Web Service Security ( WSS) spielt bei der Absicherung von SOA-Umgebungen eine wesentliche Rolle. Es handelt sich um ein nachrichtenorientiertes Sicherheitsprotokoll, das eine Nachricht vom Sender bis zum Empfänger schützt.
Der nachrichtenorientierte Ansatz hat gegenüber einem übertragungstechnischen den Vorteil, dass in verteilten SOA-Strukturen die Nachrichten über Vermittlerstellen hinweg geschützt werden. Sie werden nicht nur von einem Webservice benutzt, sondern von mehreren Diensten und Clients, die in verschiedenen Programmiersprachen entwickelt werden und auf unterschiedlichen Plattformen arbeiten.
Die Sicherheit der Webservices zielt auf datenrelevante Sicherheitsaspekte: mit der Integrität wird sichergestellt, dass die Nachrichten während der Übertragung nicht verändert wurden; die Vertraulichkeit schützt die Daten mittels Verschlüsselung und die Authentifizierung der Nachrichten.
Bei der Integrität setzt WSS auf XML Digital Signature (XMLDSig), die vom World Wide Web Consortium ( W3C) standardisiert wurde. Für die Verschlüsselung der Daten, zur Wahrung der Vertraulichkeit setzt WSS auf XML Encryption, ebenfalls von W3C. Und was die Authentifizierung anbetrifft, so werden die Nachrichten empfängerseitig mit referenzierten Sicherheits-Token geprü ft.