63、F3ildCrypt：实现Web服务中敏感信息的端到端保护

F3ildCrypt：实现Web服务中敏感信息的端到端保护

1. F3ildCrypt的基本原理

在Web服务中，F3ildCrypt利用代理重加密引擎对到达子SOA的XML网关的XML文档进行重新加密。具体来说，父系统的管理员使用公钥 pkEc 和其私钥 skEp 生成重加密密钥 rkp→c 。发往父SOA但目的地为子SOA的文档中的字段，会在父XML网关使用 rkp→c 进行重加密。当这些字段到达子XML网关时，可能会再次被重加密，以传输到子SOA内的最终主机。

2. 应用示例：Widgets4Cheap电商网站

Widgets4Cheap是一个小型电商网站，销售各种小部件。该网站的网络架构包括防火墙、带有业务逻辑的Web服务器以及用于营销和采购的后端数据库，同时还使用了外部信用卡处理器。
- 订单流程 ：用户浏览商品目录并选择要购买的商品后，订单以XML文档的形式发送到Web服务器。订单包含客户的姓名、实际地址、电子邮件地址、要购买的每个小部件型号的列表和数量，以及客户的信用卡信息。
- 数据存储 ：客户数据（包括姓名、账单地址和订单历史）存储在采购数据库中，客户的电子邮件地址存储在营销数据库中。业务逻辑会将订单信息和信用卡详细信息传输到网站的信用卡处理器。
- 安全问题 ：暴露Widgets网络的内部架构可能会泄露商业或贸易机密，而且即使客户端和Web服务器之间有SSL连接，任何内部主机的泄露都可能对公司和客