웹 서비스 보안을 위한 하드웨어 암호화 디바이스 지원
IBM® WebSphere® Application Server 버전 6.1 이상에서 웹 서비스 보안은 암호화 하드웨어 디바이스의 사용을 지원합니다. 웹 서비스 보안에 하드웨어 암호화 디바이스를 사용하는 방법에는 두 가지가 있습니다.
하드웨어 디바이스의 암호화 조작 사용
하드웨어 디바이스에서 암호화 조작이 사용 가능합니다. 사용되는 키는 Java™ 키 저장소 파일에 저장할 수 있으며 하드웨어 디바이스에 저장할 필요는 없습니다. 하드웨어 디바이스의 암호화 조작 사용에 대한 결정은 애플리케이션 레벨이 아닌 서버 레벨에서만 행해집니다.
하드웨어 디바이스의 암호화 조작을 사용하는 경우 웹 서비스 보안 런타임이 먼저 암호화 조작을 위해 하드웨어 디바이스를 사용하려 시도합니다. 하드웨어 디바이스를 사용하려는 시도가 실패하거나 알고리즘이 하드웨어 디바이스에서 지원되지 않으면 런타임이 보안 제공자 목록에서 소프트웨어 제공자를 사용합니다.
이 기능을 사용하면 하드웨어 디바이스에 따라 성능이 개선될 수 있습니다. 하드웨어 디바이스의 암호화 조작 사용 방법에 대한 정보는 웹 서비스 보안의 하드웨어 비밀번호 디바이스 구성의 내용을 참조하십시오.
보안 키
비밀번호 키는 하드웨어 암호화 디바이스에 저장할 수 있으며 디바이스를 벗어나지 않습니다. 이 보안 키는 성능 고려가 아닌 보안 고려상의 이유로 하드웨어 암호화 디바이스에 한정됩니다. 하드웨어 암호화 디바이스 또는 Java 키 저장소 파일에 저장된 키의 사용 여부를 선택하는 옵션은 애플리케이션 레벨에서 작성할 수 있습니다.
키 저장소 참조가 하드웨어 디바이스 구성이 되도록 지정된 경우 웹 서비스 보안 런타임은 먼저 하드웨어 디바이스에서 암호화 알고리즘을 얻으려 시도합니다. 알고리즘이 지원되지 않거나 실패하면 런타임은 보안 제공자 목록에서 소프트웨어 제공자를 사용합니다.
보안 키를 사용하는 방법에 대한 추가 정보는 웹 서비스 보안에서 하드웨어 디바이스에 저장된 암호화 키 사용 가능의 내용을 참조하십시오.
제한사항
- Java EE(Java Platform, Enterprise Edition) 애플리케이션 클라이언트로 실행하는 웹 서비스 클라이언트에 대한 지원이 없습니다.
- iSeries의 하드웨어 암호화 디바이스에 대한 지원이 없습니다.
- 버전 6.1 이상의 웹 서비스 보안 애플리케이션만이 하드웨어 암호화 지원을
이용할 수 있습니다.참고: 버전 5.x 및 6.0.x 웹 서비스 보안 애플리케이션은 버전 6.1 WebSphere Application Server에서 실행할 수 있지만 이러한 버전은 하드웨어 암호화 지원을 이용할 수 없습니다.
세션 키의 장기적 사용
하드웨어 키 저장소를 사용하도록 WebSphere Application Server를 구성하거나 세션 키의 장기적 사용을 허용하도록 하드웨어 가속 카드를 구성할 수 있습니다. 세션 키는 안전하지 않을 수 있습니다.
안전하지 않은 세션 키가 우려되면 하드웨어 키 저장소를 사용하도록 WebSphere Application Server를 구성하십시오. 웹 서비스 보안의 하드웨어 디바이스에 저장된 암호화 키 사용 가능 방법에 대한 정보를 참조하십시오.
- nCipher nforce 1600 서버 버전 2.23.6의 경우, nCipher 문서 지시사항을 따르십시오.
- cknfastrc 구성 파일에서 CKNFAST_SECURITY_ASSURANCES_OVERRIDE=longterm 매개변수를 설정할 수 있습니다. 이 구성 변경은 세션 키와 연관된 시간 한계를 생략합니다.
- nCipher 서버를 다시 시작하려면 Cipher 문서를 따르십시오.
- WebSphere Application Server를 다시 시작하십시오.