Konformität mit Basic Security Profile (BSP)
Web Services Interoperability Organization (WS-I) Basic Security Profile (BSP) 1.0 unterstützt die Interoperabilität durch die Bereitstellung von Erläuterungen und Erweiterungen für eine Gruppe nicht proprietärer Web-Service-Spezifikationen. WebSphere Application Server Web Services Security stellt Konfigurationsoptionen zur Verfügung, mit denen Sie sicherstellen können, dass die BSP-Empfehlungen und Sicherheitshinweise für die Interoperabilität aktiviert werden können. Der Grad, in dem Sie diesen Empfehlungen folgen, richtet sich anschließend danach, inwieweit die Anwendung, die Sie konfigurieren, dem Basic Security Profile (BSP) entspricht.
Die Unterstützung für BSP-konforme (Basic Security Profile) Anwendungen ist neu in WebSphere Application Server Version 9.0. Weitere Informationen zum Basic Security Profile finden Sie auf der Website von Web Services Interoperability Organization (WS-I) Basic Security Profile (BSP) (Basic Security Profile Version 1.0).
Sie können eine vordefinierte Liste mit Schlüsselwörtern oder XPath-Ausdrücke verwenden, um die Konformität mit BSP zu gewährleisten. Schlüsselwörter und XPath-Ausdrücke werden in der Konfigurationsdatei des Implementierungsdeskriptors angegeben und mit einem Assembliertool konfiguriert.
BSP-Empfehlungen (Basic Security Profile)
- Verwenden Sie nicht die ursprüngliche XPath-Umsetzung http://www.w3.org/TR/1999/REC-xpath-19991116.
Wenn Sie auf eine Element in einem Element SECURE_ENVELOPE verweisen, das keinen ID-Attributtyp aus einem Element "ds:Reference" in einem Element SIGNATURE enthält, müssen Sie die Umsetzung für XPath-Filter der Version 2.0 (http://www.w3.org/2002/06/xmldsig-filter2) verwenden, um auf dieses Element zu verweisen.
Jedes Attribut "ds:Transform/@Algorithm" in einem Element SIGNATURE muss einen der folgenden Werte haben:- http://www.w3.org/2001/10/xml-exc-c14n#
- http://www.w3.org/2002/06/xmldsig-filter2
- http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-soap-message-security-1.0#STR-Transform
- http://www.w3.org/2000/09/xmldsig#enveloped-signature
- http://docs.oasis-open.org/wss/2004/XX/oasis-2004XX-wss-swa-profile-1.0#Attachment-Content-Only-Transform
- http://docs.oasis-open.org/wss/2004/XX/oasis-2004XX-wss-swa-profile-1.0#Attachment-Complete-Transform
- Verwenden Sie nicht den Signaturalgorithmus http://www.w3.org/2000/09/xmldsig#dsa-sha1.
Jedes Element "ds:SignatureMethod/@Algorithm" in einem Element SIGNATURE, das auf einem symmetrischen Schlüssel basiert, muss einen der folgenden Werte haben:
- Geben Sie das Schlüsselwort "digestvalue" nicht für den zu verschlüsselnden Nachrichtenabschnitt an.
Verwenden Sie stattdessen das Schlüsselwort "signature".
Wenn der Wert eines Elements "ds:DigestValue" in einem Element SIGNATURE verschlüsselt werden muss, muss das gesamte übergeordnete Element "ds:Signature" verschlüsselt werden. Ein Element SIGNATURE darf keine untergeordneten Elemente "xenc:EncryptedData" haben.
- Verwenden Sie nicht den Schlüsseldatentyp KEYNAME.
KEYNAME-Referenzen können mehrdeutig sein, und wegen der Konformität mit BSP ist die Verwendung von KEYNAME nicht zulässig.
Ein Element SECURITY_TOKEN_REFERENCE darf keinen Schlüsselnamen verwenden, um auf ein Element SECURITY_TOKEN zu verweisen. Das untergeordnete Element eines Elements "ds:KeyInfo" in einem Element ENCRYPTED_KEY muss ein Element SECURITY_TOKEN_REFERENCE oder ein Element "ds:MgmtData" sein. Die Verwendung des Schlüsseldatentyps KEYNAME für einen Chiffrierschlüssel hat ein untergeordnetes Element "KeyName" eines Elements "ds:KeyInfo" zur Folge, und dies ist wegen der BSP-Konformität nicht zulässig.
- Verwenden Sie nicht den Verschlüsselungsalgorithmus für Bitdaten http://www.w3.org/2001/04/xmlenc#aes192-cbc.
Jedes Attribut "xenc:EncryptionMethod/@Algorithm" in einem Element ENCRYPTED_DATA muss einen der folgenden Werte haben:
- Verwenden Sie nicht die Schlüsselverschachtelung (aes192) mit dem AES-Verschlüsselungsalgorithmus (Advanced Encryption Standard): http://www.w3.org/2001/04/xmlenc#kw-aes192.
Jedes Attribut "xenc:EncryptionMethod/@Algorithm" in einem Element ENCRYPTED_KEY, das für Schlüsselverschachtelung verwendet wird, muss einen der folgenden Werte haben:
Konfigurationsoptionen für BSP-Konformität
- Wenn Sie das Element "ds:Transforms" in einer Signatur konfigurieren, muss die Liste der Umsetzungen http://www.w3.org/2001/10/xml-exc-c14n# oder http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-soap-message-security-1.0#STR-Transform als letztes untergeordnetes Element enthalten.
- Fügen Sie ein Element "wsse:Nonce" oder "wsse:Created" zu einem Benutzernamenstoken hinzu, um die Wiederholung zu verhindern. Nachdem Sie das Element hinzugefügt haben, unterzeichnen Sie das Benutzernamenstoken, um nicht erkannte Änderungen dieser Felder zu verhindern.