SAML认证响应的解密失败

时间:2014-06-26 12:17:05

标签: encryption saml-2.0 adfs2.0 openam federation

我对收到的身份验证响应SAML消息的解密有问题。 我的应用程序与两个不同类型的IdP相关联。 Frist是ForgeRocks,OpenAM 和第二个微软的ADFS服务器。 两个IdP都提供有相同的服务提供商元数据文档 用于加密和签署的证书公钥。

案例01 IdP:OpenAM,ForgeRock 结果:正确处理解密和响应。

案例02 IdP:ADFS 2.0,Microsoft 结果:解密失败,错误:CryptographicException,Bad Data。

对于相同的不对称密钥对,IdP端的加密是否可能不同? 或者我得错了什么?

正如我所看到的,EncryptedAssertion xml节点存在差异。 EncryptionMethod算法是不同的。

以下是关键节点。

OpenAM,ForgeRock

<saml:EncryptedAssertion xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion">
<xenc:EncryptedData xmlns:xenc="http://www.w3.org/2001/04/xmlenc#"
                    Type="http://www.w3.org/2001/04/xmlenc#Element"
                        >
  <xenc:EncryptionMethod Algorithm="http://www.w3.org/2001/04/xmlenc#aes128-cbc"
                         xmlns:xenc="http://www.w3.org/2001/04/xmlenc#"
                               />
  <ds:KeyInfo xmlns:ds="http://www.w3.org/2000/09/xmldsig#">
    <xenc:EncryptedKey xmlns:xenc="http://www.w3.org/2001/04/xmlenc#">
      <xenc:EncryptionMethod Algorithm="http://www.w3.org/2001/04/xmlenc#rsa-1_5"
                             xmlns:xenc="http://www.w3.org/2001/04/xmlenc#"
                                       />
      <xenc:CipherData xmlns:xenc="http://www.w3.org/2001/04/xmlenc#">
        <xenc:CipherValue xmlns:xenc="http://www.w3.org/2001/04/xmlenc#">
        </xenc:CipherValue>
      </xenc:CipherData>
    </xenc:EncryptedKey>
  </ds:KeyInfo>
  <xenc:CipherData xmlns:xenc="http://www.w3.org/2001/04/xmlenc#">
    <xenc:CipherValue xmlns:xenc="http://www.w3.org/2001/04/xmlenc#">
    </xenc:CipherValue>
  </xenc:CipherData>
</xenc:EncryptedData>

ADFS 2.0,Microsoft

<EncryptedAssertion xmlns="urn:oasis:names:tc:SAML:2.0:assertion">
<xenc:EncryptedData Type="http://www.w3.org/2001/04/xmlenc#Element"
                    xmlns:xenc="http://www.w3.org/2001/04/xmlenc#"
                        >
  <xenc:EncryptionMethod Algorithm="http://www.w3.org/2001/04/xmlenc#aes256-cbc" />
  <KeyInfo xmlns="http://www.w3.org/2000/09/xmldsig#">
    <e:EncryptedKey xmlns:e="http://www.w3.org/2001/04/xmlenc#">
      <e:EncryptionMethod Algorithm="http://www.w3.org/2001/04/xmlenc#rsa-oaep-mgf1p">
        <DigestMethod Algorithm="http://www.w3.org/2000/09/xmldsig#sha1" />
      </e:EncryptionMethod>
      <KeyInfo>
        <ds:X509Data xmlns:ds="http://www.w3.org/2000/09/xmldsig#">
          <ds:X509IssuerSerial>
            <ds:X509IssuerName>CN=certName</ds:X509IssuerName>
            <ds:X509SerialNumber>-18xxxxxx</ds:X509SerialNumber>
          </ds:X509IssuerSerial>
        </ds:X509Data>
      </KeyInfo>
      <e:CipherData>
        <e:CipherValue></e:CipherValue>
      </e:CipherData>
    </e:EncryptedKey>
  </KeyInfo>
  <xenc:CipherData>
    <xenc:CipherValue></xenc:CipherValue>
  </xenc:CipherData>
</xenc:EncryptedData>

我认为使用的加密方法存在差异。在第二种情况下,还有证书的别名和序列号。序列号也有负值(可能因为我使用的是自签名证书)。

谢谢,

1 个答案:

答案 0 :(得分:0)

你有这个例外,因为在相应的xml节点中没有数据可以解密,原因如下:

<e:CipherData>
<e:CipherValue>No data!!!</e:CipherValue>
</e:CipherData>
</e:EncryptedKey>
</KeyInfo>
<xenc:CipherData>
<xenc:CipherValue>No data!!!</xenc:CipherValue>
</xenc:CipherData>

示例应如何:

&#13;
&#13;
<EncryptedAssertion xmlns="urn:oasis:names:tc:SAML:2.0:assertion">
		<xenc:EncryptedData Type="http://www.w3.org/2001/04/xmlenc#Element"
				    xmlns:xenc="http://www.w3.org/2001/04/xmlenc#"
				    >
		    <xenc:EncryptionMethod Algorithm="http://www.w3.org/2001/04/xmlenc#aes256-cbc" />
		    <KeyInfo xmlns="http://www.w3.org/2000/09/xmldsig#">
			<e:EncryptedKey xmlns:e="http://www.w3.org/2001/04/xmlenc#">
			    <e:EncryptionMethod Algorithm="http://www.w3.org/2001/04/xmlenc#rsa-oaep-mgf1p">
				<DigestMethod Algorithm="http://www.w3.org/2000/09/xmldsig#sha1" />
			    </e:EncryptionMethod>
			    <KeyInfo>
				<ds:X509Data xmlns:ds="http://www.w3.org/2000/09/xmldsig#">
				    <ds:X509IssuerSerial>
					<ds:X509IssuerName>CN=name, O=Name, S=CA, C=us</ds:X509IssuerName>
					<ds:X509SerialNumber>0</ds:X509SerialNumber>
				    </ds:X509IssuerSerial>
				</ds:X509Data>
			    </KeyInfo>
			    <e:CipherData>
				<e:CipherValue>qSMgmgpO0+1vhdt5wvyhNT+uh3BhmOlFD4IiWTPoj2N90nOUzwEoEkWCuGzHDizxq6rvc5eoikjgcbz5TYFlIX+eizyxcJQFl02t...  SOME VALUES HERE=</e:CipherValue>
			    </e:CipherData>
			</e:EncryptedKey>
		    </KeyInfo>
		    <xenc:CipherData>
			<xenc:CipherValue>RSCxYAMJ7RaD+MtEcnmE9EwLmvDJgTsXx5MOKJYUJiAmQWziSLNolZQYt5xgUPHJaD+co/PoWwifWuobHdClFwBBMR/lAqWAHIQldP+ro ...  SOME VALUES HERE=</xenc:CipherValue>
		    </xenc:CipherData>
		</xenc:EncryptedData>
	    </EncryptedAssertion>
	
&#13;
&#13;
&#13;