Bisher schien Sun bei der Entwicklung dringend benötigter Standards für Web-Services den Alleingang zu suchen. Doch nun kündigte das Unternehmen überraschend an, an der Fertigstellung von WS-Security mitarbeiten zu wollen. WS-Security stellt ein Framework bereit, das diverse Sicherheitsmodelle und -technologien wie der Secure Socket Layer (SSL), Security Assertion Markup Language (SAML), Kerberos oder Public Key Infrastruktur unterstützt. Die noch in der Entstehung befindlichen Spezifikationen sehen wichtige Erweiterungen am Simple Object Access Protocol (Soap) vor und sollen eine Verschlüsselung von Informationen für die Übertragung zwischen Web-Services ermöglichen. Dabei kommen die Sicherheitsstandards des W3C-Konsortiums "XML Signature" und "XML Encryption" zum Einsatz. Konkret könnte Suns Ankündigung bedeuten, dass das vom Hersteller initiierte Projekt zum Management von Netzwerkidentität "Liberty Alliance" künftig WS-Security als Sicherheitsmechanismus bei der Übermittlung von Benutzerdaten nutzen wird. Eine Zusammenarbeit beim Thema Sicherheit mit Microsoft, IBM sowie Versign wurde laut Sun möglich, weil diese Unternehmen wie auch 17 weitere Hersteller die WS-Security zusammen mit dem Standardisierungsgremium Oasis (nicht W3C !) fertigstellen wollen. Damit entstehe nun ein offener Industriestandard, auf den zugleich laut Statuten von Oasis keine Urheberrechtspauschalen erhoben werden dürfen. Sun spielt damit auf eine von IBM losgetretene Diskussion an, nach der es in der Industrie Überlegungen gebe, Web-Services-Standards mit Lizenzen zu versehen. Hersteller und Analysten hatten dies jedoch bestritten.
Trotz Suns Sinneswandel sind die bestehenden Spannungen mit Microsoft und IBM nicht aus der Welt. Diese und mittlerweile rund 100 weitere Hersteller hatten sich im Februar in dem für Web-Services wichtigsten Standardisierungsgremium Web Services Interoperability Organization zusammengefunden, Sun aber zunächst nicht dazu eingeladen. Sun seinerseits will jetzt nur teilnehmen, wenn es einen Platz im Vorstand erhält.
Streitereien gehen weiter
Für Reibereien könnten ferner die Bestrebungen des Herstellers sorgen, weitere Spezifikationen für den Aufbau von Web-Services-Architekturen in Umlauf zu bringen.
So hatte das Unternehmen vor seinem Umstieg auf WS-Security intern an einem Konkurrenzvorschlag gearbeitet und veröffentlichte dieser Tage das XML-basierende Web Services Choregraphy Interface (WSCI). Dieses spezifiziert, wie Entwickler Events und Transaktionen zwischen Anwendungen beschreiben und organisieren können und steht jetzt als Download bei Sun und den WSCI-Unterstützern Software AG, Bea Systems sowie SAP bereit. Eine grafische Design-Umgebung will Sun in Kürze mit dem "WSCI Editor" nachliefern.
WSCI ist noch keinem Standardisierungsgremium übergeben worden. Es konkurriert außerdem mit anderen Vorschlägen zur Modellierung von Geschäftprozessen. So nutzt Microsoft in seinem "Biztalk"-Server die XML-Sprache Xlang, Siebel und Anbietern von EAI-Software favorisieren die von IBM entwickelte Web Services Flow Language, andere Firmen sehen in der Metasprache Business Process Modeling Language den richtigen Ansatz für die Beschreibung von Interaktionen zwischen Web-Services.
Abb: Geplante Spezifikationen
WS-Security beschreibt den Einsatz digitaler Signaturen und Verschlüsselung in Soap-Nachrichten. Es bildet die Grundlage für insgesamt sieben geplante XML-Spezifikationen zur Absicherung von Web-Services: WS-Policy (Sicherheitsrichtlinien), WS-Trust (Verbindlichkeit), WS-Privacy (Vertraulichkeit), WS-Secureconversation (Authentifizierung von Diensten), WS-Federation (Sicherheitsstrukturen in Netzwerken), WS-Authorization (Authorisierung von Daten und Policies). Siehe auch: http://www.verisign.com/wss/architectureRoadmap.pdf. Quelle: Verisign