Configurando Criptografia para Proteger a Confidencialidade Usando as APIs WSS

Você pode configurar informações de criptografia para ligações do gerador de pedidos do cliente (emissor). As informações de criptografia são usadas para especificar como os geradores (emissores) criptografam mensagens SOAP enviadas. Para configurar a criptografia, especifique as partes da mensagem a serem criptografadas e especifique quais métodos de algoritmo e tokens de segurança deverão ser usados para a criptografia.

Antes de Iniciar

A confidencialidade refere-se à criptografia, enquanto a integridade refere-se à assinatura digital. A confidencialidade reduz o risco de alguém entender a mensagem que fui pela Internet. Com as especificações de confidencialidade, a mensagem é criptografada antes de ser enviada e decriptografada quando recebida pelo destino correto. Antes de configurar a criptografia, familiarize-se com a criptografia XML.

Sobre Esta Tarefa

Para a criptografia, você deve especificar o seguinte:
  • Quais partes da mensagem serão criptografadas.
  • Quais algoritmos de criptografia serão especificados.

Para configurar a criptografia e as partes criptografadas no cliente, use as APIs WSSEncryption e WSSEncryptPart ou configure os conjuntos de política usando o console administrativo.

O WebSphere Application Server fornece valores padrão para ligações. No entanto, um administrador deve modificar os padrões para um ambiente de produção.

O WebSphere Application Server utiliza informações de criptografia para o gerador padrão criptografar partes da mensagem SOAP. A API WSSEncryption configura as seguintes partes requeridas como partes criptografadas.

Tabela 1. Partes Criptografadas Requeridas. Utilize partes criptografadas para aumentar o sigilo de mensagens SOAP.
Partes da Criptografia Description
Palavras-chave As palavras-chave são usadas para incluir as partes criptografadas na mensagem SOAP.
Expressão XPath Uma expressão XPath é usada para incluir as partes criptografadas na mensagem SOAP.
Objeto WSSEncryptPart Esse objeto inclui as partes criptografadas na mensagem SOAP.
Objeto WSSSignature Esse objeto inclui o componente de assinatura como uma parte criptografada.
Cabeçalho Essa parte inclui o cabeçalho no cabeçalho de SOAP, especificado por QName, como uma parte da criptografia.
Objeto do Token de Segurança Esse objeto inclui o token de segurança como uma parte da criptografia.

A API WSS (Web Services Security) suporta a criptografia simétrica usando uma chave compartilhada, apenas quando WS-SecureConversation (Web Services Secure Conversation) for usado.

As APIs WSS permitem usar palavras-chave ou uma expressão XPath para especificar as partes da mensagem que serão criptografadas. O WebSphere Application Server suporta o uso das seguintes palavras-chave:

Tabela 2. Palavras-chave de Criptografia Suportadas. Utilize palavras-chave para especificar partes criptografadas.
Palavra-chave Referências
BODY_CONTENT A palavra-chave para os conteúdos do corpo da mensagem SOAP como um destino de criptografia.
SIGNATURE A palavra-chave do componente da assinatura como um destino de criptografia.

Se a configuração usar as APIs WSS, as APIs WSSEncryption e WSSEncryptPart, complete as etapas de nível superior:

Procedimento

  1. Use a API WSSEncryption para configurar a criptografia. A API WSSEncryption desempenha essas tarefas por padrão:
    1. Gera o manipulador de retorno de chamada.
    2. Gera o objeto do token de segurança do gerador.
    3. Inclui o tipo de referência do token de segurança.
    4. Inclui o componente de assinatura.
    5. Inclui o objeto WSSEncryptPart.
    6. Inclui as partes que serão criptografadas. Inclui as partes padrão como destinos da criptografia usando palavras-chave e expressões XPath.
    7. Inclui o cabeçalho na mensagem SOAP, especificado por QName.
    8. Configura o método de criptografia de dados padrão.
    9. Especifica se a chave deve ou não ser criptografada usando um valor booleano.
    10. Configura o método de criptografia de chaves padrão.
    11. Seleciona uma referência de parte.
    12. Configura o valor booleano de otimização de MTOM.
  2. Use a API WSSEncryptPart para configurar as partes criptografadas ou incluir um método de transformação. A API WSSEncryptPart desempenha estas tarefas por padrão:
    1. Configura as partes criptografadas usando palavras-chave ou uma expressão XPath.
    2. Configura as partes criptografadas especificadas por uma expressão XPath.
    3. Configura o objeto do componente de assinatura, WSSSignature.
    4. Configura o cabeçalho na mensagem SOAP, especificado por QName.
    5. Configura o token de segurança do gerador.
    6. Inclui o método de transformação, se necessário.
  3. Mude dos valores padrão para as partes da mensagem ou algoritmo, conforme necessário. Por exemplo: você pode alterar um ou mais dos seguintes itens:
    • Altere o algoritmo de criptografia de dados do valor padrão de AES 128.
    • Altere o algoritmo de criptografia de chaves do valor padrão de KW_RSA_OAEP.
    • Especifique para não criptografar a chave (false).
    • Altere o tipo de token de segurança do padrão do token X.509.
    • Altere o tipo de referência do token de segurança do valor padrão de SecurityToken.REF_STR.
    • Use apenas BODY_CONTENT como uma parte de criptografia e não use SIGNATURE também.
    • Ative a otimização de MTOM (true).

Resultados

As informações de criptografia são configuradas para a ligação do gerador.

Exemplo

A seguir, um exemplo da API WSSEncryption:
WSSFactory factory = WSSFactory.getInstance();
    WSSGenerationContext gencont = factory.newWSSGenerationContext();
   
    X509GenerateCallbackHandler callbackhandler = generateCallbackHandler();
    SecurityToken token = factory.newSecurityToken(X509Token.class, callbackHandler);
    WSSEncryption enc = factory.newWSSEncryption(token);
    
    gencont.add(enc);

O que Fazer Depois

Você deve configurar as informações de decriptografia semelhantes para as ligações do consumidor de resposta do cliente (receptor) se não tiver configurado as informações.

Depois, reveja o processo da API WSSEncryption.


Ícone que indica o tipo de tópico Tópico de Tarefa



Ícone de registro de data e hora Última atualização: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=twbs_configencryptinfogenjaxws
Nome do arquivo: twbs_configencryptinfogenjaxws.html