WS-Security XML Signature/Encryption 
WS-Security ist ein Standard zum Sichern von SOAP-Nachrichten. Durch die Verwendung von WS-Security werden die SOAP-Nachrichten, die zwischen dem Web-Service-Anbieter und dem Web-Service-Client ausgetauscht werden mit digitalen XML-Signaturen, XML-Verschlüsselung, Zeitstempeln und Sicherheitstokens geschützt.
Es stehen symmetrische und asymmetrische Verschlüsselung zur Verfügung. Der Hauptunterschied zwischen der symmetrischen und asymmetrischen Verschlüsselung ist die Art der Signatur.
WS Security XML |
Symmetrische Methode |
Asymmetrische Methode |
|---|---|---|
Signatur |
Mit HMAC und symmetrischem Schlüssel |
Mit asymmetrischem Schlüssel, also dem geheimen Schlüssel des Systems |
Verschlüsselung |
Verschlüsselung der Nachricht mit einem symmetrischem Schlüssel, den der Consumer erzeugt. Diese verschlüsselte Nachricht wird dann mit dem asymmetrischen Schlüssel verschlüsselt. |
Verschlüsselung der Nachricht mit einem symmetrischem Schlüssel, den der Consumer erzeugt. Diese verschlüsselte Nachricht wird dann mit dem asymmetrischen Schlüssel verschlüsselt. |
Gültigkeit des Schlüssels |
Innerhalb eines Anfrage-Antwort-Zyklus ist der symmetrische Schlüssel immer derselbe, d.h., dass Provider und Consumer denselben symmetrischen Schlüssel verwenden |
Symmetrischer Schlüssel wird für jede Nachricht neu erzeugt, d.h. der Consumer erzeugt für die Anfrage einen symmetrischen Schlüssel und der Provider erzeugt für die Antwort einen neuen symmetrischen Schlüssel |
Voraussetzungen
Um WS-Security XML-Signatur und -Verschlüsselung mit X.509-Zertifikaten zu verwenden, müssen Sie die Verwendung von Kryptographiefunktionen für das AS-ABAP-System aktivieren.
Weitere Informationen finden Sie unter Digitale Signaturen und Verschlüsselung.
Funktionsumfang
XML-Signaturen
Digitale Signaturen werden einem SOAP-Dokument hinzugefügt, um die Integrität und Authenzität der Nachricht sicherzustellen. Wenn Teile der Nachricht während des Transports geändert werden, wird die Signatur ungültig und die Nachricht wird vom Empfänger zurückgewiesen. Signaturen können der Client-Anfrage und der Server-Antwort hinzugefügt werden. Signaturen werden immer in Verbindung mit einem Zeitstempel verwendet, um Wiederholungen der Nachrichten zu verhindern (sowohl das Element SOAP:Envelope/SOAP:Body als auch das Element SOAP:Envelope/SOAP:Header/wsse:Security/wsu:Timestamp sind signiert).
Weitere Informationen finden Sie unter Digitale Signaturen und Verschlüsselung.
Authentifizierung mit XML-Signaturen
Digitale Signaturen können auch für die Authentifizierung verwendet werden. Dazu wird die Benutzerzuordnung von Benutzern zu X.509-Zertifikaten im Identity-Management verwendet.
XML-Verschlüsselung
Die Verschlüsselung wird zum Schutz von Elementen verwendet, die als Teil der SOAP-Nachricht gesendet werden. Damit wird die Vertraulichkeit der Nachricht gesichert sowie die ungewollte Offenlegung der gesandten Daten verhindert.
Weitere Informationen finden Sie unter Digitale Signaturen und Verschlüsselung.
Verwendete Keystores
Verwendungszweck |
Schlüsselspeicher |
|---|---|
Ablageort des privaten Schlüssels des Systems, mit dem eine Nachricht signiert werden kann. Ablageort der vertrauenswürdigen Zertifikate, die zur Überprüfung der Signatur verwendet werden. Ablageort der Schlüssel, um verschlüsselte Nachrichten zu entschlüsseln. |
AS Java: Keystore-Sicht WebServiceSecurity AS ABAP: WS-Security-PSE WS Security Keys (WSSKEY) |
Ablageort der Schlüssel, um verschlüsselte Nachrichten zu senden. |
AS Java: Keystore-Sicht WebServiceSecurity_Certs AS ABAP: WS-Security-PSE Other System Encryption Certs (WSSCRT) |
Keystore, der die Zertifikate enthält, die das System aus unbekanntem Grund erhielt. Diese Zertifikate werden automatisch in diesem Keystore angelegt. |
AS Java: Keystore-Sicht WebServiceSecurity_Unknown |
Weitere Informationen
Keystore im AS Java: Using the AS Java Key Storage
Keystore im AS ABAP: Trust-Manager