Sicherheit bei Web Services

WS-Security

Das umfassendste Security-Konzept für Web Services ist WS-Security. „Web Service Security“ (http://www-128.ibm.com/developerworks/library/specification/ws-secure/) kann als Framework betrachtet werden, das alle relevanten Punkte zum Thema Sicherheit bei Web Services beinhaltet. Dazu unterstützt, integriert und vereinheitlicht WS-Security diverse populäre Sicherheitsmodelle, -mechanismen und -technologien, die die Zusammenarbeit einer großen Zahl von Systemen in einer plattform- und sprachunabhängigen Art und Weise ermöglichen sollen.

WS-Security entwickelt also keine neuen Verfahren, sondern fasst bestehende Techniken zusammen. Es bildet damit eine grundlegende Erweiterung des SOAP-Standards um Sicherheitsanforderungen. Ausgearbeitet wurde WS-Security von den Firmen Microsoft, IBM und Verisign und inzwischen an OASIS übermittelt, das für die weitere Entwicklung zuständig ist.

Web Service Security definiert einen Rahmen zur Einbettung von Benutzer- und Sicherheitsinformationen in eine SOAP-Nachricht. Es liefert keine fertige Lösung für alle Sicherheitsproblembereiche, sondern stellt lediglich das Fundament dar, auf das bestimmte Sicherheitsspezifikationen aufbauen.

Das Konzept ist so ausgelegt, dass es eine breite Palette von Sicherheitsmodellen wie SSL, SAML, Kerberos oder Public Key Infrastrukturen (PKI) zulässt. Zusätzlich erweitert WS-Security SOAP um Verschlüsselungs- und Signaturfunktionen, die auf XML Signature und XML Encryption basieren. Dabei beschreibt WS-Security wie die in XML Signature und XML Encryption definierten Kopfzeilen zur Gewährleistung der Integrität, Vertraulichkeit und Authentizität der Nachrichten im Kopfzeilenbereich der SOAP-Nachrichten eingefügt werden können.

WS-Security unterstützt eine feine Auflösung bei der Anwendung von digitalen Signaturen, indem es zulässt, dass jede einzelne SOAP-Kopfzeile und der eigentliche Inhalt der Nachricht unabhängig voneinander digital signiert werden können. Somit können zwischen zwei Endpunkten Signaturen je nach Bedarf individuell hinzugefügt werden.

WS-Security: Verschlüsselte Daten werden im SOAP-Body abgelegt. (Quelle: FH Fulda, FB Informatik)
WS-Security: Verschlüsselte Daten werden im SOAP-Body abgelegt. (Quelle: FH Fulda, FB Informatik)

WS-Security bietet auch genügend Raum für Erweiterungen, die bei speziellen Anforderungen helfen können: WS-Policy beschreibt Sicherheitsvorkehrungen und Einschränkungen, WS-Trust ist ein Framework für Vertrauensmodelle, WS-Privacy enthält Datenschutzwünsche, WS-Secure-Conversation behandelt die sichere Kommunikation, WS-Federation beschäftigt sich mit Vertrauensverhältnissen in heterogenen Umgebungen und WS-Authorization handelt von Authorisierungsdaten und -richtlinien.

Zukunftssicher: WS-Security bietet für spezielle Sicherheitsanforderungen Raum für Erweiterungen. (Quelle: IBM)
Zukunftssicher: WS-Security bietet für spezielle Sicherheitsanforderungen Raum für Erweiterungen. (Quelle: IBM)

Die aktuell Version 1.1 von WS-Security des Standards enthält zahlreiche Anpassungen, die auf Kommentare der Nutzer zurückgehen. Unter anderem gibt es zusätzliche Profile für Kerberos, SAML und SOAP mit Anhängen.