XML和Web服务安全

　　本文介绍在Sun公司提供的JWSDP1.6版本中提供的消息级别安全.

　　本版为消息级别安全使用XML和Web服务安全(XWS-Security),在消息级别安全中,安全信息包含在SOAP消息和/或SOAP消息附件中,这允许安全信息和消息或附件一起传递.例如消息的一部分由发送者签名并加密给一个特定的接收者,当消息从最初的发送者发送时,它要通过中间节点在抵达它期望的接收者之前.在这个场景中,加密的部分对中间节点一直是不透明的并且只能由期望的接收者解密,由于这个原因,消息级别的安全有时也称为端到端安全.

　　概览

　　Sun 公司发布的XWS-Security，包括下列特性：

　　

• 在service, port, and operation级别上支持保护JAX-RPC应用．

  　　XWS-Security APIs 既保护JAX-RPC应用也保护利用SAAJ APIs的单独应用，这个应用要是没有使用SOAP消息的话．一个JAX-RPC应用开发者能保护应用通过签名，查核，加密和／或解密部分SOAP消息和附件的样本安全框架．消息发送者也能声明安全属性通过和消息关联的安全标记，一个安全声明的例子是发送者的标记，通过用户名称和口令标记的．

  　　

• 支持SAML标记和部分WSS SAML标记概要．

  　　

• 支持基于WSS SwA概要草案的附件保护．

  　　

• 部分支持发送和接收WS-I基本安全概要(BSP) 1.0兼容的消息.

  　　

• 增强SecurityConfiguration方案.

  　　

• 使用这个框架的例子程序演示．

  　　

• 为keystore管理提供了实用的命令行工具，包括pkcs12import和keyexport.

　　本XWS-Security实现基于Oasis Web Services Security (WSS) 规范,你能查看下面这个URL：

　　http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-soap-message-security-1.0.pdf