Консалтинг и автоматизация в области управления
эффективностью банковского бизнеса

Журнал ВРМ World

IBM совместно с Microsoft принимают спецификацию SOAP Security Extensions

WWW Consortium утвердил заявку корпораций IBM и Microsoft на SOAP Security Extensions: Digital Signature. Целью заявки являлось "предложение стандартного способа использования XML-синтаксиса цифровой подписи XML Digital Signature syntax для подписи сообщений SOAP 1.1 messages, а также предложение спецификации расширяемого пространства имен для внесения дополнительных функций обеспечения безопасности в заголовок SOAP". Под расширяемостью понимается, что новые элементы могут добавляться к схеме с течением времени, но элементы схемы при этом будут оставаться неизменными.

Идея заключается в создании других функций безопасности - таких, как конфиденциальность сообщений SOAP 1.1, - которые будут добавлены в рамках этого пространства имен в качестве соответствующих стандартов, как это произойдет в случае готовящегося к выпуску XML Encryption. Авторы сочли целесообразным предоставить создание протокола аутентификации для SOAP другим группам разработчиков. Согласно тексту заявки "создатели убеждены в необходимости стандартизованных протоколов для поддержки взаимодействия с удаленными web-ориентированными сервисами. И координацию таких работ разумно передать в руки WWW Consortium". Авторы заявки предлагают создать новую рабочую группу для продолжения и развития их предложений в рамках существующей программы XML Protocol Activity или в качестве дополнения группы XML Protocol Working Group. Очевидно, что безопасность является составной частью задач по обеспечению взаимодействия XML-сообщений.

Джозеф Ригл (W3C Team Contact for the XML Signature Working Group) дал по этому поводу следующие пояснения в W3C Staff comment: "Заявка на SOAP-SEC определяет способы использования XML Signature совместно с SOAP через заголовки сообщений (envelope headers). Во-первых вводится два новых необязательных заголовка. 'Actor' определяет получателя, а 'mustUnderstand' задает необходимость проверки подписи приложением-получателем. Подпись может быть как внешней по отношению к подписываемому элементу (то есть находиться на одном с ним уровне), так и включать элемент или быть его подэлементом. XML Signature может работать с произвольным содержимым, однако для группы XML Protocol Working Group наибольший интерес может представлять задание обязательности/необязательности проверки подписи в сообщениях. Рабочие группы WWW Consortium, а, в особенности, группа XML Signature, может рассмотреть обобщение и стандартизацию такого подхода для использования во всех XML-приложениях. За дополнительной информацией обращайтесь к следующим ресурсам: "Simple Object Access Protocol (SOAP)" и "XML Digital Signature (Signed XML - IETF/W3C)".