Strona indeksu specyfikacji zabezpieczeń usług sieci Web

Artykuł
10/08/2007

Zaktualizowano październik 2007 r.

Krótki

Plan zabezpieczeń usług sieci Web (WS-Security) opisuje strategię firmy Microsoft dotyczącą zabezpieczeń w środowisku usług sieci Web. Definiuje kompleksowy model zabezpieczeń usługi sieci Web, który obsługuje, integruje i łączy kilka popularnych modeli zabezpieczeń, mechanizmów i technologii (w tym zarówno symetrycznych, jak i kluczowych technologii) w sposób, który umożliwia wielu systemom bezpieczne współdziałanie w sposób neutralny dla platformy i języka. W tym artykule opisano scenariusze pokazujące, jak mogą być używane razem następujące specyfikacje. Ta rodzina specyfikacji jest dostarczana w tym harmonogramie działania.

Oficjalne dokumenty

plan zabezpieczeń

W tym dokumencie opisano strategię rozwiązywania problemów z zabezpieczeniami w środowisku usługi internetowej. Definiuje kompleksowy model zabezpieczeń usługi sieci Web, który obsługuje, integruje i łączy kilka popularnych modeli zabezpieczeń, mechanizmów i technologii (w tym zarówno symetrycznych, jak i kluczowych technologii) w sposób, który umożliwia wielu systemom bezpieczne współdziałanie w sposób neutralny dla platformy i języka. Opisano również zestaw specyfikacji i scenariuszy, które pokazują, jak te specyfikacje mogą być używane razem.

oficjalny dokument dotyczący federacji

W tym dokumencie opisano problemy związane z zarządzaniem tożsamościami federacyjnymi i opisano kompleksowe rozwiązanie na podstawie specyfikacji usług sieci Web opisanych w przewodniku WS-Security i innych powiązanych specyfikacji usług sieci Web.

współdziałanie federation identity management

W tym dokumencie przedsiębiorstwa muszą rozszerzyć systemy wewnętrzne na użytkowników zewnętrznych, aby zapewnić współdziałanie systemów z aplikacjami innych organizacji. Czołowi dostawcy rozwiązań do zarządzania tożsamościami zaprezentowali swoje rozwiązania, które spełniają tę potrzebę w ostatnich warsztatach dotyczących współdziałania.

Specyfikacje

zabezpieczenia WS: zabezpieczenia komunikatów protokołu SOAP
WS-Security opisano ulepszenia obsługi komunikatów PROTOKOŁU SOAP w celu zapewnienia jakości ochrony za pośrednictwem integralności komunikatów, poufności wiadomości i uwierzytelniania pojedynczej wiadomości.
WS-Security również zapewnia ogólnego przeznaczenia, ale rozszerzalny mechanizm kojarzenia tokenów zabezpieczających z komunikatami.
Ponadto WS-Security opisuje sposób kodowania binarnych tokenów zabezpieczających — w szczególności certyfikatów X.509 i biletów Protokołu Kerberos, a także sposobu dołączania nieprzezroczystych kluczy zaszyfrowanych.

WS-Security: profil UsernameToken
W tym dokumencie opisano użycie atrybutu UsernameToken ze specyfikacją WS-Security.

WS-Security: profil tokenu certyfikatu X.509
Ta specyfikacja opisuje użycie platformy uwierzytelniania X.509 ze specyfikacją WS-Security.

WS-SecurityPolicy
WS-SecurityPolicy wskazuje asercji zasad do użycia z WS-Policy, które mają zastosowanie do usług WS-Security, WS-Trust i WS-SecureConversation.

WS-Trust
WS-Trust definiuje rozszerzenia oparte na WS-Security żądania i wystawiania tokenów zabezpieczających oraz zarządzania relacjami zaufania.

WS-SecureConversation
WS-SecureConversation definiuje rozszerzenia oparte na WS-Security w celu zapewnienia bezpiecznej komunikacji. W szczególności definiujemy mechanizmy ustanawiania i udostępniania kontekstów zabezpieczeń oraz wyprowadzania kluczy sesji z kontekstów zabezpieczeń.

WS-Trust, WS-SecureConversation i WS-SecurityPolicy zostały przyczyniły się do Komitetu Technicznego OASIS WS-SX w grudniu 2005 r.

WS-SX witrynie sieci Web TC

WS-Trust, WS-SecureConversation, WS-SecurityPolicy specifications at OASIS

WS-Federation
WS-Federation definiuje mechanizmy używane do włączania tożsamości, atrybutu, uwierzytelniania i federacji autoryzacji w różnych obszarach zaufania.

WS-Federation active requestor profile
WS-Federation Active Requestor Profile definiuje sposób, w jaki mechanizmy federacji uwierzytelniania i autoryzacji między obszarami zaufania zdefiniowane w WS-Federation są używane przez aktywne żądania, takie jak aplikacje obsługujące protokół SOAP.

profilu pasywnego żądającego WS-Federation
WS-Federation Pasywny profil żądającego opisuje sposób korzystania z mechanizmów federacyjnych tożsamości, uwierzytelniania i autoryzacji między obszarami zaufania zdefiniowanych w WS-Federation mogą być używane przez pasywne osoby żądające, takie jak przeglądarki sieci Web w celu świadczenia usług tożsamości. Pasywne żądania tego profilu są ograniczone do protokołu HTTP.

WS-Security: Powiązanie Kerberos Zabezpieczenia WS: Powiązanie Kerberos opisuje sposób używania specyfikacji zabezpieczeń usług sieci Web w protokole Kerberos.

profilu współdziałania Sign-On sieci Web
Profil współdziałania usługi Web Single Sign-On definiuje profil współdziałania protokołu Web Single Sign-On Metadata Exchange Protocol, który umożliwia interakcję z usługą przy użyciu usługi Liberty Identity Federation lub dostawcy tożsamości opartych na federacji WS.

Sign-On Web Single Sign-On Metadata Exchange Protocol
Protokół Web Single Sign-On Metadata Exchange Protocol definiuje sposób, w jaki usługa może wysyłać zapytania do dostawcy tożsamości pod kątem metadanych opisujących zestawy protokołów przetwarzania tożsamości obsługiwane przez tego dostawcę.

powiązane łącze Zobacz stronę indeksu specyfikacji WS-Policy.

Stan

sprzężenia zwrotnego i współdziałania warsztaty są obecnie prowadzone dla rodziny specyfikacji WS-Security.

Zabezpieczenia usług sieci Web: Zabezpieczenia komunikatów PROTOKOŁU SOAP zostały opublikowane jako OASIS Standard w marcu 2004 roku.

Zabezpieczenia usług sieci Web: Profil usernameToken 1.0 został opublikowany jako OASIS Standard w marcu 2004 roku.

Zabezpieczenia usług sieci Web: profil tokenu certyfikatu X.509 został opublikowany jako standard OASIS w marcu 2004 r.

WS-Trust został opublikowany jako specyfikacja publiczna 28 lutego 2005 r. Jest to trzecia wspólna publikacja specyfikacji.

WS-SecureConversation został opublikowany jako specyfikacja publiczna 28 lutego 2005 r. Jest to trzecia wspólna publikacja specyfikacji.

WS-SecurityPolicy został opublikowany jako specyfikacja publiczna 13 lipca 2005 r. Jest to trzecia wspólna publikacja specyfikacji.

WS-Federation i profile federacji zostały opublikowane jako specyfikacje publiczne w dniu 8 lipca 2003 r. Jest to pierwsza wspólna publikacja IBM/Microsoft/VeriSign/BEA/RSA Security tych specyfikacji.

Powiązanie Protokołu Kerberos zabezpieczeń usług internetowych zostało opublikowane jako specyfikacja publiczna 19 grudnia 2003 r. Jest to pierwsza wspólna publikacja specyfikacji IBM/Microsoft.

Profil współdziałania web single Sign-On został opublikowany jako specyfikacja publiczna 13 maja 2005 r. Jest to pierwsza wspólna publikacja specyfikacji.

Protokół Web Single Sign-On Metadata Exchange Protocol został opublikowany jako specyfikacja publiczna 13 maja 2005 r. Jest to pierwsza wspólna publikacja specyfikacji.

Uwagi dotyczące aplikacji zabezpieczeń usług internetowych

WS-Security AppNotes — zawiera wskazówki i dodatkowe przykłady implementacji specyfikacji WS-Security.

Using WS-Trust for Simple and Protected Negocjacji Protocol — opisuje użycie WS-Trust ram negocjacji binarnych dla prostego protokołu negocjacji chronionego zdefiniowanego w dokumencie RFC 2478 [2478] w celu bezpiecznego ustanowienia wspólnego mechanizmu zabezpieczeń oraz wspólnego kontekstu zabezpieczeń między dwoma elementami równorzędnymi GSS.

Używanie WS-Trust do uzgadniania protokołu TLS — opisuje użycie WS-Trust binarnej struktury negocjacji dla protokołu uzgadniania PROTOKOŁU TLS zdefiniowanego w RFC2246 w celu bezpiecznego ustanowienia tożsamości adresata, bezpiecznego ustanowienia współużytkowanego kontekstu zabezpieczeń między dwoma węzłami protokołu SOAP oraz opcjonalnego ustanowienia autentyczności nadawcy przy użyciu poświadczeń WS-Security nadawcy.

usługi sieci Web adresujące odwołania do punktów końcowych i tożsamości — udostępnia mechanizm opisywania tożsamości weryfikowalnej zabezpieczeń dla punktów końcowych dzięki wykorzystaniu rozszerzalności specyfikacji WS-Addressing.