鍵ロケーター

鍵ロケーターは、デジタル署名および暗号化の鍵を検索するメカニズムの抽象概念です。 Java™ Authentication and Authorization Service (JAAS) ログイン・モジュール実装を使用して、 生成プログラム側でセキュリティー・トークンを作成し、 コンシューマー側でセキュリティー・トークンを検証 (認証) します。

実装に応じて、以下のいずれかのソースから鍵を取り出します。
  • Java 鍵ストア・ファイル
  • データベース
  • Kerberos KDC サーバー (JAX-WS を使用する WebSphere® Application Server のみ)
  • トラスト・サービスは、セキュリティー・コンテキスト・トークンと鍵を提供できます (JAX-WS を使用する WebSphere Application Server のみ)
鍵ロケーターは、いくつかのタイプの手掛かりを使用して鍵を検索します。 以下のタイプの手掛かりがサポートされています。
  • アプリケーション・プログラミング・インターフェース (API) を介して明示的に渡される鍵のストリング・ラベル。 それぞれの鍵とその名前 (ストリング・ラベル) との関係は、鍵ロケーター内部で保守されます。
  • 鍵ロケーターの実装コンテキスト。 明示的情報は鍵ロケーターに渡されません。 鍵ロケーターは、実装コンテキストに従って該当する鍵を判別します。

WebSphere Application Server バージョン 6 以降は、HMAC-SHA1 と呼ばれる秘密鍵ベースのシグニチャーをサポートします。 HMAC-SHA1 を使用する場合は、SOAP メッセージはバイナリー・セキュリティー・トークンを含みません。 この場合、メッセージ内の鍵情報は、鍵ストア内の秘密鍵を指定するために使用される鍵名を含みます。

鍵ロケーターは公開鍵ベースのシグニチャーをサポートするため、検証用の鍵は、 着信メッセージ内の <BinarySecurityToken> エレメントとして X.509 証明書に組み込まれます。 例えば、鍵ロケーターは、応答の暗号化のために、コンテキストから呼び出し元の ID を取得したり、 呼び出し元の公開鍵を検索することができます。

このセクションでは、鍵ロケーターの使用法シナリオについて説明します。

署名:

署名鍵の名前は、Web Services Security 構成で指定されます。この値が鍵ロケーターに渡され、実際の鍵が戻されます。 対応する X.509 証明書も戻されます。

検証:

デフォルトでは、WebSphere Application Server バージョン 6 以降は、以下の鍵ロケーターのタイプをサポートします。
KeyStoreKeyLocator
鍵ストアを使用して、デジタル署名および検証、または暗号化および暗号化解除に使用される鍵を検索します。
X509CertKeyLocator
メッセージ内の X.509 証明書を使用して、検証または暗号化解除のための鍵を検索します。
SignerCertKeyLocator
要求メッセージ内の X.509 証明書を使用して、応答メッセージ内の暗号化のための鍵を検索します。

暗号化:

暗号化鍵の名前は、Web Services Security 構成で指定されます。この値が鍵ロケーターに渡され、実際の鍵が戻されます。 サーバー・サイドでは、SignerCertKeyLocator を使用して、要求メッセージ内の X.509 証明書から応答メッセージ内の暗号化のための鍵を検索することができます。

暗号化解除:

Web Services Security 仕様では、鍵名の代わりに鍵 ID を使用することを推奨しています。しかし、公開鍵の ID を計算するためのアルゴリズムが Internet Engineering Task Force (IETF) Request for Comment (RFC) 3280 で定義されているのに対し、 秘密鍵用の承認されたアルゴリズムはありません。 したがって、Web Services Security の現行実装では、公開鍵ベースの暗号化が実行される場合に限り、ID が使用されます。それ以外の場合には、通常の鍵名が使用されます。

公開鍵ベースの暗号化を使用する場合、 鍵 ID の値が着信暗号化メッセージに組み込まれます。 その後、Web Services Security 実装は、鍵ロケーターで管理されるすべての鍵を検索し、ID 値がメッセージ内の ID 値に一致する鍵を使用してメッセージを暗号化解除します。

秘密鍵ベースの暗号化を使用する場合、 鍵名の値が着信暗号化メッセージに組み込まれます。 Web Services Security 実装は、鍵ロケーターに対して、名前がメッセージ内の名前に一致する鍵を要求し、その鍵を使用してメッセージを暗号化解除します。


トピックのタイプを示すアイコン 概念トピック



タイム・スタンプ・アイコン 最終更新: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=cwbs_keylocatorv6
ファイル名:cwbs_keylocatorv6.html