簽名和加密政策

Question

我需要實現一個jax-ws客戶端。

這裏是供應商文檔說有關安全

目前，我們使用SOAP消息安全1.0版規範的 http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-soap-message-security-1.0.pdf

本標準採用兩位來自W3C規範其他：
XMLENC（ http://www.w3.org/TR/2002/REC-xmlenc-core-20021210/）
和XMLDSIG（http://www.w3.org/TR/2002/REC-xmldsig-core-20020212/）

對於簽名，使用指定X509的「URI」和「valueType」的直接 「引用」的「SecurityTokenReference」是強制性的。對於 的加密，我們也推薦它，但我們也支持 首選項對keyIdentifier，X509IssuerSerial或keyName的引用。

加密和簽名塊必須是「body」標籤。

我們推薦使用：「rsa-sha1」用於簽名，「rsa-1_5」用於 加密密鑰，「tripledes-cbc」用於加密主體。

所以我想出了以下策略（由netbeans生成）。但是......它看起來並不適合我。 Web服務尚未到達，但我不確定規格版本是否匹配。我在這個主題上讀了很多，但我仍然有些困惑。這個政策看起來好嗎？

<wsp1:Policy wsu:Id="ListeOperationsPeriodeSoapBindingSoapPolicy"> 
    <wsp1:ExactlyOne> 
     <wsp1:All> 
      <sp:TransportBinding> 
       <wsp1:Policy> 
        <sp:TransportToken> 
         <wsp1:Policy> 
          <sp:HttpsToken RequireClientCertificate="false"/> 
         </wsp1:Policy> 
        </sp:TransportToken> 
        <sp:Layout> 
         <wsp1:Policy> 
          <sp:Lax/> 
         </wsp1:Policy> 
        </sp:Layout> 
        <sp:AlgorithmSuite> 
         <wsp1:Policy> 
          <sp:TripleDesRsa15/> 
         </wsp1:Policy> 
        </sp:AlgorithmSuite> 
       </wsp1:Policy> 
      </sp:TransportBinding> 
      <sp:Wss10/> 
      <sp:EndorsingSupportingTokens> 
       <wsp1:Policy> 
        <sp:X509Token sp:IncludeToken="http://schemas.xmlsoap.org/ws/2005/07/securitypolicy/IncludeToken/AlwaysToRecipient"> 
         <wsp1:Policy> 
          <sp:WssX509V3Token10/> 
         </wsp1:Policy> 
        </sp:X509Token> 
       </wsp1:Policy> 
      </sp:EndorsingSupportingTokens> 

     </wsp1:All> 
    </wsp1:ExactlyOne> 
</wsp1:Policy> 
<wsp:Policy wsu:Id="ListeOperationsPeriodeSoapBindingSoap_perform_Input_Policy"> 
    <wsp:ExactlyOne> 
     <wsp:All> 
      <sp1:SignedEncryptedSupportingTokens> 
       <wsp:Policy> 
        <sp1:X509Token sp1:IncludeToken="http://docs.oasis-open.org/ws-sx/ws-securitypolicy/200702/IncludeToken/AlwaysToRecipient"> 
         <wsp:Policy> 
          <sp1:WssX509V3Token10/> 
         </wsp:Policy> 
        </sp1:X509Token> 
       </wsp:Policy> 
      </sp1:SignedEncryptedSupportingTokens> 
     </wsp:All> 
    </wsp:ExactlyOne> 

</wsp:Policy> 

編輯： 我無法得到它發送與預期的消息WSIT-呢。例如，使用Netbeans嚮導，如果不使用尋址，我無法獲得加密的標頭。它應該是可能的嗎？

我用舊軸1類和wss4j破解了一些東西，但它很有效，但它很醜，我寧願使用更多的面向未來的東西。

Answer 1

也許你想試用CXF而不是WSIT？ http://cxf.apache.org/docs/ws-security.html

Answer 2

你看起來確實很困惑。一般來說，你應該有一個單一的政策。在您的情況下，您可能會接受不安全的Web服務調用，因爲您有一個定義傳輸綁定（https）的策略，而另一個則不是。

此外，由於您有一個傳輸綁定，這意味着整個主體將通過傳輸協議（https）進行加密。您不需要明確指定主體加密。實際上，這個綁定會加密除了http頭之外的所有內容。

傳輸綁定確實是獲得安全Web服務的最簡單方法。如果您想要完全控制，您必須根據自己的需要編寫自己的對稱或非對稱綁定。不對稱更復雜，因爲它需要雙方的證書，而不對稱需要服務器證書（接受匿名客戶端）。不對稱和對稱綁定需要謹慎。它們的設計非常靈活，並且可以讓您設計任何策略，即使易受某些攻擊。

當不使用傳輸綁定時，則必須指定正文必須加密。正如規格說明：

sp:EncryptedParts/sp:Body 

或翻譯成XML：

<sp:EncryptedParts> 
    <sp:Body/> 
</sp:EncryptedParts> 

同樣，如果你想身體簽名：

<sp:SignedParts> 
    <sp:Body/> 
</sp:SignedParts> 

有更多的選項來指定簽名/加密順序，是否加密簽名等。

顧名思義，policie例如sp：EndorsingSupportingToken適用於支持令牌。我熟悉的類型是可以包含在Web服務請求中的用戶名令牌。

WS-SecurityPolicy specification是我閱讀了解政策的單一最有用的文檔。你應該花時間仔細閱讀。它詳細介紹了相關內容，幷包含有用的示例。閱讀不同版本的文檔是很好的，因爲某些方面會在更新的版本中得到更好的記錄。注意我鏈接了v1.3。

設置Web服務客戶端和服務器並編寫簡單的測試。特別是如果你是網絡服務新手。

一個工具，可以幫助你快速制定政策是SoapUI。它並不支持我所需要的，但它幫助我學習了一些東西。它有一個偉大的用戶界面，它不是很難使用。

獲取一些示例或構建一些示例，然後在規範的幫助下解構它們。

我發現政策相當複雜。準備好吸收很多概念！