16.7.4 对SOAP报文体进行加密
虽然通过数字签名解决了完整性和不可抵赖性的安全问题,但报文体还
是以明文的方式进行发送,在传输过程中,报文的内容有可能被监视,保密性得不到保证。如果报文体中包含了一些敏感内容,则发送者希望报文的内容能以加密的
方式进行传输,防止窥视。通过对SOAP报文体进行加密,即可解决保密性的问题。
客户端使用服务端的公钥对请求SOAP报文进行加密,服务端公钥
包含在服务端的数字证书中。clientStore.jks中服务端数字证书的别名为server,访问服务端数字证书不需要密码。服务端需要使用私钥进
行解密,服务端私钥包含在服务端的**对中,在serverStore.jks中服务端**对的别名为server,访问私钥的密码为
serverpass。
在XFire中对SOAP报文体进行加密解密需要解决的主要问题就是注册相应的Handler,并为其提供相应的访问**信息。
服务端
服务端处理加密的SOAP请求报文前,需要通过Handler将其解密。解密的操作需要访问serverStore.jks的server私钥,所以要进行相应的配置,如代码清单16-17所示:
通过insecurity_enc.properties属性文件指定访问serverStore.jks的信息,包括访问密码和**库文件的位置,如下所示:
由于加密的SOAP请求报文本身包含了加密时所使用的server数字证书的信息,因此
WSS4JInHandler可以获取数字证书对应的用户(即server**对的别名)。但访问私钥需要密码,所以还是必须提供一个密码回调类,以获取
server私钥的访问密码,如代码清单 16-17中③所示。PasswordHandler密码回调类如代码清单16-18所示:
客户端
客户端通过注册OutHandler使用server数字证书中的公钥对报文体进行加密,server数字证书不需要访问**,因此客户端只需要指定访问server数字证书的必要信息即可:
outsecurity_enc.properties定义了访问clientStore.jks的必要信息,包括**库访问密码、**库文件位置:
运行BbtForumServiceEncClient,观察加密后的SOAP请求报文,其结构如下所示:
1 <soap:Envelope>
2 <soap:Header>
3 <wsse:Security>
4 <xenc:EncryptedKey Id="EncKeyId-4694228">
5 <xenc:EncryptionMethod
6 Algorithm="http://www.w3.org/2001/04/xmlenc#rsa-1_5
" />
7 <ds:KeyInfo>
8 <wsse:SecurityTokenReference>
9 <ds:X509Data>
10 <ds:X509IssuerSerial>
11 <ds:X509IssuerName>
12 CN=server
13 </ds:X509IssuerName>
14 <ds:X509SerialNumber>
15 1176124843
16 </ds:X509SerialNumber>
17 </ds:X509IssuerSerial>
18 </ds:X509Data>
19 </wsse:SecurityTokenReference>
20 </ds:KeyInfo>
21 <xenc:CipherData>
22 <xenc:CipherValue>
23 Gos2iKQS…
24 </xenc:CipherValue>
25 </xenc:CipherData>
26 <xenc:ReferenceList>
27 <xenc:DataReference URI="#EncDataId-18687346" />
28 </xenc:ReferenceList>
29 </xenc:EncryptedKey>
30 </wsse:Security>
31 </soap:Header>
32 <soap:Body>
33 <xenc:EncryptedData Id="EncDataId-18687346">
34 <xenc:EncryptionMethod
35 Algorithm="http://www.w3.org/2001/04/xmlenc#aes128-cbc"/
>
36 <xenc:CipherData>
37 <xenc:CipherValue>
38 CCwZvucWxtuHgMxkvEZnZ…
39 </xenc:CipherValue>
40 </xenc:CipherData>
41 </xenc:EncryptedData>
42 </soap:Body>
43 </soap:Envelope>
|
BbtForumServiceEncClient对SOAP加密主要完成了以下几个操作:
soap:Body的内容被加密(32~42);
使用的算法是aes128-cbc对称加密算法(35);
对称**被公钥加密后也包含在该消息中传输(21~25),其使用的加密算法是RSA (6);
使用server的数字证书对对称**进行RSA加密(8-19)。
