버전 9.0 애플리케이션에 대한 웹 서비스 보안 조정
JCE(Java™ Cryptography Extension)는 SDK(Software Development Kit) 버전 1.4.x 이상에 통합되어 있습니다. 더 이상 선택적 패키지가 아닙니다. 그러나 SDK에서 제공하는 기본 JCE 관할 정책 파일을 통해 이 기본 정책을 시행하도록 암호화를 사용할 수 있습니다. 또한 웹 서비스 보안 구성 옵션을 수정하여 웹 서비스 보안 보호 애플리케이션에 대한 최상의 성능을 달성할 수 있습니다.
이 태스크 정보
무제한 JCE 정책 파일 사용
내보내기 및 가져오기 규정 때문에 SDK에서 제공하는 기본 JCE 관할 정책 파일을 통해 강력하지만 제한적인 암호화만 사용할 수 있습니다. 이 기본 정책을 시행하기 위해 WebSphere® Application Server는 성능 영향을 소개할 수도 있는 JCE 관할 정책 파일을 사용합니다. 기본 JCE 관할 정책은 웹 서비스 보안에 의해 지원되는 암호화 기능에 성능 영향을 줄 수도 있습니다. XML 암호화 또는 디지털 서명에 대한 전송 레벨 보안을 사용하는 웹 서비스 애플리케이션이 있으면 WebSphere Application Server의 이전 릴리스에서 성능이 저하될 수도 있습니다. 그러나 IBM® 및 Oracle 회사는 암호화 강도에 대한 제한사항이 없는 이러한 관할 정책 파일의 버전을 제공합니다. 정부의 가져오기 및 내보내기 규정에서 허용한 경우 이 관할 정책 파일 중 하나를 다운로드합니다. 이러한 파일 중 하나를 다운로드하면 JCE 및 웹 서비스 보안의 성능이 향상될 수 있습니다.

- 다음 웹 사이트로 이동하십시오. http://www.ibm.com/developerworks/java/jdk/security/index.html
- Java SE 6을 클릭하십시오.
- 화면을 아래로 스크롤하여 IBM SDK Policy files를 클릭하십시오.
SDK 웹 사이트의 무제한 JCE 정책 파일이 표시됩니다.
- 로그인을 클릭하고 IBM 인트라넷 ID 및 비밀번호를 제공하거나 IBM에 등록하여 파일을 다운로드하십시오.
- 적절한 무제한 JCE 정책 파일을 선택하고 Continue를 클릭하십시오.
- 라이센스 계약을 보고 I Agree를 클릭하십시오.
- 지금 다운로드를 클릭하십시오.
IBM i 및 IBM
SDK(Software Development Kit)에 대한 무제한 관할 정책 파일을 구성하려면
다음 단계를 완료하십시오.
![[IBM i]](../images/iseries.gif)
프로시저
![[AIX Solaris HP-UX Linux Windows]](../images/dist.gif)
결과
구성 옵션을 사용하여 WebSphere Application Server 조정
- JAX-WS 애플리케이션에 적합한 경우 WS-SecureConversation을 사용하십시오.
일반적으로 보안 대화에서 대칭 키를 사용할 경우
X.509에서 비대칭 키를 사용할 때보다 더 효율적입니다.
참고: WS-SecureConversation 사용은 JAX-RPC 애플리케이션이 아닌, JAX-WS 애플리케이션에서만 지원됩니다.
- WebSphere Application Server에서 제공하는 표준 토큰 유형을 사용합니다. 사용자 정의 토큰 사용이 지원되지만, 제공된 토큰 유형을 사용하면 더 높은 성능을 얻을 수 있습니다.
- 서명의 경우 독점 정형화 변환 알고리즘만 사용합니다. 자세한 정보는 W3 권장사항 웹 페이지(http://www.w3.org/2001/10/xml-exc-c14n#)를 참조하십시오.
- 사용 가능한 경우 보호할 SOAP 메시지 파트를 선택할 때 XPath 표현식을 사용하지 마십시오. JAX-WS 애플리케이션용 WebSphere Application Server에서 제공하는 WS-Security 정책은 Timestamp, SignatureConfirmation, UsernameToken과 같은 보안 헤더에 있는 몇 가지 요소의 보호를 지정하도록 Xpath 표현식을 사용합니다. 이러한 Xpath 표현식의 사용은 최적화되었지만, 최적화되지 않은 표현식도 있습니다.
- 메시지 파트에 서명하거나 암호화하기 전에 SOAP 메시지에 난스(nonce) 및 시간소인 요소를 삽입하는 데 사용할 수 있는 WS-Security에 대한 WebSphere Application Server 확장이 있어도 성능 향상을 위해 이러한 확장은 사용하지 않아야 합니다.
- WS-Security 암호화된 요소의 Base-64로 인코딩된 CipherValue를 MTOM 첨부로 전송하는 옵션이 있습니다. 암호화된 소형 요소의 경우 이 옵션을 방지하면 최상의 성능을 얻을 수 있습니다. 암호화된 대형 요소의 경우 이 옵션을 사용하면 최상의 성능을 얻을 수 있습니다.
- SOAP 메시지에서 요소에 서명하고 암호화할 때 먼저 서명하고 암호화하는 순서를 지정하십시오.
- 시간소인 요소를 메시지에 추가할 때, 시간소인은 서명 요소 전에 보안 헤더에 추가되어야 합니다. WS-Security 정책 구성에서 Strict 또는 LaxTimestampFirst 보안 헤더 레이아웃을 사용하여 수행합니다.
- JAX-WS 애플리케이션의 경우 WSS API 기반 구성 대신 정책 기반 구성을 사용합니다.
다음에 수행할 작업
IBM WebSphere Application Server 버전 6.1 이상에서 웹 서비스 보안은 암호화 하드웨어 디바이스 사용을 지원합니다. 웹 서비스 보안과 함께 하드웨어 암호화 디바이스를 사용하는 두 가지 방법이 있습니다. 자세한 정보는 웹 서비스 보안을 위한 하드웨어 암호화 디바이스 지원의 내용을 참조하십시오.