Java Web 服务: Axis2 WS-Security 签名和加密

核心提示： 在处理 XML 时，消息签名过程还涉及到另一个步骤，Java Web 服务: Axis2 WS-Security 签名和加密(3)，XML 消息以文本形式表示，但是文本表示的某些方面被 XML 认为是无关的（比如元素上的属性的顺序，当然，这又摆出了如何确立可信第三方的身份的自举问题，或元素开始和

在处理 XML 时，消息签名过程还涉及到另一个步骤。XML 消息以文本形式表示，但是文本表示的某些方面被 XML 认为是无关的（比如元素上的属性的顺序，或元素开始和结束标记内使用的空白）。由于这个与文本表示有关的问题，因此 W3C（XML 规范的所有者）决定在计算摘要值之前，将 XML 消息转换为一个标准的文本形式。一些标准化算法也得到定义，可以用于 XML 消息。只要消息交换的双方都同意使用相同的算法，那么具体使用哪种算法并不会产生什么影响。

使用经过签名的消息摘要可以同时保证消息完整性（因为对消息的修改将会改变摘要值）和真实性（因为您的私有密匙被用于加密摘要）。由于使用公开密匙的加密可以确保消息的私密性，因此消息交换安全性的所有主要方面都可以通过使用一个公开-私有密匙对涵盖。当然，对于一个密匙对，消息交换中只有一方是安全的 — 但是如果交换的另外一方也具有自己的公开/私有密匙对，那么就可以为消息交换的双方提供充分的安全性。

证书

公开-私有密匙对可以同时用于对双方之间交换的信息进行加密和签名，假设交换双方都可以访问对方的公开密匙。这产生了一个问题，如何在保证安全性的情况下获得公开密匙。实现此目的的方法有许多种，其中最常用的是对公开密匙使用一个或多个可靠的第三方证明。数字证书 就是一种以第三方证明的形式提供公开密匙的机制。

数字证书实质上就是一个包装公开密匙的包装器，其中包含了用于密匙所有方的识别信息。然后由一个可信的第三方签名被封装的内容，并且签名被包括到证书中。可信的第三方通过使用其自己的签名发出证书，为公开密匙和识别信息做证明。当然，这又摆出了如何确立可信第三方的身份的自举问题。通常的解决方法是将某些称为发证机关（issuing authority）的可信第三方的证书硬编码到软件（比如 JVM）中。