保护 Web Service 方面的支持

CICS® Transaction Server for z/OS® 为可用于保护 SOAP 和 JSON 消息的许多相关技术提供支持。

其中一些技术作为 HTTP 协议的一部分提供,并且同样适用于 SOAP 和 JSON。 有些使用 Web Service 安全性 (WSS): SOAP 消息安全性 1.0 规范,并且仅可用于 SOAP。 有关共享 TCP/IP 和 HTTP 安全性选项的信息,请参阅 Security for TCP/IP clientsSecurity for CICS Web Support

有关使用 SAML 断言的信息,请参阅 为 SAML 配置 CICS

SOAP Web Service 安全性

Web Service 安全性 (WSS): SOAP 消息安全性 1.0 描述了如何使用 安全性令牌数字签名 来保护和认证 SOAP 消息。 有关更多信息,请参阅 Web Service 安全性: SOAP 消息安全性 1.0 规范。 Web Service 安全性: SOAP 消息安全性 1.0

Web Service 安全性分别保护 SOAP 消息的 隐私完整性 ,通过保护消息免受未经授权的泄露和防止未经授权的和未检测到的修改。 WSS 通过对消息中的 XML 元素进行数字签名和加密来提供此保护。 可以保护的元素是主体或主体或头中的任何元素。 您可以对 SOAP 消息中的不同元素提供不同级别的保护。

Web Service 信任语言 (WS-Trust) 规范通过提供用于请求和发布安全性令牌以及管理 Web Service 请求者和提供者之间的信任关系的框架,进一步增强了 Web Service 安全性。 对 SOAP 消息认证的此扩展使 Web Service 能够通过使用可信第三方来验证和交换不同类型的安全性令牌。 此第三方称为 安全性令牌服务 (STS)。 有关 Web Service 信任语言的更多信息,请参阅 Web Service 信任语言 规范。

CICS Transaction Server for z/OS 通过在管道中使用 CICS提供的安全处理程序来提供对这些规范的支持:
  • 对于出站消息, CICS 提供对整个 SOAP 主体的数字签名和加密的支持。 CICS 还可以与 STS 交换不同类型的安全性令牌的用户名令牌。
  • 对于入站消息, CICS 支持对主体或主体和头的元素进行加密或数字签名的消息。 CICS 还可以与 STS 交换和验证安全性令牌。

CICS 还提供了单独的信任客户机接口,以便您可以在不使用 CICS 安全处理程序的情况下与 STS 进行交互。

注: Web Service 安全性可能不符合 SP800-131A。 通过将处理程序添加到管道来配置 Web Service 安全性,并且 CICS 无法控制客户编写的处理程序中的处理。 如果使用数字签名,那么只能指定算法 dsa-sha1rsa-sha1。 这些算法不符合 SP800-131A-conformant。 可用于加密 SOAP 主体的双密钥三元组加密算法也不符合要求。