基于WS-Policy的BPEL流程安全保障与测试实践

# 基于WS - Policy的BPEL流程安全保障与测试实践 ## 1. 创建WS - Policy集以实现WS - Security认证 为了确保TravelApproval BPEL业务流程的安全性，我们需要创建一个WS - Policy集，要求传入的SOAP头中包含WS - Security UsernameToken。具体步骤如下： 1. **定义安全令牌**：有UsernameToken、X.509证书、LTPA令牌和自定义令牌可供选择。我们选择UsernameToken，因为它使用起来最直接。 2. **启动通用测试环境**：确保WebSphere Application Server实例处于运行状态。在WebSphere Integration Developer的Servers视图中检查服务器状态，若为停止状态，右键点击并选择Start启动。 3. **打开集成解决方案控制台**：在浏览器中输入`https://HOSTNAME(localhost):PORT(9043)/ibm/console`，或右键点击已启动的服务器，从菜单中选择Administration | Run administrative console。以管理员身份登录（默认用户名和密码均为admin），然后在控制台中展开Services | Policy sets | Application policy sets。 4. **创建新的策略集**：不使用预定义的策略集，点击New…创建新的策略集。 5. **完成策略集创建**：指定策略集的名称和可选描述，添加WS - Security策略和WS - Security UsernameToken令牌定义。名称输入“WSS UsernameToken only”，描述输入“Policy that requires client to use WS - Security UsernameToken with proper credentials to access the web service”，然后点击Add | WS - Security。 6. **定义策略意图**：可选择为每个策略定义意图，在Intents Satisfied字段中输入“Require WS - Security UsernameToken”，然后点击Apply。 7. **配置WS - Security策略**：选择WS - Security，可看到主策略和安全会话引导策略。在本示例中，引导策略保持禁用状态。 8. **设置WS - Security策略细节**：选择主策略，默认启用消息级别的非对称令牌保护。此选项用于数字签名和加密。 9. **签名确认选项**：“Require signature confirmation”选项指定响应消息中是否应有签名确认令牌。 10. **消息部分保护**：在Request message part protection和Response message part protection下，使用XPath表达式定义请求和响应消息中应加密和签名的部分。 11. **密钥对称性**：在Key Symmetry下，可选择对称或非对称令牌进行加密和签名。 12. **安全头布局**：提供四种安全头元素排序选项，包括Strict、Lax、Lax but timestamp required first in header和Lax but timestamp required last in header。 13. **禁用消息级保护**：取消选中“Message level protection”复选框，然后点击Apply。 14. **定义UsernameToken使用**：选择Policy Details下的Request token policies，打开Add Token Type下拉菜单，选择UserName。 15. **指定UsernameToken详细信息**：名称输入“authentication_token”，版本选择WS - Security 1.0。 16. **保存配置更改**：点击Save保存对主配置的更改。 以下是创建WS - Policy集的操作步骤表格： |步骤|操作内容| | ---- | ---- | |1|定义安全令牌（选择UsernameToken）| |2|启动通用测试环境| |3|打开集成解决方案控制台并登录| |4|创建新的策略集| |5|完成策略集创建（指定名称、描述，添加策略和令牌定义）| |6|定义策略意图| |7|配置WS - Security策略| |8|设置WS - Security策略细节| |9|设置签名确认选项| |10|定义消息部分保护| |11|选择密钥对称性| |12|选择安全头布局| |13|禁用消息级保护| |14|定义UsernameToken使用| |15|指定UsernameToken详细信息| |16|保存配置更改| 创建WS - Policy集的流程可以用以下mermaid流程图表示： ```mermaid graph LR A[定义安全令牌] --> B[启动通用测试环境] B --> C[打开集成解决方案控制台并登录] C --> D[创建新的策略集] D --> E[完成策略集创建] E --> F[定义策略意图] F --> G[配置WS - Security策略] G --> H[设置WS - Security策略细节] H --> I[设置签名确认选项] I --> J[定义消息部分保护] J --> K[选择密钥对称性] K --> L[选择安全头布局] L --> M[禁用消息级保护] M --> N[定义UsernameToken使用] N --> O[指定UsernameToken详细信 ```