WS-Security(Web服务安全)是一种提供在Web服务上应用安全的方法的网络传输协议。2004年4月19日,OASIS组织发布了WS-Security标准的1.0版本。 2006年2月17日,发布了1.1版本。
WS-Security是最初IBM,微软,VeriSign和Forum Systems开发的,现在协议由Oasis-Open下的一个委员会开发,官方名称为WSS。
协议包含了关于如何在Web服务消息上保证完整性和机密性的规约。WSS协议包括SAML(安全断言标记语言)、Kerberos和认证证书格式(如X.509)的使用的详细信息。
WS-Security描述了如何将签名和加密头加入SOAP消息。除此以外,还描述了如何在消息中加入安全令牌,包括二进制安全令牌,如X.509认证证书和Kerberos门票(ticket)。
WS-Security将安全特性放入一个SOAP消息的消息头中,在应用层处理。这样协议保证了端到端的安全。
WS主要是可利用HTTP,穿透防火墙。而Remoting可以利用TCP/IP,二进制传送提高效率。
下面的规范草案与WS-Security有关。
