Als Norm akzeptiert wurden neben Elementen der Kernspezifikation auch Profile für Sicherheits-Tokens auf Basis von Benutzernamen und X.509. WS-Security bildet die Grundlage für weitere Sicherheitsstandards wie WS-Secure Conversation, WS-Trust und WS-Security Policy.

Diese sind notwendig, damit Anwender sichere Web-Services entwickeln können, die sich nicht nur intern, sondern auch über Unternehmensgrenzen hinweg nutzen lassen. Mittels Verfahren wie Verschlüsselung und digitalen Signaturen erfüllt WS-Security zentrale Forderungen für die Sicherheit von Web-Services wie Vertraulichkeit und Integrität der Übertragungen. Dabei können XML-Messages auch zwischen mehr als zwei Partnern geroutet werden. Außerdem ermöglicht WS-Security, dass Web-Services sicher über Firewall-Grenzen zu nutzen sind. Wegen der Verschlüsselung der Nachrichten stellt das bislang ein Problem dar.

WS-Security geht auf eine gemeinsame Initiative von Microsoft und IBM zurück: Im Rahmen ihrer Roadmap "Security in a Web-Services World" hatten beide Hersteller im April 2002 dargelegt, wie sie sich die Absicherung von Web-Services vorstellen. Mit der Unterstützung von Verisign reichten die Unternehmen die Grundlagen für WS-Security im Juni 2002 bei Oasis zur Standardisierung ein.

Das zuständige Technical Committee will sich nun den Profilen für Kerberos und Extensible Rules Markup Language (XRML) widmen. Wann diese verabschiedet und zur Nutzung mit der Kernspezifikation bereitstehen werden, steht noch nicht fest. Es wird jedoch erwartet, dass Hersteller jetzt damit beginnen, Produkte auf Basis von WS-Security zu entwickeln. (ave)