WebSphere® Application Server 버전 6.0.x 이상의
웹 서비스에 대한 보안 개선사항이 추가되었습니다. 이러한 개선사항에는
웹 서비스 보안 스펙 절 지원, 보안 토큰의 기능을 플러그인하고 확장할 수 있는 아키텍처형 지원 등이
포함됩니다.
지원되는 웹 서비스 보안 스펙의 개선사항
OASIS(Organization for the Advancement of Structured Information Standards)는
2002년부터 SOAP 메시지에 대한 WSS(Web services Security) 표준을 개발해오고 있습니다.
2004년 4월, OASIS는 Web Services Security 버전 1.0 스펙을 발표했습니다. 이는 웹 서비스 보안 역사에서 매우 중요한 사건입니다.
이 스펙은 기타 웹 서비스 보안 스펙의 기초이며 규격 초안인 WS-I BSP(Basic Security Profile) 버전 1.0의
기본입니다. 자세한 내용은
BSP(Basic
Security Profile)를 참조하십시오. Web Services Security 버전 1.0은
웹 서비스 보안의 상호 운용성을 달성하기 위한 전략적 수단이며
웹 서비스 보안 로드맵의 시작입니다.
WebSphere Application
Server 버전 6에서 지원하는 스펙과 프로파일은 다음과 같습니다.
WebSphere Application
Server 버전 6에서 지원되는 이전 스펙 파트에 대한 자세한 정보는 OASIS 스펙에서 지원되는 기능을 참조하십시오.
WebSphere Application
Server 버전 6.0.x 이상의 상위 레벨 기능 개요
Web Services Security for SOAP Message 버전 1.0 스펙은
융통적으로 설계되어 웹 서비스의 다양한 요구사항을 수용합니다. 예를 들어, Web Services Security 버전 1.0 스펙은
이 스펙에 대한 필수 보안 토큰을 정의하지 않습니다. 그 대신, 보안 토큰을 SOAP(Simple
Object Access Protocol) 메시지와 연관시키는 일반적인 메커니즘을 정의합니다. 보안 토큰의
사용법은 다음과 같은 다양한 보안 토큰 프로파일에 정의되어 있습니다.
OASIS의 보안 토큰 프로파일
개발 정보는
OASIS(Organization for the Advancement of Structured Information Standards)
.
중요사항: Web Services Security 버전 1.0 스펙의 연결 형식이 변경되어
이전의 웹 서비스 보안 스펙 초안과 호환되지 않습니다. 웹 서비스 보안 스펙의 이전 초안을 사용하여 구현한 연결 형식은
Web Services Security 버전 1.0 스펙과 상호 운용되지 않습니다.
플러그 가능 보안 토큰에 대한 지원은
WebSphere Application Server 버전 5.0.2부터
제공되었습니다. 그러나 WebSphere Application Server 버전 6의
플러그 가능 아키텍처가 Web Services Security 버전 1.0 스펙, 기타 프로파일 및 기타 웹 서비스 보안 스펙을 지원하도록
개선되었습니다. WebSphere Application
Server 버전 6 이상에서는 다음과 같은 사항이 개선되었습니다.
- 클라이언트(송신기 또는 생성기)가 SOAP 메시지에 포함된
다중 보안 토큰을 전송할 수 있도록 지원
- 디지털 서명(검증) 및 암호화(복호화)에 사용되는 보안 토큰에서
키 파생 가능
- SOAP 메시지 내의 모든 요소를 서명 또는 암호화하도록 지원. 그러나
몇 가지 제한사항이 있습니다. 예를 들어 일부 메시지 파트만 암호화할 경우
SOAP 메시지 형식이 손상될 수 있습니다. SOAP 본문 요소를 암호화하면 SOAP 메시지
형식이 손상됩니다.
- SOAP 엔벨로프, SOAP 헤더, 웹 서비스 보안 헤더에 서명할 수 있도록 지원
- 디지털 서명 및 암호화 순서 구성 가능
- 다양한 보안 토큰 참조 메커니즘(직접 참조, 키 ID, 키 이름 및
임베디드 참조 등) 지원
- PKCS#7 형식의 인증서 폐기 목록(CRL) 인코딩을 X.509 보안 토큰에
사용 가능
- CRL 검증 지원
- 웹 서비스 보안 헤더의 요소, 서명된 요소 또는 암호화된 요소에 임시값 및 시간소인 삽입 가능
- WebSphere Application
Server에 대한 현재 보안 컨텍스트에서 실행 도구(호출) ID를 사용하여 ID 어설션을
수행하도록 지원
- 애플리케이션에 사용되는 기본 웹 서비스 보안 바인딩 세트인 기본 바인딩 지원
- 플러그 가능 디지털 서명(검증) 및 암호화(복호화) 알고리즘
사용 가능
- 하드웨어 암호화 디바이스 가속화 지원
- 보안 키 지원
- WS-I BSP(Basic Security Profile) 지원
이러한 개선사항에 대한 자세한 정보는
웹 서비스 보안 개선사항을 참조하십시오.
구성
WebSphere Application Server 버전 6은
Web Services Security 버전 1.0 스펙, Username Token 버전 1.0 프로파일, X.509 Token 버전 1.0 프로파일 구현을 위한
배치 모델을 사용합니다. 배치 모델은 J2EE(Java™ 2 Platform, Enterprise Edition)용 웹 서비스 개발 모델의
확장 모델입니다.
웹 서비스 보안 제한조건은 웹 서비스 포트에 기초한 IBM® 확장 배치 디스크립터 및
바인딩 파일에 정의되어 있습니다.
배치 디스크립터 및
바인딩 파일의 형식은
IBM 소유의 자료이며
제공되지 않습니다. 그러나
WebSphere Application Server에
포함된 다음 도구를 사용하여 배치 디스크립터 및 바인딩 파일을 편집할 수 있습니다.
- Application Server Toolkit
- WebSphere Application Server 버전 6의
어셈블리 도구 디자이너인 AST(Application Server Toolkit)를 사용하여
웹 서비스 보안에 사용할 배치 디스크립터 및 바인딩 파일을 지정할 수 있습니다.
- WebSphere Application
Server 관리 콘솔
- 관리 콘솔을 사용하면 배치 디스크립터에 정의된 웹 서비스 보안 제한조건을 사용하여
배치된 애플리케이션의 웹 서비스 보안 바인딩을 구성할 수 있습니다.
중요사항: WebSphere Application Server 버전 6.0.x 이상의
웹 서비스 보안에 사용되는 배치 디스크립터 및 바인딩 파일의 형식은
WebSphere Application Server 버전 5.0.2, 5.1, 5.1.1과
다릅니다. WebSphere Application Server 버전 5.0.2, 5.1, 5.1.1에서의 웹 서비스 보안 지원은
Web Services Security Draft 13 스펙 및 Username Token Draft 2 프로파일에 기초합니다. 따라서 이 지원은
더 이상 사용되지 않습니다. 그러나 web Service Security 버전 5.0.2, 5.1, 5.1.1 배치 디스크립터 및 바인딩 파일을 사용하여
구성한 애플리케이션은 WebSphere Application Server 6 이상과
호환됩니다. 이러한 애플리케이션은 초안 13 스펙 형식을 사용하여
SOAP 메시지 보안을 생성하는 배치 디스크립터 및 바인딩 파일을 사용합니다. WebSphere Application Server 버전 6.0.x 이상에서
사용되는 웹 서비스 보안 배치 디스크립터 및 바인딩 파일은 J2EE 버전 1.4 애플리케이션에만
지원됩니다. 따라서 Web Services Security 버전 1.0 스펙은 J2EE 버전 1.4 애플리케이션에만
지원됩니다.
Web Services Security 버전 1.0 스펙과 연관된 구현의 장점을 활용하려면
다음을 수행해야 합니다.
- 기존의 애플리케이션을 J2EE 버전 1.4로 마이그레이션
- 웹 서비스 보안 제한조건을 새 배치 디스크립터 및
바인딩 형식으로 재구성
중요사항: Rational® Web Developer 및
Application Server Toolkit을 사용하여 웹 서비스 보안 배치 디스크립터 및 바인딩 파일을 버전 5.0.2, 5.1, 5.1.1 형식에서
새로운 6.0.x 버전 이상의 형식으로 마이그레이션할 수 있는 자동 프로세스는
없습니다. 구성을 수동으로 마이그레이션해야 합니다.
중요사항: WebSphere Application Server 버전 6.1의
웹 서비스 보안 지원은 Web Services Security: X.509 Token Profile 1.0 plus the first errata(Errata 1.0)라는
OASIS 스펙 파트에 기초합니다.
지원되지 않는 기능
웹 서비스 보안은
아직 새로운 분야이며 일부 표준은 여전히 정의 및 표준화 단계에 있습니다.
다음 기능은
WebSphere Application Server 버전
6.0.
x 이상에서 지원되지 않습니다.
- WebSphere Application Server 버전 6.0.x 이상의
경우 웹 서비스 보안용 API(Application Programming Interface)가 없습니다. XML 보안 및
웹 서비스 보안용 Java API(Application Programming Interface)에는
다음과 같은 표준이 적용됩니다.
- SAML 토큰 프로파일은 즉시 지원되지 않습니다.
- WS-SecuredConversation은 즉시 지원되지 않습니다.
- WS-Trust는 즉시 지원되지 않습니다.
- WS-SecurityKerberos 토큰 프로파일은 즉시 지원되지 않습니다.
- REL 토큰 프로파일은 지원되지 않습니다.
- 프로파일이 첨부된 웹 서비스 보안 SOAP 메시지(SwA)는
지원되지 않습니다.
- WS-I Basic Security Profile 1.0은 지원되지 않습니다.
- 웹 서비스 컨테이너 관리 클라이언트가 아닌 다른 클라이언트는 즉시 지원되지
않습니다.
WebSphere Application Server 버전 6.0.x 이상의
웹 서비스 보안에 지원되는 기능에 대한 정보는
OASIS 스펙에서 지원되는 기능을 참조하십시오.