An einem weiteren, besonders für die Verschlüsselung und Signierung wichtigen Standard feilen W3C und Internet Engineering Task Force (IETF) derzeit noch: XML Key Management Specification (XKMS) beschreibt Protokolle für das Erzeugen, Verteilen und Registrieren von öffentlichen Schlüsseln. Anders ausgedrückt, stellt die Technik Public-Key-Infrastructure-(PKI-)Funktionen für Web-Services bereit, „ohne den Anwender mit der Komplexität einer PKI-Lösung zu belasten“, erklärt Verisign-Mann Hallam-Baker.
Sein Unternehmen bietet seit über einem Jahr einen XKMS-Service an, den Kunden mit Hilfe eines „Trust Service Integration Kit“ nutzen können. In enger Verbindung zu SAML steht außerdem die XML Access Control Markup Language (XACML). Damit lässt sich definieren, wer auf welche Informationen in Dokumenten zugreifen kann und wie sich diese Informationen übermitteln lassen.
Gesamtbild noch lückenhaft
Die genannten Ansätze zur Absicherung von Web-Services machen deutlich, dass der Industrie viel an diesem Thema liegt und mit Hochdruck an der Entwicklung von Sicherheitslösungen gearbeitet wird. Sun-Spezialist Bauhaus beklagt jedoch die „für Entwickler und Unternehmen gleichermaßen überwältigende Anzahl von Standards und Spezifikationen“. Er fordert daher eine Vereinfachung, damit sich Anwender besser zurechtfinden.
|
Sicherheitsstandards Security Assertions Markup Language (SAML): XML-Framework, das eine Möglichkeit für Web-Services darstellt, sich gegenseitig zu identifizieren und Informationen bezüglich ihrer Authentizität auszutauschen. Das geschieht in Form so genannter Security Assertions, die Anwendern, Applikationen oder einem Web-Ser-vice zugewiesen und in LDAP-Directories vorgehalten werden können. XML Encryption: Legt eine Syntax für die Verschlüsselung von XML-Dokumenten fest. Die vom W3C verabschiedete Spezifikation sieht vor, dass auch nur Teile eines Dokuments verschlüsselt werden. Voraussetzung für WS-Security (siehe unten). XML Signature: Vom W3C verabschiedete Norm zur digitalen Signatur von XML-Dokumenten, die auch Bestandteil von WS-Security ist. Damit lässt sich sicherstellen, dass ein Dokument auch tatsächlich vom angegebenen Sender verfasst wurde. XML Key Management Specification (XKMS): XML Encryption, XML Signature und ihre kombinierte Anwendung in WS-Security erfordern kryptografische Schlüssel. XKMS beschreibt Protokolle für das Erzeugen, Verteilen und Registrieren von öffentlichen Schlüsseln, stellt also Funktionen einer Public Key Infrastructure (PKI) für Web-Services bereit. XML Access Control Markup Language (XACML): Steht in enger Verbindung zu SAML und ermöglicht das Definieren von Zugriffsrechten für bestimmte Dokumente. Legt außerdem fest, wie diese Informationen übermittelt werden. WS-Security: Von IBM, Microsoft und Verisign erarbeitete Spezifikation, die Soap um Funktionen wie Verschlüsselung und digitale Signaturen erweitert. WS-Security soll IBM und Microsoft zufolge SAML nicht ersetzen, sondern vielmehr ergänzen. WS-Security fußt auf den beiden eng miteinander verwandten Techniken XML Signature und XML Encryption. |
Außerdem bleibt das Gesamtbild noch lückenhaft: So existiert bisher kein standardisiertes Verfahren, das das Problem der Verbindlichkeit beziehungsweise der Unwiderrufbarkeit von Web-Services-Transaktionen regelt. Nach Ansicht von Brian Roddy, Vice President Engineering bei Reactivity, stellen existierende Spezifikationen wie XML Signature oder WS-Security jedoch „gute Werkzeuge“ dar, um dieses Problem zu lösen. Der Hersteller hat unter der Bezeichnung Web-Services Non-Repudiation (WSNR) eine eigene, darauf aufsetzende Spezifikation entwickelt, die er vorantreiben und als Norm etablieren will.