Configurando Métodos de Decriptografia para Proteger o Sigilo da Mensagem Utilizando APIs WSS

É possível configurar informações do método de decriptografia para a seção do consumidor da resposta (lado do cliente) do arquivo de ligação. As informações de decriptografia são usadas para especificar como os consumidores (receptores) decriptografam mensagens SOAP recebidas; Para configurar a decriptografia, especifique as partes da mensagem a serem decriptografadas e especifique quais métodos de algoritmo e tokens de segurança deverão ser usados para a decriptografia.

Antes de Iniciar

A confidencialidade refere-se à criptografia, enquanto a integridade refere-se à assinatura digital. A confidencialidade reduz o risco de alguém entender a mensagem que fui pela Internet. Com as especificações de confidencialidade, a mensagem é criptografada antes de ser enviada e decriptografada quando recebida pelo destino correto. Antes de configurar a decriptografia, familiarize-se com a criptografia XML.

Sobre Esta Tarefa

Para decriptografia, você deve especificar o seguinte:

  • Quais partes da mensagem serão decriptografadas.
  • Quais algoritmos de decriptografia serão especificados.

Para configurar a decriptografia e as partes decriptografadas no cliente, use as APIs WSSDecryption e WSSDecryptPart ou configure os conjuntos de política usando o console administrativo.

O WebSphere Application Server fornece valores padrão para ligações. No entanto, um administrador deve modificar os padrões para um ambiente de produção.

O WebSphere Application Server utiliza informações de decriptografia para o consumidor padrão decriptografar partes da mensagem SOAP. A API WSSDecryption configura as seguintes partes requeridas como partes decriptografadas.

Tabela 1. Partes Decriptografadas Requeridas. Utilize as informações de decriptografia para especificar como mensagens recebidas são decriptografadas.
Partes da Decriptografia Description
Palavras-chave As palavras-chave são usadas para incluir as partes decriptografadas na mensagem SOAP.
Expressão XPath As expressões XPath são usadas para incluir as partes decriptografadas na mensagem SOAP.
Objeto WSSDencryptPart Esse objeto inclui as partes decriptografadas na mensagem SOAP.
Objeto WSSVerification Esse objeto inclui o componente de verificação de assinatura como uma parte decriptografada.
Cabeçalho Essa parte inclui o cabeçalho no cabeçalho de SOAP, especificado por QName, como uma parte decriptografada.
Objeto do Token de Segurança Esse objeto inclui o token de segurança como uma parte decriptografada.

A API WSS (Web Services Security) suporta a criptografia simétrica usando uma chave compartilhada, apenas quando WS-SecureConversation (Web Services Secure Conversation) for usado.

As APIs WSS permitem usar palavras-chave ou uma expressão XPath para especificar as partes da mensagem SOAP que serão decriptografadas. O WebSphere Application Server suporta o uso das seguintes palavras-chave:

Tabela 2. Palavras-chave de Decriptografia Suportadas. Utilize as palavras-chave para decriptografar mensagens recebidas.
Palavra-chave Referências
BODY_CONTENT A palavra-chave para os conteúdos do corpo da mensagem SOAP como um destino da decriptografia.
SIGNATURE A palavra-chave do elemento de assinatura como um destino de decriptografia.
USERNAME_TOKEN, A palavra-chave do elemento de token do Nome do Usuário como um destino de decriptografia.

Se a configuração usar as APIs WSS, as APIs WSSDecryption e WSSDecryptPart, complete as etapas de nível superior:

Procedimento

  1. Use a API WSSDecryption para configurar a criptografia. A API WSSDecryption desempenha estas tarefas por padrão:
    1. Gera o manipulador de retorno de chamada.
    2. Gera o objeto do token de segurança do consumidor.
    3. Inclui o tipo de referência do token de segurança.
    4. Inclui o objeto WSSEncryptPart.
    5. Inclui as partes que serão criptografadas. Inclui as partes padrão para decriptografia usando palavras-chave e expressões XPath.
    6. Inclui o componente de verificação.
    7. Inclui o cabeçalho na mensagem SOAP, especificado por QName.
    8. Configura o método de criptografia de dados padrão.
    9. Especifica se a chave deve ou não ser decriptografada usando um valor booleano. Chama este método quando a chave compartilhada é criptografada.
    10. Configura o método de criptografia de chaves padrão.
  2. Use a API WSSEncryptPart para configurar as partes criptografadas ou incluir um método de transformação. A API WSSEncryptPart desempenha estas tarefas por padrão:
    1. Configura as partes criptografadas usando palavras-chave ou uma expressão XPath.
    2. Configura as partes criptografadas especificadas por uma expressão XPath.
    3. Configura o objeto do componente de assinatura, WSSSignature.
    4. Configura o cabeçalho na mensagem SOAP, especificado por QName.
    5. Configura o token de segurança do gerador.
    6. Inclui o método de transformação, se necessário.
  3. Mude dos valores padrão para as partes da mensagem ou algoritmo, conforme necessário. Por exemplo: você pode alterar um ou mais dos seguintes itens:
    • Inclua USERNAME_TOKEN como um destino da decriptografia.
    • Altere o algoritmo de criptografia de dados do valor padrão de AES 128.
    • Altere o algoritmo de criptografia de chaves do valor padrão de KW_RSA_OAEP.
    • Especifique para não criptografar a chave de criptografia (false).
    • Altere o tipo de token de segurança do valor padrão do token X.509.
    • Use apenas BODY_CONTENT como uma parte de criptografia e não use SIGNATURE também.

Resultados

As informações de decriptografia são configuradas para a ligação do consumidor.

Exemplo

O seguinte exemplo é um exemplo da API WSSDecryption:
WSSFactory factory = WSSFactory.getInstance();
WSSConsumingContext concont = factory.newWSSConsumingContext();
    X509ConsumeCallbackHandler callbackhandler =  generateCallbackHandler();
// see X509ConsumeCallbackHandler
    WSSDecryption dec = factory.newWSSDecryption(X509Token.class, 
        callbackhandler);
    
 concont.add(dec);

O que Fazer Depois

Você deve configurar as informações de criptografia semelhantes para as ligações do gerador de resposta do cliente (emissor) se não tiver configurado as informações.

Em seguida, reveja o processo da API WSSDecryption.


Ícone que indica o tipo de tópico Tópico de Tarefa



Ícone de registro de data e hora Última atualização: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=twbs_configencryptinfoconjaxws
Nome do arquivo: twbs_configencryptinfoconjaxws.html