OASIS ратифицирует ключевой компонент спецификации WS-Security
Организация OASIS (Organization for the Advancement of Structured Information Standards) окончательно одобрила спецификацию Web Services Security: SOAP Message Security 1.0.
Это произошло спустя два года после того, как Microsoft, IBM и VeriSign представили спецификацию на рассмотрение органов стандартизации.
В спецификацию, которая регламентирует встраивание средств защиты в Web-службы, входят два профиля аутентификации на базе WS-Security: Username Token Profile 1.0 и X.509 Token Profile 1.0.
В настоящий момент технический комитет OASIS Web Services Security Technical Committee изучает другие профили, которые могут быть включены в спецификацию в качестве дополнительных. В их числе — Kerberos, Security Assertion Markup Language, а также профили для мобильных устройств.
В базовом варианте WS-Security обеспечивает поддержку Web-службами передачи защищенных и имеющих цифровую подпись сообщений. Обмен информацией, связанной с защитой, происходит при помощи расширений заголовков таких сообщений на основе протокола SOAP.
Аналитик компании Burton Group Джеймс Кобайлас назвал WS-Security средством, имеющим первостепенное значение для обеспечения информационной безопасности сред, построенных на фундаменте Web-служб.
Среди крупных производителей, поддерживающих WS-Security, компании BEA Systems, Computer Associates, Hewlett-Packard, IBM, Novell, SAP и Sun Microsystems.
Принятие спецификации WS-Security стимулирует принятие единого федеративного стандарта идентификации. Соответствующие предложения альянса Liberty Alliance, а также отраслевой группы, возглавляемой Microsoft и IBM, были учтены в WS-Security в части федеративного стандарта идентификации.
«До сих пор корпоративные пользователи занимали осторожную позицию относительно внедрения средств, не получивших подтверждения ?на высшем уровне?, — напомнил Патрик Гэннон, исполнительный директор OASIS. — Принятие спецификации позволит сдвинуть дело с мертвой точки. После ратификации коммерческие фирмы и госучреждения смогут опираться на данную спецификацию при реализации своих проектов».
Принятие профилей WS-Security стало очередным шагом на пути к более амбициозной цели — созданию единой системы защищенного обмена сообщениями на всем пространстве передачи данных вплоть до интегрированных систем защиты, заканчивающихся на границе информационных систем корпорации.
Строительные блоки
Спецификация Web Services Security (WS-Security) представляет собой основу, на которой строится целый набор протоколов, рассчитанных на роль строительных блоков для создания безопасной среды приложений поддержки Web-служб. Эти протоколы еще только готовятся к передаче на рассмотрение в органы стандартизации. В IBM и Microsoft заявляют, что они будут предоставляться производителям продуктов ИТ бесплатно
| Протокол | Описание | Состояние работ |
| WS-Policy | Определяет порядок задания возможностей и ограничений политик безопасности | Разрабатывается под руководством IBM и Microsoft |
| WS-Trust | Описывает модель установления прямых и опосредованных - через брокера - доверительных отношений | Разрабатывается под руководством IBM и Microsoft |
| WS-Privacy | Описывает порядок формулирования и реализации политик конфиденциальности | Не опубликован |
| WS-Secure Conversation | Описывает порядок управления сообщениями и их аутентификации при обмене между сторонами, включая установление и вывод сессионных ключей | Разрабатывается под руководством IBM и Microsoft |
| WS-Federation | Описывает порядок управления доверительными отношениями и регламентирует функции брокеров в гетерогенных федеративных средах | Разрабатывается под руководством IBM и Microsoft |
| WS-Authori- zation | Определяет порядок управления данными авторизации в рамках Web-служб | Не опубликован |