WS-SecurityPolicy

A WS-SecurityPolicy egy WS* specifikáció, amit az IBM és 12 másik cég hozott létre és lett OASIS szabvány az 1.2-es verziótól kezdve. A WS-SecurityPolicy kiegészíti a WS-Security, WS-Trust és WS-SecureConversation által definiált biztonsági szabályokat. A WS-SecurityPolicy alapja a WS-Policy framework. A WS-SecurityPolicy több általános biztonsági beállítást tesz lehetővé, mint például a Szállítási rétegre (<TransportBinding>), valamint az üzenet rétegre vonatkozó biztonsági beállítások (<AsymmetricBinding>), időbélyegzés és a tokenek típusainak meghatározása.

A WS-SecurityPolicy a következő esetekre kínál megoldást:

• Az olyan üzenet elemek azonosítása, amiket alá kell írni, titkosítani kell, vagy a létezésüket kell ellenőrizni.
• Token formátumok meghatározása (SAML, X509, felhasználónév, stb...).
• Biztonsági beállítások, amik a szállítási és üzenet réteg biztonságát, a kriptográfiai algoritmusokat határozzák meg, valamint a szükséges időbélyegeket írják le.
• Saját token eljárások, amikkel például felhasználónévvel lehet azonosítást végezni.

A WS-SecurityPolicy legtöbbször a Webszolgáltatást leíró WSDL-hez van hozzáadva, a WS Policy Attachment^[1]-ben defniált módon.

Példák

A következő névtereket kell beállítani:

<p:Policy 
   xmlns:p="http://www.w3.org/ns/ws-policy">
   xmlns:sp="http://docs.oasis-open.org/ws-sx/ws-securitypolicy/200802">
   ...
</p:Policy>

Időbélyegzés használata:

<sp:IncludeTimestamp />

Szállítási réteg (https) vagy üzenet réteg biztonság (XML Dsig/XML Enc):

<ExactlyOne>
  <sp:TransportBinding>...</sp:TransportBinding>
  <sp:AsymmetricBinding>...</sp:AsymmetricBinding >
</ExactlyOne>

SAML biztonsági tokenként:

<sp:IssuedToken>
  <sp:RequestSecurityTokenTemplate>
    <wst:TokenType>...#SAMLV2.0</wst:TokenType>
  </sp:RequestSecurityTokenTemplate>
</sp:IssuedToken>

Token szolgáltatók és megadott token formátum használata:

<sp:IssuedToken>
  <sp:Issuer>
    <wsa:EndpointReference>
      <wsa:Address>http://sampleorg.com/sts</wsa:Address>
     </wsa:EndpointReference>
  </sp:Issuer>
  <sp:RequestSecurityTokenTemplate>
    <wst:TokenType>
       http://docs.oasis-open.org/wss/oasis-wss-saml-token-profile-1.0#SAMLAssertionID
    </wst:TokenType>
        ...
  </sp:RequestSecurityTokenTemplate>
  ...
</sp:IssuedToken>

Az üzenet fejléce és tartalma alá kell, hogy legyen írva:

<sp:SignedParts xmlns:sp="..." ... >
  <sp:Body />?
  <sp:Header Name="xs:NCName"? Namespace="xs:anyURI" ... />*
...
</sp:SignedParts>

További WS policy lehetőségek

A Web Services Security Policy Nyelv két különböző XML alapú leírási módot is jelent:

1. A fentebb bemutatott, WS-Policy framework alapú, az itt^[2] megadott specifikációban leírtak szerinti nyelv
2. WSPL, A Webszolgáltatások XACML profiljában leírt nyelv, ami végül nem került véglegesítésre.^[3]

Források

• Security in a Web Services World: A Proposed Architecture and Roadmap (IBM/Microsoft Whitepaper, 2002)