웹 서비스 보안 지원

IBM®은 서비스 품질(QoS)을 제공하기 위해 웹 서비스 보안을 지원하며, 이는 IBM 웹 서비스 엔진의 확장자입니다. WebSphere® Application Server 보안 인프라는 웹 서비스 보안과 Java™ EE(Java Platform, Enterprise) 보안 스펙을 완전하게 통합합니다.

중요사항: 버전 5.x 및 버전 6.0.x 이상 애플리케이션 사이에는 중요한 차이점이 있습니다. 정보는 WebSphere Application Server 6.0.x 이상 버전과 함께 사용되는 버전 5.x 애플리케이션만을 지원합니다. 정보는 6.0.x 이상 버전 애플리케이션에 적용되지 않습니다.

WebSphere Application Server, 버전 4.x, 5 및 5.0.1은 Apache SOAP 버전 2.x에 대한 디지털 서명을 지원합니다. WebSphere Application Server, 버전 5.0.2로 시작하여, IBM은 웹 서비스 보안을 지원합니다. IBM 구현은 원래 2002년 4월에 IBM, Microsoft 및 VeriSign에서 제안된 웹 서비스 보안(WS-Security)인 웹 서비스 보안 스펙을 기반으로 합니다. 제안된 초안 스펙에 대한 초기 버전은 웹 서비스 보안(WS-Security) 버전 1.0(2002년 4월 05일)과 웹 서비스 보안 Addendum(2002년 8월 18일)에서 찾을 수 있습니다. WebSphere Application Server 구현은 OASIS(Organization for the Advancement of Structured Information Standards) 작업 초안 13 스펙을 기반으로 합니다. (최근 작업 스펙은 OASIS 웹 서비스 보안 TC 웹 사이트를 참조하십시오.) 그러나, OASIS 작업 초안 13 스펙의 모든 기능이 구현되지는 않습니다.

웹 서비스 보안은 순수한 Java 클라이언트 또는 관리되지 않는 클라이언트에서 지원되지 않습니다. 사용자 ID 및 비밀번호가 요청 메시지에 임베디드될 때, 인증은 사용자 ID와 비밀번호로 수행됩니다. 인증이 성공적이면, 사용자 ID가 설정되고 추가 자원 액세스가 해당 ID를 기반으로 권한 부여됩니다. 사용자 ID 및 비밀번호가 웹 서비스 보안 런타임에 의해 인증된 후 Java EE 컨테이너는 권한 부여를 수행합니다.

WebSphere Application Server는 다음 스펙을 기반으로 웹 서비스 보안의 주요 기능의 구현을 제공합니다.
다음 테이블은 WebSphere Application Server에서 지원되는 웹 서비스 보안 요소의 요약을 제공합니다.
표 1. 지원되는 웹 서비스 보안 요소. 테이블을 사용하여 지원되는 보안 요소를 판별하십시오.
요소 Notes®
UsernameToken BasicAuth 인증 메소드에 대한 사용자 이름 및 비밀번호와 ID 어설션 인증 메소드에 대한 사용자 이름 모두 지원됩니다. WebSphere Application Server는 무작위로 생성되는 값인 난스(nonce)를 지원합니다.
BinarySecurityToken X.509 인증 및 LTPA(Lightweight Third Party Authentication)는 임베디드될 수 있지만, Kerberos 티켓을 임베드하기 위한 구현이 없습니다. 그러나, 2진 토큰 생성 및 유효성 검증은 플러그 가능하고 JAAS(Java Authentication and Authorization Service) API(Application Programming Interfaces)를 기반으로 합니다. 다른 유형의 2진 보안 토큰을 생성하고 유효성 검증하기 위해 이 구현을 확장할 수 있습니다.
Signature X.509 인증은 2진 보안 토큰으로서 임베디드되고, SecurityTokenReference에 의해 참조될 수 있습니다. WebSphere Application Server는 공유, 키 기반 서명을 지원하지 않습니다.
암호화 EncryptedKey와 ReferenceList XML 태그 모두 지원됩니다. KeyIdentifier는 공개 키를 지정하고 KeyName이 비밀 키를 식별합니다. WebSphere Application Server에는 인증된 ID를 암호화를 위한 키로 맵핑하거나 응답 메시지를 암호화하기 위해 서명자 인증서를 사용하기 위한 기능이 있습니다.
시간소인 WebSphere Application Server는 작성 및 만기 속성을 지원합니다. 만기 속성이 메시지에 존재하는 경우에만 메시지가 사전정의된 시간 제한조건에 따를지 나타내는 메시지의 신선도가 확인됩니다. WebSphere Application Server는 수신된 속성을 지원하지 않으며, 이는 부록에서 정의됩니다. 대신, WebSphere Application Server는 TimestampTraceReceived 속성을 사용하고, 이는 OASIS 스펙에 정의됩니다.
XML 기반 토큰 XML 토큰의 임의 형식을 메시지에 삽입하고 유효성 검증할 수 있습니다. 이 형식 메커니즘은 JAAS API를 기반으로 합니다.
서명 및 첨부 파일 암호화는 WebSphere Application Server에 의해 지원되지 않습니다. 그러나, WebSphere Application Server는 요청 메시지를 위해 다음 요소에 서명하고 암호화합니다.
표 2. 요청 메시지를 위해 서명되고 암호화된 요소. 요소는 인증을 수행하기 위해 사용됩니다.
메소드 요소
XML 디지털 서명
  • 본문
  • Securitytoken
  • Timestamp
XML 암호화
  • Bodycontent
  • Usernametoken
AuthMethod
  • BasicAuth
  • IDAssertion(WebSphere Application Server에서 다른 WebSphere Application Server로)
  • Signature
  • 서버 측의 LTPA(Lightweight Third Party Authentication)
  • 기타 고객 토큰
WebSphere Application Server는 응답 메시지를 위해 다음 요소에 서명하고 암호화합니다.
표 3. 응답 메시지를 위해 서명되고 암호화된 요소. 요소는 인증을 수행하기 위해 사용됩니다.
메소드 요소
XML 디지털 서명
  • 본문
  • Timestamp
XML 암호화
  • Bodycontent
WebSphere Application Server는 웹 서비스 보안에 다음 기능을 제공합니다.
  • 메시지의 무결성
  • 메시지의 진위성
  • 메시지의 기밀성
  • 메시지의 개인정보 보호정책
  • 전송 레벨 보안: SSL(Secure Sockets Layer)에서 제공됩니다.
  • 보안 토큰 전파(플러그 가능)
  • ID 어설션
다음 네임스페이스는 메시지 전송을 위해 사용됩니다.
OASIS 웹 서비스 보안: SOAP 메시지 보안 작업 초안(2003년 5월 13일)
http://schemas.xmlsoap.org/ws/2003/06/secext

http://schemas.xmlsoap.org/ws/2003/06/utility

OASIS 웹 서비스 보안: SOAP 메시지 보안 1.0(WS-Security 2004)
http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-secext-1.0.xsd

http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-utility-1.0.xsd

OASIS 웹 서비스 보안: SOAP 메시지 보안 1.1(WS-Security 2004)
http://docs.oasis-open.org/wss/oasis-wss-wssecurity-secext-1.1.xsd

http://docs.oasis-open.org/wss/2004/01/oasis- 200401-wss-wssecurity-utility-1.0.xsd

표 4. 네임스페이스 요약. 이 테이블은 메시지를 보내고 수신하는 데 사용되는 네임스페이스를 요약합니다.
런타임 전송 수신
JAX-RPC 초안 13 OASIS 초안 13 OASIS 초안 13
JAX-RPC OASIS wssec 1.0 OASIS wssec 1.0

OASIS 초안 13

JAX-WS OASIS wssec 1.1

OASIS wssec 1.0

OASIS wssec 1.1

OASIS wssec 1.0

OASIS draft13

WebSphere Application Server에서 웹 서비스 보안 런타임은 임의의 다음 네임스페이스를 승인할 수없습니다.
2002년 4월 스펙
http://schemas.xmlsoap.org/ws/2002/04/secext
2002년 8월 부록
http://schemas.xmlsoap.org/ws/2002/07/secext

http://schemas.xmlsoap.org/ws/2002/07/utility

지원되지 않는 기능에 대한 설명을 위한 웹 서비스 보안 요소 테이블을 참조하십시오.


주제 유형을 표시하는 아이콘 참조 주제



시간소인 아이콘 마지막 업데이트 날짜: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=rwbs_wssecurityws
파일 이름:rwbs_wssecurityws.html