X.509 2진 보안 토큰

X.509 2진 보안 토큰은 X.509 공용 인증서의 Base-64 인코드 표시입니다.

다음 표는 X.509 토큰 유형을 설명합니다.

X.509 토큰 유형 설명
X.509 버전 1 X.509 공용 인증서만 포함합니다.
X.509 버전 3 X.509 공용 인증서만 포함합니다.
PKIPath PKIPath로 패키지된 X.509 공용 인증서의 순서 지정 목록을 포함합니다. X509PKIPathv1 토큰 유형으로 인증서 경로를 나타낼 수 있습니다.
PKCS7 X.509 인증서 목록을 포함하고 선택적으로 PKCS#7 랩퍼에 패키지된 인증서 폐기 목록(CRL)도 포함할 수 있습니다. PKCS7 토큰으로 인증서 경로를 나타낼 수 있습니다.

X.509 토큰은 일반적으로 XML 디지털 서명 또는 XML 암호화로 SOAP 메시지를 보호하는 데 사용됩니다. X.509 토큰을 인증 토큰으로도 사용할 수 있지만 권장하지 않습니다.

인증 용도로 X.509 토큰 사용

토큰 인증 시 토큰 송신자가 본인이라고 하는 사용자를 확인합니다. 메시지에서 전송된 사용자 ID 등의 일부 공용 정보를 사용하고 송신자만 제공할 수 있는 비밀번호 등의 일부 개인 정보를 사용하여 확인합니다.

간단한 예로, UsernameToken 인증 시 사용자 이름과 비밀번호를 SOAP 메시지에 전달하고 엔드포인트에서 사용자 레지스트리와 비교해 검사합니다.

X.509 인증서의 경우, 공용 정보는 공개 키/DN이고 개인 정보는 개인 키입니다. UsernameToken의 비밀번호와 달리, 개인 키는 메시지에 전송되지 않습니다.

X.509 토큰을 사용하여 메시지에 서명하는 경우 다음 프로세스가 사용됩니다.
  1. 신뢰를 사용하는 경우 인증서를 신뢰 저장소 및 인증서 저장소와 비교하여 평가합니다. 이를 통해 신뢰 오류, 인증서 체인 오류, 폐기 오류, 인증서 만기 등을 발견할 수 있습니다. 예를 들어, 각 인증서를 명시적으로 신뢰하는 신뢰 저장소의 특정 DN이나 CA에서 발행한 인증서만 신뢰하는 루트 CA가 있을 수 있습니다.
  2. 런타임은 서명을 확인하여 메시지 송신자에게 인증서와 관련된 개인 키가 있는지 확인합니다. 서명을 확인할 수 없으면 다음 조건 중 하나가 발생한 것입니다.
    1. 메시지의 공개 키와 일치하지 않은 개인 키로 메시지를 서명했습니다.
    2. 메시지가 전송된 후에 수정되었습니다.

서명을 확인하고 나면 메시지의 송신자가 개인 키의 홀더이고 송신자가 본인이라고 한 사용자임을 알게 됩니다.

메시지를 서명하는 개인 키 없이 메시지에서 X.509 토큰을 전달한 경우 #2단계를 수행하지 않습니다. 메시지의 송신자가 개인 키의 홀더이거나 송신자가 본인이라고 한 사용자인지 확인할 수 없습니다. 메시지 서명 시 개인 키 홀더만 수행 가능한 작업을 수행하게 됩니다.

보호되지 않은 X.509 토큰 즉, 메시지 서명에 x.509 토큰을 사용하지 않은 경우 시스템은 다음 방법으로 훼손될 수 있습니다.
  • 올바른 메시지 캡처 및 동일한 메시지에서 공격자의 X.509 토큰 대체.

메시지에서 보호되지 않은 X.509 토큰은 전송하지 않는 것이 좋습니다. 인증에 X.509 토큰을 사용하는 경우, 메시지에 하나의 X.509 토큰을 전송하고 호출자 구성으로 디지털 서명 및 인증 모두에 X.509 토큰을 사용하는 것이 좋습니다. 파트 참조 서명은 호출자 설정에 사용됩니다.

다음 표는 X.509 토큰 값 유형을 설명합니다.

X.509 토큰 유형 값 유형
X.509 버전 1 http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#X509
X.509 버전 3 http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#X509v3
PKIPath http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#X509PKIPathv1
PKCS7 http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#PKCS7

주제 유형을 표시하는 아이콘 개념 주제



시간소인 아이콘 마지막 업데이트 날짜: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=cwbs_binarysectokenx509
파일 이름:cwbs_binarysectokenx509.html