OASIS 规范中支持的功能

WebSphere® Application Server V6 支持下列 Web Service 安全性规范和概要文件。

OASIS: Web Services Security: SOAP Message Security 1.0 (WS-Security 2004)

以下列表显示了 WebSphere Application Server V6 支持的 OASIS: Web Services Security: SOAP Message Security 1.0(WS-Security 2004)规范的各个方面。

支持的主题 支持的特定方面
安全性头
  • @S11:actor(对于中介)
  • @S11:mustUnderstand
安全性令牌
  • 用户名令牌(用户名和密码)
  • 二进制安全性令牌(X.509 和轻量级第三方认证(LTPA))
  • 定制令牌
    • 其他二进制安全性令牌
    • XML 令牌
      注: WebSphere Application Server 未提供实现,但是可以使用具有插入点的 XML 令牌。
令牌引用
  • 直接引用
  • 密钥标识
  • 密钥名
  • 嵌入式引用
签名算法
  • 摘要
    SHA1
    http://www.w3.org/2000/09/xmldsig#sha1
  • MAC
    HMAC-SHA1
    http://www.w3.org/2000/09/xmldsig#hmac-sha1
  • 签名
    具有 SHA1 的 DSA
    http://www.w3.org/2000/09/xmldsig#dsa-sha1
    具有 SHA1 的 RSA
    http://www.w3.org/2000/09/xmldsig#rsa-sha1
  • 规范
    规范 XML(具有注释)
    http://www.w3.org/TR/2001/REC-xml-c14n-20010315#WithComments
    规范 XML(不具有注释)
    http://www.w3.org/TR/2001/REC-xml-c14n-20010315
    互斥的 XML 规范(具有注释)
    http://www.w3.org/2001/10/xml-exc-c14n#WithComments
    互斥的 XML 规范(不具有注释)
    http://www.w3.org/2001/10/xml-exc-c14n#
  • 转换
    STR 转换
    http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-soap-message-security-1.0#STR-Transform
    http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-soapmessage- security-1.0#STR-Transform
    XPath
    http://www.w3.org/TR/1999/REC-xpath-19991116
    被包络签名
    http://www.w3.org/2000/09/xmldsig#enveloped-signature
    XPath Filter2
    http://www.w3.org/2002/06/xmldsig-filter2
    解密转换
    http://www.w3.org/2002/07/decrypt#XML
已签署签名的部分
  • WebSphere Application Server 关键字:
    • body,其签署简单对象访问协议(SOAP)消息体
    • timestamp,它签署所有时间戳记
    • securitytoken,它签署所有安全性令牌
    • dsigkey,它签署签名密钥
    • enckey,它签署加密密钥
    • messageid,其签署 WS-Addressing 中的 wsa:MessageID 元素
    • to,其签署 WS-Addressing 中的 wsa:To 元素
    • action,其签署 WS-Addressing 中的 wsa:Action 元素
    • relatesto,其签署 WS-Addressing 中的 wsa:RelatesTo 元素

      wsa 是 http://schemas.xmlsoap.org/ws/2004/08/addressing 的名称空间前缀

  • 在简单对象访问协议(SOAP)消息中选择 XML 元素的 XPath 表达式。有关更多信息,请参阅 http://www.w3.org/TR/1999/REC-xpath-19991116
加密算法
  • 块加密
    • CBC 中的三重 DES:http://www.w3.org/2001/04/xmlenc#tripledes-cbc
    • CBC 中的 AES128:http://www.w3.org/2001/04/xmlenc#aes128-cbc
    • CBC 中的 AES192:http://www.w3.org/2001/04/xmlenc#aes192-cbc

      此算法需要不受限制的 JCE 策略文件。有关更多信息,请参阅加密信息配置设置加密信息名称中的密钥加密算法描述。

    • CBC 中的 AES256:http://www.w3.org/2001/04/xmlenc#aes256-cbc

      此算法需要不受限制的 JCE 策略文件。有关更多信息,请参阅加密信息配置设置加密信息名称中的密钥加密算法描述。

  • 密钥传输
    • RSA V1.5:http://www.w3.org/2001/04/xmlenc#rsa-1_5
  • 对称密钥合并
    • 三重 DES 密钥合并:http://www.w3.org/2001/04/xmlenc#kw-tripledes
    • AES 密钥合并(aes128):http://www.w3.org/2001/04/xmlenc#kw-aes128
    • AES 密钥合并(aes192):http://www.w3.org/2001/04/xmlenc#kw-aes192

      此算法需要不受限制的 JCE 策略文件。有关更多信息,请参阅加密信息配置设置加密信息名称中的密钥加密算法描述。

    • AES 密钥合并(aes256):http://www.w3.org/2001/04/xmlenc#kw-aes256

      此算法需要不受限制的 JCE 策略文件。有关更多信息,请参阅加密信息配置设置加密信息名称中的密钥加密算法描述。

  • Manifests-xenc 是 http://www.w3.org/TR/xmlenc-core 的名称空间前缀
    • xenc:ReferenceList
    • xenc:EncryptedKey

设计高级加密标准(AES)来提供比三重 DES 更强和更好的性能,以用于对称密钥加密。因此,建议您将 AES 用于对称密钥加密(如果可能)。

加密消息部件
  • WebSphere Application Server 关键字
    • bodycontent,用来对 SOAP 主体内容进行加密
    • usernametoken,用来对用户名令牌进行加密
    • digestvalue,用来对数字签名的摘要值进行加密
  • 用来选择 SOAP 消息中的 XML 元素的 XPath 表达式
    • XML 元素
    • XML 元素内容
时间戳记
  • Web Service 安全性头中
  • WebSphere Application Server 已扩展为允许将时间戳记插入到其他元素中,因此,可以确定那些元素的寿命。
错误处理 SOAP 故障

OASIS: Web Service Security: UsernameToken Profile 1.0

以下列表显示了 WebSphere Application Server V6 支持的 OASIS: Web Services Security: UsernameToken Profile 1.0 规范的各个方面。

支持的主题 支持的特定方面
密码类型 文本
令牌引用 直接引用

OASIS: Web Service Security X.509 Certificate Token Profile

以下列表显示了 WebSphere Application Server V6 支持的 OASIS: Web Services Security X.509 Certificate Token Profile 规范的各个方面。

支持的主题 支持的特定方面
令牌类型
  • X.509 V3:单个证书

    http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509- token-profile-1.0#X509v3

  • X.509 V3:不具有证书撤销列表(CRL)的 X509PKIPathv1

    http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509- token-profile-1.0#X509PKIPathv1

  • X.509 V3:具有或不具有 CRL 的 PKCS7。IBM® 软件开发包(SDK)对这两者都支持。Sun Java™ Development Kit(JDK)仅支持不带 CRL 的 PKCS7。
令牌引用
  • 密钥标识 - 主题密钥标识
  • 直接引用
  • 定制引用 - 发布者名称和序列号

不支持的功能

以下列表显示了在 OASIS 规范、OASIS 草稿以及其他建议中受支持但是不受 WebSphere Application Server V6 支持的功能:
  • 具有 Web Service 安全性的非受管客户机。例如,Java 2 Platform, Standard Edition(J2SE)客户机或动态调用接口(DII)客户机
  • 在应用程序安装过程期间不收集 Web Service 安全性绑定。可以在部署应用程序后进行配置。
  • SOAP 附件的 Web Service 安全性
  • SAML 令牌概要文件、WS-SecurityKerberos 令牌概要文件和 XrML 令牌概要文件
  • Web Service 互操作性组织(WS-I)基本安全概要文件
  • XML 包络数字签名
  • XML 包络数字加密
  • 安全性头
    • @S12:role

      S12 是 http://www.w3.org/2003/05/soap-envelope 的名称空间前缀

  • 不支持以下用于数字签名的传输算法:
    • XSLT:http://www.w3.org/TR/1999/REC-xslt-19991116
    • SOAP 消息规范化

      有关更多信息,请参阅 SOAP V1.2 消息规范化

  • 不支持以下用于加密的密钥传输算法:
  • 不支持以下用于加密的密钥协议算法:
  • 不支持以下用于加密的规范算法,其在 XML 加密规范中是可选的:
    • 具有或不具有注释的规范 XML
    • 具有或不具有注释的互斥的 XML 规范
  • 在 Username Token V1.0 概要文件规范中,不支持摘要密码类型。
相关参考
加密信息配置设置加密信息名称

反馈