Unterstützung von Web Services Security

IBM® unterstützt Web Services Security, eine Erweiterung der IBM Web-Service-Engine darstellt und Servicequalität gewährleisten soll. Die Sicherheitsstruktur von WebSphere Application Server integriert Web Services Security in vollem Umfang mit der Java™-EE-Sicherheit (Java Platform, Enterprise Edition).

Wichtig: Es gibt eine wichtige Unterscheidung zwischen Anwendungen der Version 5.x und Anwendungen der Version 6.0.x und höher. Die Informationen in diesem Artikel gelten nur für Anwendungen der Version 5.x, die in WebSphere Application Server Version 6.0.x und höher verwendet werden. Diese Informationen gelten nicht für Anwendungen der Version 6.0.x und höher.

WebSphere Application Server Version 4.x, 5 und 5.0.1 unterstützen digitale Signaturen für Apache SOAP Version 2.x. Seit WebSphere Application Server Version 5.0.2 unterstützt IBM Web Services Security. Die IBM Implementierung basiert auf der Spezifikation Web Services Security (WS-Security), die ursprünglich im April 2002 von IBM, Microsoft und VeriSign vorgeschlagen wurde. Frühe Versionen des vorgeschlagenen Spezifikationsentwurfs enthalten die Dokumente "Web Services Security (WS-Security) Version 1.0 05 April 2002" und "Web Services Security Addendum 18 August 2002". Die Implementierung von WebSphere Application Server basiert auf Entwurf 13 (Draft 13) der Spezifikation von OASIS (Organization for the Advancement of Structured Information Standards). Auf der Website des OASIS Web Services Security Technical Committee können Sie den neueste Version der Spezifikation einsehen. Es wurden jedoch nicht alle Features von Entwurf 13 der OASIS-Spezifikation implementiert.

Web Services Security wird in reinen Java- und nicht verwalteten Clients nicht unterstützt. Wenn eine Benutzer-ID und ein Kennwort in eine Anforderungsnachricht integriert werden, erfolgt die Authentifizierung mit Benutzer-ID und Kennwort. Ist die Authentifizierung erfolgreich, wird eine Benutzeridentität und, basierend auf dieser Identität, eine weitere Zugriffsberechtigung für die Ressource erstellt. Nachdem die Benutzer-ID und das Kennwort von der Laufzeit von Web Services Security authentifiziert wurden, führt ein Java-EE-Container die Berechtigung durch.

WebSphere Application Server stellt eine Implementierung der Schlüsselfunktionen von Web Services Security zur Verfügung, die auf den folgenden Spezifikationen basiert:
Die folgende Tabelle enthält eine Zusammenfassung der von WebSphere Application Server unterstützten Elemente von Web Services Security:
Tabelle 1. Unterstützte Elemente von Web Services Security. Stellen Sie anhand der Tabelle fest, welche Sicherheitselemente unterstützt werden.
Element Anmerkungen
UsernameToken Der Benutzername und das Kennwort für das Authentifizierungsverfahren BasicAuth sowie der Benutzername für das Authentifizierungsverfahren der Identitätszusicherung werden unterstützt. WebSphere Application Server unterstützt Nonces. Ein Nonce ist ein generierter Zufallswert.
BinarySecurityToken X.509-Zertifikate und LTPA können integriert werden, es gibt jedoch keine Implementierung, mit der Kerberos-Tickets integriert werden können. Die Generierung und Validierung binärer Token sind Plug-in-fähig und basieren auf den JAAS-APIs (Java Authentication and Authorization Service Application Programming Interfaces). Sie können diese Implementierung erweitern, um andere Typen binärer Sicherheitstoken zu generieren und validieren.
Signatur Das X.509-Zertifikat ist als binäres Sicherheitstoken eingebettet und kann durch die SecurityTokenReference referenziert werden. WebSphere Application Server unterstützt keine gemeinsam genutzten, schlüsselbasierten Signaturen.
Verschlüsselung Die XML-Tags EncryptedKey und ReferenceList werden unterstützt. KeyIdentifier gibt öffentliche Schlüssel und KeyName die geheimen Schlüssel an. WebSphere Application Server ist in der Lage, eine authentifizierte Identität einem Schlüssel für Verschlüsselung zuzuordnen, oder das Unterzeichnerzertifikat zur Verschlüsselung der Antwortnachricht zu verwenden.
Zeitmarke WebSphere Application Server unterstützt die Attribute Created und Expires. Die Aktualität der Nachricht, d. h., Angaben dazu, ob die Nachricht mit vordefinierten Zeitbeschränkungen übereinstimmt, wird nur überprüft, wenn die Nachricht das Attribut Expires enthält. WebSphere Application Server unterstützt das im Zusatz definierte Attribut Received nicht. Stattdessen unterstützt WebSphere Application Server das Attribut TimestampTraceReceived, das in der OASIS-Spezifikation definiert ist.
XML-basiertes Token Sie können ein beliebiges Format von XML-Token in eine Nachricht einfügen und validieren. Dieser Formatmechanismus basiert auf den JAAS-APIs.
Das Signieren und Verschlüsseln von Anhängen wird von WebSphere Application Server nicht unterstützt. WebSphere Application Server signiert und verschlüsselt jedoch die folgenden Elemente für die Anforderungsnachricht.
Tabelle 2. Für die Anforderungsnachricht signierte und verschlüsselte Elemente. Die Elemente werden für die Authentifizierung verwendet.
Methode Element
Digitale XML-Signatur
  • Body
  • Securitytoken
  • Timestamp
XML-Verschlüsselung
  • Bodycontent
  • Usernametoken
AuthMethod
  • BasicAuth
  • IDAssertion (von WebSphere Application Server zu einem anderen WebSphere Application Server)
  • Signatur
  • Lightweight Third Party Authentication (LTPA) auf Serverseite
  • Andere angepasste Token
WebSphere Application Server signiert und verschlüsselt die folgenden Elemente für die Antwortnachricht:
Tabelle 3. Für die Antwortnachricht signierte und verschlüsselte Elemente. Die Elemente werden für die Authentifizierung verwendet.
Methode Element
Digitale XML-Signatur
  • Body
  • Timestamp
XML-Verschlüsselung
  • Bodycontent
WebSphere Application Server stellt folgende Funktionen für Web Services Security zur Verfügung:
  • Integrität der Nachricht
  • Authentizität der Nachricht
  • Vertraulichkeit der Nachricht
  • Datenintegrität der Nachricht
  • Sicherheit auf Transportebene durch SSL (Secure Sockets Layer)
  • Weitergabe von Sicherheitstoken (Plug-in-fähig)
  • IDAssertion (Zusicherung der Identität)
für das Senden einer Nachricht werden folgende Namespaces verwendet:
OASIS Web Services Security: SOAP Message Security Working Draft 13, May 2003
http://schemas.xmlsoap.org/ws/2003/06/secext

http://schemas.xmlsoap.org/ws/2003/06/utility

OASIS Web Services Security: SOAP Message Security 1.0 (WS-Security 2004)
http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-secext-1.0.xsd

http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-utility-1.0.xsd

OASIS Web Services Security: SOAP Message Security 1.1 (WS-Security 2004)
http://docs.oasis-open.org/wss/oasis-wss-wssecurity-secext-1.1.xsd

http://docs.oasis-open.org/wss/2004/01/oasis- 200401-wss-wssecurity-utility-1.0.xsd

Tabelle 4. Zusammenfassung der Namespaces. Diese Tabelle enthält eine Zusammenfassung der Namespaces, die zum Senden und Empfangen von Nachrichten verwendet werden.
Laufzeitumgebung Senden Empfangen
JAX-RPC draft 13 OASIS draft 13 OASIS draft 13
JAX-RPC OASIS wssec 1.0 OASIS wssec 1.0

OASIS draft 13

JAX-WS OASIS wssec 1.1

OASIS wssec 1.0

OASIS wssec 1.1

OASIS wssec 1.0

OASIS draft13

Folgende Namespaces werden von der Web Services Security-Laufzeit in WebSphere Application Server nicht akzeptiert:
Spezifikation von April 2002
http://schemas.xmlsoap.org/ws/2002/04/secext
Zusatz von August 2002
http://schemas.xmlsoap.org/ws/2002/07/secext

http://schemas.xmlsoap.org/ws/2002/07/utility

Die Tabelle mit den Elemente von Web Services Security enthält eine Beschreibung der nicht unterstützten Funktionen.


Symbol, das den Typ des Artikels anzeigt. Referenzartikel



Symbol für Zeitmarke Letzte Aktualisierung: 25.05.2016
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=rwbs_wssecurityws
Dateiname:rwbs_wssecurityws.html