WSS API를 사용하여 이용자 바인딩에 대한 서명 정보 확인

클라이언트 측 응답 이용자(수신자) 바인딩에 대해 서명 정보를 구성할 수 있습니다. 서명 정보는 SOAP 본문, 시간소인 정보 및 사용자 이름 토큰을 포함한 메시지 파트에 서명하고 유효성을 검증하는 데 사용됩니다.

시작하기 전에

WebSphere® Application Server는 XML 디지털 서명을 기존 알고리즘(예: RSA, HMAC, SHA1)과 같이 사용합니다. XML 서명은 키 정보를 설명하는 많은 메소드를 정의하고 새 메소드 정의를 사용합니다. 이러한 단계를 완료하기 전에 XML 디지털 서명에 대한 정보를 읽어 디지털 컨텐츠의 디지털 서명 검증 및 서명에 대해 익히십시오.

SOAP 메시지에 XML 서명을 포함시키면 메시지 무결성 및 인증을 실현할 수 있습니다. 기밀성이 암호화를 나타내는 반면 무결성은 디지털 서명을 나타냅니다. 무결성은 인터넷에서 데이터를 전송하는 중 데이터 수정 위험을 줄입니다.

서명 및 SOAP 메시지 서명 파트를 확인하려면 먼저 다음 태스크를 완료해야 합니다.

  • 서명을 구성합니다.
  • 필요에 따라 서명된 파트를 추가합니다.
  • 서명 및 서명된 파트 메소드를 선택합니다.

이 태스크 정보

WSS API(Web Services Security API)를 사용하여 바인딩 파일의 응답 이용자(클라이언트 측) 섹션에 대한 서명 검증 정보를 구성하십시오. WSSVerification 또는 WSSVerifyPart API를 사용하여 요청 서명 검증을 위한 클라이언트를 구성하고 확인할 디지털로 서명된 메시지 파트를 지정할 수 있습니다.

WebSphere Application Server는 이용자 측의 서명 정보를 사용하여 메시지 파트(예: 본문, 시간소인 및 사용자 이름 토큰)가 서명되는지 유효성 검증을 통해 수신된 SOAP 메시지의 무결성을 확인합니다.

클라이언트 측에서 WSS API를 사용하거나 관리 콘솔을 통해 정책 세트를 구성하여 서명되는 메시지 파트를 지정하고 키 정보 참조에서 참조되는 키 정보를 구성하십시오. 서명 및 서명된 파트를 확인하려면 WSSVerification 및 WSSVerifyPart API를 사용하십시오.

WebSphere Application Server는 바인딩에 대해 기본값을 제공합니다. 그러나 관리자는 프로덕션 환경의 기본값을 수정해야 합니다.

WSSVerification 및 WSSVerifyPart API는 다음 단계를 완료하여 응답 이용자 서명을 위해 클라이언트를 구성할 때 확인할 디지털로 서명되는 메시지 파트를 지정합니다.

프로시저

  1. WSSVerification API는 SOAP 메시지의 필수 검증 파트를 추가합니다.

    파트 참조는 디지털 서명된 메시지 파트를 참조합니다. 파트 속성은 <PartReference> 요소가 서명에 지정된 경우 <Integrity> 요소 이름을 참조합니다.<SigningInfo> 요소에 여러 <PartReference> 요소를 지정할 수 있습니다. 서명에 대해 <PartReference> 요소가 지정된 경우 이 요소에는 <DigestTransform> 및 <Transform>과 같은 2개의 하위 요소가 있습니다.

    WSSVerification API는 다음 파트를 검증 파트로 구성합니다.

    검증 파트 설명
    보안 토큰 서명 검증을 위해 사용되는 보안 토큰 정보를 추가하십시오.
    대상으로서의 SOAP 헤더 및 QName QName이 지정한 SOAP 헤더를 검증 파트로 추가합니다.
    WSS API를 사용하면 키워드 또는 XPath 표현식을 사용하여 확인할 메시지 파트를 지정할 수 있습니다. WebSphere Application Server는 다음 키워드의 사용을 지원합니다.
    키워드 참조
    WSSVerification.ADDRESSING_HEADERS 웹 서비스 주소 지정(WS-Addressing) 헤더입니다.
    WSSVerification.BODY SOAP 메시지 본문입니다. 본문은 메시지의 사용자 데이터 부분입니다.
    WSSVerification.TIMESTAMP 작성 및 만기 시간소인 정보입니다.
  2. WSSVerification API가 필수 헤더를 SOAP 메시지에 추가합니다. QName에 의해 지정되는 헤더가 필수 검증 헤더입니다.
  3. WSSVerification API가 보안 토큰을 추가합니다. 다음과 같이 서명 검증을 위해 사용되는 보안 토큰 정보를 추가합니다.
    • 보안 토큰의 클래스
    • 콜백 핸들러
    • JAAS 로그인 구성의 이름
  4. WSSVerification API는 서명 메소드 알고리즘을 추가합니다. 서명 메소드는 바인딩 파일의 정규화된 <SignedInfo> 요소를 <SignatureValue> 요소로 변환하는 데 사용되는 알고리즘입니다. 이용자에 대해 지정되는 알고리즘(응답 이용자 구성)은 요청 생성기 구성에 대해 지정된 알고리즘과 일치해야 합니다. WebSphere Application Server는 다음 사전 구성된 서명 알고리즘을 지원합니다.

    WebSphere Application Server는 DSA-SHA1: http://www.w3.org/2000/09/xmldsig#dsa-sha1에 대해 다음 알고리즘을 지원하지 않습니다. BSP(Basic Security Profile)를 준수하게 하려는 경우 DSA-SHA1 알고리즘을 사용할 수 없습니다.

  5. WSSVerification API는 정규화 메소드를 추가합니다. 정규화 메소드 알고리즘은 디지털 서명 조작의 파트로 통합되기 전에 <SignedInfo> 요소를 정규화하는 데 사용됩니다. 생성기에 대해 지정한 정형화 알고리즘은 이용자의 알고리즘과 일치해야 합니다.

    WebSphere Application Server는 다음 사전 구성된 정규화 알고리즘을 지원합니다.

  6. WSSVerification API는 서명 확인이 필요한지 여부를 지정합니다. OASIS WS-Security(Web Services Security) 버전 1.1 스펙은 서명 확인의 사용을 정의합니다. WS-Security 버전 1.0을 사용하고 있는 경우 이 기능을 사용할 수 없습니다.

    서명 확인 값은 수신되는 메시지가 리턴된 후에 서명 확인을 유효성 검증하는 데 사용하기 위해 저장됩니다. 이 메소드는 응답 메시지가 서명 확인을 SOAP 메시지에 첨부할 것으로 예상되는 경우에 호출됩니다.

  7. WSSVerifyPart API는 요약 메소드를 추가합니다. 서명 정보의 각 파트 참조에 대해 API는 요약 메소드 알고리즘 및 변환 알고리즘 둘 다 지정합니다.

    WebSphere Application Server는 다음 사전 구성된 요약 알고리즘을 지원합니다.

    • WSSVerifyPart.SHA1: http://www.w3.org/2000/09/xmldsig#sha1
    • WSSVerifyPart.SHA256: http://www.w3.org/2001/04/xmlenc#sha256
    • WSSVerifyPart.SHA512: http://www.w3.org/2001/04/xmlenc#sha512
  8. WSSVerifyPart API는 변환 메소드를 추가합니다. 서명 정보의 각 파트 참조에 대해 API는 요약 메소드 알고리즘 및 변환 알고리즘 둘 다 지정합니다.

    WebSphere Application Server는 다음 사전 구성된 변환 알고리즘을 지원합니다.

    • WSSVerifyPart.TRANSFORM_EXC_C14N(기본값): http://www.w3.org/2001/10/xml-exc-c14n#
    • WSSVerifyPart.TRANSFORM_XPATH2_FILTER: http://www.w3.org/2002/06/xmldsig-filter2
    • WSSVerifyPart.TRANSFORM_STRT10: http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-soap-message-security-1.0#STR-Transform
    • WSSVerifyPart.TRANSFORM_ENVELOPED_SIGNATURE: http://www.w3.org/2000/09/xmldsig#enveloped-signature

    WSS API의 경우 WebSphere Application Server는 다음 알고리즘을 지원하지 않습니다.

    • http://www.w3.org/2002/07/decrypt#XML
    • http://www.w3.org/TR/1999/REC-xpath-19991116

    이용자의 변환 알고리즘은 생성기의 변환 알고리즘과 일치해야 합니다.

결과

바인딩 파일의 클라이언트 측 응답 이용자 섹션에 대해 서명 정보를 구성하기 위한 단계가 완료되었습니다.

다음 예제는 서명을 확인하고 X.509 토큰 유형을 보안 토큰으로 확인하기 위한 WSS API 샘플 코드를 보여줍니다.

WSSFactory factory = WSSFactory.getInstance();
WSSConsumingContext concont = factory.newWSSConsumingContext();
// Generate the X.509 Callback Handler on the consumer side
    X509ConsumeCallbackHandler callbackhandler = generateCallbackHandler(); 
    WSSVerification ver = factory.newWSSVerification(X509Token.class, 
        callbackhandler);
concont.add(ver);

다음에 수행할 작업

아직 구성되지 않은 경우, 생성기 바인딩에 대한 유사한 서명 정보 구성을 지정하십시오.

그런 다음 이미 구성된 경우에는 암호화 및 복호화 정보를 구성하거나 이용자 및 생성기 토큰을 구성하십시오.


주제 유형을 표시하는 아이콘 태스크 주제



시간소인 아이콘 마지막 업데이트 날짜: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=twbs_configsigninfoconjaxws
파일 이름:twbs_configsigninfoconjaxws.html