Actional, Adobe, AmberPoint, BEA Systems, BMC Software, Computer Associates, EMC, Forum Systems, Fujitsu, Hewlett-Packard, Hitachi, IBM, Intel, Microsoft, Neustar, Nokia, Oracle, Reactivity, RSA Security, SAP, Sun Microsystems, Tibco, VeriSign和其他的一些公司合作起来推动Web Services安全的基本标准。
OASIS,国际电子商务标准组织,前不久宣布他的成员已经通过了WS-Security 版本 1.1作为OASIS标准,表示这一个最高水平的批准。由OASIS的Web Services安全(WSS)技术委员会的一个开放过程开发的WS-Security,为实现安全功能提供了一个技术基础,它能够提供例如在实现高层Web services应用程序的消息的完整性和保密性。
Gartner 的分析师Ray Wagner建议到:“企业机构应该采用WS-Security格式来开发所有的穿越防火墙的Web services部署,即便是在没有安全需要被标识出来的情况下。Gartner相信WS-Security将会成为Web services的最主要的安全标准,并且采用它可以让企业机构在以后容易的修改Web services部署的安全配置。” "
WS-Security是构建在现有安全技术的基础之上的,能够提供一种工业标准的方式来确保Web services消息的交换。WS-Security提供一个在其内部提供 认证和授权功能的框架,让用户可以在一个Web services的环境里面应用现有的安全技术和基础架构。
“我们已经对WS-Security作出了很多重要的补充和增加,并且都是源自于用户的直接的反馈,”IBM的Kelvin Lawrence说,他是OASIS WSS技术委员会的联合主席,“WS-Security v1.1增强了包括Kerberos的扩展profiles,以及安全断言标签语言(SAML) OASIS标准,具有附属和正确表示语言的SOAP(REL) ”
“新的版本也使得安全成为可能,让基于消息的Web services同现有的安全技术相结合,”OASIS WSS技术委员会的联合主席,Microsoft的Chris Kaler说道:“应用程序可以共享网络的信息,而不用管底层的平台。”
Patrick Gannon, OASIS的CEO,声明说:“OASIS WSS 技术委员会是开放标准过程的一个很好的例子,在这个其中有广泛的成员、小公司、提供商以及用户、私营集团、国际企业集团和政府代理的兴趣和利益——它给所有这些人带来好处。我们期望可以和1.0版本一样的方式来采用这个新水平的WS-Security。”
OASIS WSS技术委员会仍然允许新的参与,并且特别地在这些国际 团体中寻找输入来提高WS-Security.所有感兴趣的社团都可以通过邮件列表(http://www.oasis-open.org/mlmanage/)来交换在实现WS-Security上的信息。和所有的团体项目一样,OASIS WSS技术委员会的工作的成果将会为会员和非会员都能获得。并且OASIS主管一个对该标注的公开评论的邮件列表 。
对WS-Security的支持
Forum Systems
“自从有了例如Kerberos Token Profile和具有附件的SOAP的能力的高级Web services以来,这是业界的一个重大的进步。和为网络通讯的Secure Sockets Layer (SSL)不同的是,WS-Security将会是面向应用程序网络的标准。”Forum Systems的市场部副总裁Walid Negm说。 "
Fujitsu
“Fujitsu很高兴看到新的版本的WS-Security成为了一个OASIS标准。我们已经决定了效忠于这个Web services技术的标准。具有扩展的附件支持和其他的加强,新的标准将会使我们能够提供更为广泛的解决方案。这将会帮助我们的顾客意识到基于Web services技术的安全系统。”Fujitsu 有限公司,软件部门,执行架构师Yasushi Ishida "这样说。
Hitachi
“日立很高兴看到WS-Security v1.1被作为一个OASIS标准通过。当Web services还在它的初期的时候,出版社和用户对其最初的反应是安全问题将会是其不能实现的一个最主要的问题。随着WS-Security v1.1作为一个OASIS标准的发布,行业内的很多人也许以为很多的安全Web services部署的优先工具都已经可以获得并且是实用的了。这些标准的使用和他们和高层协议的合成物将会形成实际的安全部署的基础。这个部署的抑制者已经被移除了。”Takao Nakamura,日立的软件公司的执行总经理这样说。
Microsoft
“微软很高兴能够通WS-Security 1.1规范的所有共同作者一起合作。它被批准为一个标准是Web services和业界所有的对由使用WS-Security 1.0开发的产品的反馈的合作的一个重要里程碑。”微软的安全架构师和OASIS Web Services 安全技术委员会的联合主席Chris Kaler说:“WS-Security是安全的,可靠的,可处理的Web services 的WS-* Web services架构的核心组件,并且仔业界获得了广泛的支持。我们期望能够一直选择这个作为Web services标准,并以形成一个软件互操作性的普遍架构作为最终的目的。”
Nokia
“Nokia很高兴的看到WS-Security v1.1能够被批准作为一个OASIS标准。Nokia仔创建这个标准的过程中扮演了一个积极的贡献者的角色,并且相信它将会让移动Web services受益,”Nokia 的高级架构师Frederick Hirsch "说:“WS-Security v1.1是Web services概念栈的开放标准的一个重要的前进,并提供了Web services的可互操作的安全性的重要性。”
Oracle
“WS-Security v1.1解决了Web services的安全认证的需要,”Oracle 的安全标准部的主任Prateek Mishra说:“我们在OASIS WSS技术委员会的工作表明了Oracle要把安全标准引入市场的决心,并把它们嵌入到我们道产品中去。并且会把利益带给我们的顾客。我们很高兴能和其他技术提供商一起合作来开发WS-Security v1.1,并且希望能够加速它被采用的步伐。”"
Reactivity
“WS-Security v1.1被作为一个OASIS 标准的通过对未来Web services和我们的企业机构正在实现的面向服务架构(SOA)的增长是非常关键的” Reactivity 的首席技术官Andrew Nash说:“WS-Security标准让我们的顾客去做最重要的部分——构建和部署成功的Web services和随着公司增加新的合作伙伴、顾客、服务到他们的网络而扩张的SOA项目。” "
Sun Microsystems
“Sun很高兴能够加入到WS-Security的演化进程中,并看到它达到这个重要的里程碑。通过OASIS过程,其他组织,例如Liberty Alliance 和 WS-I,可以确信的参考这个规范,”Sun Microsystems 的商业联盟的主任Bill Smith说:“作为Sun的目标的一部分,为开发者提供out-of-the-box工具,他们需要为他们的Web services应用程序容易的创建基于整合的安全性,我们希望能够扩展我们对在类似Sun Java System Access Manager、 Sun Java System Federation Manager 和Sun Java System Application Server等产品在内的Solaris企业级系统上的WS-Security进行扩展我们的支持。” "
VeriSign
“WS-Security已经是为Web services添加安全性的工业基础。新的WS-Security v1.1标准是一个重要的里程碑,它包括了对最初的规范的显著的提升。它同样的总结和增加了对很多种新的安全标识类型的支持,例如SAML, Kerberos, X.509证书和其他的技术。”VeriSign 的高级产品和研究部主任Siddharth Bajaj说。
(责任编辑:铭铭)