5. Manage và Secure
1.4.3.Giới thiệu một số chuẩn bảo mật trong XML
• WS-Security
Là chuẩn được đề xuất dưới sự hợp tác của hãng IBM, Microsoft và Verisign. Hiện chuẩn này đã được tổ chức OASIS thông qua và đang tiếp tục phát triển
WS-Security là một chuẩn an toàn bao trùm cho SOAP và cả những phần mở rộng của SOAP
- Sử dụng các sercurity token trong phần đầu của các thông điệp SOAP để hỗ trợ cho việc định danh và chứng thực
- Sử dụng XML-Encryption để đảm bảo độ tin cậy cho dữ liệu
- Sử dụng XML-Signatures đảm bảo tính toàn vẹn và xác thực của dữ liệu WS-Sercurity cũng bao gồm cả việc xác định xem chèn những dữ liệu nhị phân khác biệt và dấu hiệu của XML sercurity trong phần đầu WS – Sercurity cho mục đích xác thực về phân quyền.
- Username và password. : định nghĩa một khách hàng của WS có thể cung cấp một username khi có một phiên cần xác thực ; username có thể được gắn với password mảng băm
- X.509 Certificate: Một cấu trúc dữ liệu được đánh dấu thiết kế để gửi một khoá công cộng tới một địa điểm nhận.
- Kerberos ticket: phân quyền và xác nhận phiên làm việc - SAML (Sercurity Assertion Markup Language).
- REL (Right Expression Language) là ngôn ngữ được thêm vào header của WS-Sercurity để phân quyền
- XCBF: ngôn ngữ XML Common Biometric Format định nghĩa cho việc xác thực với WS – Sercurity.
• XML-Signature
Được chứng thực bởi tổ chức W3C. Chuẩn này quan tâm đến cú pháp và cách xử lý trong việc chứng thực một thành phần nào đó trong tài liệu XML bằng các công nghệ chứng thực khoá đồng bộ hay bất đồng bộ
• XML-Encryption
• Security Assertion Markup Language (SAML)
Chuẩn này được đưa ra bởi OASIS.
SAML định nghĩa một nền tảng cho việc trao đổi các thông tin bảo mật dưới dạng XML. Những thông tin bảo mật này có thể là: thông tin chứng thực, các quyết định về phân quyền, hoặc là thuộc tính của các đối tượng được lưu trữ ở dạng XML và được cấp phát bởi nơi cung cấp chứng thực SAML
SAML cũng định nghĩa các giao thức, quy tắc trong quá trình vận chuyển các thông tin bảo mật