웹 서비스의 Kerberos 메시지 보호
메시지 레벨 보안은 OASIS(Organization for the Advancement of Structured Information Standards) 웹 서비스 보안 Kerberos 토큰 프로파일 버전 1.1 스펙을 기반으로 합니다. 이 주제에서는 웹 서비스용 Kerberos 토큰으로 메시지 보호를 구현하는 방법에 대해 전체적으로 이해할 수 있습니다.
메시지 보호
애플리케이션 서버는 OASIS 웹 서비스 Kerberos 토큰 프로파일의 구현으로 인해 다른 웹 서비스 기술과 상호 운용이 가능합니다. 이 스펙은 SOAP 메시지를 Kerberos 토큰으로 보안하기 위한 표준을 정의합니다. 그러나 토큰 프로파일이 상호 인증은 정의하지 않습니다. OASIS 웹 서비스 SOAP 메시지 보안 스펙은 Kerberos 토큰을 사용 및 참조하여 서명 및 암호화를 통해 SOAP 메시지를 보안하는 방법을 설명합니다. 특히 OASIS 스펙은 줄이 바뀌거나 줄이 바뀌지 않은 AP_REQ 패킷으로서 Kerberos 토큰을 인코딩하고 SOAP 메시지에 첨부하는 방법을 정의합니다. OASIS Kerberos 토큰 프로파일에 설명된 토큰은 AP_REQ 패킷으로 제한되어 있고 이는 서비스 티켓 및 인증기로 구성되어 있습니다. AP_REQ 패킷은 써드파티 인증 서비스의 역할을 하는 KDC(Key Distribution Center)로부터 구한 것입니다.
- http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#Kerberosv5_AP_REQ
- http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ
- http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#Kerberosv5_AP_REQ1510
- http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ1510
- http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#Kerberosv5_AP_REQ4120
- http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ4120
결과로 나오는 AP_REQ 토큰은 GSS-API 프레임(줄 바뀜) 또는 원시(줄이 바뀌지 않음)일 수 있습니다. 토큰은 Base-64로 인코딩되어야 합니다.