Configuration des méthodes de déchiffrement pour protéger la confidentialité des messages à l'aide d'API WSS

Vous pouvez configurer les informations des méthodes de déchiffrement pour la section du destinataire de la réponse (côté client) du fichier de liaison. Les informations de déchiffrement servent à préciser comment les destinataires (récepteurs) déchiffrent les messages SOAP entrants. Pour configurer le déchiffrement, indiquez les parties des messages à déchiffrer, ainsi que les méthodes d'algorithmes et les jetons de sécurité utilisés pour le déchiffrement.

Avant de commencer

La confidentialité fait référence au chiffrement alors que l'intégrité désigne la signature numérique. La confidentialité permet d'éviter qu'une personne puisse comprendre le contenu d'un message transmis via Internet. Lorsque des spécifications de confidentialité sont définies, le message est chiffré avant d'être envoyé et déchiffré sur le cible à laquelle il était destiné. Avant de configurer le déchiffrement, familiarisez-vous avec le chiffrement XML.

Pourquoi et quand exécuter cette tâche

Pour le déchiffrement, vous devez indiquer ce qui suit :

  • les parties du message à déchiffrer,
  • les algorithmes de déchiffrement à préciser.

Pour configurer le déchiffrement et les parties déchiffrées côté client, utilisez les API WSSDecryption et WSSDecryptPart ou configurez des ensembles de règles à l'aide de la console d'administration.

WebSphere Application Server fournit les valeurs par défaut des liaisons. Toutefois, un administrateur doit modifier les valeurs par défaut pour le cas d'un environnement de production.

WebSphere Application Server utilise les informations de déchiffrement pour le destinataire par défaut pour déchiffrer les composants du message SOAP. L'API WSSDecryption configure les parties obligatoires suivantes comme des parties déchiffrées.

Tableau 1. Parties déchiffrées obligatoires. Utilisez les informations de déchiffrement pour définir la façon dont les messages entrants sont déchiffrés.
Portions déchiffrées Description
Mots clés Les mots clés servent à ajouter les parties déchiffrées au message SOAP.
Expression XPath Les expressions XPath servent à ajouter les parties déchiffrées au message SOAP.
Objet WSSDencryptPart Cet objet ajoute les parties déchiffrées au message SOAP.
Objet WSSVerification Cet objet ajoute le composant de vérification de signature comme partie déchiffrée.
En-tête Cette partie ajoute l'en-tête dans le message SOAP, indiqué par QName, comme partie déchiffrée.
Objet de jeton de sécurité Cet objet ajoute le jeton de sécurité comme partie déchiffrée.

L'API Web Services Security (API WSS) supporte le chiffrement symétrique en utilisant une clé partagée, uniquement en cas d'emploi de Web Services Secure Conversation (WS-SecureConversation).

Les API WSS permettent d'utiliser des mots clés ou une expression XPath pour indiquer les parties du message SOAP à déchiffrer. WebSphere Application Server prend en charge l'utilisation des mots clés suivants :

Tableau 2. Mots clés de déchiffrement pris en charge. Utilisez les mots clés pour déchiffrer les messages entrants.
Mot clé Références
BODY_CONTENT Mot clé pour le corps du message SOAP comme cible de déchiffrement.
SIGNATURE Mot clé pour l'élément de signature comme cible de déchiffrement.
USERNAME_TOKEN, Mot clé pour l'élément du jeton de nom d'utilisateur comme cible de déchiffrement.

Dans le cas d'une configuration avec des API WSS, les API WSSDecryption et WSSDecryptPart effectuent les étapes de niveau élevé ci-après :

Procédure

  1. Utilisez l'API WSSDecryption pour configurer le chiffrement. L'API WSSDecryption effectue ces tâches par défaut :
    1. Génère le gestionnaire d'appel.
    2. Génère l'objet du jeton de sécurité du destinataire.
    3. Ajoute le type de référence du jeton de sécurité.
    4. Ajoute l'objet WSSEncryptPart.
    5. Ajoute les parties à chiffrer. Ajoute les parties par défaut pour le déchiffrement à l'aide de mots clé et d'expressions XPath.
    6. Ajoute le composant de vérification.
    7. Ajoute l'en-tête dans le message SOAP, indiqué par QName.
    8. Définit la méthode de chiffrement de données par défaut.
    9. Indique si la clé doit être déchiffrée à l'aide d'une valeur Boolean. Appelle cette méthode lorsque la clé partagée est chiffrée.
    10. Définit la méthode de chiffrement de clé par défaut.
  2. Utilisez l'API WSSEncryptPart pour configurer les parties chiffrées ou ajouter une méthode de transformation. L'API WSSEncryptPart effectue ces tâches par défaut :
    1. Définit les parties chiffrées indiquées à l'aide de mots clés ou d'une expression XPath.
    2. Définit les parties chiffrées indiquées par une expression XPath.
    3. Définit l'objet du composant de signature WSSSignature.
    4. Définit l'en-tête dans le message SOAP, indiqué par QName.
    5. Définit le jeton de sécurité du générateur.
    6. Ajoute la méthode de transformation, si besoin est.
  3. Modifiez les valeurs par défaut de l'algorithme ou des parties du message, si besoin est. Par exemple, vous pouvez modifier un ou plusieurs des éléments suivants :
    • Ajouter USERNAME_TOKEN comme cible de déchiffrement.
    • Remplacer la valeur par défaut de l'algorithme de chiffrement de données par AES 128.
    • Remplacer la valeur par défaut de l'algorithme de chiffrement de clés par KW_RSA_OAEP.
    • Indiquer que la clé de chiffrement ne doit pas être chiffrée (false).
    • Remplacer la valeur par défaut du type de jeton de sécurité par celle du jeton X.509.
    • Utiliser uniquement BODY_CONTENT comme portion chiffrée, mais pas SIGNATURE.

Résultats

Les informations de déchiffrement sont configurées pour la liaison du destinataire.

Exemple

Ci-après un exemple de l'API WSSDecryption :
WSSFactory factory = WSSFactory.getInstance();
WSSConsumingContext concont = factory.newWSSConsumingContext();
    X509ConsumeCallbackHandler callbackhandler = generateCallbackHandler();
// Voir X509ConsumeCallbackHandler
    WSSDecryption dec = factory.newWSSDecryption(X509Token.class, 
        callbackhandler);
    
 concont.add(dec);

Que faire ensuite

Si ce n'est pas déjà fait, vus devez configurer des informations de chiffrement semblables pour les liaisons du générateur (émetteur) de demandes côté client.

Consultez ensuite le processus de l'API WSSDecryption.


Icône indiquant le type de rubrique Rubrique de tâche



Icône d'horodatage Dernière mise à jour: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=twbs_configencryptinfoconjaxws
Nom du fichier : twbs_configencryptinfoconjaxws.html