16.7.4 对SOAP报文体进行加密
虽然通过数字签名解决了完整性和不可抵赖性的安全问题,但报文体还 是以明文的方式进行发送,在传输过程中,报文的内容有可能被监视,保密性得不到保证。如果报文体中包含了一些敏感内容,则发送者希望报文的内容能以加密的 方式进行传输,防止窥视。通过对SOAP报文体进行加密,即可解决保密性的问题。
客户端使用服务端的公钥对请求SOAP报文进行加密,服务端公钥 包含在服务端的数字证书中。clientStore.jks中服务端数字证书的别名为server,访问服务端数字证书不需要密码。服务端需要使用私钥进 行解密,服务端私钥包含在服务端的密钥对中,在serverStore.jks中服务端密钥对的别名为server,访问私钥的密码为 serverpass。
在XFire中对SOAP报文体进行加密解密需要解决的主要问题就是注册相应的Handler,并为其提供相应的访问密钥信息。
服务端
服务端处理加密的SOAP请求报文前,需要通过Handler将其解密。解密的操作需要访问serverStore.jks的server私钥,所以要进行相应的配置,如代码清单16-17所示:
通过insecurity_enc.properties属性文件指定访问serverStore.jks的信息,包括访问密码和密钥库文件的位置,如下所示:
由于加密的SOAP请求报文本身包含了加密时所使用的server数字证书的信息,因此 WSS4JInHandler可以获取数字证书对应的用户(即server密钥对的别名)。但访问私钥需要密码,所以还是必须提供一个密码回调类,以获取 server私钥的访问密码,如代码清单 16-17中③所示。PasswordHandler密码回调类如代码清单16-18所示:
客户端
客户端通过注册OutHandler使用server数字证书中的公钥对报文体进行加密,server数字证书不需要访问密钥,因此客户端只需要指定访问server数字证书的必要信息即可:
outsecurity_enc.properties定义了访问clientStore.jks的必要信息,包括密钥库访问密码、密钥库文件位置:
运行BbtForumServiceEncClient,观察加密后的SOAP请求报文,其结构如下所示:
1 <soap:Envelope> 2 <soap:Header> 3 <wsse:Security> 4 <xenc:EncryptedKey Id="EncKeyId-4694228"> 5 <xenc:EncryptionMethod 6 Algorithm="http://www.w3.org/2001/04/xmlenc#rsa-1_5 " /> 7 <ds:KeyInfo> 8 <wsse:SecurityTokenReference> 9 <ds:X509Data> 10 <ds:X509IssuerSerial> 11 <ds:X509IssuerName> 12 CN=server 13 </ds:X509IssuerName> 14 <ds:X509SerialNumber> 15 1176124843 16 </ds:X509SerialNumber> 17 </ds:X509IssuerSerial> 18 </ds:X509Data> 19 </wsse:SecurityTokenReference> 20 </ds:KeyInfo> 21 <xenc:CipherData> 22 <xenc:CipherValue> 23 Gos2iKQS… 24 </xenc:CipherValue> 25 </xenc:CipherData> 26 <xenc:ReferenceList> 27 <xenc:DataReference URI="#EncDataId-18687346" /> 28 </xenc:ReferenceList> 29 </xenc:EncryptedKey> 30 </wsse:Security> 31 </soap:Header> 32 <soap:Body> 33 <xenc:EncryptedData Id="EncDataId-18687346"> 34 <xenc:EncryptionMethod 35 Algorithm="http://www.w3.org/2001/04/xmlenc#aes128-cbc"/ > 36 <xenc:CipherData> 37 <xenc:CipherValue> 38 CCwZvucWxtuHgMxkvEZnZ… 39 </xenc:CipherValue> 40 </xenc:CipherData> 41 </xenc:EncryptedData> 42 </soap:Body> 43 </soap:Envelope> |
BbtForumServiceEncClient对SOAP加密主要完成了以下几个操作:
soap:Body的内容被加密(32~42);
使用的算法是aes128-cbc对称加密算法(35);
对称密钥被公钥加密后也包含在该消息中传输(21~25),其使用的加密算法是RSA (6);
使用server的数字证书对对称密钥进行RSA加密(8-19)。