WS-Security 是向 SOAP 消息添加消息层安全性的提案,定义标准化的位置和语法,在 SOAP 标头中携带安全令牌(如 X.509 证书和 Kerberos 票证),以保护 SOAP 消息的内容。

WS-Security 利用现有的 XML 电子签名和 XML 加密规范分别以 XML 语法捕获签名和加密操作的结果。 实质上,WS-Security 将标准化 XML 签名和 XML 加密数据块在 SOAP 消息中的传输位置。

为什么需要?

像 TLS(传输层安全性)这样的安全机制不足以保护 Web 服务。由于 TLS 创建了消息流通的安全渠道,因此无法进行差异化保护,例如仅加密和/或签名这些消息的特定组件。当中间执行器需要访问或更改非敏感部分的消息时,这很重要。此外,在 SOAP 消息可能会经过多个执行器的情况下,TLS 无法提供端到端保护;TLS 只允许保护每个“跃点”,以及由此产生的中间执行器的安全漏洞。

状况

2002 年 8 月成立了新的 OASIS 技术委员会,负责监督 WS-Security 提案的标准化。

Entrust Involvement

Entrust 是新成立的致力于 Web Service 安全的 OASIS 技术委员会的积极成员。 Entrust 为 Entrust Authority™ Java 安全套件的 XML 签名和 XML 加密提供支持,这些都是 WS-Security 的基本组成部分。随着规范不断进展,Entrust 将建基于现有的支持,直接支持 WS-Security 规范本身。