Localisateur de clé

Un releveur de coordonnées de clé est une abstraction du mécanisme qui extrait la clé pour la signature et le chiffrement numériques. L'implémentation du module de connexion JAAS (Java™ Authentication and Authorization Service) est utilisée pour créer le jeton de sécurité côté générateur et pour valider (authentifier) le jeton de sécurité côté destinataire.

Récupérez des clés à partir de l'une des sources suivantes, en fonction de votre implémentation :
  • Fichier de clés Java
  • Base de données
  • Serveur KDC Kerberos (WebSphere Application Server utilisant JAX-WS uniquement
  • Un service d'accréditation peut fournir un jeton et une clé de contexte de sécurité (WebSphere Application Server utilisant JAX-WS uniquement
Les releveurs de coordonnées de clé recherchent la clé à l'aide d'un indice. Les types d'indice ci-dessous sont acceptés.
  • Un libellé de chaîne de la clé, qui est explicitement transmis via l'API (Application Programming Interface). La relation entre chaque clé et son nom (libellé de chaîne) est conservée dans le releveur de coordonnées de clé.
  • Le contexte d'implémentation du releveur de coordonnées de clé, les informations explicites ne sont pas transmises au releveur de coordonnées de clé. Un releveur de coordonnées de clé détermine la clé appropriée en fonction du contexte d'implémentation.

WebSphere Application Server version 6 ou ultérieure prend en charge la signature par clé secrète, appelée HMAC-SHA1. Si vous utilisez HMAC-SHA1, le message SOAP (Simple Object Access Protocol) ne contient pas de jeton de sécurité binaire. Dans ce cas, il est supposé que les informations de clé figurant dans le message comportent le nom de la clé utilisée pour spécifier la clé secrète dans le fichier de clés.

Etant donné que les releveurs de coordonnées de clé prennent en charge la signature par clé publique, la clé de vérification est intégrée dans le certificat X.509 sous forme d'élément <BinarySecurityToken> dans le message entrant. Par exemple, les releveurs de coordonnées de clés peuvent obtenir l'identité de l'appelant à partir du contexte et peut extraire les clés publiques de l'utilisateur à l'origine de l'appel pour le chiffrement de la réponse.

La présente section décrit les scénarios d'utilisation des releveurs de coordonnées de clé.

Signature :

Le nom de la clé de signature est spécifié dans la configuration de sécurité des services Web. Cette valeur est transmise au releveur de coordonnées de clé et la véritable clé est renvoyée. Le certificat X.509 correspondant peut également être renvoyé.

Vérification :

Par défaut, WebSphere Application Server version 6 ou ultérieure prend en charge les types de releveur de coordonnées de clé suivants :
KeyStoreKeyLocator
Utilise le fichier de clés pour extraire la clé utilisée pour la signature numérique et la vérification, ou le chiffrement et le déchiffrement.
X509CertKeyLocator
Utilise un certificat X.509 dans un message pour extraire la clé de vérification ou de déchiffrement.
SignerCertKeyLocator
Utilise le certificat X.509 du message de demande pour extraire la clé utilisée pour le chiffrement dans le message de réponse.

Chiffrement :

Le nom de la clé de chiffrement est spécifié dans la configuration de la sécurité des services Web. Cette valeur est transmise au releveur de coordonnées de clé et la véritable clé est renvoyée. Côté serveur, vous pouvez utiliser SignerCertKeyLocator pour extraire la clé de chiffrement du message de réponse à partir du certificat X.509 du message de demande.

Déchiffrement :

La spécification de sécurité des Services Web recommande l'utilisation de l'identificateur de clé à la place du nom de clé. Toutefois, alors que l'algorithme permettant de calculer l'identificateur des clés publiques est défini dans Internet Engineering Task Force (IETF) Request for Comment (RFC) 3280, il n'existe aucun accord pour l'algorithme des clés secrètes. Par conséquent, l'implémentation actuelle de la sécurité des Services Web utilise l'identificateur uniquement lorsque le chiffrement à l'aide des clés publiques est effectué. Sinon, le nom de clé ordinal est utilisé.

Lorsque vous utilisez le chiffrement à l'aide de clés publiques, la valeur de l'identificateur de clé est intégrée dans le message chiffré entrant. Ensuite, l'implémentation de la sécurité des services Web recherche toutes les clés gérées par le releveur de coordonnées de clé et déchiffre le message à l'aide de la clé dont la valeur d'identificateur correspond à celle du message.

Lorsque vous utilisez le chiffrement par clé secrète, la valeur du nom de la clé est intégrée dans le message chiffré entrant. L'implémentation de la sécurité des Services Web demande au releveur de coordonnées de clé la clé dont le nom correspond à celui qui figure dans le message et déchiffre le message à l'aide de la clé.


Icône indiquant le type de rubrique Rubrique de concept



Icône d'horodatage Dernière mise à jour: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=cwbs_keylocatorv6
Nom du fichier : cwbs_keylocatorv6.html