Universität Kassel,
Fachbereich Wirtschaftswissenschaften,
Fachgebiet Wirtschaftsinformatik,

Standardisierung von Web-Services
Integration von semantischen und sicherheitsbezogenen Aspekten

Master Thesis
im Studiengang
Master of Science in Information Systems

eingereicht von

Martin Schaedler

Bearbeitungsfrist: 01.07.2004 – 01.10.2004

“Making a global standard is hard.”

Tim Berners-Lee in “Weaving the Web” [Bern1999].

Abstract
In einem verschärften, globalen Wettbewerb ist die Optimierung innerbetriebli-cher Geschäftsprozesse eine notwendige, jedoch keine hinreichende Bedingung für die Wettbewerbsfähigkeit eines Unternehmens. Nicht einzelne Unternehmen, sondern virtuelle Wertschöpfungsketten aus kollaborierenden Kunden, Lieferanten und Partnern stehen im Wettbewerb. Die Fähigkeit eines Unterneh-mens, sich und seine IT-Systeme ad-hoc und möglichst automatisch in diese Wertschöpfungsketten zu integrieren, um am so genannten Collaborative Business teilzunehmen, gewinnt immer stärker an Bedeutung.
Web-Services sind grundsätzlich in der Lage, die hieraus hervorgehenden Anforderungen an IT-Infrastrukturen zu adressieren. Sie haben sich in den letzten drei Jahren vom vielversprechenden Konzept zu einer anwendungsreifen Technologie entwickelt. Diese Entwicklung verläuft evolutorisch aus einem technisch geprägten Umfeld heraus und berührt zunehmend den Anwendungs-kontext der entsprechenden Services. In diesem Zusammenhang werden Fragen nach der semantischen (d.h. inhaltlichen) Repräsentation und nach der Sicherheit dieser Dienste aufgeworfen, welche die Web-Service-Basisstandards XML, SOAP, WSDL und UDDI alleine nicht zufriedenstellend beantworten können.
Hier kommen ergänzende Standards ins Spiel, die nicht notwendigerweise Web-Service-Standards sein müssen, aber Web-Services bzw. deren Basisstandards um semantische Beschreibungsmöglichkeiten und Sicherheitsmechanismen erweitern können. In diesem Kontext werden semantische Standards wie RDF/RDFS, OWL und Sicherheitsstandards wie XML Encryption, XML Signature u.w. vorgestellt. Anhand von Beispielen wird erläutert, wie diese erweiterten Standards in das Web-Service-Architekturmodell integriert werden können.
Abschließend werden die im Verlauf der Arbeit gewonnen Erkenntnisse auf aktuelle, empirische Untersuchungen zur praktischen Nutzung von Web-Service-Standards bezogen und ein Entwicklungspfad für den Praxiseinsatz von Web-Service-Technologien aufgezeigt.

Inhaltsverzeichnis

Abstract ... 3

Abbildungsverzeichnis ... 6
Abkürzungsverzeichnis ... 7

1 Einführung ... 9
1.1 Collaborative Business ... 9
1.2 Zielsetzung und Vorgehensweise ... 11

2 Grundlagen ... 14
2.1 Services und Service-orientierte Architekturen ... 14
2.2 Web-Services ... 15
2.3 Web-Service-Architektur ... 17
2.4 Einsatzfelder für Web-Services ... 18
2.4.1 Enterprise Application Integration (EAI) ... 18
2.4.2 Business-to-Business- (B2B) Integration ... 21
2.5 Standardisierung als Voraussetzung für Collaborative Business ... 25
2.5.1 Basistechnologie ... 26
2.5.2 Semantik ... 27
2.5.3 Sicherheit ... 28
2.6 Standardisierungsorganisationen ... 29

3 Web-Service-Basisstandards ... 32
3.1 XML ... 32
3.1.1 Einordnung ... 33
3.1.2 XML-Verarbeitung ... 34
3.1.3 Struktur und Schema ... 35
3.1.4 XML-Funktionsaufrufe ... 37
3.2 SOAP ... 38
3.3 WSDL ... 41
3.4 UDDI ... 44

4 Integration semantischer Aspekte ... 51
4.1 Semantische Beschreibungsansätze ... 51
4.2 EbXML – eine Ergänzung für Web-Services? ... 53
4.3 Semantic-Web ... 54
4.3.1 RDF ... 55
4.3.2 RDFS ... 57
4.3.3 OWL ... 59
4.4 Integration von Semantik in die Web-Service-Architektur ... 61

5 Integration von Sicherheitsaspekten ... 65
5.1 Sicherheit und Web-Services ... 65
5.2 XML Signature / XML Encryption ... 67
5.3 Integration von Sicherheitsaspekten in die Web-Service-Architektur ... 70

6 Fazit und Entwicklungspfade ... 75
6.1 Fazit ... 75
6.2 Entwicklungspfad für Web-Services ... 76

Literatur ... 80

1 Einführung
Hinter dem Begriff Web-Service steckt weit mehr, als hinter den üblichen Floskeln, Akronymen und Schlagwörtern, welche die IT-Branche mit unverhohlener Euphorie proklamiert. Web-Services sind kein Selbstzweck, sondern adressieren grundsätzliche Anforderungen an IT-Infrastrukturen in einer hochgradig arbeitsteiligen und gleichzeitig wettbewerbsintensiven, globalen Wirtschaft.
Das praktische Einsatzspektrum von Web-Services wird entscheidend durch ihre Interoperabilität beeinflusst, die wiederum von der Verfügbarkeit gemeinsamer Konventionen und Standards abhängt. Die folgende Einführung verdeutlicht diese Perspektive und erläutert Aufgabenstellung und Zielsetzung der Arbeit.

1.1 Collaborative Business
In den letzten Jahrzehnten hat sich der Wettbewerb in nahezu allen Branchen auf nationaler wie internationaler Ebene zunehmend verschärft. Kein Unternehmen kann sich ineffiziente Geschäftsprozesse leisten, denn unzufriedene Kunden und hohe Kosten lassen sich auf Dauer auch durch hervorragende Produkte und Dienstleistungen nicht kompensieren. Viele Unternehmen sahen und sehen sich deshalb gezwungen, die eigene Wettbewerbsfähigkeit nachhaltig zu steigern, um im Wettbewerb zu bestehen.
Seit Ende der 70er Jahre stand deshalb die Optimierung innerbetrieblicher Prozesse und Informationsflüsse im Rahmen von MRP- (Material Resource Planning) und später dann ERP- (Enterprise Resource Planning) Projekten im Fokus vieler Unternehmen.
Heute setzt sich zunehmend die Erkenntnis durch, dass die Optimierung unternehmensinterner Prozesse zwar eine notwendige, jedoch keine hinreichende Voraussetzung für die Wettbewerbsfähigkeit eines Unternehmens ist. In einer vernetzten, hochgradig arbeitsteiligen Wirtschaft stehen eben nicht mehr einzelne Unternehmen im Wettbewerb, sondern komplette Wertschöpfungsketten aus Kunden, Zulieferern und Partnern. „Die Bildung von zwischenbetrieblichen Kooperationen wird für die beteiligten Akteure immer häufiger zum Instrument der Verbesserung ihrer Wettbewerbsposition in einer globalen Weltwirtschaft“ [BuKö00, S. V].
EDI (Electronic Data Interchange) stellt zwar seit nahezu 30 Jahren einen Standard für die überbetriebliche, elektronische Geschäftsabwicklung zur Verfügung, der in vielen Fällen zu signifikanten Prozessoptimierungen beigetragen hat. Aufgrund der hohen Implementierungskosten und divergierender Standards hat sich EDI allerdings nur als Koppelung zwischen großen Firmen und bei stabilen, auf Dauer ausgelegten Geschäftsbeziehungen etablieren können [Hack2004, S. 1ff]. Virtuelle Wertschöpfungsketten sind jedoch weder auf große Firmen beschränkt, noch notwendigerweise von längerer Dauer.
Dieser Erkenntnis tragen verschiedene, neuere Begriffe und Konzepte, wie ERP II (Enterprise Resource Planning 2nd Generation) [Gart00] oder Collaborative Business [Wett2003] Rechnung. Beiden Konzepten ist gemein, dass sie die Kooperationsfähigkeit von Unternehmen, d.h. die Fähigkeit zur Integration in unternehmensübergreifende Geschäftsprozesse, als wettbewerbskritischen Faktor definieren und das Internet als geeignetes Kommunikations- und Koordinationsinstrument betrachten. Hieraus ergeben sich neue Anforderungen an die Konzeption und Integration der diese Prozesse unterstützenden IT-Systeme.
Klassische ERP-Systeme, wie das mittlerweile über zehn Jahre alte SAP R/3 des Walldorfer Softwareherstellers SAP, sind monolithische Anwendungssysteme. Sie sind aus einem Guss und enthalten eine Vielzahl von Funktionalitäten, ungeachtet dessen, ob ein bestimmtes Unternehmen diese überhaupt benötigt. Schnittstellen zu externen Systemen existieren häufig nur auf Datenbank- und Quellcode-Ebene oder müssen fallweise in aufwändigen Integrationsprojekten implementiert werden.
Für eine unternehmensinterne Integration, die i.d.R. auf eine längere Dauer ausgelegt ist, können die daraus resultierenden Aufwände noch toleriert werden. Eine fallweise und automatisierte ad-hoc-Koppelung im Rahmen von unternehmensübergreifenden Geschäftsprozessen ist jedoch nicht möglich.
Kollaborative Geschäftsprozesse fordern Serviceorientierte Architekturen mit modularen Softwarekomponenten, die ihre Funktionalitäten als Services gekapselt über standardisierte Technologien und Schnittstellen zur Verfügung stellen. Einerseits sollen so ohne substantielle Schnittstellen- und Integrationsaufwände unternehmensinterne IT-Systeme gekoppelt werden. Andererseits soll die Kommunikation mit externen Systemen von Geschäftspartnern hergestellt und so Unternehmen möglichst automatisiert zu virtuellen Wertschöpfungsketten kombiniert werden. Auf diesen Überlegungen basiert das Konzept der Web-Services.
Web-Services haben sich in den letzten Jahren vom vielversprechenden Konzept zu einer mittlerweile anwendungsreifen Integrationstechnologie entwickelt. Dennoch ist die Realität noch weit entfernt von der Vision lose gekoppelter, virtueller Wertschöpfungsketten. Viele Unternehmen arbeiten zwar an Web-Service-Projekten, in der unternehmensübergreifenden Geschäftsabwicklung haben sich Web-Services jedoch noch nicht durchsetzen können, wenn auch die Zahl der B2B- (Business to Business) Implementierungen relativ und absolut zunimmt [Cant2003].
Ein wichtiger Grund für die noch geringe, jedoch wachsende Zahl der unternehmensübergreifenden Web-Service Projekte ist die noch nicht abgeschlossene, aber stetig voran schreitende Standardisierung von Web-Service-Spezifikationen.
Wenn Standards fehlen, müssen die Konventionen, denen die Kommunikation folgen soll, von Fall zu Fall neu verhandelt werden, was eine automatisierte Koppelung unmöglich macht. Nur wenn Standards definiert sind, kann die unternehmensübergreifende Kommunikation formalisiert und elektronisch abgebildet werden.

1.2 Zielsetzung und Vorgehensweise
Die Standardisierung von Web-Services ist zwar mittlerweile fortgeschritten, dennoch existieren eine Reihe von Standardisierungslücken, welche die Diffusion von Web-Services gerade in der unternehmensübergreifenden Geschäftsprozessabwicklung bislang behindern.
Zielsetzung dieser Arbeit ist es, anhand der vorgestellten Web-Service-Basisstandards XML (eXtensible Markup Language), SOAP (Simple Object Access Protocol), WSDL (Web Service Description Language) und UDDI (Universal Description, Discovery, and Integration), Defizite bezüglich der semantischen Repräsentation, sowie der Berücksichtigung von Sicherheitsaspekten aufzuzeigen. Diese Defizite können mit weiteren Standards (Co-Standards) und Spezifikationen kompensiert werden. Die Arbeit geht insbesondere darauf ein, wie semantische und sicherheitsbezogene Standards in die Web-Service-Architektur integriert werden können.
Nach dieser Einführung wird im zweiten Kapitel erläutert, was sich hinter dem Begriff Web-Service verbirgt. Anhand des Web-Service-Architekturmodells wird aufgezeigt, wie Web-Services interagieren und welche Einsatzfelder sie für die inner- und überbetriebliche Integration von IT-Systemen erschließen. Dabei wird deutlich, dass die Standardisierung von technischen, semantischen und sicherheitsbezogenen Aspekten die grundlegende Voraussetzung für die Diffusion von Web-Services in der Praxis, insbesondere im Collaborative Business ist. Die Herausbildung und formale Proklamation von Standards erfolgt i.d.R. durch Standardisierungsorganisationen wie dem W3C oder OASIS, die ebenso vorgestellt werden.
Das dritte Kapitel widmet sich der Vorstellung der Web-Service-Basisstandards. Hierbei wird herausgearbeitet, dass diese Standards technische Aspekte, sozusagen die Mechanik von Web-Services, sehr umfassend beschreiben. Semantische und sicherheitsbezogene Fragestellungen können mit diesen Standards alleine nicht adäquat repräsentiert werden. Welche weiteren Standards sich hierfür anbieten und wie diese in die Web-Service-Architektur integriert werden können, zeigen die folgenden zwei Kapitel.
Semantische Aspekte lassen sich durch Metadaten und Ontologien beschreiben. Existierende Ontologien wie UNSPSC (Universal Standard Products and Services Classification) und eCl@ss, oder Frameworks wie RosettaNet und ebXML (electronic business XML), berücksichtigen zwar semantische Aspekte in der unternehmensübergreifenden Kommunikation, sind aus verschiedenen Gründen jedoch nicht zur Integration in das Web-Service-Architekturmodell geeignet. Dahingegen stellen die vorgestellten Technologien der Semantic Web Initiative des W3C (World Wide Web Consortium), namentlich RDF (Resource Description Framework) / RDFS (RDF Schema) und OWL (Web Ontology Language) eine gangbare Möglichkeit dar, Web-Services um semantische Inhalte zu ergänzen. Wie RDF und OWL in die Web-Service-Architektur integriert werden können, wird anhand von verschiedenen Ansätzen und Beispielen erläutert.
Web-Service-Basisstandards alleine sind nicht in der Lage, alle Anforderungen an sichere Web-Services zu erfüllen. SOAP kann zwar über tiefer liegende Schichten wie HTTP (Hypertext Transport Protocol) bzw. SSL (Secure Socket Layer) die Sicherheit während der Übertragung gewährleisten, nicht jedoch nach Abbau der SOAP-Kommunikation. Eine Möglichkeit, Sicherheit über die SOAP-Verbindung hinaus und damit auf Nachrichtenebene zu garantieren, erschließt sich mit den W3C-Standards XML Signature und XML Encryption. Da XML Encryption und XML Signature im Gegensatz zu SOAP keine dedizierten Web-Service-Standards sind, stellt sich dann die Frage, wie sie in die Web-Service-Architektur eingebunden werden können. Die Antwort auf diese Frage wird anhand von verschiedenen Ansätzen beispielhaft erläutert.
Das sechste und abschließende Kapitel fasst die Ergebnisse dieser Arbeit zusammen und zeigt anhand empirischer Untersuchungen zum Einsatz von Web-Services in der Praxis den aktuellen und zukünftig möglichen Entwicklungspfad für Web-Services auf. Hierbei wird deutlich, dass sich Unternehmen den Herausforderungen dieser neuen Technologie sukzessive stellen, indem sie Web-Services zuerst unternehmensintern einsetzen und danach auf die unternehmensübergreifende Kommunikation mit Zulieferern, Kunden und Partnern ausdehnen.

2 Grundlagen
Als Basis für die weitere Ausarbeitung werden zunächst Begrifflichkeiten, Funktionsweisen und Einsatzmöglichkeiten von Web-Services dargestellt, um dann die für die weitere Betrachtung relevanten Standardisierungsbereiche herauszuarbeiten.

[...]