WebSphere Application Server - Express, Version 6.0.x   
             オペレーティング・システム: AIX , HP-UX, Linux, Solaris, Windows

             目次と検索結果のパーソナライズ化

ジェネレーターのセキュリティー制約で機密性を実現する nonce (ランダム・ストリング) の、XPath 式による追加

ジェネレーターのセキュリティー制約を要求ジェネレーターまたは応答ジェネレーターに対して構成するときに、XPath 式を使用して機密性を得るための nonce を指定できます。 要求ジェネレーターはクライアント用に構成され、 応答ジェネレーターはサーバー用に構成されます。

始める前に

このタスクを実行する前に、 アプリケーションをアセンブリー・ツールにインポートする必要があります。

アプリケーションをインポートする方法については、エンタープライズ・アプリケーションのインポートを参照してください。

ここでは、署名するメッセージ・パーツを指定する際に、 XPath 式を使用する場合とキーワードを使用する場合の違いについて説明します。
XPath 式
XPath 式を使用して任意のメッセージ・パーツを指定します。XPath は、 XML 文書のパーツを処理する場合に使用される言語です。XPath 構文に関する情報は、 Web サイト http://www.w3.org/TR/1999/REC-xpath-19991116 で入手できます。
キーワード
事前定義されたキーワードを使用して、メッセージ内のエレメントのみを指定します。

このタスクについて

メッセージ内の特定のエレメントに nonce を組み込み、 そのエレメントを暗号化するよう指定する場合は、機密性を得るための nonce を使用します。 nonce はランダムに生成される暗号トークンです。 特定のメッセージ・パーツに nonce を追加すると、 メッセージの盗み見やリプレイ・アタックを防ぐことができます。これは、生成される nonce が固有のものであるためです。 例えば、nonce を使用しないと、 非セキュア・トランスポート (HTTP など) を使用してユーザー名トークンがマシン間で受け渡される場合に、 トークンが傍受されて、リプレイ・アタックで使用されることがあります。 ユーザー名トークンは、XML デジタル・シグニチャーと XML 暗号化を使用している場合であっても、 盗まれる可能性があります。このような状況は、nonce を追加することで防止できます。

以下のステップを実行します。ステップ 2 でのクライアント・サイドの拡張機能、またはステップ 3 でのサーバー・サイドの拡張機能の構成を行う必要があります。

プロシージャー

  1. アセンブリー・ツールを開始します。
  2. Java 2 Platform, Enterprise Edition (J2EE) パースペクティブへ切り替えます。 「ウィンドウ」>「パースペクティブのオープン」>「J2EE」とクリックします。
  3. オプション: プロジェクト・エクスプローラー・ウィンドウで、 クライアント・サイドの拡張機能を探します。 「Client Deployment Descriptor」ウィンドウが表示されます。 この Web サービスに、構成が必要な拡張機能が含まれています。 以下のステップを実行して、クライアント・サイドの拡張機能を見付けます。
    1. 「Web サービス」>「クライアント」とセクションを展開し、 Web サービスの名前をダブルクリックします。
    2. WS Extension」タブをクリックして、 「Request Generator Configuration」セクションを展開します。
  4. オプション: 「Project Explorer」ウィンドウを使用して、サーバー・サイドの拡張機能を見付けます。 「Web Services Editor」ウィンドウが表示されます。 この Web サービスに、構成が必要な拡張機能が含まれています。 以下のステップを実行して、サーバー・サイドの拡張機能を見付けます。
    1. 「Web サービス」>「サービス」とセクションを展開し、 Web サービスの名前をダブルクリックします。
    2. 拡張機能」タブをクリックして、 「Response Generator Service Configuration Details」セクションを展開します。
  5. 「機密性」セクションを展開します。 機密性は暗号化に関連し、保全性はデジタル署名に関連します。 機密性は、ネットワーク内を通過するメッセージが傍受されるリスクを軽減します。機密性仕様により、 メッセージは送信前に暗号化され、正当な宛先で受信されると暗号化解除されます。 暗号化について詳しくは、XML 暗号化 を参照してください。
  6. 追加」をクリックして、保全性を得るための nonce を指定します。 「機密性」ダイアログ・ウィンドウが表示されます。 以下のステップを実行し、構成を指定します。
    1. 「Confidentiality Name」フィールドで、 機密性エレメントの名前を指定します。 例えば、conf_nonce などです。
    2. 「順序」フィールドで順序を指定します。 この値は正の整数値で、 暗号化の処理順序を指定するものです。 順序値 1 を指定すると、その暗号化が最初に実行されます。
  7. 「機密性」ダイアログ・ウィンドウの「Nonce」セクションで、「追加」をクリックします。 以下のステップに従って、nonce ダイアレクトとメッセージ・パーツを指定します。
    1. 「Nonce」セクションから nonce ダイアレクトを選択します。 http://www.w3.org/TR/1999/REC-xpath-19991116 ダイアレクトで、 XPath 式を使用して nonce を追加したり暗号化したりするメッセージ・パーツが指定されます。
    2. 「Nonce keyword」フィールドで、 XPath 式を使用して nonce を追加および暗号化するメッセージ・パーツを指定します。 例えば、nonce を bodycontent エレメントに追加し、そのエレメントを暗号化するように指定するには、以下の式を、 「Nonce keyword」フィールドに連続した 1 行として追加します。
      /*[namespace-uri()='http://schemas.xmlsoap.org/soap/envelope/' 
      and local-name()='Envelope']/*[namespace-uri()='http://schemas.xmlsoap.org/
      soap/envelope/' and local-name()='Bodycontent']
  8. 「メッセージ・パーツ」セクションで「追加」をクリックして、「Message parts dialect」フィールドで http://www.w3.org/TR/1999/REC-xpath-19991116 を選択します。
  9. 「メッセージ・パーツ」セクションで、メッセージ・パーツのキーワードを選択します。
    重要: 機密性を得るために nonce を指定するには、 「メッセージ・パーツ」セクションで少なくとも 1 つのメッセージ・パーツを定義しておく必要があります。 ここでメッセージ・パーツを選択するのは、nonce の親エレメントに加えてメッセージ・パーツも暗号化するためです。
  10. OK」をクリックして、構成変更を保管します。
    注: 以上の構成は、コンシューマーとジェネレーターで一致している必要があります。

次の作業

暗号化するメッセージ・パーツを指定したら、次に、 そのメッセージの暗号化および署名に使用するメソッドを指定する必要があります。 詳しくは、アセンブリー・ツールを使用したジェネレーター・バインディングの暗号化情報の構成 を参照してください。



関連概念
XML デジタル・シグニチャー
関連タスク
ジェネレーターのセキュリティー制約に対して機密性を実現するタイム・スタンプの、キーワードによる追加
ジェネレーター・セキュリティー制約へ機密性を与えるタイム・スタンプの、XPath 式 による追加
アセンブリー・ツールを使用したジェネレーター・バインディングの暗号化情報の構成
ジェネレーターのセキュリティー制約におけるメッセージ・エレメントの、XPath 式による暗号化
タスク・トピック    

ご利用条件 | フィードバック

最終更新: Jan 21, 2008 11:31:28 PM EST
http://publib.boulder.ibm.com/infocenter/wasinfo/v6r0/index.jsp?topic=/com.ibm.websphere.express.doc/info/exp/ae/twbs_specnonceconfxpathgenbind.html