【IT168技术文档】
当收到一个由X.509证书加密后的报文后,SoapInputFilter会自动尝试使用用户密钥储存室的私有密钥来进行解密,当然,这个需要告诉 WSE运行时哪里可以找到这个证书的额外配置信息。这个信息由应用程序配置文件的Security元素所指定,这个例子在客户端上的应用程序配置文件是 App.config。对于 X.509加密,你只需要添加一个x509子节点,内容和下面一样就可以了
在我的例子中,我将x509节点的storeLocation属性设为CurrentUser,假设证书在当前用户的证书储存室里,当我使用了来自CA的受信任证书之后,我也将verifyTrust设为true了。这些属性还能够用WSE的设置工具来修改。利用这些信息,WSE能够得到报文中证书的私有密钥,还能用这个来给对称性会话密钥解密,解密后的内容到头来还要给报文正文解密。<x509 storeLocation="CurrentUser" verifyTrust="true" allowTestRoot="false" />
选择用于解密的报文元素
当整个消息正文由默认设置给加密后,WSE能被用来给SOAP报文内的特定元素加密;唯一的问题是,在Security头元素那的元素不能被加密。你还可以加密嵌套的元素,
在这个例子服务中,我修改了GetXmlDocument方法用的X.509版本,用一个基于X.509的安全Token来同时给EncryptedSubResponse和它的EncryptedResponse父节点进行数字化加密,返回的XML文档如下:
回应报文的这里没有必要被加密<Response> <NotEncrypted>
这里是敏感数据.</NotEncrypted> <EncryptedResponse> <EncryptedSubResponse>
为了加密一个元素,它需要一个wsu:Id属性,以便当XML被序列化后引用可以加到该节点上了。命名空间wsu被定义为:</EncryptedSubResponse> </EncryptedResponse> </Response>
xmlns:wsu="http://schemas.xmlsoap.org/ws/2002/07/utility
为了完成这个,我将这个XML加到一个新的XML文档,然后通过.NET框架支持的Microsoft XML文档对象模型(DOM)给它添加一个Id属性,此外还需要将配件System.Xml加入到工程引用里面,加上下面的话:
using System.Xml;
using System.Xml.Serialization;
当我将多个Id属性加到嵌套的元素上后,我由EncryptedSubResponse元素开始依次遍历到它的父节点EncryptedResponse,如下:
string [] myId = {"Id:" + Guid.NewGuid(),"Id:" + Guid.NewGuid()}; //创建一个用于返回XML的XML文档 XmlDocument myDoc = new XmlDocument(); myDoc.LoadXml("<Response>" + "<NotEncrypted>回应报文的这里没有必要加密" +"</NotEncrypted>" +"<EncryptedResponse>" +"<EncryptedSubResponse>" + "这里是敏感数据. " + "</EncryptedSubResponse>" + "</EncryptedResponse>" + "</Response>"); //得到EncryptedSubResponse节点 XmlNode = myDoc.FirstChild.LastChild.FirstChild; //向上遍历元素,添加两个Id属性 //向上保证内部的多数元素可以优先被加密 //否则我们会得到一个异常 for (int i=0;i<myId.Length;i++) { //创建新的Id属性 string wsu = "http://schemas.xmlsoap.org/ws/2002/07/utility"; XmlNode myAttr = myDoc.CreateNode(XmlNodeType.Attribute, "wsu", "Id", wsu); myAttr.Value = myId[i]; //将属性添加到文档 root.Attributes.SetNamedItem(myAttr); root = root.ParentNode; // 移动到父节点 } 假设我早就用我前面的逻辑得到了来自X.509证书的安全记号,我将这些引用添加到EncryptedData元素,如下: //循环遍历Id值,将其添加到新的EncryptedData元素上 for (int i=0;i<myId.Length;i++) { //创建一个新的头,”#”是的前缀,用来保证相关的URI能够引用到头 EncryptedData myEncHeader = new EncryptedData(myToken, "#"+myId[i]); //添加一个新的头到集合中 myContext.Security.Elements.Add(myEncHeader); } //返回加密数据 return myDoc;
