Java Web 服务: WS-Trust 跟 WS-SecureConversation

Java Web 服务: WS-Trust 和 WS-SecureConversation

简介：?WS-Security 为 SOAP 消息交换添加了企业级的安全特性，但却有大量的性能损失。WS-Trust 构建于 WS-Security 基础上，提供了一种交换安全令牌的方式，WS-SecureConversation 构建于 WS-Security 和 WS-Trust 基础上，改善了进行中的消息交换的性能。

?

WS-Security 构建于成熟的密码学以及 XML 加密及签名的行业标准基础上，为 Web 服务应用程序提供了一整套的安全特性。对于很多应用程序，WS-Security 的特性必不可少，但往往要以牺牲性能为代价。本系列之前的文章探讨了常见的 WS-Security 配置是如何影响主要的开源 Java? Web 服务堆栈（Apache Axis2、Metro 和 Apache CXF）的性能的。

WS-Security 之所以常常伴随性能损失主要是因为大量使用了非对称加密。正如在 “Axis2 WS-Security 签名和加密” 一文中讨论的，非对称加密由于可处理密匙对，因此是一种很有用的工具。密匙对中的一个密匙被用来加密另一个密匙能够解密的消息。密匙对的所有者可以让一个密匙公开可用以便任何人都能使用它来加密发至此所有者的消息，并且还能解密来自此所有者的消息（由此验证发送者的身份）。非对称加密的一个劣势是与对称加密相比，它需要更大的密匙大小以及更多的处理负荷，因为对称加密基于的是只为此次交换中所涉各方所知的单个私密密匙。

当客户机想要开始与服务器交换消息时，它首先会联系此 STS 并建立上下文。此消息，如 图 1 中的消息 1 所示，指定了动作 http://schemas.xmlsoap.org/ws/2005/02/trust/RST/SCT。此响应，消息 2，则向客户机提供了此 SCT。上下文在消息 3 中被引用，由它指定与实际的服务应用程序相关的任何动作。在此时间区间内，这个 SCT 在自此客户机至此服务的任何连续消息中均有效。消息 3 和 4 使用了基于共享秘密的对称加密，客户机和服务之间的所有后续消息也是如此。服务应用程序使用由此客户机提供的上下文引用来直接访问来自这个上下文（由 STS 保存的）的共享秘密。

</wsp:Policy> </sp:SecureConversationToken> </wsp:Policy> </sp:ProtectionToken> <sp:AlgorithmSuite> <wsp:Policy> <sp:Basic128Rsa15/> </wsp:Policy> </sp:AlgorithmSuite> </wsp:Policy> </sp:SymmetricBinding> <sp:EncryptedParts> <sp:Body/> </sp:EncryptedParts> </wsp:All> </wsp:ExactlyOne></wsp:Policy>

?

在 清单 3 中，外面的策略指定了使用对称加密（<sp:SymmetricBinding>）来加密正在交换中的消息的主体（<sp:EncryptedParts> 设置，临近清单底部）。在对称加密策略内，<sp:ProtectionToken> 以及嵌套的 <sp:SecureConversationToken> 元素表明该 WS-SecureConversation 将被用来执行对称加密。

当 STS 被访问时应用的策略是由嵌套在 <sp:SecureConversationToken> 内的 <sp:BootstrapPolicy>（如加粗部分所示）定义的。这个策略只指定了消息主体以及地址头的签名使用 X.509 证书，与本系列前期文章中使用的签名类型相同。

请注意，客户机与 STS 之间交换的消息在策略使用时，并未加密。这就使得我们更容易了解所发生的事情，但是对于实际使用，您可能想要使用 TLS/SSL 传输加密或者 WS-Security 加密来保护这次交换。

?

在 清单 4 中，可以看到此证书从客户机发送到了服务器，并且此证书引用被返回给客户机，且每个方向上的证书被用来验证时间戳和消息主体的签名。对于这种策略配置，客户机证书需要受此 STS 信任，且此 STS 证书必须存在于此客户机的可信存储内。

清单 5 显示了使用了 WS-SecureConversation 的客户机与服务之间的消息交换（经大量编辑后的）：

清单 5. 对服务的请求以及对客户机的响应

?

在 清单 5 中， SecurityContextToken 被包括于每个消息的头部，并由 <wsc:DerivedKeyToken> 元素引用，这些元素给出了获得实际用于签名并加密数据的那些私密密匙所需的参数。

?

结束语

至此，您已经了解了 WS-Trust 和 WS-SecureConversation 的基础知识，本系列的下一篇文章将会谈论 Apache Axis2、Metro 和 Apache CXF Web 服务堆栈上的 WS-SecureConversation 带来的性能益处。并且在获得此性能成果的过程中，您还将看到在这三个堆栈上配置 WS-SecureConversation 的细节。

<!-- CMA ID: 500749 --><!-- Site ID: 10 --><!-- XSLT stylesheet used to transform this file: dw-article-6.0-beta.xsl -->

参考资料

学习

“Using WS-Trust for token transformation”（Laurent Charles，developerWorks，2010 年 3 月）：本文讨论了使用 WS-Trust 进行跨域的安全令牌交换。

了解 Web 服务规范：本系列教程介绍了许多重要的 Web 服务标准，包括： “了解 Web 服务规范: 第 2 部分：Web 服务描述语言 (WSDL)”（Nicholas Chase，developerWorks，2006 年 7 月）“了解 Web 服务规范: 第 4 部分：WS-Security”（Nicholas Chase，developerWorks，2006 年 8 月）“了解 Web 服务规范，第 5 部分: WS-Policy”（Tyler Anderson， developerWorks，2007 年 2 月）
OASIS Web Services Security (WSS) TC：该组织负责 WS-Security 规范和令牌配置文件。您可以从这里找到这些标准的所有版本的链接。

W3C Web Services Policy Working Group：该工作组定义了 WS-Policy 规范。

OASIS Web Services Secure Exchange (WS-SX) TC：该组织负责 WS-SecurityPolicy、WS-SecureConversation 和 WS-Trust。

浏览 技术书店，阅读关于这些和其他技术主题的图书。

developerWorks Java 技术专区：这里有数百篇关于 Java 编程各个方面的文章。

原文：http://www.ibm.com/developerworks/cn/java/j-jws15/

?

?

查看更多 下一篇