V5.x 应用程序的 Web Service 安全性概念
IBM® 支持 Web Service 安全性(IBM Web Service 引擎的扩展)以提供优质的服务。WebSphere® Application Server 安全性基础结构将 Web Service 安全性与 Java™ Platform, Enterprise Edition (Java EE) 安全性规范完全集成在一起。
子主题
Web Services 安全规范 - 年表
本年表描述用来制定 Web Services 安全规范的过程。年表中同时包含“结构化信息标准促进组织”(OASIS) 活动和非 OASIS 活动。Web Service 安全性支持
IBM® 支持 Web Service 安全性(IBM Web Service 引擎的扩展)以提供服务质量。 WebSphere® Application Server 安全性基础结构将 Web Service 安全性与 Java™ Platform Enterprise Edition (Java EE) 安全性规范完全集成在一起。Web Service 安全性与 Java Platform, Enterprise Edition 安全性的关系
本文描述 Web Service 安全性(消息级安全性)模型和 Java Platform, Enterprise Edition (Java EE) 安全性模型之间的关系。它还包括 Java EE 基于角色的授权检查的相关信息。WebSphere Application Server 中的 Web Service 安全性模型
WebSphere Application Server 所使用的 Web Service 安全性模型是声明式模型。WebSphere Application Server 不包括与 Web Service 安全性程序化交互的任何应用程序编程接口 (API)。但是,少数服务提供程序接口 (SPI) 可用于扩展一些安全性相关行为。传播安全性令牌
在此示例中,使用 Web Service 安全性、WebSphere Application Server 的安全性基础结构和 Java Platform,Enterprise Edition (Java EE) 安全性传播安全性令牌。Web Service 安全性约束
WebSphere Application Server 使用的 Web Service 安全性模型是说明性模型。必须通过在 IBM 扩展部署描述符和 IBM 扩展绑定中定义安全性约束,从而使用 Web Service 安全性来保护 V5.x 应用程序。认证方法概述
WebSphere Application Server 的 Web Service 安全性实现支持下列认证方法:BasicAuth、轻量级第三方认证 (LTPA)、数字签名和身份断言。令牌类型概述
Web Service 安全性定义各种类型的安全性令牌。部署描述符扩展文件定义了消息可以接受的令牌类型。XML 数字签名
XML 签名语法和处理(XML 签名)是定义签署和验证数字内容的数字签名的 XML 语法和处理规则的规范。该规范由万维网联盟 (W3C) 和因特网工程任务组织 (IETF) 共同开发。缺省绑定
缺省绑定信息在 ws-security.xml 文件中定义,可由管理控制台或通过脚本编制来管理。仅支持用于 JAX-RPC 应用程序的缺省绑定。不支持用于 JAX-WS 应用程序的缺省绑定。ws-security.xml file - WebSphere Application Server Network Deployment 的缺省配置
对于 JAX-RPC 应用程序,WebSphere Application Server Network Deployment 安装版本使用 ws-security.xml 文件来定义整个单元的 Web Service 安全性的缺省绑定信息。信任锚
信任锚指定包含将验证签署者证书的可信根证书的密钥库。请求接收方和响应接收方使用这些密钥库来验证数字签名的签署者证书。证书集合库
证书集合库是非根的认证中心 (CA) 证书和证书撤销列表 (CRL) 的集合。此 CA 证书和 CRL 的集合用于检查数字签名的 SOAP 消息的签名。密钥定位器
密钥定位器(com.ibm.wsspi.wssecurity.config.KeyLocator) 是机制的抽象,它检索密钥以获取数字签名和加密。密钥
密钥用于 XML 签名和加密。可信标识鉴别程序
可信标识鉴别程序是评估给定的标识名称是否可信的一种抽象机制。可信标识鉴别程序通常由多跳式环境中可能的接收方使用。登录映射
在 ibm-webservices-bnd.xmi 扩展标记语言 (XML) 文件中找到的登录映射包含映射配置。此映射配置定义 Web Service 安全性处理程序如何把从消息头抽出的安全性令牌中所包含的令牌 <ValueType> 元素,映射至相应的认证方法。令牌 <ValueType> 元素包含在从 SOAP 消息头中抽取的安全性令牌中。XML 加密
“可扩展标记语言”(XML) 加密是万维网 (WWW) 协会 (W3C) 在 2002 年开发的规范,包含加密数据的步骤、解密已加密数据的步骤、表示已加密的 XML 数据的语法、用来对数据进行解密的信息以及加密算法列表,例如,三重数据加密标准 (DES)、高级加密标准 (AES) 和 Rivest-Shamir-Adleman 算法 (RSA)。请求发送方
SOAP 消息的请求发送方端上的安全处理程序强制实现位于 ibm-webservicesclient-ext.xmi 文件中的安全性约束和位于 ibm-webservicesclient-bnd.xmi 文件中的绑定。这些约束和绑定应用于 Java Platform,Enterprise Edition (Java EE) 应用程序客户机,或当 Web Service 充当客户机时,也会应用这些约束和绑定。安全处理程序在发送 SOAP 消息前对安全性约束执行操作。例如,安全处理程序可能以数字方式签署消息、加密消息、创建时间戳记或插入安全性令牌。请求接收方
请求接收方定义 SOAP 消息的安全要求。SOAP 消息的请求接收方端的安全性处理程序实现 IBM 扩展部署描述符 (ibm-webservices-ext.xmi) 和绑定 (ibm-webservices-bnd.xmi) 中定义的安全性规范。响应发送方
响应发送方定义 SOAP 响应消息的安全要求。安全性处理程序根据 IBM 扩展部署描述符中对响应定义的安全性约束来执行操作。响应接收方
响应接收方定义响应的安全要求,该响应接收于对 Web Service 的请求。响应发送方的安全性约束必须与响应接收方的安全要求匹配。如果约束不匹配,那么调用者或发送方不接受响应。SOAP 消息中的身份断言
身份断言是在 SOAP 消息中表达发送方的标识(例如用户名)的方法。当身份断言用作认证方法时,仅根据标识的名称而不根据其他信息(例如,密码和证书)执行认证决策。安全性令牌
安全性令牌表示一组由客户机所作的声明,这可能包括名称、密码、标识、密钥、证书、组和特权等。可插入令牌支持
可插入安全性令牌支持提供插件点以支持客户安全性令牌类型,包括令牌生成、令牌验证以及将客户机标识映射至 Java Platform,Enterprise Edition (Java EE) 权限引擎所使用的 WebSphere Application Server 标识。而且,可插入令牌生成和验证框架支持将基于 XML 的令牌插入 Web Service 消息头中,并在接收方验证上验证该令牌。


http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=container_wssec_concepts_v5_apps
文件名:container_wssec_concepts_v5_apps.html