新的安全標準正在建立

作者: Colleen Frye, 　出處:TechTarget  2005-08-09

        IBM/Microsoft Web Services (WS-*) Security Roadmap中又有三個新的規范將提交給OASIS，并且還將提交一項涉及到多聯盟標識協議的成功的互操作的demo。該消息的宣布，標志著業界在Web服務中的安全方面的合作在最近往前邁出了好幾步。

        在9月，IBM/Microsoft Web Services (WS-*) Security Roadmap中又有三個新的規范將提交給OASIS，并且還將提交一項涉及到多聯盟標識協議的成功的互操作的demo。這是上個月在Burton Group's Catalyst Conference上發生的。隨著該消息的宣布，標志著業界在Web服務中的安全方面的合作在最近往前邁出了好幾步。

　　WS-Trust, WS-SecurityPolicy and WS-SecureConversation建立在2004年被OASIS批準的WS- Security的基礎之上的。WS-Trust和WS-SecureConversation是有類似Actional Corp., BEA Systems Inc., Computer Associates International Inc., Oracle Corp., RSA Security Inc., VeriSign Inc和其他的提供商共同著作的。WS-SecurityPolicy是為RSA Security和VeriSign共同著作的。

　　“WS-Security定義了提供安全信號的基本機制的同時，WS-Trust 定義了WS-Security的擴展，而這些擴展將提供建立的方法和個個組織之間的商業信賴的關系。” Ari Bixhorn說，他是微軟的Web服務戰略部門的主管:“它通過提供一個在不同的安全標識類型(包括Kerberos, X.509和SAML [Security Assertion Markup Language])之間移動的機制來完成這個。通常的它是通過使用安全標識服務[STS]來完成這個的。安全標識服務是一個可以處理可以被一個服務消息的發送者和接受者都信任的安全標識的Web服務。”

　　在一個Web服務環境中，“新的的供應鏈被建立起來在不同系統之間工作;這個生態系統可以通訊和安全的把使用開放協議結合起來。” IBM Tivoli的Security, Policy 和 Compliance程序主管， Venkat Raghavan說:“挑戰是在于我們如何來得到一個一般的想法來標識和確保在不同的平臺，技術，中間件——跨越整個價值鏈的安全。WS-Trust給你一種使得異質系統均勻的一種方法。”

　　各種組織已經在不同的地方有不同的技術來驗證用戶，Raghavan說:“目標不是替代現有的安全技術，而是去平衡調節現有的各種安全技術，以運行商務過程的集成。”

　　在Utah的 Midvale 的Burton Group的高級分析員Gerry Gebel說WS-Trust是一個有重大意義的特別的混合環境。“你可以給一種標示然后要求以另外一種標識返回。”

　　第二個說明，WS-SecurityPolicy，定義了一般的應用于Web服務安全的安全策略的聲明。例如，據IBM Software Group 的著名的工程師和安全架構師Anthony Nadalin 說，WS-SecurityPolicy將被用來實現Web服務互操作性基本規范(WS-I BSP)。“其他的例子包括了能夠描述一個Web服務的安全能力和不安全性。”

        同時，WS-SecureConversation“定義了一些擴展，這些擴展允許安全環境的建立共享和引出session關鍵字。” Nadalin說:“這樣就允許環境的建立和可能的更有效的關鍵字或者新的關鍵字材料的交換，從而提高并發的交換的整體性能和安全。”

　　WS-Trust ，WS-Federation和WS-*路線圖中其他的部分，是該會議中的操作性示范的一部分。該demo設定了三個圍繞自動供應鏈的場景:多協議hub，多協議translator hubs和使用WS-Trust STS的協議轉換。標示符是安全管理的，并由SAML 1.0, SAML 2.0, Liberty Alliance WS-Federation 和 WS-Trust協議交換。

　　“以前的demo關注于單獨的協議和一個協議的單獨的一個版本。”Gebel說:“這是聯盟協議的成熟的標志。”

　　這個demo顯示了“如果你作為一個汽車經銷商，同時你買進了一個Hewlett-Packard的產品和另外一個廠商的不同的產品，而這兩個產品可以合得來。” Cambridge. Mass. 的DataPower Technology Inc.的產品市場經理 Rebecca Xiong說。 DataPower Technology是14個參加到這個demo的開發的廠商之一。“越多的廠商支持協議，消費者就能更簡單的構件他們的Web 站點以及和合作伙伴協同工作。”

　　Nadalin說，一旦OASIS 有了WS-Trust, WS-SecurityPolicy, 和WS-SecureConversation規范，一個技術委員會會被組建，同時標準化的過程將會啟動。在計劃圖剩下的說明——WS-Federation, WS-Privacy 和 WS-Authorization“IBM 已經提交了所有WS Security 計劃圖中的規范給標準化組織。我不能說什么時候和什么地點這些規范將會被發布。” Nadalin說。在WS-Federation已經融入幾個互操作的demo的同時，WS-Privacy和WS-Authorization“在這個時候仍然沒有發表。”

　　Microsoft'的Bixhorn指出這個過程如此之長。“關于WS-Trust, WS-SecurityPolicy 和 WS-SecureConversation的宣布也是業界在基于SOAP的Web服務的互操作性的一個漫長歷程的另一個暗示。”

 

Author: orangelizq
email: orangelizq@163.com