IBM、Microsoft 和 Verisign 于四月份联合发布了一个关于 Web 服务安全性(Web Services Security,WS-Security)的规范,该规范提供了一套帮助 Web 服务开发者保护 SOAP 消息交换的机制。这个规范已经被 OASIS 所接受,并且新组建了 Web 服务技术委员会(Web Services Technical Committee,The WSS TC),以促使 WS-Security 成为开放标准。
此外,在四月份,IBM 和 Microsoft 还提供了一个路线图文档,文档中包含有一个概念性协议栈,该概念性协议栈规定了一些对于在 Web 服务中构建安全性来说非常重要的额外元素。
该公告的重点是给出路线图中新增的三个部分;策略层中的两个元素和联合层中的一个元素(如图 1 所示)。
图 1. 不断发展的 WS-Security 路线图
[[The No.1 Picture.]]
策略
路线图中标为 WS-Policy 的策略元素已被进一步细化为包含以下四个文档:
一个策略框架(Policy Framework,WS-Policy)文档,它定义了表达 Web 服务策略的语法。
一个策略附件(Policy Attachment,WS-Policy-Attachment)文档,它定义了如何将这些策略附加到 Web 服务。
一组通用策略断言(WS-Policy-Assertions)。
一组安全性策略断言(WS-Security Policy)。
策略框架旨在允许可扩展性。策略是一个宽泛的术语,包含了诸如安全性、可靠性、事务、隐私等一系列学科。类似的,表达策略的能力也不局限于通用策略或安全性策略的表达。目的在于使基本的策略框架能够适应特定于域的策略语言的表达,并且适应的方式是在一个一致的 Web 服务框架中利用不同域的知识。
WS-PolicyAttachment 提供了几种使用 Web 服务来宣传策略断言的方式。它构建在现有的 WSDL 规范和 UDDI 规范之上,但同时支持可扩展性。
同时,与 Web 服务的公共策略一起存在的还有各种特定于域的策略(例如安全性策略)。一个常见的例子就是这样一个请求服务,它会查找能够以特定人类语言(例如德语)提供处理的服务提供者。这样,这个请求服务就要应用一个策略断言,即需要德语语言支持(German language support)。这个提供者也可以通过声称它能以德语提供服务来作出该断言。WS-Policy 断言语言(WS-Policy Assertions Language)提供了这种类型的公共策略表达。它定义了一组通用的 Web 服务策略断言。
安全性是一个域,它旨在说明安全性策略的表达,WS-Security-Policy 这个单独的文档提议了一种语言,用来表达那些传达与支持 WS-Security 规范有关的策略所需的策略。
信任
在 Web 服务范例中,服务请求者和服务提供者之间的信任是通过双方以一种预期的且可理解的方式交换信息来建立的。WS-Security 规范已经定义了通过使用安全性令牌来安全地交换消息的基本机制。WS-Trust 规范以这个模型为基础进行构建,定义了如何发出和交换这些安全性令牌。
WS-Trust 通过定义一组接口开始了定义信任关系的工作,安全性令牌服务将为安全性令牌的发出、交换和验证提供这组接口。它旨在支持创建多种安全性令牌格式,以适应各种认证和授权机制。发出安全性令牌服务接受一个输入请求(通常还有身份证明),然后以指定的身份所请求的令牌(即一个特定的业务证书)作为响应。
安全性空间内的这种预期行为的描述也可以称之为信任策略,WS-Policy 框架支持信任伙伴表达和交换他们的信任声明。
安全的会话
WS-Secure Conversantion 建立在以安全性令牌为基础的信任这一概念之上。它描述了如何在策略定义的信任关系上下文中使用安全性令牌来使得多个服务请求者和服务提供者能在会话期间安全地交换信息。WS-Trust 定义了整个信任关系的行为,而 WS-SecureConversation 则着重定义了安全通信的安全性上下文(安全性令牌)。
应用 WS-Policy、WS-Trust 和 WS-SecureConversation
让我们以旅行社情景为例,来说明一下其中一些概念。Acme Travel Service 通过几个不同的业务门户网站来提供其旅行服务,内容包括向它的客户提供机票、宾馆和租车服务。Acme 需要通过这些门户网站与它的伙伴们建立不同的信任关系。
Acme 想为它的客户们提供一个一条龙服务,此处请求者仅要提交一个需要宾馆、航班和汽车的单个请求。Acme 也想灵活地根据各种标准(金卡服务、优先客户等)为不同的伙伴提供其他服务。针对它的其中一个伙伴 Cars-R-Us 的策略可能包含一个用于 Cars-R-Us 用户名令牌的安全性策略要求和一个声明针对预定的取消策略的业务应用程序要求。针对另一个伙伴 UnitedCars 的策略可能包含一个 UnitedCars 优先客户号码的要求。
由于 Acme 支持不同的业务关系,因此它需要能够确定要为哪个客户调用哪些旅行服务。在使信任关系(这些信任关系让 Acme 能快速而安全地将一条龙旅行服务作为客户的受信门户网站环境的一部分进行提供)自动化方面,这些标准能帮些什么忙呢?
Acme 可以假设所有伙伴的注册任务,给客户一个 Acme 用户名(AcmeUsername)和标识符(Identifier)。在本案例中,Acme 给它的伙伴们提供一个装饰性页面。在处理一个请求之前,Acme 检查伙伴 Car-R-Us 的策略,接着通知取消策略的用户,然后询问是否处理请求。一旦确认,请求就会按这个身份、隐私和其他业务策略被扩展(由 Acme 完成)成具有其他安全性令牌(Juser 是 xyz 公司的员工,拥有金卡服务的资格,信用卡的限额为 10,000 美元)。Acme 需要同旅行服务公司建立信任关系,并且需要确定要向哪些额外令牌提供预定请求。
另一种做法是,Acme 仅仅作为一个交换中心,它将传递各个用户的请求的请求重定向到任一个伙伴,让这个伙伴要求用户进行认证并将策略通知给客户。尽管 Acme 可以赚取作为交换中心的广告收益,但作为一个旅行社,它需要提供价值服务。在第二种情景中,Acme 可以为它的新业务伙伴提供安全性令牌服务(Security Token Service)。Cars-R-Us 更喜欢将其用户信息的管理外包,它看到了不由自己处理信用卡的好处,它会选择使用 Acme 的附加服务来处理每一个认证请求并调用安全性令牌服务来从 Acme 检索信用卡批准。
信用卡服务可能需要额外的安全性措施,WS-SecurityPolicy 断言使 Acme 和 Cars-R-Us 能够表达 Acme 和 Cars-R-Us 之间的消息(符合 WS-Security 规范)必须提供的额外安全性策略。例如,Cars-R-Us 可能要求所有的信用卡断言都要经过数字签名并且包含有效期。
