WS-Security

WS-Security ist ein Entwurf für mehr Sicherheit auf Nachrichtenebene bei SOAP-Nachrichten und definiert standardisierte Orte und Syntax, mit denen Sicherheits-Token (wie X.509-Zertifikate und Kerberos-Tickets) in SOAP-Headern übertragen werden können, um den Inhalt der SOAP-Nachrichten zu sichern.

WS-Security nutzt die bestehenden XML Digital Signature- und XML Encryption-Spezifikationen, um die Ergebnisse von Signier- bzw. Verschlüsselungs­vorgänge in der XML-Syntax zu erfassen. Im Wesentlichen soll WS-Security standardisieren, wo die Datenblöcke XML-Signatur und XML-Verschlüsselung innerhalb einer SOAP-Nachricht übertragen werden.

Sicherheitsmechanismen wie TLS (Transport Layer Security) sind für die WS-Security nicht ausreichend. Da TLS einen sicheren Kanal schafft, durch den Nachrichten fließen, ist es nicht in der Lage, differenzierten Schutz zu bieten, z. B. nur bestimmte Komponenten dieser Nachrichten zu verschlüsseln und/oder zu signieren. Dies ist relevant, wenn nicht sensible Teile der Nachricht von Zwischenakteuren aufgerufen oder geändert werden müssen. Darüber hinaus ist TLS in einem Szenario, in dem eine SOAP-Nachricht durch mehrere Akteure fließen könnte, nicht in der Lage, einen End-to-End-Schutz zu bieten; TLS erlaubt es nur, jeden "Hop" zu schützen – mit den daraus resultierenden Sicherheitslücken bei den Zwischenakteuren.

Im August 2002 wurde ein neues OASIS Technical Committee gegründet, um die Standardisierung des WS-Security-Entwurfs zu überwachen.

Entrust unterstützt XML Signature und XML Encryption, die Grundbausteine für WS-Security, mit dem Security Toolkit for Java von Entrust Certificate Authority.