Passer au contenu général

La sécurité des services Web (WS-Security) est une proposition faite pour ajouter la sécurité au niveau des messages aux messages SOAP, en définissant des emplacements et une syntaxe normalisés par lesquels les jetons de sécurité (tels que les certificats X.509 et les tickets Kerberos) peuvent être transposés dans les en-têtes SOAP, afin de sécuriser le contenu des messages SOAP.

La sécurité des services Web (WS-Security) exploite les spécifications existantes de signature numérique XML et de chiffrement XML pour capturer les résultats des opérations de signature et de chiffrement, respectivement, dans la syntaxe XML. Essentiellement, WS-Security normalisera l’emplacement des blocs de données de signature XML et de chiffrement XML dans un message SOAP.

Pourquoi est-ce nécessaire ?

Les mécanismes de sécurité comme TLS (Transport Layer Security) sont insuffisants pour sécuriser les services Web. Le TLS crée un canal sécurisé à travers lequel les messages circulent ; il est donc incapable de fournir une protection différenciée, par exemple le chiffrement et/ou la signature de composants particuliers de ces messages. Ceci est pertinent lorsque des parties non sensibles du message doivent être consultées ou modifiées par des acteurs intermédiaires. De plus, dans un scénario où un message SOAP peut passer par plusieurs acteurs, le TLS est incapable de fournir une protection de bout en bout ; le TLS permet uniquement à chaque « saut » d’être protégé (avec les failles de sécurité qui en résultent au niveau des acteurs intermédiaires).

État

Un nouveau comité technique d’OASIS a été formé en août 2002 pour superviser la normalisation de la proposition WS-Security.

Implication d’Entrust

Entrust est un membre actif du comité technique OASIS nouvellement formé qui travaille sur WS-Security. Entrust prend déjà en charge la signature XML et le cryptage XML dans le Kit des outils Entrust Authority™ Security pour Java qui constituent les éléments fondamentaux de WS-Security. Au fur et à mesure de l’évolution de la spécification, Entrust s’appuiera sur cette prise en charge existante pour prendre directement en charge la spécification WS-Security elle-même.