Confirmación de firma

La confirmación de firma de Web Services Security es una firma digital XML mejorada que se incluye en el estándar de Web Services Security. La firma digital XML se utiliza para firmar elementos del sobre SOAP.

Como una de las extensiones de la especificación de seguridad de mensajes SOAP de OASIS, el elemento de confirmación de firmas incorpora los elementos necesarios dentro del mensaje de respuesta para confirmar la firma que se incluye en un mensaje de solicitud. La confirmación de firma y firma digital XML ayuda a proporcionar más seguridad a nivel de mensaje seguro.

La seguridad de mensajes de Web Services Security Versión 1.0 para SOAP no ha proporcionado ninguna orientación sobre cómo confirmar la compresión mutua de la solicitud que provocó esta respuesta. El elemento SignatureConfirmation o<wsse11:SignatureConfirmation> se ha añadido a la especificación Web Services Security Versión 1.1. El elemento <wsse11:SignatureConfirmation> asegura que la firma la procese el destinatario previsto e indica que el respondedor ha procesado la firma de la solicitud. El elemento de confirmación de firma forma parte del estándar actualizado de Web Services Security y habilita la interoperatividad con otros proveedores que dan soporte a los estándares de la versión 1.1, como Microsoft .NET y DataPower.

Debido a la naturaleza sin estado de los servicios web y a los distintos patrones de intercambios de mensajes (MEP), suponga lo siguiente:
  • Suponga que la afinidad de sesiones está habilitada si un clúster está habilitado para los clientes que se ejecutan en WebSphere Application Server. Cuando la afinidad entre sesiones está habilitada, significa que la respuesta se vuelve a enviar al cliente que inicia del servidor.
  • Suponga que WS-Addressing está habilitado para los patrones de intercambio de mensajes asíncronos. Cuando WS-Addressing está habilitado, permite que el tiempo de ejecución relacione la respuesta con la solicitud. Se devuelve una respuesta asíncrona a la aplicación del WebSphere Application Server que ha iniciado la comunicación.

Sintaxis

El elemento SignatureConfirmation indica que el respondedor ha procesado la firma de la solicitud. Cuando este elemento no está presente en una respuesta, el iniciador interpreta que el respondedor no cumple con la especificación.

El formato del elemento de confirmación de firma es el siguiente:

<wsse11:SignatureConfirmation wsu:Id="…" Value="…" />
donde:
wsu:Id
El identificador que se utiliza al hacer referencia a este elemento en la lista de referencia <ds:SignedInfo> de la firma del mensaje de respuesta asociado. Este atributo es necesario para que se hagan referencias inequívocas a este elemento <wsse11:SignatureConfirmation>.
Valor
Este atributo es opcional y contiene el contenido de un <ds:SignatureValue> que se copia de la solicitud asociada. Si la solicitud no tiene firma, este atributo no debe estar presente. Si este atributo se especifica sin un valor (vacío), el iniciador lo interpreta como un comportamiento incorrecto y lo procesa como corresponda. Cuando este atributo no está presenta, el iniciador lo interpreta como que la respuesta se basa en una solicitud que no estaba firmada.

Configuración

Para configurar la confirmación de firma, configure el archivo de política utilizando la consola administrativa y seleccione Requiere confirmación de firma. Para procesar correctamente la confirmación de firma, es necesario que el iniciador de la solicitud conserve las firmas durante el proceso generador de solicitudes y que más adelante recupere las firmas para efectuar las comprobaciones de confirmación.

Reglas de generación de respuesta

Para confirmar que la respuesta está relacionada con una solicitud concreta se utilizan elementos de seguridad SOAP adicionales para el respondedor de SOAP. El respondedor debe incluir el contenido del elemento <ds:SignatureValue> de la firma de solicitud como el valor del atributo @Value del elemento <wsse11:SignatureConfirmation>.

Cuando se utiliza la aserción de política de SignatureConfirmation se aplican las siguientes reglas de generación de respuestas:
  • Si no hay firmas en la solicitud, la respuesta contiene un elemento SignatureConfirmation sin ningún valor. Para los MEP donde hay varias solicitudes (todas sin firmas) y una respuesta, la respuesta contiene un elemento SignatureConfirmation sin ningún valor.
  • Si hay firmas en la solicitud, la respuesta contiene un elemento SignatureConfirmation para cada firma, con un valor que coincide con el valor de la firma de la solicitud. Para los MEP donde hay varias solicitudes, en donde al menos una contiene una firma, y una respuesta, la respuesta contiene un elemento SignatureConfirmation para cada firma que se encuentra en las solicitudes, con un valor que coincide con el valor de firma de la solicitud.
  • Para los MEP donde hay una solicitud y varias respuestas, cada respuesta contiene los elementos SignatureConfirmation correspondientes, tal como se ha indicado en la primera y segunda viñeta.
  • Si la solicitud SOAP contiene varias firmas, el solicitante encontrará todos los elementos de confirmación de firma incluidos en la respuesta y comprobará los valores de los campos de valor de los elementos de confirmación de firma comparándolos con los valores de las firmas de la solicitud SOAP original.

Icon that indicates the type of topic Concept topic



Timestamp icon Last updated: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=cwbs_wssignatureconfirmation
File name: cwbs_wssignatureconfirmation.html