Web Services Security (WSS), standard OASIS
19/04/2004
Le consortium OASIS (Organization for the Advancement of Structured Information Standards) annonce l’approbation de la spécification « Web Services Security » (WSS) en tant que standard OASIS.
Introduite en octobre 2001 par Microsoft, puis modifiée en avril 2002 par le trio Microsoft, IBM et Verisign, cette spécification a été soumise à l’OASIS en juillet 2002. Moins de deux années après la formation du comité technique et l’arrivée de nombreux autres participants, dont Sun Microsystems, voici donc la pierre angulaire des futures applications basées sur l’échange de messages XML arrivée à maturité.
WSS est construit à partir de technologies de sécurité existantes telles que la signature digitale XML (XML Digital Signature), l’encodage XML (XML Encryption) et les certificats X.509. WSS définit les outils de base pour protéger l’intégrité et la confidentialité d’un message ainsi que les moyens d’associer à un message des mécanismes de sécurité.
La spécification se compose de trois documents et deux schémas XML :
- « SOAP Message Security 1.0 core » décrit les extensions apportées aux messages SOAP afin d’assurer l’intégrité et la confidentialité des messages. Cette spécification ne définit pas de type de sécurité spécifique mais se veut capable de prendre en compte un large panel de modèles de sécurité et de technologies d’encodage.
- « UsernameToken Profile » décrit comment un utilisateur de service web peut fournir un « UsernameToken » afin de s’identifier (en utilisant un nom d’utilisateur et éventuellement un mot de passe) auprès d’un producteur de service web.
- « X.509 Certificate Token Profile » décrit comment utiliser les certificats X.509 avec la spécification « SOAP Message Security 1.0 core ». Un certificat X.509 peut être utilisé pour valider une clé publique servant à authentifier un message (éventuellement encodé) supportant WSS.
Les membres de ce comité (des représentants d’acteurs majeurs en matière de services web, tels que Microsoft, IBM, Nokia, Verisign, SAP, Oracle, Sun Microsystems…) saluent cette nouvelle spécification et considèrent qu’elle fournit désormais un ensemble de technologies de base devant conduire à l’accélération du déploiement des services web interopérables et sécurisés.
Autres articles sur XMLfr: