Ws-security
O WS-Security (Web Services Security) é uma iniciativa conjunta de empresas como Microsoft, IBM e Verisign destinada ao uso da XML-Signature e da XML-Encryption para fornecer segurança às mensagens SOAP. O WS-Security é um esforço destinado a fazer com que os Web Services trabalhem melhor em um ambiente global. O WS-Security também inclui alguns importantes componentes como encaminhamento, confiança e tratamento de transações.
Conceitos básicos
Claim
Tokens
Token é um dispositivo eletrônico gerador de senhas, geralmente sem conexão física com o computador, podendo também, em algumas versões, ser conectado a uma porta USB. O modelo OTP (One Time Password) pode ser baseado em tempo (time based), gerando senhas dinâmicas a cada fração de tempo previamente determinada (ex. a cada 36 segundos), ou ainda baseado em evento (event based), gerando senhas a cada clique do botão, sendo essa senha válida até ao momento da sua utilização, não dependendo do tempo.
Existem outras funções do Token OTP, tais como Desafio/Resposta, onde o usuário lê um desafio numérico gerado num site ou aplicação, digita esse desafio no token e obtém uma resposta que deve ser digitada na página da Internet ou aplicação - essa função tem a finalidade de verificar a veracidade do site ou aplicação. Outra aplicação é a assinatura de transação, onde o usuário digita os dados da transação (ex. dados de uma conta corrente e valor de uma transação de transferência de valores entre contas), o token, com base nesses dados, gera uma senha que serve somente para essa transação - essa função tem a finalidade de proteção contra ataques do tipo [man-in-the-middle]. Já existem dispositivos onde essa função tem a entrada de dados com captura óptica.
Existem variações de Tokens OTP, chamadados de Tokens Híbridos, que suportam também a função PKI (Public Key Infrastructure) ou Tokens Criptográficos, que geram e armazenam as chaves privadas e os certificados digitais, e possuem suporte