten; TLS erlaubt es nur, jeden "Hop" zu schützen – mit den daraus resultierenden Sicherheitslücken bei den Zwischenakteuren.
Aktueller Stand
Im August 2002 wurde ein neues OASIS Technical Committee gegründet, um die Standardisierung des WS-Security-Entwurfs zu überwachen.
Beteiligung von Entrust
Entrust ist ein aktives Mitglied des neu gegründeten OASIS Technical Committee, das an WS-Security arbeitet. Entrust besitzt bereits Unterstützung für XML Signature und XML Encryption im Entrust Authority™ Security Toolkit for Java und diese sind die grundlegenden Bausteine für WS-Security. Mit dem Fortschreiten der Spezifikation wird Entrust auf dieser bestehenden Unterstützung aufbauen, um die WS-Security-Spezifikation selbst direkt zu unterstützen.