CICS 如何遵从 Web Service 安全规范

CICS® 通过支持以下方面，有条件地符合 Web Service 安全性: SOAP 消息安全性和相关规范。

符合 WS Security: SOAP 消息安全性

安全性头

<wsse:Security> 头提供了一种用于以 SOAP 参与者或角色形式附加针对特定收件人的安全性相关信息的机制。这可能是消息的最终接收方或中间人。以下属性在 CICS中受支持:

S11:actor (针对中间人)
S11:mustUnderstand
S12:role (针对中介)
S12:mustUnderstand

安全性令牌

安全性头中支持以下安全性令牌:

用户名和密码
二进制安全性令牌 (X.509 证书)
SAML 令牌
Kerberos 令牌

6.3 使用 CICS 安全令牌服务的 SAML 支持已从 CICS TS 6.3 中删除。

令牌引用

安全性令牌传递一组声明。有时这些声明位于其他位置，需要由接收应用程序访问。 <wsse:SecurityTokenReference> 元素提供了用于引用安全性令牌的可扩展机制。支持以下机制:

直接引用
密钥标识
键名称
嵌入式引用

签名算法

6.16.2

此规范以 XML 签名为基础，因此具有与 XML 签名规范中指定的算法相同的算法需求。 CICS 支持:

算法类型	算法	URI
摘要	SHA1	`http://www.w3.org/2000/09/xmldsig#sha1`
签名	具有 SHA1 的 DSA (仅验证)	`http://www.w3.org/2000/09/xmldsig#dsa-sha1`
签名	具有 SHA1 的 RSA	`http://www.w3.org/2000/09/xmldsig#rsa-sha1`
规范 (canonicalization)	专用 XML 规范化（不具有注释）	`http://www.w3.org/2001/10/xml-exc-c14n#`

6.3 从 CICS TS 6.3 起，不再支持为 WS-Security 功能签署和加密 SOAP 消息。

签名签名部件

6.16.2

CICS 允许对以下 SOAP 元素进行签名:

SOAP 消息体
用作已声明身份的身份令牌 (安全性令牌的一种类型)

6.3 从 CICS TS 6.3 起，不再支持为 WS-Security 功能签署和加密 SOAP 消息。

加密算法

6.16.2

支持以下数据加密算法:

算法	URI
三重数据加密标准算法 (三重 DES)	http://www.w3.org/2001/04/xmlenc#tripledes-cbc
密钥长度为 128 位的高级加密标准 (AES) 算法	http://www.w3.org/2001/04/xmlenc#aes128-cbc
密钥长度为 192 位的高级加密标准 (AES) 算法	http://www.w3.org/2001/04/xmlenc#aes192-cbc
密钥长度为 256 位的高级加密标准 (AES) 算法	http://www.w3.org/2001/04/xmlenc#aes256-cbc

支持以下密钥加密算法:

算法	URI
密钥传输 (公用密钥密码术) RSA 版本 1.5:	`http://www.w3.org/2001/04/xmlenc#rsa-1_5`

6.3 从 CICS TS 6.3 起，不再支持为 WS-Security 功能签署和加密 SOAP 消息。

加密消息部件

CICS 允许对以下 SOAP 元素进行加密:

SOAP 主体

时间戳记

<wsu:Timestamp> 元素提供了一种用于在消息中表示安全性语义的创建和到期时间的机制。 CICS 允许在入站 SOAP 消息的 Web Service 安全性头中使用时间戳记。

处理错误

CICS 使用规范中列出的响应代码的标准列表来生成 SOAP 故障消息。

符合 Web Service 安全性: UsernameToken Profile 1.0

支持此规范的以下方面:

密码类型: 文本
令牌引用: 直接引用

符合 Web Service 安全性: X.509 证书令牌概要文件 1.0

6.16.2

支持此规范的以下方面:

令牌类型

X.509 第 3 版：单一证书。参见 https://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0.pdf.
X.509 版本 3：，无证书吊销列表 (CRL)。 X509PKIPathv1 参见 https://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0.pdf.
X.509 V3：具有或不具有 CRL 的 PKCS7。 IBM® Software Development Kit (SDK) 支持这两种功能。

令牌引用

密钥标识-主题密钥标识
直接引用
定制引用-签发者名称和序列号

6.3 从 CICS TS 6.3 起，不再支持为 WS-Security 功能签署和加密 SOAP 消息。

不受支持的方面

6.16.2

以下项在 CICS中不受支持:

验证时间戳记以获取新鲜度
非塞斯
SOAP 附件的 Web Service 安全性
<wsse:KeyIdentifier> <wsse:SecurityTokenReference> X509
安全声明标记语言（SAML）令牌配置文件、 WS-SecurityKerberos 令牌配置文件和 XrML牌配置文件
Web Service 互操作性 (WS-I) 基本安全概要文件
XML 包络数字签名
XML 包络数字加密
不支持用于数字签名的以下传输算法:
- XSLT： http://www.w3.org/TR/1999/REC-xslt-19991116
- SOAP 消息规范化。更多信息，请参见 http://www.w3.org/TR/2003/NOTE-soap12-n11n-20031008/
不支持用于加密的 Diffie-Hellman 密钥协议算法。更多信息，请参见 http://www.w3.org/TR/2002/REC-xmlenc-core-20021210/Overview.html#sec-DHKeyValue.
不支持以下用于加密的规范算法，其在 XML 加密规范中是可选的：
- 具有或不具有注释的规范 XML
- 具有或不具有注释的专用 XML 规范化
在 "用户名令牌版本 1.0 概要文件" 规范中，不支持摘要密码类型。

6.3 使用 CICS 安全令牌服务的 SAML 支持已从 CICS TS 6.3 中删除。

6.3 从 CICS TS 6.3 起，不再支持为 WS-Security 功能签署和加密 SOAP 消息。