从基于传送的安全转移到基于信息的安全

　　当我给出关于Web服务的介绍的时候，不可避免的就会有来自于听众的关于安全的问题。最常见的问题是:“你是如何保障Web服务的安全的”。通常会跟随着怀疑的论断:“Web服务不可能是安全的”。

　　但是，记住，今天的Web服务的主体是基于同样的再Web之下的授权的技术，我们称之为HTTP。从而，所有的常见的确保Web安全的应用程序——基本的认证和SSL是最常见的——同Web服务一起工作的很好。这些安全技术对各种的在线商务事务处理发挥了令人吃惊的影响已经有很多年了。

　　尽管如此，但是组织所具有的关于基于Web的安全策略的主要问题是通常的解决方法例如SSL有一点稍显笨拙，因为他们通常确保了整个线路传输的协议的安全，而不是只针对在协议之上传输的SOAP消息的。此外，对许多基于信号的集成项目，在信息到达他们的目标终点之前，一些中间步骤是必须的，同时传送级别的安全策略让这些信息在各个中间检查点并不安全。

　　为了获得更好的控制级别和防止中间的安全问题，各种组织所作的基于SOAP的信息集成通常想要的都是在信息层确保安全而不是在传输层。这所意味的是信号自身确保它的安全，而不依赖于传送。当安全只限于信息的时候一些事情变得很显然。首先，通常为大多数Web 服务所提供的SSL能力会被我称之为信号安全的东西替代，而信号安全也将成为为所有的客户和服务方交互安全的信号的必须。第二，安全信息将会被信号自己携带。第三，除非中间或者最终节点拥有正确的安全基础构造同时是可信任的，否则信号会仍然保持安全并不可读取，然后被往前转递到下一个节点。

　　Web 服务安全:WS-Security规范

　　你如何确保信号的安全，而不是传输的安全?答案在于OASIS标准.WS-Security，作为一个所有工业认可的推荐在2004年4月发布。WS-Security所定义的是一个把三层安全策略加到SOAP信号中去的机制。

　　认证标志:WS-Security认证标志使得客户可以以一种标准的方式发送包含在SOAP消息头中的用户名和密码或用于认证目的的X.509认证。尽管SAML和Kerberos标志普遍使用，但是关于这些标志的WS-Security规范也还没有发布。