버전 9.0 애플리케이션에 대한 웹 서비스 보안 조정

JCE(Java™ Cryptography Extension)는 SDK(Software Development Kit) 버전 1.4.x 이상에 통합되어 있습니다. 더 이상 선택적 패키지가 아닙니다. 그러나 SDK에서 제공하는 기본 JCE 관할 정책 파일을 통해 이 기본 정책을 시행하도록 암호화를 사용할 수 있습니다. 또한 웹 서비스 보안 구성 옵션을 수정하여 웹 서비스 보안 보호 애플리케이션에 대한 최상의 성능을 달성할 수 있습니다.

이 태스크 정보

무제한 JCE 정책 파일 사용

내보내기 및 가져오기 규정 때문에 SDK에서 제공하는 기본 JCE 관할 정책 파일을 통해 강력하지만 제한적인 암호화만 사용할 수 있습니다. 이 기본 정책을 시행하기 위해 WebSphere® Application Server는 성능 영향을 소개할 수도 있는 JCE 관할 정책 파일을 사용합니다. 기본 JCE 관할 정책은 웹 서비스 보안에 의해 지원되는 암호화 기능에 성능 영향을 줄 수도 있습니다. XML 암호화 또는 디지털 서명에 대한 전송 레벨 보안을 사용하는 웹 서비스 애플리케이션이 있으면 WebSphere Application Server의 이전 릴리스에서 성능이 저하될 수도 있습니다. 그러나 IBM® 및 Oracle 회사는 암호화 강도에 대한 제한사항이 없는 이러한 관할 정책 파일의 버전을 제공합니다. 정부의 가져오기 및 내보내기 규정에서 허용한 경우 이 관할 정책 파일 중 하나를 다운로드합니다. 이러한 파일 중 하나를 다운로드하면 JCE 및 웹 서비스 보안의 성능이 향상될 수 있습니다.

문제점 방지 문제점 방지: SDK(Software Development Kit)에 대한 업데이트를 포함하는 수정팩은 제한되지 않는 정책 파일 및 cacerts 파일을 겹쳐쓸 수 있습니다. 수정팩을 적용하기 전에 제한되지 않는 정책 파일과 cacerts 파일을 백업하고 수정팩을 적용한 후 해당 파일을 다시 적용하십시오. 이 파일은 {was_install_directory}\java\jre\lib\security 디렉토리에 있습니다. gotcha
중요사항: 사용자의 국가마다 암호화 소프트웨어의 수입, 소유권, 사용 또는 다른 국가로의 재수출에 대한 제한사항이 있을 수 있습니다. 제한되지 않은 정책 파일을 다운로드하거나 사용하기 전에 허용 여부를 결정하려면 암호화 소프트웨어의 수입, 소유권, 사용 및 재수출에 관한 해당 국가의 법률, 규정 및 정책을 확인해야 합니다.
IBM Developer Kit, Java Technology Edition, 버전 6을 사용하는 WebSphere Application Server 플랫폼의 경우 다음 단계를 완료하여 무제한 관할 정책 파일을 가져올 수 있습니다.
  1. 다음 웹 사이트로 이동하십시오. http://www.ibm.com/developerworks/java/jdk/security/index.html
  2. Java SE 6을 클릭하십시오.
  3. 화면을 아래로 스크롤하여 IBM SDK Policy files를 클릭하십시오.

    SDK 웹 사이트의 무제한 JCE 정책 파일이 표시됩니다.

  4. 로그인을 클릭하고 IBM 인트라넷 ID 및 비밀번호를 제공하거나 IBM에 등록하여 파일을 다운로드하십시오.
  5. 적절한 무제한 JCE 정책 파일을 선택하고 Continue를 클릭하십시오.
  6. 라이센스 계약을 보고 I Agree를 클릭하십시오.
  7. 지금 다운로드를 클릭하십시오.

[IBM i]IBM i 및 IBM SDK(Software Development Kit)에 대한 무제한 관할 정책 파일을 구성하려면 다음 단계를 완료하십시오.

[IBM i]

프로시저

  1. 이 파일의 백업 사본을 작성하십시오.
    /QIBM/ProdData/Java400/jdk6/lib/security/local_policy.jar
    /QIBM/ProdData/Java400/jdk6/lib/security/US_export_policy.jar
  2. http://www.ibm.com/developerworks/java/jdk/security/index.html에서 /QIBM/ProdData/Java400/jdk6/lib/security 디렉토리로 무제한 정책 파일을 다운로드하십시오.
  3. 다음 웹 사이트로 이동하십시오. http://www.ibm.com/developerworks/java/jdk/security/index.html
    1. Java SE 6을 클릭하십시오.
    2. 화면을 아래로 스크롤하여 IBM SDK Policy files를 클릭하십시오. SDK 웹 사이트의 무제한 JCE 정책 파일이 표시됩니다.
    3. 로그인을 클릭하고 사용자의 IBM 인트라넷 ID와 비밀번호를 입력합니다.
    4. 적절한 무제한 JCE 정책 파일을 선택하고 Continue를 클릭하십시오.
    5. 라이센스 계약을 보고 I Agree를 클릭하십시오.
    6. 지금 다운로드를 클릭하십시오.
  4. DSPAUT 명령을 사용하여 *PUBLIC에 *RX 데이터 권한이 부여되었지만, /QIBM/ProdData/Java400/jdk6/lib/security 디렉토리에 있는 local_policy.jarUS_export_policy.jar 파일에 대한 오브젝트 권한이 제공되지 않았는지 확인하십시오. 예를 들어 다음과 같습니다.
    DSPAUT OBJ('/qibm/proddata/java400/jdk6/lib/security/local_policy.jar')
  5. 필요한 경우 CHGAUT 명령을 사용하여 권한 부여를 변경하십시오. 예를 들어 다음과 같습니다.
    CHGAUT OBJ('/qibm/proddata/java400/jdk6/lib/security/local_policy.jar') 
    USER(*PUBLIC) DTAAUT(*RX) OBJAUT(*NONE)
[AIX Solaris HP-UX Linux Windows]

결과

이 단계에 따라 두 개의 Java 아카이브(JAR) 파일이 JVM jre/lib/security/ 디렉토리에 배치됩니다.

구성 옵션을 사용하여 WebSphere Application Server 조정

WebSphere Application Server에서 SOAP 메시지의 메시지 레벨 보안을 위해 WS-Security를 사용할 때 구성 옵션을 선택할 경우 애플리케이션의 성능에 영향을 줄 수 있습니다. 다음 가이드라인은 WS-Security 보호 애플리케이션에 대한 최상의 성능을 달성하는 데 유용합니다.
  1. JAX-WS 애플리케이션에 적합한 경우 WS-SecureConversation을 사용하십시오. 일반적으로 보안 대화에서 대칭 키를 사용할 경우 X.509에서 비대칭 키를 사용할 때보다 더 효율적입니다.
    참고: WS-SecureConversation 사용은 JAX-RPC 애플리케이션이 아닌, JAX-WS 애플리케이션에서만 지원됩니다.
  2. WebSphere Application Server에서 제공하는 표준 토큰 유형을 사용합니다. 사용자 정의 토큰 사용이 지원되지만, 제공된 토큰 유형을 사용하면 더 높은 성능을 얻을 수 있습니다.
  3. 서명의 경우 독점 정형화 변환 알고리즘만 사용합니다. 자세한 정보는 W3 권장사항 웹 페이지(http://www.w3.org/2001/10/xml-exc-c14n#)를 참조하십시오.
  4. 사용 가능한 경우 보호할 SOAP 메시지 파트를 선택할 때 XPath 표현식을 사용하지 마십시오. JAX-WS 애플리케이션용 WebSphere Application Server에서 제공하는 WS-Security 정책은 Timestamp, SignatureConfirmation, UsernameToken과 같은 보안 헤더에 있는 몇 가지 요소의 보호를 지정하도록 Xpath 표현식을 사용합니다. 이러한 Xpath 표현식의 사용은 최적화되었지만, 최적화되지 않은 표현식도 있습니다.
  5. 메시지 파트에 서명하거나 암호화하기 전에 SOAP 메시지에 난스(nonce) 및 시간소인 요소를 삽입하는 데 사용할 수 있는 WS-Security에 대한 WebSphere Application Server 확장이 있어도 성능 향상을 위해 이러한 확장은 사용하지 않아야 합니다.
  6. WS-Security 암호화된 요소의 Base-64로 인코딩된 CipherValue를 MTOM 첨부로 전송하는 옵션이 있습니다. 암호화된 소형 요소의 경우 이 옵션을 방지하면 최상의 성능을 얻을 수 있습니다. 암호화된 대형 요소의 경우 이 옵션을 사용하면 최상의 성능을 얻을 수 있습니다.
  7. SOAP 메시지에서 요소에 서명하고 암호화할 때 먼저 서명하고 암호화하는 순서를 지정하십시오.
  8. 시간소인 요소를 메시지에 추가할 때, 시간소인은 서명 요소 전에 보안 헤더에 추가되어야 합니다. WS-Security 정책 구성에서 Strict 또는 LaxTimestampFirst 보안 헤더 레이아웃을 사용하여 수행합니다.
  9. JAX-WS 애플리케이션의 경우 WSS API 기반 구성 대신 정책 기반 구성을 사용합니다.

다음에 수행할 작업

IBM WebSphere Application Server 버전 6.1 이상에서 웹 서비스 보안은 암호화 하드웨어 디바이스 사용을 지원합니다. 웹 서비스 보안과 함께 하드웨어 암호화 디바이스를 사용하는 두 가지 방법이 있습니다. 자세한 정보는 웹 서비스 보안을 위한 하드웨어 암호화 디바이스 지원의 내용을 참조하십시오.


주제 유형을 표시하는 아이콘 태스크 주제



시간소인 아이콘 마지막 업데이트 날짜: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=twbs_tunev6wss
파일 이름:twbs_tunev6wss.html