Notícias
Junio 2005
El protocolo de seguridad en servicios Web tiene mucho trabajo por delante
El protocolo de seguridad que comenzó a incrementar el uso de servicios Web en redes corporativas tiene ahora un año de antigüedad: WS-Security se ha establecido firmemente así mismo como una fundación TI para proteger el tráfico basado en XML, según los analistas.
El protocolo, que se convirtió en un estándar formal en abril del pasado 2004, ha sido tan ampliamente aceptado que ahora es visto como un protocolo de servicios Web junto al Protocolo Simple Object Access y el Web Services Description Language.
Pero a pesar de ello, los expertos opinan que el cambiante entorno alrededor de los servicios Web y arquitecturas orientadas a servicios muestran que todavía hay mucho trabajo por hacer.
WS-Security proporciona un método para construir integridad, confidencialidad y autenticación en el intercambio de mensajes que impregna cualquier comunicación entre aplicaciones de servicios Web. El protocolo integra tecnología utilizada para proteger mensajes, incluyendo certificados X.509 y Kerberos.
Lo que resuelve WS-Security de cara a los usuarios finales es la cuestión sobre cómo pasar datos de manera segura entre servicios Web, lo que era una barrera hasta que IBM, Microsoft y VeriSign propuso WS-Security y una lista de seis extensiones en 2002. El protocolo eventualmente fue sometido a la Organización de Avances de Estándares de Información Estructurada, que hizo de él un estándar el año pasado. Pero las extensiones no han progresado por el camino de los estándares; representan el próximo nivel de sofisticación para el protocolo.
El mes pasado 13 fabricantes, incluidos IBM, Microsoft, Oracle y Sun, realizaron una prueba de interoperabilidad WS-Security para probar que sus implementaciones podían interoperar. Y en julio, se prevé que la Organización de Interoperabilidad de Servicios Web finalice un perfil de seguridad básico que detalle los requerimientos mínimos para proteger el tráfico de servicios Web. Grupos tales como Liberty Alliance, que está desarrollando protocolos de identidad, han incorporado WS-Security en sus propias especificaciones.
Así, la versión 1.1 de WS-Security debería estar finalizada en los próximos meses y añadiría encriptación para mensajes y confirmación de firma, algo clave en las transacciones financieras.
"La especificación ha mejorado un poco desde que fuera propuesta por primera vez”, según señala Daniel Blum, analista del Grupo Burton, pero el próximo paso para estandarizar las extensiones será la clave.
El problema es que esas extensiones, que fueron incluidas en el diseño original de la especificación WS-Security en 2002 no han sido aún completada y no han sido sometidas a los estándares por sus primeros autores: IBM y Microsoft. Sin esos estándares, WS-Security se mantiene como una manera de proteger mensajes de intercambio.