16.7.4 对SOAP报文体进行加密

作者: 陈雄华 出处:电子工业出版社博文视点 　2007-08-14 15:39　   砖    好    评论  条 　进入论坛

阅读提示：《精通Spring 2.x——企业应用开发详解》第16章简明扼要地介绍了XFire体系结构以及在Spring中通过XFire实施WS-Security等.本节介绍了对SOAP报文体进行加密.

16.7.4  对SOAP报文体进行加密
虽然通过数字签名解决了完整性和不可抵赖性的安全问题，但报文体还是以明文的方式进行发送，在传输过程中，报文的内容有可能被监视，保密性得不到保证。如果报文体中包含了一些敏感内容，则发送者希望报文的内容能以加密的方式进行传输，防止窥视。通过对SOAP报文体进行加密，即可解决保密性的问题。
客户端使用服务端的公钥对请求SOAP报文进行加密，服务端公钥包含在服务端的数字证书中。clientStore.jks中服务端数字证书的别名为server，访问服务端数字证书不需要密码。服务端需要使用私钥进行解密，服务端私钥包含在服务端的密钥对中，在serverStore.jks中服务端密钥对的别名为server，访问私钥的密码为serverpass。
在XFire中对SOAP报文体进行加密解密需要解决的主要问题就是注册相应的Handler，并为其提供相应的访问密钥信息。
服务端
服务端处理加密的SOAP请求报文前，需要通过Handler将其解密。解密的操作需要访问serverStore.jks的server私钥，所以要进行相应的配置，如代码清单16-17所示：
通过insecurity_enc.properties属性文件指定访问serverStore.jks的信息，包括访问密码和密钥库文件的位置，如下所示：
由于加密的SOAP请求报文本身包含了加密时所使用的server数字证书的信息，因此WSS4JInHandler可以获取数字证书对应的用户（即server密钥对的别名）。但访问私钥需要密码，所以还是必须提供一个密码回调类，以获取server私钥的访问密码，如代码清单 16-17中③所示。PasswordHandler密码回调类如代码清单16-18所示：
客户端
客户端通过注册OutHandler使用server数字证书中的公钥对报文体进行加密，server数字证书不需要访问密钥，因此客户端只需要指定访问server数字证书的必要信息即可：
outsecurity_enc.properties定义了访问clientStore.jks的必要信息，包括密钥库访问密码、密钥库文件位置： 运行BbtForumServiceEncClient，观察加密后的SOAP请求报文，其结构如下所示：

1 <soap:Envelope> 2 <soap:Header> 3  <wsse:Security> 4   <xenc:EncryptedKey Id="EncKeyId-4694228"> 5    <xenc:EncryptionMethod 6     Algorithm="http://www.w3.org/2001/04/xmlenc#rsa-1_5" /> 7    <ds:KeyInfo> 8     <wsse:SecurityTokenReference> 9      <ds:X509Data> 10       <ds:X509IssuerSerial> 11        <ds:X509IssuerName> 12         CN=server 13        </ds:X509IssuerName> 14        <ds:X509SerialNumber> 15         1176124843 16        </ds:X509SerialNumber> 17       </ds:X509IssuerSerial> 18      </ds:X509Data> 19     </wsse:SecurityTokenReference> 20    </ds:KeyInfo> 21    <xenc:CipherData> 22     <xenc:CipherValue> 23      Gos2iKQS… 24     </xenc:CipherValue> 25    </xenc:CipherData> 26    <xenc:ReferenceList> 27     <xenc:DataReference URI="#EncDataId-18687346" /> 28    </xenc:ReferenceList> 29   </xenc:EncryptedKey> 30  </wsse:Security> 31 </soap:Header> 32 <soap:Body> 33  <xenc:EncryptedData Id="EncDataId-18687346"> 34   <xenc:EncryptionMethod 35    Algorithm="http://www.w3.org/2001/04/xmlenc#aes128-cbc"/> 36   <xenc:CipherData> 37    <xenc:CipherValue> 38     CCwZvucWxtuHgMxkvEZnZ… 39    </xenc:CipherValue> 40   </xenc:CipherData> 41  </xenc:EncryptedData> 42 </soap:Body> 43 </soap:Envelope>

BbtForumServiceEncClient对SOAP加密主要完成了以下几个操作：
  soap:Body的内容被加密（32~42）；
 使用的算法是aes128-cbc对称加密算法(35)；
 对称密钥被公钥加密后也包含在该消息中传输（21~25），其使用的加密算法是RSA (6)；
 使用server的数字证书对对称密钥进行RSA加密（8-19）。

回书目   上一节   下一节