WS-Security

WS-Security

WS-Security ist ein Standard aus dem Kontext der WS-*-Spezifikationen. Im Wesentlichen beschreibt er ein Kommunikationsprotokoll, das es ermöglicht, Sicherheitsaspekte bei Webservices zu berücksichtigen. Am 19. April 2004 wurde der OASIS-Standard in seiner Version 1.0 veröffentlicht und am 17. Februar 2006 auf die Version 1.1 aktualisiert.

Ursprünglich durch IBM, Microsoft und VeriSign entwickelt, wird der Standard nun durch ein Komitee im Rahmen von Oasis-Open weiterentwickelt.

Der Standard beinhaltet Spezifikationen, die vorschreiben, wie Nachrichtenintegrität und -verschlüsselung im Rahmen von Webservices sichergestellt werden können. Dabei schreibt WS-Security jedoch nicht alle Details vor, sondern setzt viel mehr auf bereits bestehende „Verfahren“ auf (XML-Signature und XML-Encryption).

WS-Security beinhaltet drei Hauptmechanismen:

  • die Möglichkeit, Securitytokens als Teil der SOAP-Nachricht zu übertragen,
  • Signierung von Nachrichten und
  • Verschlüsselung von Nachrichten.

Dabei wird genau vorgeschrieben, wo und wie Signaturen, Verschlüsselungsinformationen sowie besagte Securitytokens in der SOAP-Nachricht eingefügt werden müssen.

Inhaltsverzeichnis

Profile für Security Tokens

Es werden folgende Profile zur Erstellung des SecurityTokens unterschieden:

Zugehörige Spezifikationen

Die folgenden WS-* Spezifikationen stehen in engem Zusammenhang mit WS-Security:

Implementierungen

Alternativen

Anstelle von WS-Security (Message Layer) kann man unter anderem auch auf der Transportebene (Transport Layer) aufsetzen, indem beispielsweise Protokolle wie HTTPS verwendet werden. Dies hat folgende Nachteile:

  • Bei der Kommunikation über mehrere Knoten hat man dann keine direkte „End-to-End-Security“ mehr.
  • Alles-oder-nichts-Übertragung: Message Layer Security bietet eine feinere Granularität.

Weblinks


Wikimedia Foundation.

Игры ⚽ Нужно сделать НИР?

Schlagen Sie auch in anderen Wörterbüchern nach:

  • Security guard — Private factory guard Occupation Activity sectors Security Description A security guard (or security officer) is a person who is paid to protect pro …   Wikipedia

  • Security — is the condition of being protected against danger, loss, and criminals. In the general sense, security is a concept similar to safety. The nuance between the two is an added emphasis on being protected from dangers that originate from outside.… …   Wikipedia

  • Security engineering — is a specialized field of engineering that focuses on the security aspects in the design of systems that need to be able to deal robustly with possible sources of disruption, ranging from natural disasters to malicious acts. It is similar to… …   Wikipedia

  • Security theater — consists of security countermeasures intended to provide the feeling of improved security while doing little or nothing to actually improve security. [cite book last = Schneier first = Bruce authorlink = Bruce Schneier title = Beyond Fear:… …   Wikipedia

  • security — se·cur·i·ty /si kyu̇r ə tē/ n pl ties 1 a: something (as a mortgage or collateral) that is provided to make certain the fulfillment of an obligation used his property as security for a loan b: surety see also …   Law dictionary

  • Security sector reform — (SSR) is a concept to reform or rebuild a state s security sector that emerged first in the 1990s in Eastern Europe. It starts where a dysfunctional security sector is unable to provide security to the state and its people effectively and under… …   Wikipedia

  • Security controls — are safeguards or countermeasures to avoid, counteract or minimize security risks. To help review or design security controls, they can be classified by several criteria, for example according to the time that they act, relative to a security… …   Wikipedia

  • Security level management — (SLM) comprises a quality assurance system for electronic information security. The aim of SLM is to display the IT security status transparently across a company at any time, and to make IT security a measurable quantity. Transparency and… …   Wikipedia

  • Security of person — or security of the person is a human right guaranteed by the Universal Declaration of Human Rights, adopted by the United Nations in 1948. It is also a right respected in the Constitution of Canada, the Constitution of South Africa and other laws …   Wikipedia

  • Security Assertion Markup Language — (SAML) is an XML based standard for exchanging authentication and authorization data between security domains, that is, between an identity provider (a producer of assertions) and a service provider (a consumer of assertions). SAML is a product… …   Wikipedia

  • Security Level Management — (SLM) ist ein Qualitätssicherungssystem für die elektronische Informationssicherheit. SLM hat zum Ziel, den IT Sicherheitsstatus jederzeit unternehmensweit transparent darzustellen und IT Sicherheit zu einer messbaren Größe zu machen. Transparenz …   Deutsch Wikipedia

Share the article and excerpts

Direct link
Do a right-click on the link above
and select “Copy Link”