기본 보안 프로파일 준수 팁
웹 서비스 상호 운용성 조직(WS-I) BSP(Basic Security Profile) 1.0은 일련의 비독점 웹 서비스 스펙에 대한 명확성 및 증폭을 제공하여 상호 운용성을 촉진합니다. WebSphere® Application Server 웹 서비스 보안은 BSP 권장사항 및 보안 고려사항을 사용하여 상호 운용성을 보장할 수 있도록 구성 옵션을 제공합니다. 이러한 권장사항을 따르는 정도는 구성하는 애플리케이션의 기본 보안 프로파일(BSP) 준수 척도입니다.
애플리케이션의 BSP(Basic Security Profile) 준수 지원은 WebSphere Application Server 버전 9.0의 새로운 기능입니다. 기본 보안 프로파일에 대한 자세한 정보는 웹 서비스 상호 운용성조직(WS-I) 기본 보안 프로파일(BSP), 기본 보안 프로파일 버전 1.0을 참조하십시오.
사전 정의된 키워드 또는 XPath 표현식 목록을 사용하여 BSP를 준수할 수 있습니다. 키워드와 XPath 표현식은 배치 디스크립터 구성 파일에 지정되고 어셈블리 도구를 사용하여 구성됩니다.
기본 보안 프로파일 권장사항
- 원래 XPath 변환 http://www.w3.org/TR/1999/REC-xpath-19991116을 사용하지 마십시오.
SIGNATURE 요소에 있는 ds:참조의 ID 속성 유형을 포함하지 않는 SECURE_ENVELOPE에 있는 요소를 참조하는 경우 XPath Filter 2.0 변환 http://www.w3.org/2002/06/xmldsig-filter2을 사용하여 해당 요소를 참조해야 합니다.
SIGNATURE 요소에 있는 ds:Transform/@Algorithm 속성은 다음 값 중 하나를 가져야 합니다.- http://www.w3.org/2001/10/xml-exc-c14n#
- http://www.w3.org/2002/06/xmldsig-filter2
- http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-soap-message-security-1.0#STR-Transform
- http://www.w3.org/2000/09/xmldsig#enveloped-signature
- http://docs.oasis-open.org/wss/2004/XX/oasis-2004XX-wss-swa-profile-1.0#Attachment-Content-Only-Transform
- http://docs.oasis-open.org/wss/2004/XX/oasis-2004XX-wss-swa-profile-1.0#Attachment-Complete-Transform
- http://www.w3.org/2000/09/xmldsig#dsa-sha1 서명 알고리즘은
사용하지 마십시오.대칭 키에 기반한 SIGNATURE에 있는 ds:SignatureMethod/@Algorithm 요소는 다음 값 중 하나를 가져야 합니다.
- 암호화할 메시지 파트에 대해서는 digestvalue 키워드를 지정하지 마십시오.
대신 서명 키워드를 사용하십시오.
SIGNATURE 요소에 있는 ds:DigestValue 요소의 값에 암호화가 필요한 경우 전체 상위 ds:Signature 요소를 암호화해야 합니다. SIGNATURE의 하위에 xenc:EncryptedData 요소가 있어서는 안됩니다.
- KEYNAME 키 정보 유형은 사용하지 마십시오.
KEYNAME 참조는 모호할 수 있고 KEYNAME의 사용을 허용하지 않는 BSP를 준수할 수 있습니다.
SECURITY_TOKEN_REFERENCE는 키 이름을 사용하여 SECURITY_TOKEN을 참조해야 합니다. ENCRYPTED_KEY에 있는 ds:KeyInfo 요소의 하위는 SECURITY_TOKEN_REFERENCE 또는 ds:MgmtData 요소여야 합니다. 암호화 키에 KEYNAME 키 정보 유형을 사용하면 ds:KeyInfo 요소의 KeyName 하위 요소가 발생하며 BSP를 준수하려면 이의 사용이 허용되지 않습니다.
- http://www.w3.org/2001/04/xmlenc#aes192-cbc 비트 데이터
암호화 알고리즘은 사용하지 마십시오.ENCRYPTED_DATA 요소에 있는 xenc:EncryptionMethod/@Algorithm 속성은 다음 값 중 하나를 가져야 합니다.
- 고급 암호화 표준(AES) 키 랩(aes192)을 사용하지 마십시오. http://www.w3.org/2001/04/xmlenc#kw-aes192 키
암호화 알고리즘.키 랩에 사용되는 경우 ENCRYPTED_KEY 요소에 있는 xenc:EncryptionMethod/@Algorithm 속성은 다음 값 중 하나를 가져야 합니다.
BSP 준수를 위한 구성 옵션
- 서명에 있는 ds:Transforms 요소 구성 시 변환 목록이 http://www.w3.org/2001/10/xml-exc-c14n# 또는 http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-soap-message-security-1.0#STR-Transform을 마지막 하위 요소로 포함해야 합니다.
- 재생을 예방하려면 사용자 이름 토큰에 wsse:Nonce 또는 wsse:Created 요소를 추가 하십시오. 요소를 추가한 후 사용자 이름 토큰에 서명하여 이 필드의 발견되지 않은 변경을 예방하십시오. 그렇지 않으면 재생될 수 있습니다.