웹 서비스 보안

WebSphere® Application Server의 웹 서비스 보안은 OASIS(Organization for the Advancement of Structured Information Standards) WSS(Web services security) 버전 1.0 스펙, Username token 버전 1.0 프로파일, X.509 Token 버전 1.0 프로파일을 기반으로 합니다. 이 표준 및 프로파일은 웹 서비스 환경에서 교환하는 메시지 보호 방법을 처리합니다. 스펙은 메시지의 무결성 및 기밀성 보호를 위한 핵심 기능을 정의하고 보안에 관련된 요구사항을 메커니즘에 연관시키는 메커니즘을 제공합니다. 웹 서비스 보안은 XML 디지털 서명을 통한 SOAP(Simple Object Access Protocol) 메시지 보안 설정, XML 암호화를 통한 기밀성과 보안 토큰을 통한 신임 전파를 기반으로 하는 메시지 레벨 표준입니다. 웹 서비스용 기능팩에서 새로 제공되며, JAX-WS 웹 서비스는 정책 세트를 사용하여 쉽게 보안을 설정할 수 있습니다.

웹 서비스 보안을 위해 다양한 애플리케이션 및 비즈니스 토폴로지에 대한 인증, 권한 부여, 개인 정보 보호, 신뢰, 무결성, 기밀성, 보안 통신 채널, 연합, 위임, 감사를 포함하여 광범위한 보안 요구사항 세트를 고려해야 합니다. 현재의 비즈니스 환경에서 보안 모델의 가장 중요한 요구사항 중 하나는 이전에는 호환되지 않던 이기종 환경(Microsoft .NET 및 J2EE(Java™ 2 Platform, Enterprise Edition) 에서의 보안 기술(공개 키 인프라, Kerberos 등)을 상호 운용 가능하게 하는 기능입니다.

웹 서비스 보안: SOAP 메시지 보안 1.0 스펙에서 보안 웹 서비스를 빌드하는 데 사용할 수 있는 표준 SOAP 확장 세트에 대한 개요를 보여줍니다. 이 표준은 일반적인 디지털 서명 및 암호화 기술에서 제공되는 무결성 및 기밀성을 준수합니다. 또한 웹 서비스 보안에서는 토큰을 메시지와 연관시키는 일반적인 용도의 메커니즘도 제공합니다. 보안 토큰의 일례는 사용자 이름 토큰으로 사용자 이름과 비밀번호가 텍스트로 포함됩니다. 웹 서비스 보안은 X.509 인증 및 Kerberos 티켓을 사용하여 2진 보안 토큰을 인코딩하는 방법을 정의합니다. 하지만, 필수 보안 토큰은 web Service Security 버전 1.0 스펙에 정의되어 있지 않습니다. 대신 토큰은 사용자 이름 토큰 프로파일, X.509 토큰 프로파일, SAML 프로파일, Kerberos 프로파일, XrML 프로파일 등과 같은 별도의 프로파일에 정의되어 있습니다.

정책 세트를 사용하여 JAX-WS 웹 서비스 보안 사용

웹 서비스용 v6.1 기능팩 및 v7에서 WebSphere Application Server는 Web Service Security 버전 1.1 스펙, Username Token 버전 1.1 프로파일 및 X.509 Token 버전 1.1 프로파일 구현을 위해 정책 세트 모델을 사용합니다. 정책 세트는 WS-Addressing, WS-ReliableMessaging, WS-SecureConversation 및 WS-Security와 같은 전송 및 메시지 레벨 구성의 설정을 포함하여 구성 설정을 결합합니다.

웹 서비스에 대해 정책 세트를 사용하려면 다음 주제를 참조하십시오. JAX-WS 웹 서비스 및 클라이언트에 대한 정책 세트 관리

다음 서적에는 웹 서비스용 WebSphere Application Server v6.1 기능팩의 정책 세트에 관한 장이 포함되어 있습니다. IBM® Redbooks®: WebSphere Application Server V6.1용 웹 서비스 기능팩

웹 서비스 보안 마법사를 사용하여 JAX-RPC 웹 서비스 보안 사용

웹 서비스 보안 마법사를 사용하여 웹 서비스에 대해 프로덕션 레벨 보안을 사용할 수 있습니다. 이 마법사에서는 다음 옵션을 제공합니다.
XML 디지털 서명 추가
XML 디지털 서명은 웹 서비스에 대한 무결성을 제공하며, 메시지 상태 변경 중에 메시지에 대한 불법적인 수정을 방지해 줍니다. 상태 변경 중에 컨텐츠가 불법적으로 수정된 경우 서명이 변경되고 수신측에 통지됩니다.
XML 암호화 추가
XML 암호화는 웹 서비스에 대한 기밀성을 제공하며, 상태 변경된 데이터를 액세스할 수 없게 하거나 상태 변경 중에는 데이터를 파악할 수 없도록 합니다. 정보는 웹 서비스에 송신하기 전에 암호화되고 올바른 대상에 도착하면 복호화됩니다. 올바른 키를 사용해서만 암호화된 정보에 액세스할 수 있습니다.
독립형 보안 토큰 추가
독립형 보안 토큰은 웹 서비스에 대한 인증을 제공하며, 이를 사용하여 사용자의 유효성을 검증하고 클라이언트가 특정 컨텍스트에서 올바른지 판별합니다. 한 가지 인증의 중요한 양식은 사용자 토큰을 웹 서비스 서버에 보내는 데 사용됩니다. 사용자 이름 및 비밀번호는 토큰에서 추출되어 확인됩니다. 서버는 사용자 이름과 비밀번호 조합이 올바른지 확한 후에만 메시지를 승인하고 처리합니다.
다른 웹 서비스의 보안 설정 복제
여러 개의 웹 서비스를 작성하고 모두에 동일한 보안을 설정하려는 경우, 웹 서비스의 보안 설정을 복제하여 다른 웹 서비스에 적용할 수 있습니다.

웹 서비스 보안 마법사를 사용하여 웹 서비스 보안을 설정하려면 웹 서비스 보안 마법사를 사용하여 JAX-RPC 웹 서비스 보안 설정

보안 설정을 웹 서비스에 적용하기 위해 마법사를 사용하는 실제적인 예제가 포함된 자세한 정보는 IBM Redbooks: Rational® Application Developer V7 프로그래밍 안내서를 참조하십시오.

웹 서비스 작성 마법사에서 JAX-RPC 웹 서비스 보안 사용

WebSphere 런타임 환경을 사용하여 웹 서비스 마법사로 웹 서비스를 작성할 때 네 개의 보안 옵션이 제공됩니다.

웹 서비스 클라이언트와 웹 서비스가 서로 통신하려면 설정이 동일해야 합니다. 예를 들어, 클라이언트가 비안전 또는 XML 암호화 보안 설정인 경우 XML 디지털 서명 안전 서비스를 호출할 수 없습니다.

마법사에서 사용할 수 있는 보안 옵션은 설명을 위해 제공되는 것으로 프로덕션 환경에서는 사용하면 안됩니다. 이는 WebSphere Application Server의 키 저장소와 인증 파일을 지시합니다. WebSphere Application Server에서 제공되는 기본 보안 구성에 대한 추가 정보는 기본 웹 서비스 보안 구성.

프로덕션 환경에서 웹 서비스에 대해 보안을 사용하도록 설정하려면 웹 서비스 보안 마법사를 사용하여 웹 서비스 보안 설정 또는 WS-Security를 기반으로 수동으로 웹 서비스 보안 설정.

수동으로 JAX-RPC 웹 서비스 보안 사용

웹 서비스 보안 마법사가 사용자의 요구에 맞지 않는 경우, 수동으로 웹 서비스의 보안을 설정하는 옵션이 있습니다. 이 프로세스는 보안 설정에 대해 추가 제어를 제공하지만 마법사를 사용하여 보안을 사용하는 것보다 시간이 더 오래 걸리고 오류가 발생할 가능성도 높습니다.

수동으로 웹 서비스 보안을 사용하는 데 대한 추가 정보는 WS-Security를 기반으로 수동으로 JAX-RPC 웹 서비스 보안 설정

웹 서비스 보안에 관한 추가 정보

이 Information Center에 제공된 정보 이외에 WebSphere Application Server를 사용한 웹 서비스 보안 설정 방법에 대해 설명하는 몇 가지 유용한 학습서 및 기사가 developerWorks®에 있습니다.


피드백