Web Services Security

Information Assurance (IA)-Kontrollen für OGC Web Services (OWS) werden seit Jahren implementiert. Diese Implementierungen beeinträchtigen jedoch die Interoperabilität, da sie nicht durch OGC Web Service-Standards standardisiert sind. Die Interoperabilität zwischen gesicherten OGC Web Services und Clients ist auf Systeme beschränkt, die speziell für die Arbeit mit einer IA-Implementierung entwickelt wurden. Das Ziel des OWS Common Security Standard besteht darin, die Implementierung von IA-Kontrollen zu ermöglichen und ihre Existenz auf interoperable Weise mit minimalen Auswirkungen auf vorhandene Implementierungen unter Verwendung eines abwärtskompatiblen Ansatzes bekannt zu geben. Dieses Ziel wird auf zwei Arten verfolgt:

• • Identifizieren und dokumentieren Sie IA-Kontrollen zur Unterstützung der Authentifizierung in einem über das OGC geführten Register.

• • Geben Sie über das Service Capabilities Document an, wie ein Dienst seine IA-Kontrollen bekannt geben kann.

Dieser OGC-Standard gilt für OWS, die über HTTPS bereitgestellt werden. Er gibt an, wie konforme OWS-Dienste ihre IA-Kontrollen und zusätzlichen Sicherheitsfunktionen bekannt geben sollen. Die Bekanntgabe erfolgt über XML-Elemente, die bereits Teil der Capabilities-Dokumentstruktur sind. Dadurch wird sichergestellt, dass vorhandene Client-Implementierungen nicht beschädigt werden. Der Standard beschreibt außerdem den Governance-Prozess für die IA-Kontrollregister, Beispiele für Registerinhalte und Beschreibungen, wie diese Informationen verwendet werden sollen. Als Nächstes definiert dieser Standard Konformitätsklassen und Anforderungsklassen, die zum Erreichen der Konformität und ihrer Validierung über Konformitätstests verwendet werden sollen. Schließlich definiert dieser Standard das Client-Verhalten, um eine interoperable Verarbeitung der angekündigten Sicherheitskontrollen sicherzustellen.