OASIS 规范中支持的功能
应用程序服务器支持“结构化信息标准促进组织 (OASIS) Web Service 安全性(WS-Security)”规范。
- OASIS: Web Services Security: SOAP Message Security 1.1 (WS-Security 2004) OASIS Standard Specification, 1 February 2006
- OASIS: Web Services Security UsernameToken Profile 1.1 (Standard Specification, 1 February 2006)
- OASIS: Web Services Security X.509 Certificate Token Profile 1.1 (Standard Specification, 1 February 2006)
WS-SecurityPolicy 支持仅可用于 Web Services Metadata Exchange (WS-MetadataExchange) 方案,其中 WSDL 文件中嵌有声明。 有关更多信息,请阅读“WS-MetadataExchange 请求”主题。
OASIS: Web Services Security SOAP Message Security 1.0 和 1.1
下表显示在 WebSphere Application Server V6 和更高版本中支持的 OASIS: Web Services Security: SOAP Message Security 1.0 和 1.1 规范的各个方面。
支持的主题 | 支持的特定方面 |
---|---|
安全性头 |
|
安全性令牌 |
|
令牌引用 |
|
签名 | 签名确认 |
签名算法 |
|
仅用于 JAX-RPC 已签署签名的部分 |
|
仅用于 JAX-WS 签名消息部分 |
|
加密 | EncryptedHeader 元素 |
加密算法 | 要点: 您的产地国对加密软件的进口、拥有、使用或再次出口到其他国家可能有一些限制。下载或使用未限制的策略文件之前,必须检查您的国家或地区的法律、规章以及对加密软件进行进口、拥有、使用和再次出口的相关政策,从而确定是否可以使用该文件。
高级加密标准 (AES) 能够比三重 DES(数据加密标准)提供更强大和性能更高的对称密钥加密。因此,建议您将 AES 用于对称密钥加密(如果可能)。 |
仅用于 JAX-RPC 的加密消息部分 |
|
仅用于 JAX-WS 的加密消息部分 |
|
时间戳记 |
|
错误处理 | SOAP 故障
|
OASIS:Web Service 安全性 UsernameToken 概要文件 1.0
下表显示在 WebSphere Application Server 中支持的 OASIS:Web Service 安全性 Username 令牌概要文件 1.0 规范的各个方面。
支持的主题 | 支持的特定方面 |
---|---|
密码类型 | 文本 |
令牌引用 | 直接引用 |
OASIS: Web Services Security UsernameToken Profile 1.1
下表显示在 WebSphere Application Server 中支持的 OASIS: Web Services Security Username Token Profile 1.1 规范的各个方面。未列示先前 Web Services Security UsernameToken Profile 1.0 支持的项,但它们仍然受支持,除非另有声明。
支持的主题 | 支持的特定方面 |
---|---|
密码类型 | 文本 |
令牌引用 | 直接引用 |
OASIS: Web Services Security X.509 Certificate Token Profile 1.0
下表显示在 WebSphere Application Server V6 和更高版本中支持的 OASIS: Web Services Security X.509 Certificate Token Profile 规范的各个方面。
支持的主题 | 支持的特定方面 |
---|---|
令牌类型 |
|
令牌引用 |
|
OASIS: Web Services Security X.509 Certificate Token Profile 1.1
下表显示在 WebSphere Application Server 中支持的 OASIS: Web Services Security X.509 Certificate Token Profile 1.1 规范的各个方面。未列示先前 Web Services Security X.509 Certificate Token Profile 1.0 支持的项,但它们仍然受支持,除非另有声明。
支持的主题 | 支持的特定方面 |
---|---|
令牌类型 | X.509 V1:单个证书 |
令牌引用 | 密钥标识 - 主体集密钥标识
|
OASIS: Web Services Security Kerberos Token Profile 1.1
下表说明了 WebSphere Application Server 中支持的 OASIS: Web Services Security Kerberos Token Profile 1.1 规范的各个方面。
支持的主题 | 支持的特定方面 |
---|---|
令牌类型 |
|
令牌引用 |
|
OASIS: Web Services Security WS-Secure Conversation Draft 和 V1.3
下表显示在 WebSphere Application Server V6.1 Feature Pack for Web Services 和更高版本中支持的 OASIS: WS-SecureConversation 规范的各个方面。WebSphere Application Server V7.0 和更高版本中提供规范 V1.3 的支持。
支持的主题 | 支持的特定方面 |
---|---|
令牌类型 |
|
令牌引用 | 直接引用 |
安全上下文的建立 | WebSphere Application Server 中嵌入的安全性令牌服务所创建的安全上下文令牌。 |
更新上下文 | 令牌即将到期时的自动更新。 |
取消上下文 | 显式的取消请求支持。 |
派生的密钥 | 以下信息用于从安全上下文中派生使用共享密钥的密钥:
|
错误处理 | SOAP 故障包括:
|
OASIS: Web Services Security WS-Trust V1.0 草稿和 V1.3
下表显示在 WebSphere Application Server V6.1 Feature Pack for Web Services 和更高版本中支持的 OASIS: Web Services Security: WS-Trust V1.0 草稿和 V1.3 规范的各个方面。
支持的主题 | 支持的特定方面 |
---|---|
名称空间 | http://schemas.xmlsoap.org/ws/2005/02/trust |
请求头 | /wsa:Action 有效选项包括:
|
请求元素和属性 | /wst:RequestSecurityToken /wst:RequestSecurityToken/@Context /wst:RequestSecurityToken/wst:RequestType
/wst:RequestSecurityToken/wst:TokenType
|
响应头 | /wsa:Action 有效选项包括:
|
响应元素和属性 | /wst:RequestSecurityTokenResponse /wst:RequestSecurityTokenResponse/@Context /wst:RequestSecurityTokenResponse/wst:TokenType /wst:RequestSecurityTokenResponse/wst:RequestedSecurityToken /wst:RequestSecurityTokenResponse/wsp:AppliesTo /wst:RequestSecurityTokenResponse/wst:RequestedSecurityToken /wst:RequestSecurityTokenResponse/wst:RequestedAttachedReference /wst:RequestSecurityTokenResponse/wst:RequestedUnattachedReference /wst:RequestSecurityTokenResponse/wst:RequestedProofToken /wst:RequestSecurityTokenResponse/wst:Entropy /wst:RequestSecurityTokenResponse/wst:Entropy/wst:BinarySecret /wst:RequestSecurityTokenResponse/wst:Entropy/wst:BinarySecret/@Type /wst:RequestSecurityTokenResponse/wst:Lifetime /wst:RequestSecurityTokenResponse/wst:Lifetime/wsu:Created /wst:RequestSecurityTokenResponse/wst:Lifetime/wsu:Expires /wst:RequestSecurityTokenResponse/wst:RequestedProofToken/wst:ComputedKey /wst:RequestSecurityTokenResponse/wst:KeySize /wst:RequestSecurityTokenResponse/wst:Renewing /wst:RequestSecurityTokenResponse/wst:Renewing/@Allow /wst:RequestSecurityTokenResponse/wst:Renewing/@OK /wst:RequestSecurityTokenResponse/wst:RequestedTokenCancelled /wst:RequestSecurityTokenResponse/wst:Status /wst:RequestSecurityTokenResponse/wst:Status
/wst:RequestSecurityTokenResponse/wst:Status/wst:Code
/wst:RequestSecurityTokenResponse/wst:Status/wst:Reason |
错误处理 | wst:InvalidRequest wst:FailedAuthentication wst:RequestFailed wst:InvalidSecurityToken wst:AuthenticationBadElements wst:BadRequest wst:ExpiredData wst:InvalidTimeRange wst:InvalidScope wst:RenewNeeded wst:UnableToRenew |
支持的主题 | 支持的特定方面 |
---|---|
名称空间 | http://docs.oasis-open.org/ws-sx/ws-trust/200512 |
请求头 | /wsa:Action 有效选项包括:
|
请求元素和属性 | /wst:RequestSecurityToken /wst:RequestSecurityToken/@Context /wst:RequestSecurityToken/wst:RequestType
/wst:RequestSecurityToken/wst:TokenType
|
响应头 | /wsa:Action 有效选项包括:
|
响应元素和属性 | /wst:RequestSecurityTokenResponse /wst:RequestSecurityTokenResponse/@Context /wst:RequestSecurityTokenResponse/wst:TokenType /wst:RequestSecurityTokenResponse/wst:RequestedSecurityToken /wst:RequestSecurityTokenResponse/wsp:AppliesTo /wst:RequestSecurityTokenResponse/wst:RequestedSecurityToken /wst:RequestSecurityTokenResponse/wst:RequestedAttachedReference /wst:RequestSecurityTokenResponse/wst:RequestedUnattachedReference /wst:RequestSecurityTokenResponse/wst:RequestedProofToken /wst:RequestSecurityTokenResponse/wst:Entropy /wst:RequestSecurityTokenResponse/wst:Entropy/wst:BinarySecret /wst:RequestSecurityTokenResponse/wst:Entropy/wst:BinarySecret/@Type /wst:RequestSecurityTokenResponse/wst:Lifetime /wst:RequestSecurityTokenResponse/wst:Lifetime/wsu:Created /wst:RequestSecurityTokenResponse/wst:Lifetime/wsu:Expires /wst:RequestSecurityTokenResponse/wst:RequestedProofToken/wst:ComputedKey /wst:RequestSecurityTokenResponse/wst:KeySize /wst:RequestSecurityTokenResponse/wst:Renewing /wst:RequestSecurityTokenResponse/wst:Renewing/@Allow /wst:RequestSecurityTokenResponse/wst:Renewing/@OK /wst:RequestSecurityTokenResponse/wst:RequestedTokenCancelled /wst:RequestSecurityTokenResponse/wst:Status /wst:RequestSecurityTokenResponse/wst:Status/wst:Code
/wst:RequestSecurityTokenResponse/wst:Status/wst:Reason |
错误处理 | wst:InvalidRequest wst:FailedAuthentication wst:RequestFailed wst:InvalidSecurityToken wst:AuthenticationBadElements wst:BadRequest wst:ExpiredData wst:InvalidTimeRange wst:InvalidScope wst:RenewNeeded wst:UnableToRenew |
WebSphere Application Server 不支持的功能
- Web Service 安全性:带附件的 SOAP 消息 (SwA) 概要文件 1.0注: 当使用 JAX-WS 编程模块时,确保 SOAP 消息传输优化机制 (MTOM) 安全的附件受到支持。有关更多信息,请参阅“启用 JAX-WS Web Service 的 MTOM”主题。
- XrML 令牌概要文件
- XML 包络数字签名
- XML 包络数字加密
- WebSphere Application Server 不支持如下 WS-SecureConversation 功能:
- 不支持用于建立安全上下文的两种方法:1) 由通信方之一创建且通过消息传播的安全上下文令牌和 2) 通过导航或交换创建的安全上下文令牌。
- SCT 传播
- 修订安全上下文
- 不支持以下用于数字签名的变换算法:
- XSLT:http://www.w3.org/TR/1999/REC-xslt-19991116
- SOAP 消息规范化
有关移除了 mustUnderstand=false 的空头或头项之类的信息,请参阅 SOAP Version 1.2 Message Normalization。
- 解密转换
- 不支持以下用于加密的密钥协议算法:
- 不支持以下用于加密的规范算法,其在 XML 加密规范中是可选的:
- 具有或不具有注释的规范 XML
- 具有或不具有注释的专用 XML 规范化
- 不支持 DSA 数字签名。
- 不支持预先同意的对称密钥数据加密。
- 不支持审计数字签名的不可抵赖性。
- 在 Username Token 概要文件规范的两个版本中,都不支持摘要密码类型。
- 在 Username Token V1.1 概要文件规范中,不支持基于密码派生密钥。
WS-Trust V1.0 草稿和 V1.3 所不支持的功能
下表显示 WebSphere Application Server V6.1 Feature Pack for Web Services 和更高版本中不受支持的 OASIS: Web Services Security: WS-Trust V1.0 草稿和 V1.3 规范的各个方面。
不受支持的主题 | 不受支持的特定方面 |
---|---|
元素和属性 | /wst:RequestSecurityToken/wst:Entropy/wst:BinarySecret/@Type 不受支持的请求选项:
|
响应元素和属性 | /wst:RequestSecurityTokenResponseCollection /wst:RequestSecurityTokenResponseCollection/wst:RequestSecurityTokenResponse |
不受支持的主题 | 不受支持的特定方面 |
---|---|
元素和属性 | /wst:RequestSecurityToken/wst:Entropy/wst:BinarySecret/@Type 不受支持的请求选项:
|
响应头 | /wsa:Action 不受支持的响应:
|