OASIS 스펙에서 지원되는 기능

WebSphere® Application Server 버전 6.x에서는 다음과 같은 웹 서비스 보안 스펙 및 프로파일이 지원됩니다.

OASIS: Web Services Security: SOAP Message Security 1.0(WS-Security 2004)

다음 목록은 WebSphere Application Server 버전 6에서 지원되는 OASIS: Web Services Security: SOAP Message Security 1.0(WS-Security 2004) 스펙의 다양한 측면을 설명합니다.

지원 항목 지원되는 특정 부분
보안 헤더
  • @S11 :actor(중개자용)
  • @S11:mustUnderstand
보안 토큰
  • 사용자 이름 토큰(사용자 이름 및 비밀번호)
  • 2진 보안 토큰(X.509 및 LTPA(Lightweight Third Party Authentication))
  • 사용자 정의 토큰
    • 기타 2진 보안 토큰
    • XML 토큰
      참고: WebSphere Application Server는 구현을 제공하지 않지만 플러그인 지점을 사용하여 XML 토큰을 사용할 수 있습니다.
토큰 참조
  • 직접 참조
  • 키 ID
  • 키 이름
  • 임베디드 참조
서명 알고리즘
  • 요약
    SHA1
    http://www.w3.org/2000/09/xmldsig#sha1
  • MAC
    HMAC-SHA1
    http://www.w3.org/2000/09/xmldsig#hmac-sha1
  • 서명
    DSA/SHA1
    http://www.w3.org/2000/09/xmldsig#dsa-sha1
    RSA/SHA1
    http://www.w3.org/2000/09/xmldsig#rsa-sha1
  • 표준화
    Canonical XML(주석 포함)
    http://www.w3.org/TR/2001/REC-xml-c14n-20010315#WithComments
    Canonical XML(주석 제외)
    http://www.w3.org/TR/2001/REC-xml-c14n-20010315
    Exclusive XML Canonicalization(주석 포함)
    http://www.w3.org/2001/10/xml-exc-c14n#WithComments
    Exclusive XML Canonicalization(주석 제외)
    http://www.w3.org/2001/10/xml-exc-c14n#
  • 변환
    STR 변환
    http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-soap-message-security-1.0#STR-Transform
    http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-soapmessage- security-1.0#STR-Transform
    XPath
    http://www.w3.org/TR/1999/REC-xpath-19991116
    외포형(eveloped) 서명
    http://www.w3.org/2000/09/xmldsig#enveloped-signature
    XPath Filter2
    http://www.w3.org/2002/06/xmldsig-filter2
    복호화 변환
    http://www.w3.org/2002/07/decrypt#XML
서명된 파트
  • WebSphere Application Server 키워드:
    • body - SOAP(Simple Object Access Protocol) 메시지 본문에 서명
    • timestamp - 모든 시간소인에 서명
    • securitytoken - 모든 보안 토큰에 서명
    • dsigkey - 서명 키에 서명
    • enckey - 암호화 키에 서명
    • messageid - WS-Addressing의 wsa :MessageID 요소에 서명
    • to - WS-Addressing의 wsa:To 요소에 서명
    • action - WS-Addressing의 wsa:Action 요소에 서명
    • relatesto - WS-Addressing의 wsa:RelatesTo 요소에 서명

      wsa는 http://schemas.xmlsoap.org/ws/2004/08/addressing의 네임스페이스 접두부입니다.

  • SOAP(Simple Object Access Protocol) 메시지에서 XML 요소를 선택하는 XPath 표현식입니다. 자세한 정보는 http://www.w3.org/TR/1999/REC-xpath-19991116 .
암호화 알고리즘
  • 블록 암호화
    • Triple DES in CBC: http://www.w3.org/2001/04/xmlenc#tripledes-cbc
    • AES128 in CBC: http://www.w3.org/2001/04/xmlenc#aes128-cbc
    • AES192 in CBC: http://www.w3.org/2001/04/xmlenc#aes192-cbc

      이 알고리즘에는 무제한 JCE 정책 파일이 필요합니다. 자세한 정보는 암호화 정보 구성 설정에서 키 암호화 알고리즘 설명을 참조하십시오.

    • AES256 in CBC: http://www.w3.org/2001/04/xmlenc#aes256-cbc

      이 알고리즘에는 무제한 JCE 정책 파일이 필요합니다. 자세한 정보는 암호화 정보 구성 설정에서 키 암호화 알고리즘 설명을 참조하십시오.

  • 키 전송
    • RSA 버전 1.5: http://www.w3.org/2001/04/xmlenc#rsa-1_5
  • 대칭 키 랩핑
    • Triple DES 키 랩핑: http://www.w3.org/2001/04/xmlenc#kw-tripledes
    • AES 키 랩핑(aes128): http://www.w3.org/2001/04/xmlenc#kw-aes128
    • AES 키 랩핑(aes192): http://www.w3.org/2001/04/xmlenc#kw-aes192

      이 알고리즘에는 무제한 JCE 정책 파일이 필요합니다. 자세한 정보는 암호화 정보 구성 설정에서 키 암호화 알고리즘 설명을 참조하십시오.

    • AES 키 랩핑(aes256): http://www.w3.org/2001/04/xmlenc#kw-aes256

      이 알고리즘에는 무제한 JCE 정책 파일이 필요합니다. 자세한 정보는 암호화 정보 구성 설정에서 키 암호화 알고리즘 설명을 참조하십시오.

  • Manifests-xenc는 http://www.w3.org/TR/xmlenc-core의 네임스페이스 접두부입니다.
    • xenc:ReferenceList
    • xenc:EncryptedKey

AES(Advanced Encryption Standard)는 Triple-DES 전체에 보다 강화된 대칭 키 암호화 성능을 제공하도록 설계되었습니다. 따라서 대칭 키 암호화 시에는 가급적 AES를 사용하는 것이 좋습니다.

암호화 메시지 파트
  • WebSphere Application Server 키워드
    • bodycontent - SOAP 본문 내용을 암호화하는 데 사용
    • usernametoken - 사용자 이름 토큰을 암호화하는 데 사용
    • digestvalue - 요약된 디지털 서명 값을 암호화하는 데 사용
  • SOAP 메시지에서 XML 요소를 선택하는 XPath 표현식
    • XML 요소
    • XML 요소 컨텐츠
시간소인
  • 웹 서비스 보안 헤더에 포함
  • WebSphere Application Server는 다른 요소에도 시간소인을 삽입하여 해당 요소의 수명을 판별할 수 있도록 확장되었습니다.
오류 처리 SOAP 결함

OASIS: Web Services Security: UsernameToken Profile 1.0

다음 목록은 WebSphere Application Server 버전 6에서 지원되는 OASIS: Web Services Security: UsernameToken Profile 1.0 스펙의 다양한 측면을 설명합니다.

지원 항목 지원되는 특정 부분
비밀번호 유형 텍스트
토큰 참조 직접 참조

OASIS: Web Services Security X.509 Certificate Token Profile

다음 목록은 WebSphere Application Server 버전 6에서 지원되는 OASIS: Web Services Security X.509 Certificate Token Profile 스펙의 다양한 측면을 설명합니다.

지원 항목 지원되는 특정 부분
토큰 유형
  • X.509 버전 3: 단일 인증

    http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509- token-profile-1.0#X509v3

  • X.509 버전 3: 인증서 폐기 목록(CRL) 포함 X509PKIPathv1

    http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509- token-profile-1.0#X509PKIPathv1

  • X.509 버전 3: CRL 포함 또는 비포함 PKCS7. IBM® SDK(Software Development Kit)는 두 PKCS7을 모두 지원합니다. Sun JDK(Java™ Development Kit)는 CRL 비포함 PKCS7만 지원합니다.
토큰 참조
  • 키 ID - 주체 키 ID
  • 직접 참조
  • 사용자 정의 참조 – 호출자 이름 및 일련 번호

지원되지 않는 기능

다음 목록은 OASIS 스펙, OASIS 초안 및 기타 권장사항에서 지원되지만 WebSphere Application Server 버전 6에서는 지원되지 않는 기능입니다.
  • 웹 서비스 보안을 사용하는 비관리 클라이언트(예: J2SE(Java 2 Platform, Standard Edition) 클라이언트 또는 DII(Dynamic Invocation Interface) 클라이언트)
  • 애플리케이션 설치 프로세스 동안에는 웹 서비스 보안 바인딩이 수집되지 않습니다. 웹 서비스 보안 바인딩은 애플리케이션 배치 후에 구성할 수 있습니다.
  • SOAP 첨부 파일에 대한 웹 서비스 보안
  • SAML 토큰 프로파일, WS-SecurityKerberos 토큰 프로파일 및 XrML 토큰 프로파일
  • WS-I(Web Services Interoperability Organization) 기본 보안 프로파일
  • XML 내포형(enveloping) 디지털 서명
  • XML 내포형(enveloping) 디지털 암호화
  • 보안 헤더
    • @S12:role

      S12는 http://www.w3.org/2003/05/soap-envelope의 네임스페이스 접두부입니다.

  • 다음과 같은 디지털 서명용 전송 알고리즘은 지원되지 않습니다.
  • 다음과 같은 암호화용 키 전송 알고리즘은 지원되지 않습니다.
  • 다음과 같은 암호화용 키 동의 알고리즘은 지원되지 않습니다.
  • 다음과 같은 암호화용 표준화 알고리즘은 XML 암호화 스펙의 선택사항이며 지원되지 않습니다.
    • Canonical XML(주석 제외 또는 포함)
    • Exclusive XML Canonicalization(주석 제외 또는 포함)
  • Username Token 버전 1.0 Profile 스펙에서는 요약 비밀번호 유형이 지원되지 않습니다.

피드백