OASIS規格解説
WSS (Web Services Security)
(株)日本ユニテック
青木 秀起
Web Services Security: SOAP Message Security 1.0
(WS-Security 2004)(以下、WSS)とは、XML署名やXML暗号などの既存のセキュリティ技術をSOAPメッセージのヘッダ部分に組み込む方法を規定するもので、2004年4月にOASIS標準として承認されました。
(http://www.oasis-open.org/committees/download.php/6367/oasis-200401-wss-soap-message-security-1.0.pdf)
WSSの機能
WSSは、バラバラだったセキュリティ技術を統合する、"Webサービス・セキュリティ技術の要"となる仕様です。
WSSは、SOAPヘッダに5つの機能を組み込むことができます。
図1 WSSは共通のセキュリティ基盤を提供する
図2 WSSの機能
・ XML署名:アルゴリズムはXML署名の仕様書に従う。
・ XML暗号:アルゴリズムはXML暗号の仕様書に従う。
・ セキュリティトークン:認証情報や認可情報のこと。以下の3つに分類される。
○ ユーザ名トークン:ユーザ名とパスワード
○ バイナリセキュリティトークン:X.509証明書、Kerberosチケット、非XMLフォーマット
○ XMLトークン:SAML、XrML(著作権管理仕様)、XCBF(バイオメトリクス認証)などのXMLプロファイル
・ セキュリティタイムスタンプ:メッセージの作成日時と期限切れ日時を指定する。
・ エラー処理:メッセージ受信に失敗したとき、エラーに関する情報をメッセージ送信者に通知する。SOAP
Faultを使用して通知する。
まとめ
「WebSphere Application Server」(IBM)や「Web Services Enhancements
for Microsoft .NET (WSE)」(Microsoft)を始め、実装が進んでいます。Webサービス・セキュリティ技術を統合するWSSの仕様が確定した意義は大きいと言えるでしょう。
関連サービス
標準化仕様の動向調査
最新動向を伝えるDXメールニュース
(無料)
| 
スタンダーズコーナー:W3C規格解説 「CSS」
