WebSphere Message
Broker hält Web Services Security: SOAP Message Security und zugehörige Spezifikationen durch Unterstützung der folgenden Aspekte bedingt ein.
Einhaltung von Web Services Security: SOAP Message Security
- Sicherheitsheader
- Der Header <wsse:Security> stellt in Form eines SOAP-Actors oder einer SOAP-Rolle einen Mechanismus zum Anhängen sicherheitsrelevanter, an einen bestimmten Empfänger gerichteter Informationen bereit. Bei dem Empfänger kann es sich um den letztendlichen Empfänger oder eine Zwischenstation handeln. Die folgenden Attribute werden in WebSphere Message
Broker unterstützt:
- S11:actor (Actor) (für eine Zwischenstation)
- S11:mustUnderstand
- S12:role (Aufgabenbereich) (für eine Zwischenstation)
- S12:mustUnderstand
- Sicherheitstoken
- Die folgenden Sicherheitstoken werden im Sicherheitsheader unterstützt:
- Benutzername und Kennwort
- Binäre Sicherheitstoken:
- X.509-Zertifikat
- Kerberos-Ticket
- LTPA-Zertifikat
- SAML-Zusicherung
- Tokenverweise
- Ein Sicherheitstoken übermittelt eine Reihe von Anforderungen. Manchmal befinden sich diese Anforderungen an einem anderen Ort und die empfangende Anwendung muss darauf zugreifen.
Das Element <wsse:SecurityTokenReference> stellt einen erweiterbaren Mechanismus zur Referenzierung von Sicherheitstoken bereit. Folgende Mechanismen werden unterstützt:
- Direkte Referenzierung
- Schlüsselkennung
- Schlüsselname
- Eingebettete Referenzen
- Signaturalgorithmus
- Diese Spezifikation baut auf XML Signature auf und verfügt aus diesem Grund über dieselben Algorithmusvoraussetzungen, die auch in der Spezifikation XML Signature beschrieben sind. WebSphere Message
Broker unterstützt die Signaturalgorithmen wie in der folgenden Tabelle beschrieben.
Algorithmustyp |
Algorithmus |
URI |
Digest |
SHA1 |
http://www.w3.org/2000/09/xmldsig#sha1 |
Signatur |
DSA mit SHA1 (nur Validierung) |
http://www.w3.org/2000/09/xmldsig#dsa-sha1 |
Signatur |
RSA mit SHA1 |
http://www.w3.org/2000/09/xmldsig#rsa-sha1 |
Kanonisierung |
Ausschließliche XML-Kanonisierung (ohne Kommentare) |
http://www.w3.org/2001/10/xml-exc-c14n# |
- Signaturunterzeichnete Komponenten
- WebSphere Message
Broker ermöglicht die Signierung der folgenden SOAP-Elemente:
- Der SOAP-Nachrichtenhauptteil
- Das Identitätstoken (ein Sicherheitstokentyp), das als zugesicherte Identität verwendet wird.
- Verschlüsselungsalgorithmus
- Die unterstützten Datenverschlüsselungsalgorithmen werden in der folgenden Tabelle angezeigt.
Algorithmus |
URI |
Triple Data Encryption Standard-Algorithmus (Triple DES) |
http://www.w3.org/2001/04/xmlenc#tripledes-cbc |
Advanced Encryption Standard (AES)-Algorithmus mit einer Schlüssellänge von 128 Bit |
http://www.w3.org/2001/04/xmlenc#aes128-cbc |
Advanced Encryption Standard (AES)-Algorithmus mit einer Schlüssellänge von 192 Bit |
http://www.w3.org/2001/04/xmlenc#aes192-cbc |
Advanced Encryption Standard (AES)-Algorithmus mit einer Schlüssellänge von 256 Bit |
http://www.w3.org/2001/04/xmlenc#aes256-cbc |
Der wichtigste unterstützte Verschlüsselungsalgorithmus wird in der folgenden Tabelle angezeigt.
Algorithmus |
URI |
Schlüsseltransport (Verschlüsselung mit öffentlichem Schlüssel) RSA Version
1.5 |
http://www.w3.org/2001/04/xmlenc#rsa-1_5 |
- Nachrichtenkomponentenverschlüsselung
- WebSphere Message
Broker ermöglicht die Verschlüsselung der folgenden SOAP-Elemente:
- Zeitmarke
- Das Element <wsu:Timestamp> stellt einen Mechanismus zur Darstellung der Erstellungs- und Verfallszeit der Sicherheitssemantik in einer Nachricht bereit. WebSphere Message
Broker lässt die Verwendung von Zeitmarken im Web Services Security-Header eingehender SOAP-Nachrichten zu.
- Fehlerbehandlung
- WebSphere Message
Broker generiert SOAP-Fehlernachrichten unter Verwendung der in der Spezifikation aufgeführten Antwortcode-Standardliste.
Einhaltung von Web Services Security: Username Token
Profile 1.1
Folgende Aspekte dieser Spezifikation werden unterstützt:
- Kennworttypen
- Text
- Tokenverweise
- Direkte Referenzierung
Einhaltung von Web Services Security: X.509 Certificate
Token Profile 1.1
Folgende Aspekte dieser Spezifikation werden unterstützt:
- Tokentypen
- X.509 Version 3: Einzelzertifikat.
- X.509 Version 3: X509PKIPathv1 ohne Zertifikatswiderrufslisten (CRL).
- X.509 Version 3: PKCS7 mit oder ohne CRLs. Das IBM® Software-Development-Kit (SDK) unterstützt beide Varianten.
DasJava™ Development Kit (JDK) von Sun unterstützt ausschließlich PKCS7 ohne CRL.
Weitere Informationen hierzu finden Sie unter Web Services
Security X.509 Certificate Token Profile.
- Tokenverweise
- Schlüsselkennung - Betreffschlüsselkennung
- Direkte Referenzierung
- Kundenspezifische Referenzierung - Name des Ausstellers und Seriennummer
Einhaltung von Web Services
Security: SAML Token Profile
Es wird die SAML-Durchgriffsunterstützung bereitgestellt, die die Interoperabilität mit WS-Security SAML-Profilen ermöglicht, wobei keine Bestätigung des Betreffs durchgeführt wird. Es wird damit also keine Überprüfung der Vertrauensbeziehung zwischen dem SAML-Betreff und den Signaturen der Nachrichteninhalte durchgeführt.
Das Token wird zur Verarbeitung durch den Sicherheitsmanager des Nachrichtenflusses durchgegeben, der dieses wiederum an ein WS-Trust STS zur Verarbeitung weitergibt.
Einhaltung von Web Services
Security: Kerberos Token Profile
Folgende Aspekte dieser Spezifikation werden unterstützt:
- Tokentypen
- Kerberos GSS v5 AP_REQ
- Kerberos v5 AP_REQ
Nicht unterstützte Aspekte
Die folgenden Elemente werden in
WebSphere Message
Broker nicht unterstützt:
- Aktualitätsprüfung von Zeitmarken.
- Nonces.
- Web Services Security für SOAP-Anhänge.
- XrML-Tokenprofil.
- Web Services Interoperability (WS-I) Basic Security Profile.
- XML enveloping digital signature.
- XML enveloping digital encryption.
- Folgende Transportalgorithmen für digitale Signaturen:
- Der Diffie-Hellman-Schlüsselvereinbarungsalgorithmus für Verschlüsselung. Weitere Informationen hierzu finden Sie unter Diffie-Hellman
Key Values.
- Der folgende, in der XML-Verschlüsselungsspezifikation optionale Kanonisierungsalgorithmus für Verschlüsselung:
- Kanonische XML mit oder ohne Begleittext
- Ausschließliche XML-Kanonisierung mit oder ohne Begleittext
- Der Digest-Kennworttyp in der Spezifikation Username Token Version 1.0 Profile.