WS-Security

WS-Security(Web服务安全) 是一种提供在Web服务上应用安全的方法的网络传输协议。2004年4月19日，OASIS组织发布了WS-Security标准的1.0版本。 2006年2月17日，发布了1.1版本。

WS-Security是最初IBM,微软,VeriSign和Forum Systems开发的，现在协议由Oasis-Open下的一个委员会开发，官方名称为WSS。

协议包含了关于如何在Web服务消息上保证完整性和机密性的规约。WSS协议包括SAML（安全断言标记语言）、Kerberos和认证证书格式（如X.509）的使用的详细信息。

WS-Security描述了如何将签名和加密头加入SOAP消息。除此以外，还描述了如何在消息中加入安全令牌，包括二进制安全令牌，如X.509认证证书和Kerberos门票（ticket）。

WS-Security将安全特性放入一个SOAP消息的消息头中，在应用层处理。这样协议保证了端到端的安全。

相关规范下面的规范草案与WS-Security有关。

• WS-SecureConversation

• WS-Federation

• WS-Authorization

• WS-Policy

•WS-Trust• WS-Privacy