Melden Sie sich hier an, um auf Kommentare und die Whitepaper-Datenbank zugreifen zu können.

Kein Log-In? Dann jetzt kostenlos registrieren.

Falls Sie Ihr Passwort vergessen haben, können Sie es hier per E-Mail anfordern.

Der Zugang zur Reseller Only!-Community ist registrierten Fachhändlern, Systemhäusern und Dienstleistern vorbehalten.

Registrieren Sie sich hier, um Zugang zu diesem Bereich zu beantragen. Die Freigabe Ihres Zugangs erfolgt nach Prüfung Ihrer Anmeldung durch die Redaktion.

11.10.2002 - 

Secure Transaction Platform

Entrust sichert Web-Services

MÜNCHEN (CW) - Der Sicherheitsspezialist Entrust hat mit "Secure Transaction Platform" eine Produktfamilie angekündigt, die Web-Services absichern soll. Waren die Softwarelösungen des Anbieters bisher dafür ausgelegt, den Zugriff von Benutzern auf Applikationen abzusichern, dehnt er das Konzept nun auf die Programm-zu-Programm-Kommunikation via Web-Services aus.

Die Secure Transaction Platform besteht aus den Kompontenten Identifikation, Berechtigung, Verifikation und Privacy. Sie lassen sich einzeln oder als Ganzes implementieren. Die "Identification Services" unterstützen gängige Anmeldeverfahren über Benutzernamen und Passwort sowie digitale Zertifikate. Zudem lassen sich Single-Sign-on-Mechanismen wie Liberty (entwickelt von der Liberty Alliance) und Passport von Microsoft einbinden. Über die Identifikationsdienste legen Administratoren fest, welche Benutzer beziehungsweise Web-Services vertrauenswürdig sind.

Die Berechtigungsdienste ("Entitlement Services") bestimmen, welche Anwender und Web-Services welche Ressourcen nutzen dürfen. Dies kann eine Web-Seite sein, aber auch eine Web-Services-Schnittstelle zu einer Applikation. Für die Integrität und Gültigkeit von Geschäftstransaktionen sorgen Verifikationsdienste, die sich hierzu digitaler Signaturen und Zeitstempel bedienen. "Privacy Services" verschlüsseln Informationen und geben sie nur für berechtigte Anwender beziehungsweise Applikationen frei.

In die Entwicklung der Sicherheitsplattform fließen Entrusts bestehende Produkte ein wie etwa "Getaccess", eine Identifikationssoftware, die ein Single-Sign-on für Web-Portale ermöglicht. Auch die "Trupass"-Software, mit der Transaktionen digital unterschrieben werden können, ist darin enthalten.

Gehostete Transaktionssicherheit

Zwei Wege sieht Entrust vor, um Web-Services-Sicherheit in bestehende Umgebungen zu integrieren. Über ein Security-Toolkit können Entwickler die Funktionen in Web-Services einbinden. Alternativ dazu können Web-Dienste die Sicherheitsfunktionen von einer zentral installierten Secure Transaction Platform aufrufen. Einbinden lassen sich da-bei bestehende Zertifikatsstellen (Certificate Authorities) für Public-Key-Anwendungen sowie Verzeichnisdienste verschiedener Hersteller, um beispielsweise sicherheitsrelevante Benutzerinformationen zu speichern.

Entrusts Sicherheitsplattform wird Spezifikationen wie etwa WS-Security berücksichtigen. Das gleichnamige Gremium, in dem der Hersteller engagiert ist, entwickelt Methoden, um digitale Signaturen ("XML Digital Signitures") sowie Verschlüsselungsfunktionen ("XML Encryption") in das Simple Object Access Protocol (Soap) aufzunehmen. Ebenso soll die Security Assertion Markup Language (SAML) implementiert werden. Auf SAML stützt sich beispielsweise die Single-Sign-on-Technik der Liberty Alliance.

Gemäß den Planungen des Sicherheitsspezialisten werden die "Verification Services" Ende dieses Jahres auf den Markt kommen. Die Komponenten Identification und Entitlement sollen im ersten Quartal 2003 erscheinen. Für die Freigabe der Privacy-Funktionen steht noch kein Termin fest. (fn)

Abb: Zentrale Sicherheitsdienste

Die Plattform soll vertrauenswürdige Geschäftsprozesse zwischen Unternehmen ermöglichen. Quelle: Entrust