WSS API를 사용하여 메시지 기밀성을 보호하기 위한 복호화 메소드 구성

바인딩 파일의 응답 이용자(클라이언트 측) 섹션에 대한 복호화 메소드 정보를 구성할 수 있습니다. 복호화 정보는 이용자(수신자)가 수신되는 SOAP 메시지를 복호화하는 방법을 지정하는 데 사용됩니다. 복호화를 구성하려면 복호화할 메시지 파트를 지정하고 복호화에 사용할 알고리즘 메소드 및 보안 토큰을 지정하십시오.

시작하기 전에

기밀성은 암호화를 나타내고 무결성은 디지털 서명을 나타냅니다. 기밀성은 누군가 인터넷에서의 메시지 흐름을 파악할 위험을 줄입니다. 기밀성 명세를 사용하면 메시지는 전송되기 전에 암호화되고 올바른 대상에서 수신할 때 복호화됩니다. 복호화를 구성하기 전에 XML 암호화에 대해 익히십시오.

이 태스크 정보

복호화의 경우 다음을 지정해야 합니다.

  • 복호화할 메시지 파트
  • 지정할 복호화 알고리즘.

클라이언트 측에서 복호화 및 복호화된 파트를 구성하려면 WSSDecryption 및 WSSDecryptPart API를 사용하거나 관리 콘솔을 사용하여 정책 세트를 구성하십시오.

WebSphere® Application Server는 바인딩에 대해 기본값을 제공합니다. 그러나 관리자는 프로덕션 환경의 기본값을 수정해야 합니다.

WebSphere Application Server는 기본 이용자에 대한 복호화 정보를 사용하여 SOAP 메시지의 파트를 복호화합니다. WSSDecryption API는 다음 필수 파트를 복호화된 파트로 구성합니다.

표 1. 필수 복호화된 파트. 복호화 정보를 사용하여 수신되는 메시지가 복호화되는 방식을 지정합니다.
복호화 파트 설명
키워드 키워드는 복호화된 파트를 SOAP 메시지에 추가하는 데 사용됩니다.
XPath 표현식 XPath 표현식은 복호화된 파트를 SOAP 메시지에 추가하는 데 사용됩니다.
WSSDencryptPart 오브젝트 이 오브젝트는 복호화된 파트를 SOAP 메시지에 추가합니다.
WSSVerification 오브젝트 이 오브젝트는 서명 검증 컴포넌트를 복호화된 파트로 추가합니다.
헤더 이 파트는 QName이 지정한 SOAP 헤더의 헤더를 복호화된 파트로 추가합니다.
보안 토큰 오브젝트 이 오브젝트는 보안 토큰을 복호화된 파트로 추가합니다.

WSS API(Web Services Security API)는 웹 서비스 보안 통신(WS-SecureConversation)이 사용되는 경우에만 공유 키를 사용하여 대칭 암호화를 지원합니다.

WSS API를 사용하면 키워드 또는 XPath 표현식 중 하나를 사용하여 복호화할 SOAP 메시지의 파트를 지정할 수 있습니다. WebSphere Application Server는 다음 키워드의 사용을 지원합니다.

표 2. 지원되는 복호화 키워드. 키워드를 사용하여 수신되는 메시지를 복호화합니다.
키워드 참조
BODY_CONTENT 복호화 대상 SOAP 메시지 본문의 본문 컨텐츠에 대한 키워드입니다.
SIGNATURE 복호화 대상 서명 요소에 대한 키워드입니다.
USERNAME_TOKEN, 복호화 대상 사용자 이름 토큰 요소에 대한 키워드입니다.

WSS API를 사용하여 구성하는 경우 WSSDecryption 및 WSSDecryptPart API가 다음과 같은 상위 레벨 단계를 완료합니다.

프로시저

  1. WSSDecryption API를 사용하여 암호화를 구성하십시오. WSSDecryption API는 기본적으로 다음 태스크를 수행합니다.
    1. 콜백 핸들러를 생성합니다.
    2. 이용자 보안 토큰 오브젝트를 생성합니다.
    3. 보안 토큰 참조 유형을 추가합니다.
    4. WSSEncryptPart 오브젝트를 추가합니다.
    5. 암호화할 파트를 추가합니다. 키워드 및 XPath 표현식을 사용하여 복호화를 위한 기본 파트를 추가합니다.
    6. 검증 컴포넌트를 추가합니다.
    7. QName이 지정하는 SOAP 메시지의 헤더를 추가합니다.
    8. 기본 데이터 암호화 메소드를 설정합니다.
    9. 키가 부울 값을 사용하여 복호화되는지 여부를 지정합니다. 공유 키가 암호화되는 경우 이 메소드를 호출합니다.
    10. 기본 키 암호화 메소드를 설정합니다.
  2. WSSEncryptPart API를 사용하여 암호화된 파트를 구성하거나 변환 메소드를 추가하십시오. WSSEncryptPart API는 기본적으로 다음 태스크를 수행합니다.
    1. 키워드 또는 XPath 표현식을 사용하여 지정된 암호화된 파트를 설정합니다.
    2. XPath 표현식에 의해 지정된 암호화된 파트를 설정합니다.
    3. 서명 컴포넌트 오브젝트 WSSSignature를 설정합니다.
    4. QName이 지정하는 SOAP 메시지의 헤더를 설정합니다.
    5. 생성기 보안 토큰을 설정합니다.
    6. 필요한 경우 변환 메소드를 추가합니다.
  3. 필요에 따라 알고리즘 또는 메시지 파트의 기본값을 변경하십시오. 예를 들어, 다음 항목 중 하나 이상을 변경할 수 있습니다.
    • USERNAME_TOKEN을 복호화 대상으로 추가하십시오.
    • 데이터 암호화 알고리즘을 기본값 AES 128에서 변경하십시오.
    • 키 암호화 알고리즘을 기본값 KW_RSA_OAEP에서 변경하십시오.
    • 암호화 키를 암호화하지 않도록 지정하십시오(false).
    • 보안 토큰 유형을 기본값 X.509 토큰에서 변경하십시오.
    • 암호화 파트로 BODY_CONTENT만 사용하고 SIGNATURE는 사용하지 마십시오.

결과

복호화 정보가 이용자 바인딩을 위해 구성됩니다.

다음은 WSSDecryption API의 예입니다.
WSSFactory factory = WSSFactory.getInstance();
WSSConsumingContext concont = factory.newWSSConsumingContext();
    X509ConsumeCallbackHandler callbackhandler = generateCallbackHandler();
// see X509ConsumeCallbackHandler
    WSSDecryption dec = factory.newWSSDecryption(X509Token.class, 
        callbackhandler);
    
 concont.add(dec);

다음에 수행할 작업

아직 정보를 구성하지 않은 경우 클라이언트 측 요청 생성기(송신자) 바인딩에 대해 유사한 암호화 정보를 구성해야 합니다.

그 다음에는 WSSDecryption API 프로세스를 검토하십시오.


주제 유형을 표시하는 아이콘 태스크 주제



시간소인 아이콘 마지막 업데이트 날짜: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=twbs_configencryptinfoconjaxws
파일 이름:twbs_configencryptinfoconjaxws.html