WSS API를 사용하여 메시지 기밀성을 보호하도록 암호화 구성

클라이언트 측 요청 생성기(송신자) 바인딩에 대한 암호화 정보를 구성할 수 있습니다. 암호화 정보는 생성기(송신자)가 발신되는 SOAP 메시지를 암호화하는 방식을 지정하는 데 사용됩니다. 암호화를 구성하려면 암호화할 메시지 파트를 지정하고 암호화에 사용할 알고리즘 메소드 및 보안 토큰을 지정하십시오.

시작하기 전에

기밀성은 암호화를 나타내고 무결성은 디지털 서명을 나타냅니다. 기밀성은 누군가 인터넷에서의 메시지 흐름을 파악할 위험을 줄입니다. 기밀성 명세를 사용하면 메시지는 전송되기 전에 암호화되고 올바른 대상에서 수신할 때 복호화됩니다. 암호화를 구성하기 전에 XML 암호화에 대해 익히십시오.

이 태스크 정보

암호화의 경우 다음을 지정해야 합니다.
  • 암호화할 메시지 파트
  • 지정할 암호화 알고리즘.

클라이언트 측에서 암호화 및 암호화된 파트를 구성하려면 WSSEncryption 및 WSSEncryptPart API를 사용하거나 관리 콘솔을 사용하여 정책 세트를 구성하십시오.

WebSphere® Application Server는 바인딩에 대해 기본값을 제공합니다. 그러나 관리자는 프로덕션 환경의 기본값을 수정해야 합니다.

WebSphere Application Server는 기본 생성기에 대한 암호화 정보를 사용하여 SOAP 메시지의 파트를 암호화합니다. WSSEncryption API는 다음 필수 파트를 암호화된 파트로 구성합니다.

표 1. 필수 암호화된 파트. 암호화된 파트를 사용하여 SOAP 메시지의 기밀성을 높입니다.
암호화 파트 설명
키워드 키워드는 암호화된 파트를 SOAP 메시지에 추가하는 데 사용됩니다.
XPath 표현식 XPath 표현식은 암호화된 파트를 SOAP 메시지에 추가하는 데 사용됩니다.
WSSEncryptPart 오브젝트 이 오브젝트는 암호화된 파트를 SOAP 메시지에 추가합니다.
WSSSignature 오브젝트 이 오브젝트는 서명 컴포넌트를 암호화된 파트로 추가합니다.
헤더 이 파트는 QName이 지정한 SOAP 헤더의 헤더를 암호화 파트로 추가합니다.
보안 토큰 오브젝트 이 오브젝트는 보안 토큰을 암호화 파트로 추가합니다.

WSS API(Web Services Security API)는 웹 서비스 보안 통신(WS-SecureConversation)이 사용되는 경우에만 공유 키를 사용하여 대칭 암호화를 지원합니다.

WSS API를 사용하면 키워드 또는 XPath 표현식 중 하나를 사용하여 암호화할 메시지의 파트를 지정할 수 있습니다. WebSphere Application Server는 다음 키워드의 사용을 지원합니다.

표 2. 지원되는 암호화 키워드. 키워드를 사용하여 암호화된 파트를 지정합니다.
키워드 참조
BODY_CONTENT 암호화 대상으로서 SOAP 메시지 본문의 컨텐츠에 대한 키워드입니다.
SIGNATURE 암호화 대상으로서 서명 컴포넌트에 대한 키워드입니다.

WSS API를 사용하여 구성하는 경우 WSSEncryption 및 WSSEncryptPart API가 다음과 같은 상위 레벨 단계를 완료합니다.

프로시저

  1. WSSEncryption API를 사용하여 암호화를 구성하십시오. WSSEncryption API는 기본적으로 다음 태스크를 수행합니다.
    1. 콜백 핸들러를 생성합니다.
    2. 생성기 보안 토큰 오브젝트를 생성합니다.
    3. 보안 토큰 참조 유형을 추가합니다.
    4. 서명 컴포넌트를 추가합니다.
    5. WSSEncryptPart 오브젝트를 추가합니다.
    6. 암호화할 파트를 추가합니다. 키워드 및 XPath 표현식을 사용하여 기본 파트를 암호화 대상으로 추가합니다.
    7. QName이 지정하는 SOAP 메시지의 헤더를 추가합니다.
    8. 기본 데이터 암호화 메소드를 설정합니다.
    9. 키가 부울 값을 사용하여 암호화되는지 여부를 지정합니다.
    10. 기본 키 암호화 메소드를 설정합니다.
    11. 파트 참조를 선택합니다.
    12. MTOM 최적화 부울 값을 설정합니다.
  2. WSSEncryptPart API를 사용하여 암호화된 파트를 구성하거나 변환 메소드를 추가하십시오. WSSEncryptPart API는 기본적으로 다음 태스크를 수행합니다.
    1. 키워드 또는 XPath 표현식을 사용하여 지정된 암호화된 파트를 설정합니다.
    2. XPath 표현식에 의해 지정된 암호화된 파트를 설정합니다.
    3. 서명 컴포넌트 오브젝트 WSSSignature를 설정합니다.
    4. QName이 지정하는 SOAP 메시지의 헤더를 설정합니다.
    5. 생성기 보안 토큰을 설정합니다.
    6. 필요한 경우 변환 메소드를 추가합니다.
  3. 필요에 따라 알고리즘 또는 메시지 파트의 기본값을 변경하십시오. 예를 들어, 다음 항목 중 하나 이상을 변경할 수 있습니다.
    • 데이터 암호화 알고리즘을 기본값 AES 128에서 변경하십시오.
    • 키 암호화 알고리즘을 기본값 KW_RSA_OAEP에서 변경하십시오.
    • 키를 암호화하지 않도록 지정하십시오(false).
    • 보안 토큰 유형을 기본값 X.509 토큰에서 변경하십시오.
    • 보안 토큰 참조 유형을 기본값 SecurityToken.REF_STR에서 변경하십시오.
    • 암호화 파트로 BODY_CONTENT만 사용하고 SIGNATURE는 사용하지 마십시오.
    • MTOM 최적화를 켜십시오(true).

결과

암호화 정보가 생성기 바인딩을 위해 구성됩니다.

다음은 WSSEncryption API의 예입니다.
    WSSFactory factory = WSSFactory.getInstance();
    WSSGenerationContext gencont = factory.newWSSGenerationContext();
   
    X509GenerateCallbackHandler callbackhandler = generateCallbackHandler();
    SecurityToken token = factory.newSecurityToken(X509Token.class, callbackHandler);
    WSSEncryption enc = factory.newWSSEncryption(token);
    
    gencont.add(enc);

다음에 수행할 작업

아직 정보를 구성하지 않은 경우 클라이언트 측 응답 이용자(수신자) 바인딩에 대해 유사한 복호화 정보를 구성해야 합니다.

그 다음에는 WSSEncryption API 프로세스를 검토하십시오.


주제 유형을 표시하는 아이콘 태스크 주제



시간소인 아이콘 마지막 업데이트 날짜: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=twbs_configencryptinfogenjaxws
파일 이름:twbs_configencryptinfogenjaxws.html