WS-I Basic Security Profile


Estandar de la industria para los servicios web.

BSP 1.1

Desde el principio, las especificaciones de WS SOAP han ofrecido muchas opciones para los que los implementan los servicios y los que los consumen. En parte, fue por diseño en otros casos se deben a descuidos en las normas: los comportamientos esperados no se han especificado con suficiente detalle, por lo que los que implementan los servicios tenían que adivinar lo que había que hacer. No hay recursos para probar todas las combinaciones posibles. Esta situación crea grandes problemas de interoperabilidad.
El exceso de opciones, fue un problema en los primeros años de SOAP. La Organización de Interoperabilidad de Servicios Web (WS-I) , creo WS-Profile.
La seguridad es una de las áreas de WS-I ha cubierto con WS-Profile. El WS-I Basic Security Profile Version 1.1 (actualmente[2013] esta vigente la version 2.0) es el principal documento en el área de seguridad. BSP 1.1 no es WS-SecurityPolicy, pero algunas de sus necesidades si.
Cuando se utiliza la firma digital, BSP 1.1 requiere que se siga la recomendación del W3C Exclusive XML Canonicalization , un algoritmo de canonización XML que hace caso omiso de los comentarios y la información contextual necesaria. Este algoritmo es el predeterminado por WS-SecurityPolicy.
BSP 1.1 también añade otros requisitos para firmas y cifrado, especificando que los algoritmos a usar sean: TripleDes, AES128, AES256 y SHA1 (excluyendo AES192 y SHA256 opciones ofrecidas por WS-SecurityPolicy).

Apache WSS4j

En su version 1.5, no aplica BSP de manera significativa. La clase: org.apache.ws.security.WSSConfig, tiene una variable: isWsiBSPCompliant que por defecto esta a falso. Esta variable permitir la generación de una lista InclusivePrefix para la generación de la firma, algo que es obligatorio en la especificación BSP.

En su version 1.6, soporta BSP1.1, solo las especificaciones básicas de WS-Security. Se puede controlar mediante Handler.
org.apache.ws.security.handler.WSHandlerConstants.IS_BSP_COMPLIANT

En Apache CXF, tambien se puede usar BSP1.1 junto con WS-Policy mediante org.apache.cxf.ws.security.SecurityConstants.IS_BSP_COMPLIANT

Anuncios
WS-I Basic Security Profile