Web Service 安全性支持

IBM® 支持 Web Service 安全性(IBM Web Service 引擎的扩展)以提供服务质量。 WebSphere® Application Server 安全性基础结构将 Web Service 安全性与 Java™ Platform Enterprise Edition (Java EE) 安全性规范完全集成在一起。

要点: V5.x 与 V6.0.x 及更高版本的应用程序之间存在重要差别。这些信息仅支持与 WebSphere Application Server V6.0.x 和更高版本配合使用的 V5.x 应用程序。这些信息不适用于 V6.0.x 和更高版本的应用程序。

WebSphere Application Server V4.x、V5 和 V5.0.1 支持 Apache SOAP V2.x 的数字签名。从 WebSphere Application Server V5.0.2 开始,IBM 支持 Web Service 安全性。IBM 实现基于 Web Services 安全规范 Web Service 安全性 (WS-Security),此规范最初由 IBM、Microsoft 和 VeriSign 于 2002 年 4 月提出。此提议规范的草稿的早期版本可以在 2002 年 4 月 5 日的 Web Service 安全性 (WS-Security) V1.0 和 2002 年 8 月 18 日的 Web Service 安全性补充中找到。WebSphere Application Server 实现基于结构化信息标准促进组织 (OASIS) 的工作草稿 13 规范。(请参阅 OASIS Web Service 安全性 TC 的 Web 站点以获取最新的有效规范。)但是,OASIS 工作草稿 13 规范中的功能尚未全部实现。

Web Service 安全性在纯 Java 客户机或非受管客户机中不受支持。当用户标识和密码嵌入在请求消息中时,执行用户标识和密码的认证。如果认证成功,那么建立用户标识,并且基于此标识进行资源访问授权。Web Service 安全性运行时认证用户标识和密码后,Java EE 容器将执行授权。

WebSphere Application Server 基于下列规范提供 Web Service 安全性关键功能的实现:
下表提供了 WebSphere Application Server 支持的 Web Services 安全元素的摘要:
表 1. 受支持的 Web Services 安全元素. Use the table to determine which security elements are supported.
元素 Notes®
UsernameToken 支持用于 BasicAuth 认证方法的用户名和密码以及用于身份断言认证方法的用户名。WebSphere Application Server 支持现时标志,它是一个随机生成的值。
BinarySecurityToken 可以嵌入 X.509 证书和轻量级第三方认证 (LTPA),但是没有实现来嵌入 Kerberos 凭单。但是,二进制令牌生成和验证是可插入的,并且基于 Java 认证和授权服务 (JAAS) 应用程序编程接口 (API)。您可以扩展此实现来生成和验证其他类型的二进制安全性令牌。
签名 X.509 证书作为二进制安全性令牌嵌入并且可由 SecurityTokenReference 引用。WebSphere Application Server 不支持共享的基于密钥的签名。
加密 EncryptedKey 和 ReferenceList XML 标记都受支持。KeyIdentifier 指定公用密钥,KeyName 标识密钥。WebSphere Application Server 能够将已认证的标识映射到加密密钥,或使用签署者证书来加密响应消息。
时间戳记 WebSphere Application Server 支持 Created 和 Expires 属性。消息的新鲜度,表明消息是否遵守预定义的时间约束,仅在消息中存在 Expires 属性时检查。WebSphere Application Server 不支持 Receuved 属性,这在补充中定义。取而代之,WebSphere Application Server 使用在 OASIS 规范中定义的 TimestampTraceReceived 属性。
基于 XML 的令牌 您可以在消息中插入并验证专用格式 XML 令牌。此格式机制基于 JAAS API。
WebSphere Application Server 不支持签署和加密附件。但是,WebSphere Application Server 签署并加密请求消息的下列元素。
表 2. 针对请求消息进行签署和加密的元素. 这些元素用于执行认证。
方法 元素
XML 数字签名
  • Body
  • Securitytoken
  • Timestamp
XML 加密
  • Bodycontent
  • Usernametoken
AuthMethod
  • BasicAuth
  • IDAssertion(从一个 WebSphere Application Server 到另一个 WebSphere Application Server)
  • 签名
  • 服务器端上的轻量级第三方认证 (LTPA)
  • 其他客户令牌
WebSphere Application Server 对响应消息的以下元素进行签署和加密:
表 3. 针对响应消息进行签署和加密的元素. 这些元素用于执行认证。
方法 元素
XML 数字签名
  • Body
  • Timestamp
XML 加密
  • Bodycontent
WebSphere Application Server 为 Web Service 安全性提供了以下功能:
  • 消息的完整性
  • 消息的真实性
  • 消息的机密性
  • 消息的隐私
  • 传输级安全性:由安全套接字层 (SSL) 提供
  • 安全性令牌传播(可插入)
  • 身份断言
以下名称空间用于发送消息:
OASIS Web Service 安全性:SOAP 消息安全性工作草稿 2003 年 5 月 13 日
http://schemas.xmlsoap.org/ws/2003/06/secext

http://schemas.xmlsoap.org/ws/2003/06/utility

OASIS Web Service 安全性:SOAP 消息安全性 1.0 (WS-Security 2004)
http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-secext-1.0.xsd

http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-utility-1.0.xsd

OASIS Web Service 安全性:SOAP 消息安全性 1.1 (WS-Security 2004)
http://docs.oasis-open.org/wss/oasis-wss-wssecurity-secext-1.1.xsd

http://docs.oasis-open.org/wss/2004/01/oasis- 200401-wss-wssecurity-utility-1.0.xsd

表 4. 名称空间摘要. 此表汇总了用于发送和接收消息的名称空间
运行时 发送 接收
JAX-RPC 草稿 13 OASIS 草稿 13 OASIS 草稿 13
JAX-RPC OASIS wssec 1.0 OASIS wssec 1.0

OASIS 草稿 13

JAX-WS OASIS wssec 1.1

OASIS wssec 1.0

OASIS wssec 1.1

OASIS wssec 1.0

OASIS 草稿 13

WebSphere Application Server 中的 Web Service 安全性运行时不接受下列任何名称空间:
2002 年 4 月规范
http://schemas.xmlsoap.org/ws/2002/04/secext
2002 年 8 月补充
http://schemas.xmlsoap.org/ws/2002/07/secext

http://schemas.xmlsoap.org/ws/2002/07/utility

请参阅 Web Service 安全性元素表以了解对不支持的功能的描述。


指示主题类型的图标 参考主题



时间戳记图标 最近一次更新时间: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=rwbs_wssecurityws
文件名:rwbs_wssecurityws.html