** 给收到的报文解密 ** ** **
当收到一个由 X.509 证书加密后的报文后, ** SoapInputFilter ** 会自动尝试使用用户密钥储存室的私有密钥来进行解密,当然,这个需要告诉 WSE 运行时哪里可以找到这个证书的额外配置信息。这个信息由应用程序配置文件的 ** Security ** 元素所指定,这个例子在客户端上的应用程序配置文件是 App.config 。对于 X.509 加密,你只需要添加一个 x509 子节点,内容和下面一样就可以了
1<x509 allowtestroot="false" storelocation="CurrentUser" verifytrust="true"></x509>
在我的例子中,我将 x509 节点的 ** storeLocation ** 属性设为 ** CurrentUser ** ,假设证书在当前用户的证书储存室里,当我使用了来自 CA 的受信任证书之后,我也将 ** verifyTrust ** 设为 true 了。这些属性还能够用 WSE 的设置工具来修改。利用这些信息, WSE 能够得到报文中证书的私有密钥,还能用这个来给对称性会话密钥解密,解密后的内容到头来还要给报文正文解密。
** 选择用于解密的报文元素 ** ** **
当整个消息正文由默认设置给加密后, WSE 能被用来给 SOAP 报文内的特定元素加密;唯一的问题是,在 Security 头元素那的元素不能被加密。你还可以加密嵌套的元素,
在这个例子服务中,我修改了 ** GetXmlDocument ** 方法用的 X.509 版本,用一个基于 X.509 的安全 Token 来同时给 ** EncryptedSubResponse ** 和它的 ** EncryptedResponse ** 父节点进行数字化加密,返回的 XML 文档如下:
1<response>
2<notencrypted>
3
4回应报文的这里没有必要被加密
5
6</notencrypted>
7<encryptedresponse>
8<encryptedsubresponse>
9
10这里是敏感数据.
11
12</encryptedsubresponse>
13</encryptedresponse>
14</response>
为了加密一个元素,它需要一个 ** wsu:Id ** 属性,以便当 XML 被序列化后引用可以加到该节点上了。命名空间 ** wsu ** 被定义为:
xmlns:wsu="http://schemas.xmlsoap.org/ws/2002/07/utility
为了完成这个,我将这个 XML 加到一个新的 XML 文档,然后通过 .NET 框架支持的 Microsoft XML 文档对象模型( DOM )给它添加一个 Id 属性,此外还需要将配件 System.Xml 加入到工程引用里面,加上下面的话:
using System.Xml;
using System.Xml.Serialization;
当我将多个 Id 属性加到嵌套的元素上后,我由 ** EncryptedSubResponse ** 元素开始依次遍历到它的父节点 ** EncryptedResponse ** ,如下:
string [] myId = {"Id:" + Guid.NewGuid(),"Id:" + Guid.NewGuid()};
//创建一个用于返回XML的XML文档
XmlDocument myDoc = new XmlDocument();
myDoc.LoadXml("
1<response>" +
2
3"<notencrypted>回应报文的这里没有必要加密" +
4
5"</notencrypted>" +
6
7"<encryptedresponse>" +
8
9"<encryptedsubresponse>" +
10
11"这里是敏感数据. " +
12
13"</encryptedsubresponse>" +
14
15"</encryptedresponse>" +
16
17"</response>
");
//得到EncryptedSubResponse节点
XmlNode = myDoc.FirstChild.LastChild.FirstChild;
//向上遍历元素,添加两个Id属性
//向上保证内部的多数元素可以优先被加密
//否则我们会得到一个异常
for (int i=0;i<myId.Length;i++)
{
//创建新的Id属性
string wsu = "http://schemas.xmlsoap.org/ws/2002/07/utility";
XmlNode myAttr = myDoc.CreateNode(XmlNodeType.Attribute, "wsu",
"Id", wsu);
myAttr.Value = myId[i];
//将属性添加到文档
root.Attributes.SetNamedItem(myAttr);
root = root.ParentNode; // 移动到父节点
}
假设我早就用我前面的逻辑得到了来自 X.509 证书的安全记号,我将这些引用添加到 ** EncryptedData ** 元素,如下:
//循环遍历Id值,将其添加到新的EncryptedData元素上
for (int i=0;i<myId.Length;i++)
{
//创建一个新的头,”#”是的前缀,用来保证相关的URI能够引用到头
EncryptedData myEncHeader = new EncryptedData(myToken, "#"+myId[i]);
//添加一个新的头到集合中
myContext.Security.Elements.Add(myEncHeader);
}
//返回加密数据
return myDoc;