在9月,IBM/Microsoft Web Services (WS-*) Security Roadmap中又有三个新的规范将提交给OASIS,并且还将提交一项涉及到多联盟标识协议的成功的互操作的demo。这是上个月在Burton Group's Catalyst Conference上发生的。随着该消息的宣布,标志着业界在Web服务中的安全方面的合作在最近往前迈出了好几步。
WS-Trust, WS-SecurityPolicy and WS-SecureConversation建立在2004年被OASIS批准的WS- Security的基础之上的。WS-Trust和WS-SecureConversation是有类似Actional Corp., BEA Systems Inc., Computer Associates International Inc., Oracle Corp., RSA Security Inc., VeriSign Inc和其他的提供商共同著作的。WS-SecurityPolicy是为RSA Security和VeriSign共同著作的。
“WS-Security定义了提供安全信号的基本机制的同时,WS-Trust 定义了WS-Security的扩展,而这些扩展将提供建立的方法和个个组织之间的商业信赖的关系。” Ari Bixhorn说,他是微软的Web服务战略部门的主管:“它通过提供一个在不同的安全标识类型(包括Kerberos, X.509和SAML [Security Assertion Markup Language])之间移动的机制来完成这个。通常的它是通过使用安全标识服务[STS]来完成这个的。安全标识服务是一个可以处理可以被一个服务消息的发送者和接受者都信任的安全标识的Web服务。”
在一个Web服务环境中,“新的的供应链被建立起来在不同系统之间工作;这个生态系统可以通讯和安全的把使用开放协议结合起来。” IBM Tivoli的Security, Policy 和 Compliance程序主管, Venkat Raghavan说:“挑战是在于我们如何来得到一个一般的想法来标识和确保在不同的平台,技术,中间件――跨越整个价值链的安全。WS-Trust给你一种使得异质系统均匀的一种方法。”
各种组织已经在不同的地方有不同的技术来验证用户,Raghavan说:“目标不是替代现有的安全技术,而是去平衡调节现有的各种安全技术,以运行商务过程的集成。”
在Utah的 Midvale 的Burton Group的高级分析员Gerry Gebel说WS-Trust是一个有重大意义的特别的混合环境。“你可以给一种标示然后要求以另外一种标识返回。”
第二个说明,WS-SecurityPolicy,定义了一般的应用于Web服务安全的安全策略的声明。例如,据IBM Software Group 的著名的工程师和安全架构师Anthony Nadalin 说,WS-SecurityPolicy将被用来实现Web服务互操作性基本规范(WS-I BSP)。“其他的例子包括了能够描述一个Web服务的安全能力和不安全性。”
同时,WS-SecureConversation“定义了一些扩展,这些扩展允许安全环境的建立共享和引出session关键字。” Nadalin说:“这样就允许环境的建立和可能的更有效的关键字或者新的关键字材料的交换,从而提高并发的交换的整体性能和安全。”
WS-Trust ,WS-Federation和WS-*路线图中其他的部分,是该会议中的操作性示范的一部分。该demo设定了三个围绕自动供应链的场景:多协议hub,多协议translator hubs和使用WS-Trust STS的协议转换。标示符是安全管理的,并由SAML 1.0, SAML 2.0, Liberty Alliance WS-Federation 和 WS-Trust协议交换。
“以前的demo关注于单独的协议和一个协议的单独的一个版本。”Gebel说:“这是联盟协议的成熟的标志。”
这个demo显示了“如果你作为一个汽车经销商,同时你买进了一个Hewlett-Packard的产品和另外一个厂商的不同的产品,而这两个产品可以合得来。” Cambridge. Mass. 的DataPower Technology Inc.的产品市场经理 Rebecca Xiong说。 DataPower Technology是14个参加到这个demo的开发的厂商之一。“越多的厂商支持协议,消费者就能更简单的构件他们的Web 站点以及和合作伙伴协同工作。”
Nadalin说,一旦OASIS 有了WS-Trust, WS-SecurityPolicy, 和WS-SecureConversation规范,一个技术委员会会被组建,同时标准化的过程将会启动。在计划图剩下的说明――WS-Federation, WS-Privacy 和 WS-Authorization“IBM 已经提交了所有WS Security 计划图中的规范给标准化组织。我不能说什么时候和什么地点这些规范将会被发布。” Nadalin说。在WS-Federation已经融入几个互操作的demo的同时,WS-Privacy和WS-Authorization“在这个时候仍然没有发表。”
Microsoft'的Bixhorn指出这个过程如此之长。“关于WS-Trust, WS-SecurityPolicy 和 WS-SecureConversation的宣布也是业界在基于SOAP的Web服务的互操作性的一个漫长历程的另一个暗示。”