架构（SOA）安全标准过犹不及？

 在服务导向架构（SOA）领域，标准无处不在，Web服务(WS-*)更是会继续膨胀，以影响到所有可能的简单对象访问协议（SOAP）应用案例。尽管如此，专门针对安全问题而制定的标准却屈指可数，而那些无所不包的标准则环环相扣，彼此依赖。现在，SOA领域的"物质基础"已然尘埃落定，而"上层建筑"仍在建立之中。

　　·WS-Security 1.1。 描述如何将XML加密（XML Encryption）和XML签名（XML Signature）应用于SOAP文档或信息。此标准得到了所有厂商的支持，同时也被用于其他所有与安全相关的WS-*标准中。其最新版本发布于2006年2月，很可能也是最后一个版本，因为未来的改进将被纳入其他标准。

　　·WS-SecurityPolicy 1.2。 对哪些人被允许访问某个服务以及访问方式做出规定，并对认证方式的类型和/或所需要的加密等级做出限制。他是Web服务策略（WS-Policy）的子集，以更为通用的方式对服务的能力和限制进行描述。此标准由国际商业机器公司（IBM）和微软公司（Microsoft）共同开发，并于2007年7月正式确立，最终将会得到所有厂商的支持。

　　·WS-SecureConversation 1.3。 是按照WS-Security标准，实施WS-SecurityPolicy中所描述的策略的方法。此标准于2007年3月通过审批；与此IBM和太阳计算机系统公司（Sun）演示了此标准的实施过程。尽管现在鲜有客户使用此标准，Actional公司、毕益辉公司（BEA Systems）、思科公司（Cisco  System）、CA公司、利基网络公司（Layer 7 Networks）、甲骨文公司（Oracle）、Reactivity公司、RSA安全公司（RSA Security）以及VeriSign公司等其他厂商也都表示支持此标准。

　　·WS-Trust 1.3。 应用WS-Security标准传输密码、数字证书以及安全性断言标记语言（SAML）断言等安全标识。非SOAP Web服务与XML密钥管理规范 (XKMS)和SAML有部分相同之处。

　　·WS-Federation 1.1。 根据WS-SecurityPolicy中描述的服务规则，应用WS-Trust中提到的被传输的安全标识，通过Web服务的认证。由于与SAML的许多功能相同，目前尚未得到广泛应用。相较SAML，他的主要优势在于，Windows支持这一标准，而且与WS-*之间结合紧密。