웹 서비스 보안 지원
IBM®은 서비스 품질(QoS)을 제공하기 위해 웹 서비스 보안을 지원하며, 이는 IBM 웹 서비스 엔진의 확장자입니다. WebSphere® Application Server 보안 인프라는 웹 서비스 보안과 Java™ EE(Java Platform, Enterprise) 보안 스펙을 완전하게 통합합니다.
WebSphere Application Server, 버전 4.x, 5 및 5.0.1은 Apache SOAP 버전 2.x에 대한 디지털 서명을 지원합니다. WebSphere Application Server, 버전 5.0.2로 시작하여, IBM은 웹 서비스 보안을 지원합니다. IBM 구현은 원래 2002년 4월에 IBM, Microsoft 및 VeriSign에서 제안된 웹 서비스 보안(WS-Security)인 웹 서비스 보안 스펙을 기반으로 합니다. 제안된 초안 스펙에 대한 초기 버전은 웹 서비스 보안(WS-Security) 버전 1.0(2002년 4월 05일)과 웹 서비스 보안 Addendum(2002년 8월 18일)에서 찾을 수 있습니다. WebSphere Application Server 구현은 OASIS(Organization for the Advancement of Structured Information Standards) 작업 초안 13 스펙을 기반으로 합니다. (최근 작업 스펙은 OASIS 웹 서비스 보안 TC 웹 사이트를 참조하십시오.) 그러나, OASIS 작업 초안 13 스펙의 모든 기능이 구현되지는 않습니다.
웹 서비스 보안은 순수한 Java 클라이언트 또는 관리되지 않는 클라이언트에서 지원되지 않습니다. 사용자 ID 및 비밀번호가 요청 메시지에 임베디드될 때, 인증은 사용자 ID와 비밀번호로 수행됩니다. 인증이 성공적이면, 사용자 ID가 설정되고 추가 자원 액세스가 해당 ID를 기반으로 권한 부여됩니다. 사용자 ID 및 비밀번호가 웹 서비스 보안 런타임에 의해 인증된 후 Java EE 컨테이너는 권한 부여를 수행합니다.
요소 | Notes® |
---|---|
UsernameToken | BasicAuth 인증 메소드에 대한 사용자 이름 및 비밀번호와 ID 어설션 인증 메소드에 대한 사용자 이름 모두 지원됩니다. WebSphere Application Server는 무작위로 생성되는 값인 난스(nonce)를 지원합니다. |
BinarySecurityToken | X.509 인증 및 LTPA(Lightweight Third Party Authentication)는 임베디드될 수 있지만, Kerberos 티켓을 임베드하기 위한 구현이 없습니다. 그러나, 2진 토큰 생성 및 유효성 검증은 플러그 가능하고 JAAS(Java Authentication and Authorization Service) API(Application Programming Interfaces)를 기반으로 합니다. 다른 유형의 2진 보안 토큰을 생성하고 유효성 검증하기 위해 이 구현을 확장할 수 있습니다. |
Signature | X.509 인증은 2진 보안 토큰으로서 임베디드되고, SecurityTokenReference에 의해 참조될 수 있습니다. WebSphere Application Server는 공유, 키 기반 서명을 지원하지 않습니다. |
암호화 | EncryptedKey와 ReferenceList XML 태그 모두 지원됩니다. KeyIdentifier는 공개 키를 지정하고 KeyName이 비밀 키를 식별합니다. WebSphere Application Server에는 인증된 ID를 암호화를 위한 키로 맵핑하거나 응답 메시지를 암호화하기 위해 서명자 인증서를 사용하기 위한 기능이 있습니다. |
시간소인 | WebSphere Application Server는 작성 및 만기 속성을 지원합니다. 만기 속성이 메시지에 존재하는 경우에만 메시지가 사전정의된 시간 제한조건에 따를지 나타내는 메시지의 신선도가 확인됩니다. WebSphere Application Server는 수신된 속성을 지원하지 않으며, 이는 부록에서 정의됩니다. 대신, WebSphere Application Server는 TimestampTraceReceived 속성을 사용하고, 이는 OASIS 스펙에 정의됩니다. |
XML 기반 토큰 | XML 토큰의 임의 형식을 메시지에 삽입하고 유효성 검증할 수 있습니다. 이 형식 메커니즘은 JAAS API를 기반으로 합니다. |
메소드 | 요소 |
---|---|
XML 디지털 서명 |
|
XML 암호화 |
|
AuthMethod |
|
메소드 | 요소 |
---|---|
XML 디지털 서명 |
|
XML 암호화 |
|
- 메시지의 무결성
- 메시지의 진위성
- 메시지의 기밀성
- 메시지의 개인정보 보호정책
- 전송 레벨 보안: SSL(Secure Sockets Layer)에서 제공됩니다.
- 보안 토큰 전파(플러그 가능)
- ID 어설션
- OASIS 웹 서비스 보안: SOAP 메시지 보안 작업 초안(2003년 5월 13일)
- http://schemas.xmlsoap.org/ws/2003/06/secext
- OASIS 웹 서비스 보안: SOAP 메시지 보안 1.0(WS-Security 2004)
- http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-secext-1.0.xsd
http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-utility-1.0.xsd
- OASIS 웹 서비스 보안: SOAP 메시지 보안 1.1(WS-Security 2004)
- http://docs.oasis-open.org/wss/oasis-wss-wssecurity-secext-1.1.xsd
http://docs.oasis-open.org/wss/2004/01/oasis- 200401-wss-wssecurity-utility-1.0.xsd
런타임 | 전송 | 수신 |
---|---|---|
JAX-RPC 초안 13 | OASIS 초안 13 | OASIS 초안 13 |
JAX-RPC | OASIS wssec 1.0 | OASIS wssec 1.0 OASIS 초안 13 |
JAX-WS | OASIS wssec 1.1 OASIS wssec 1.0 |
OASIS wssec 1.1 OASIS wssec 1.0 OASIS draft13 |
지원되지 않는 기능에 대한 설명을 위한 웹 서비스 보안 요소 테이블을 참조하십시오.