Web服務(wù)安全性：發(fā)展協(xié)議棧

IBM、Microsoft 和 Verisign 于四月份聯(lián)合發(fā)布了一個(gè)關(guān)于 Web 服務(wù)安全性（Web Services Security，WS-Security）的規(guī)范，該規(guī)范提供了一套幫助 Web 服務(wù)開(kāi)發(fā)者保護(hù) SOAP 消息交換的機(jī)制。這個(gè)規(guī)范已經(jīng)被 OASIS 所接受，并且新組建了 Web 服務(wù)技術(shù)委員會(huì)（Web Services Technical Committee，The WSS TC），以促使 WS-Security 成為開(kāi)放標(biāo)準(zhǔn)。在早些時(shí)候的一篇文章 Security in Web Service World: A Proposed Architecture and Roadmap（參閱參考資料）中已經(jīng)比較詳細(xì)地闡釋了 WS-Security 規(guī)范。
    此外，在四月份，IBM 和 Microsoft 還提供了一個(gè)路線圖文檔，文檔中包含有一個(gè)概念性協(xié)議棧，該概念性協(xié)議棧規(guī)定了一些對(duì)于在 Web 服務(wù)中構(gòu)建安全性來(lái)說(shuō)非常重要的額外元素。
    該公告的重點(diǎn)是給出路線圖中新增的三個(gè)部分；策略層中的兩個(gè)元素和聯(lián)合層中的一個(gè)元素（如圖 1 所示）。
    圖 1. 不斷發(fā)展的 WS-Security 路線圖
    策略
    路線圖中標(biāo)為 WS-Policy 的策略元素已被進(jìn)一步細(xì)化為包含以下四個(gè)文檔：
    ·一個(gè)策略框架（Policy Framework，WS-Policy）文檔，它定義了表達(dá) Web 服務(wù)策略的語(yǔ)法。
    ·一個(gè)策略附件（Policy Attachment，WS-Policy-Attachment）文檔，它定義了如何將這些策略附加到 Web 服務(wù)。
    ·一組通用策略斷言（WS-Policy-Assertions）。
    ·一組安全性策略斷言（WS-Security Policy）。
    策略框架旨在允許可擴(kuò)展性。策略是一個(gè)寬泛的術(shù)語(yǔ)，包含了諸如安全性、可靠性、事務(wù)、隱私等一系列學(xué)科。類(lèi)似的，表達(dá)策略的能力也不局限于通用策略或安全性策略的表達(dá)。目的在于使基本的策略框架能夠適應(yīng)特定于域的策略語(yǔ)言的表達(dá)，并且適應(yīng)的方式是在一個(gè)一致的 Web 服務(wù)框架中利用不同域的知識(shí)。
    WS-PolicyAttachment 提供了幾種使用 Web 服務(wù)來(lái)宣傳策略斷言的方式。它構(gòu)建在現(xiàn)有的 WSDL 規(guī)范和 UDDI 規(guī)范之上，但同時(shí)支持可擴(kuò)展性。
    同時(shí)，與 Web 服務(wù)的公共策略一起存在的還有各種特定于域的策略（例如安全性策略）。一個(gè)常見(jiàn)的例子就是這樣一個(gè)請(qǐng)求服務(wù)，它會(huì)查找能夠以特定人類(lèi)語(yǔ)言（例如德語(yǔ)）提供處理的服務(wù)提供者。這樣，這個(gè)請(qǐng)求服務(wù)就要應(yīng)用一個(gè)策略斷言，即需要德語(yǔ)語(yǔ)言支持（German language support）。這個(gè)提供者也可以通過(guò)聲稱(chēng)它能以德語(yǔ)提供服務(wù)來(lái)作出該斷言。WS-Policy 斷言語(yǔ)言（WS-Policy Assertions Language）提供了這種類(lèi)型的公共策略表達(dá)。它定義了一組通用的 Web 服務(wù)策略斷言。
    安全性是一個(gè)域，它旨在說(shuō)明安全性策略的表達(dá)，WS-Security-Policy 這個(gè)單獨(dú)的文檔提議了一種語(yǔ)言，用來(lái)表達(dá)那些傳達(dá)與支持 WS-Security 規(guī)范有關(guān)的策略所需的策略。
    信任
    在 Web 服務(wù)范例中，服務(wù)請(qǐng)求者和服務(wù)提供者之間的信任是通過(guò)雙方以一種預(yù)期的且可理解的方式交換信息來(lái)建立的。WS-Security 規(guī)范已經(jīng)定義了通過(guò)使用安全性令牌來(lái)安全地交換消息的基本機(jī)制。WS-Trust 規(guī)范以這個(gè)模型為基礎(chǔ)進(jìn)行構(gòu)建，定義了如何發(fā)出和交換這些安全性令牌。
    WS-Trust 通過(guò)定義一組接口開(kāi)始了定義信任關(guān)系的工作，安全性令牌服務(wù)將為安全性令牌的發(fā)出、交換和驗(yàn)證提供這組接口。它旨在支持創(chuàng)建多種安全性令牌格式，以適應(yīng)各種認(rèn)證和授權(quán)機(jī)制。發(fā)出安全性令牌服務(wù)接受一個(gè)輸入請(qǐng)求（通常還有身份證明），然后以指定的身份所請(qǐng)求的令牌（即一個(gè)特定的業(yè)務(wù)證書(shū)）作為響應(yīng)。
    安全性空間內(nèi)的這種預(yù)期行為的描述也可以稱(chēng)之為信任策略，WS-Policy 框架支持信任伙伴表達(dá)和交換他們的信任聲明。