我想知道如何实现SOAP消息的消息机密性。 我的项目使用IBM Websphere。在交换的SOAP消息中,有
<wsse:KeyIdentifier>xxxx</wsse:KeyIdentifier>
它还有:
<EncryptionMethod Algorithm="yyyy"></EncryptionMethod>
<CipherData>
<CipherValue>zzzzzzzzzzz</CipherValue>
</CipherData>
我怀疑是否第三方无法使用密钥解密密文?
如果不是这条消息的接收者如何能够利用SOAP消息中提供的信息解密消息?
或者是否需要进行初始证书交换?
谢谢
答案 0 :(得分:1)
是的,您需要先为此设置PKI基础架构。密钥标识符只是一个标识符,用于从密钥库中选择一些私钥 - 它本身肯定不是密钥。
请确保以安全的方式处理该字段的内容,因为攻击者也可能更改该值。我自己的实现默默地忽略了该字段,因为密钥已经提前设置。