36、Web服务安全规范与技术详解

Web服务安全规范与技术详解

1. WS - I规范概述

IBM和微软开发了一套初始的Web服务安全规范，这些规范最初将集成到.NET架构中，后来交由OASIS工作组处理。其中，消息安全模型（WS - Security）是其他WS - I规范的基础。以下是主要的WS - I规范及其描述：
| 规范 | 描述 |
| — | — |
| WS - Security | 描述如何将安全令牌（证书和Kerberos票据）、签名和加密头附加到SOAP消息上。 |
| WS - Policy | 描述中介和端点上安全策略的特性和限制。 |
| WS - Trust | 描述Web服务之间信任模型安全互操作的框架。 |
| WS - Privacy | 描述Web服务及其请求者如何指定主体隐私偏好和组织隐私实践声明。 |
| WS - SecureConversation | 描述如何对各方之间的消息交换进行身份验证和管理。 |
| WS - Federation | 描述如何在异构联合环境中管理和代理信任关系。 |
| WS - Authorization | 描述如何管理授权数据和策略。 |

这些规范在不断发展和变化，随着每个规范接近公开最终发布日期，Web服务的安全方面可能需要进行一些更改。

1.1 WS - Security

该规范提供了一种将消息与安全令牌结合的通用方法，支持多种安全令牌格式，可独立使用或结合使用，以适应各种安全模型和加密技术。它利用XML加密规范和安全令牌来保护SOAP消息的部分内容机密性，其加密功能还能支持多方的加密技术、流程和操作。

<