Web Service 安全性缺省策略集
Web Service 安全性缺省策略集基于 WS-Security 1.0 和 Web Service 寻址 (WS-Addressing) 规范。Web Service 安全性缺省策略集包括 WSSecurity 缺省策略集、轻量级第三方认证 (LTPA) WSSecurity 策略集、用户名 WSSecurity 策略集和 Kerberos V5 HTTPS 缺省策略集。这些缺省策略集用于构建安全 Web Service。
Web Service 安全性缺省策略集使用了 WS-Security 1.0 规范对 SOAP 消息传递的增强,以通过消息完整性、消息机密性和单一消息认证来提供保护质量。提供保护质量意味着能够抵御对 SOAP 消息的下列潜在威胁:
- 消息被恶意用户修改或读取。
- 恶意用户向服务发送格式正确但缺少相应的待处理安全性声明的消息。
您可以按应用程序服务器提供的原样使用 WSSecurity 缺省策略集、LTPA WSSecurity 策略集、用户名 WSSecurity 策略集或 Kerberos V5 HTTPS 缺省策略集。要定制其他 Web Services 安全策略集,首先必须复制该策略集,然后配置定制策略设置和绑定以满足您的需要。
缺省 Web Services 安全策略集的功能和详细信息如下所示:
- Kerberos V5 HTTPS default
- 此策略集通过 Kerberos V5 令牌进行消息认证。消息完整性和机密性由安全套接字层 (SSL)
传输安全性提供。此策略集遵循 OASIS Kerberos 令牌概要文件 V1.1 和 WS-Security 规范。
使用此策略集时,请在客户机绑定中配置基本认证数据和定制属性,例如 com.ibm.wsspi.wssecurity.krbtoken.targetServiceName 和 com.ibm.wsspi.wssecurity.krbtoken.targetServiceHost 定制属性。有关更多信息,请参阅“认证生成器或使用者令牌设置”和“保护令牌设置(生成器或使用者)”主题。
- LTPA WSSecurity Default
- 此策略集提供:
- 消息完整性,通过数字签名(使用 RSA 公用密钥密码术)使用 WS-Security 规范签署消息体、时间戳记和 WS-Addressing 头。
- 消息机密性,通过加密(使用 RSA 公用密钥密码术)使用 WS-Security 规范加密消息体、签名和签名元素。
- 包括在请求消息中用于向服务认证客户机的轻量级第三方认证 (LTPA) 令牌。
- 用户名 SecureConversation
- 此策略集提供:
- 消息完整性,通过数字签名(包括使用 WS-SecureConversation 和 WS-Security 规范签署消息体、时间戳记、和 WS-Addressing 头)
- 消息机密性,通过加密(包括使用 WS-SecureConversation 和 WS-Security 规范加密消息体、签名和签名确认元素)
- 包括在请求消息中用于向服务认证客户机的用户名令牌。请求中的用户名令牌已加密
- 用户名 WSSecurity default
- 此策略集提供:
- 消息完整性,通过数字签名(使用 RSA 公用密钥密码术)使用 WS-Security 规范签署消息体、时间戳记和 WS-Addressing 头。
- 消息机密性,通过加密(使用 RSA 公用密钥密码术)使用 WS-Security 规范加密消息体、签名和签名元素。
- 包括在请求消息中用于向服务认证客户机的用户名令牌。请求中的用户名令牌已加密。
- WSSecurity 缺省
- 此策略集提供:
- 消息完整性,通过数字签名(使用 RSA 公用密钥密码术)使用 WS-Security 规范签署消息体、时间戳记和 WS-Addressing 头。
- 消息机密性,通过加密(使用 RSA 公用密钥密码术)使用 WS-Security 规范加密消息体、签名和签名元素。