WSS API를 사용하여 웹 서비스 보안 구성

웹 서비스 보안 애플리케이션 프로그래밍 인터페이스(WSS API)는 SOAP 메시지에 대한 보안 설정을 지원합니다.

시작하기 전에

웹 서비스 보안은 다음 프로그래밍 모델을 지원합니다.

  • 웹 서비스 보안(WSS API)을 사용하여 SOAP 메시지의 보안을 설정하기 위한 프로그래밍 API입니다.

    이 API 프로그래밍 모델 디자인이 다시 디자인되었습니다. 새 디자인은 인터페이스 기반 프로그래밍 모델이며 웹 서비스 보안 버전 1.1 표준을 기반으로 하지만 디자인은 SOAP 메시지 보안을 위해 웹 서비스 보안 버전 1.0도 지원합니다. WSS API 프로그래밍 모델 구현은 웹 서비스 보안을 위해 Java™ API 바인딩을 정의하기 위한 JSR인 JSR-183의 초기 드래프트 제안을 기반으로 하는 단순한 버전입니다. 애플리케이션 코드가 인터페이스에 대해 프로그래밍되어 있으므로 개방형 소스 구현으로 프로그래밍된 애플리케이션 코드는 최소한의 변경이나 전혀 변경하지 않고도 WebSphere® Application Server에서 실행될 수 있어야 합니다.

  • 서비스 제공자의 SPI(Service Programming Interfaces)

    마찬가지로 같은 보안 토큰 인터페이스 및 JAAS 로그인 모듈 구현을 WSS API 및 SPI 둘 다에 사용할 수 있도록 웹 서비스 보안 런타임 토큰 생성 및 토큰 이용 SPI가 다시 디자인되었습니다. 서비스 제공자의 WSS SPI는 보안 토큰 유형을 확장하고 서명, 서명 검증, 암호화 및 복호화를 위한 키 및 파생 키를 제공합니다.

사용법 설명: 웹 서비스의 컨텍스트에서는 WS-Security 표준의 IBM 구현을 사용해야 합니다.

이 태스크 정보

이러한 프로그래밍 모델은 다음 기능을 확장합니다.
  • 보안 토큰 유형 및 서명을 위한 파생 키
  • 서명 및 검증
  • 암호화 및 복호화

다음 그림은 XML 디지털 서명 및 XML 암호화를 사용하여 SOAP 메시지를 보안 설정하기 위해 단순화된 WSS API를 사용하는 방법을 보여줍니다.

웹 서비스의 구성 모델도 배치 디스크립터 모델에서 정책 세트 모델로 다시 디자인되었습니다. 구성 프로그래밍 모델은 보안 정책을 사용하는 정책 세트 구성을 기반으로 하여 보안 제한조건을 지정합니다.

정책 세트 구성에 의해 제공되는 기능은 웹 서비스 보안 런타임을 위해 WSS API가 지원하는 기능과 동일합니다. 그러나 정책 세트를 사용하여 정의된 보안 정책이 WSS API보다 우선순위가 높습니다. WSS API 및 정책 세트 둘 모두가 애플리케이션에 사용된 경우 기본 동작은 강제 실행될 정책 세트와 무시될 WSS API의 보안 정책에 적용됩니다. 애플리케이션에서 WSS API를 사용하려면 애플리케이션이나 애플리케이션 자원에 정책 세트가 첨부되지 않았는지 확인하거나 첨부된 정책 세트에 보안 정책이 없는지 확인하십시오.

웹 서비스 보안은 관리 콘솔을 사용하여 구성된 정책 세트를 사용하거나 구성에 WSS API를 사용하여 사용으로 설정할 수 있습니다.

SOAP 메시지를 보안 설정하려면 WSS API를 사용하여 다음 상위 레벨 단계를 완료하십시오.

프로시저

  1. WSSSignature API를 사용하여 요청 생성기(클라이언트 측) 바인딩에 대한 서명 정보를 구성하십시오. 생성기 측에서 요청의 메시지 보호에 서로 다른 메시지 파트를 지정할 수 있습니다. 기본 필수 파트는 BODY, ADDRESSING_HEADERS 및 TIMESTAMP입니다.

    또한 WSSSignature API는 메시지 보호에 대한 서명과 함께 사용할 서로 다른 알고리즘 방법을 지정합니다. 기본 서명 메소드는 RSA_SHA1입니다. 기본 정형화 메소드는 EXC_C14N입니다.

  2. 메시지 보호에 사용할 서명 파트를 추가하거나 변경하려는 경우 WSSSignPart API를 사용하십시오. 기본 서명 파트는 WSSSignature.BODY, WSSSignature.ADDRESSING_HEADERS 및 WSSSignature.TIMESTAMP입니다.

    또한 WSSSignPart API는 서명된 파트를 추가하거나 변경한 경우 사용할 서로 다른 알고리즘 방법을 지정합니다. 기본 다이제스트 메소드는 SHA1입니다. 기본 변환 방법은 TRANSFORM_EXC_C14N입니다. 예를 들어, 기본값, SHA1 대신, SHA256 다이제스트 메소드를 사용하여 SOAP 메시지에 대한 서명을 생성하려는 경우 WSSSignPart API를 사용합니다.

  3. WSSEncryption API를 사용하여 요청 생성기 측에서 암호화 정보를 구성하십시오. 생성기 측의 암호화 정보는 요청 생성기(클라이언트 측) 바인딩에 대한 발신 SOAP 메시지를 암호화하는 경우에 사용됩니다. 암호화의 기본 대상은 BODY_CONTENT 및 SIGNATURE입니다.

    또한 WSSEncryption API는 메시지 기밀성을 보호하는 데 사용할 서로 다른 알고리즘 방법을 지정합니다. 기본 데이터 암호화 방법은 AES128입니다. 기본 키 암호화 방법은 KW_RSA_OAEP입니다.

  4. 메시지 기밀성을 위해 사용할 암호화된 파트를 추가하거나 변경하려는 경우 WSSEncryptPart API를 사용하십시오. 예를 들어, 데이터 암호화 방법에서 기본값, AES128을 TRIPLE_DES로 변경하려는 경우가 이에 해당합니다.

    암호화된 파트에는 알고리즘 방법이 필요하지 않습니다.

  5. WSS API를 사용하여 생성기 측에서 토큰을 첨부하십시오. 보안 토큰의 요구사항은 토큰 유형에 따라 달라집니다. JAAS 로그인 모듈 및 JAAS 콜백 핸들러는 생성기 측에서 보안 토큰 작성을 담당합니다. 서로 다른 독립형 토큰을 요청 또는 응답에서 전송할 수 있습니다. 기본 토큰은 X509Token입니다. 서명에 사용할 수 있는 다른 토큰은 DerivedKeyToken으로 웹 서비스 보안 대화(WS-SecureConversation)에서만 사용합니다.
  6. WSSVerification API를 사용하여 응답 이용자(클라이언트 측) 바인딩의 서명을 검증하십시오. 이용자 측에서 응답의 메시지 보호에 서로 다른 메시지 파트를 지정할 수 있습니다. 필수 검증 대상은 BODY, ADDRESSING_HEADERS 및 TIMESTAMP입니다.

    또한 WSSVerification API는 서명 확인 및 메시지 보호에 사용할 서로 다른 알고리즘 방법을 지정합니다. 기본 서명 메소드는 RSA_SHA1입니다. 기본 정형화 메소드는 EXC_C14N입니다.

  7. WSSVerifyPart API를 사용하여 메시지 보호를 위해 사용할 검증 서명 파트를 추가하거나 변경하십시오. 필수 검증 파트는 WSSVerification.BODY, WSSVerification.ADDRESSING_HEADERS 및 WSSVerification.TIMESTAMP입니다.

    또한 WSSVerifyPart API는 검증 파트를 추가하거나 변경한 경우 사용할 서로 다른 알고리즘 방법을 지정합니다. 기본 다이제스트 메소드는 SHA1입니다. 기본 변환 방법은 TRANSFORM_EXC_C14N입니다.

  8. WSSDecryption API를 사용하여 응답 이용자(클라이언트 측) 바인딩에 대한 복호화 정보를 구성하십시오. 이용자 측에서 복호화 정보는 수신 SOAP 메시지를 복호화하는 데 사용됩니다. 복호화의 기본 대상은 BODY_CONTENT 및 SIGNATURE입니다. 기본 데이터 암호화 방법은 AES128입니다. 기본 키 암호화 방법은 KW_RSA_OAEP입니다.

    복호화에는 알고리즘 방법이 필요하지 않습니다.

  9. 메시지 기밀성을 위해 사용할 복호화된 파트를 추가하거나 변경하려는 경우 WSSDecryptPart API를 사용하십시오. 예를 들어, 데이터 암호화 방법에서 기본값, AES128을 TRIPLE_DES로 변경하려는 경우가 이에 해당합니다.

    복호화된 파트에는 알고리즘 방법이 필요하지 않습니다.

  10. WSS API를 사용하여 이용자 측에서 토큰을 구성하십시오. 보안 토큰의 요구사항은 토큰 유형에 따라 달라집니다. JAAS 로그인 모듈 및 JAAS 콜백 핸들러는 이용자 측에서 보안 토큰 유효성 검증(인증)을 담당합니다. 서로 다른 독립형 토큰을 요청 또는 응답에서 전송할 수 있습니다.

    WSS API는 복호화에 사용된 후보 토큰의 정보를 추가합니다. 기본 토큰은 X509Token입니다.

결과

다음에 수행할 작업

같은 보안 토큰 인터페이스 및 JAAS 로그인 모듈 구현이 WSS API 및 SPI 둘 다에서 사용될 수 있도록 웹 서비스 보안 런타임 토큰 생성 및 토큰 이용 SPI(Service Programming Interface)가 다시 디자인되었습니다. 자세한 설명은 SPI 정보를 참조하십시오.


주제 유형을 표시하는 아이콘 태스크 주제



시간소인 아이콘 마지막 업데이트 날짜: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=twbs_confwssapi
파일 이름:twbs_confwssapi.html