DIV CSS 佈局教程網

 DIV+CSS佈局教程網 >> 網頁腳本 >> XML學習教程 >> XML詳解 >> XML和Web服務安全
XML和Web服務安全
編輯:XML詳解     

本文介紹在Sun公司提供的JWSDP1.6版本中提供的消息級別安全.


本版為消息級別安全使用XML和Web服務安全(XWS-Security),在消息級別安全中,安全信息包含在SOAP消息和/或SOAP消息附件中,這允許安全信息和消息或附件一起傳遞.例如消息的一部分由發送者簽名並加密給一個特定的接收者,當消息從最初的發送者發送時,它要通過中間節點在抵達它期望的接收者之前.在這個場景中,加密的部分對中間節點一直是不透明的並且只能由期望的接收者解密,由於這個原因,消息級別的安全有時也稱為端到端安全.


概覽


Sun 公司發布的XWS-Security,包括下列特性:



  • 在service, port, and Operation級別上支持保護JAX-RPC應用.
    XWS-Security APIs 既保護JAX-RPC應用也保護利用SAAJ APIs的單獨應用,這個應用要是沒有使用SOAP消息的話.一個JAX-RPC應用開發者能保護應用通過簽名,查核,加密和/或解密部分SOAP消息和附件的樣本安全框架.消息發送者也能聲明安全屬性通過和消息關聯的安全標記,一個安全聲明的例子是發送者的標記,通過用戶名稱和口令標記的.
  • 支持SAML標記和部分WSS SAML標記概要.
  • 支持基於WSS SwA概要草案的附件保護.
  • 部分支持發送和接收WS-I基本安全概要(BSP) 1.0兼容的消息.
  • 增強SecurityConfiguration方案.
  • 使用這個框架的例子程序演示.
  • 為keystore管理提供了實用的命令行工具,包括pkcs12import和keyeXPort.

本XWS-Security實現基於Oasis Web Services Security (WSS) 規范,你能查看下面這個URL:
http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-soap-message-security-1.0.pdf


XWS-Security實現的規范
XWS-Security是一個實現了OASIS的WSS規范,WSS定義一個SOAP擴展,用於通過消息完整性,消息機密度以及消息認證來提供保護品質.WSS 機制能用於完成各種廣泛的安全模型和加密技術.WSS規范還定義了一個端到端安全框架,它提供支持中間安全處理.消息完整性通過使用XML簽名連同安全標識來確保消息在傳輸過程中不被篡改.消息機密性通過XML加密連同作為SOAP消息秘密部分的安全標識提供.


在本版中,XWS-Security框架提供下面的選項來保護JAX-RPC應用:
XML Digital Signature (DSig)
XML Encryption (XML-Enc)
UsernameToken Verification
XWS-Security Framework APIs
XWS-Security基於的技術
XWS-Security APIs 用來保護基於JAX-RPC的Web services和基於SAAJ的單獨應用程序,本版XWS-Security基於標准的XML Digital Signature和非標准XML Encryption APIs,它受新版技術的影響.隨著JSR-106的確定,JSR-106-XML Digital Encryption APIs將會取代它.


和其它Web服務的互操作性
本發布部分支持WS-I Basic Security Profile 1.0 (BSP)來實現互操作性,計劃在XWS-Security2的FCS版中完全支持.

XWS-Security框架是什麼?
它用來保護JAX-RPC和單獨SAAJ應用程序.使用XWS-Security保護SOAP消息(請求和響應)通過簽名某些部分,或者加密某些部分,或者發送用戶口令鑒定信息,或者這些項的雜合.
使用XWS-Security框架保護JAX-RPC應用是通過wscompile工具的-security選項,當你為JAX-RPC客戶和服務創建一個asant (or ant)目標的時候,wscompile工具生成stubs,tIEs, serializers, 和WSDL等文件.
注意:對於JAX-RPC的2.0版,JAX-RPC將重命名為JAX-WS.在今年晚些時候JAX-WS將成為XWS-Security 2.0 FCS的一部分.發生這些情況的時候, wscompile工具將被替換,因此為那些例子應用設計的步驟和build.XML等文件都將需要修改.


XWS-Security通過使用security configuration文件被集成到JAX-RPC中了. 在客戶端和服務器端執行安全操作的代碼由JAXRPC wscompile工具生成,它接收-security選項提供的security configuration文件.wscompile工具借助-security選項指定的security configuration文件指示生成安全代碼.
要使用XWS-Security 框架,就要設置客戶端和服務器端基礎結構.為XWS-Security設置你的系統的一個關鍵部件就是為你要使用的安全類型(DSig, XML-Enc, UserName Token)設置適當的數據庫,這依賴於你的應用結構,那麼數據庫是一些keystore文件,truststore文件以及usernamepassWord等文件的組合.


配置安全配置文件
XWS-Security使用安全配置文件描述安全配置以簡化指定客戶和服務器端配置.
在本指南中,build, package, and deploy targets等過程使用asant工具定義和運行.工具asant是apache Ant基於Java的構建工具特定於SJSAS的定制版本,如果要發布到不同的容器,需要使用apache Ant工具代替.
配置安全配置文件有以下步驟:



  • 創建一個安全配置文件.
  • 在build.XML文件中為你的應用創建一個asant (或ant)目標,它使用安全配置文件.
  • 在創建build.propertIEs文件中創建一個屬性來指定客戶和服務器端分別使用的安全配置文件.
理解安全配置文件
怎樣給Build文件指定安全配置?
XML學習教程| jQuery入門知識| AJAX入門| Dreamweaver教程| Fireworks入門知識| SEO技巧| SEO優化集錦|
Copyright © DIV+CSS佈局教程網 All Rights Reserved