조대협의 블로그

서버와 APNS(애플푸쉬서버)와의 보안 메커니즘 애플 iOS 디바이스로 서버가 푸쉬를 보내고자 할때는, APNS 서비스를 거쳐야 한다.푸쉬 메시지를 보내고자 하는 Provider 서버가 APNS로 푸쉬 요청을 보내면, APNS 서버가 디바이스로 푸쉬를 보내는 구조이다.이때 APNS 서버와 Provider 서버를 어떻게 신뢰하는 지를 알아보자.APNS 서버 입장에서는 Provider 서버가 해커가 아냐? 진짜 Provider 맞아? 하는 의문을 가질 수 있고, Provider 서버도 APNS 서버가 진짜 APNS 서버가 맞는지를 확인할 수 있어야 한다.이를 양방향 SSL(TLS:Transport Level Security)를 이용해서 해결 한다.먼저 SSL 메커니즘에 대해서 알아보자 SSL 을 비대칭 (P..

source : http://www.slideshare.net/simmikamra/digital-certificates?qid=2dec4a02-6d14-4694-9b6d-090a3da163b5&v=qf1&b=&from_search=1

Vert.x를 보면서, HTTP단이야 HTTPS로 Security 보장이 된다지만, TCP/IP Server는 어떻게 하는가가 의문이었는데, 이부분도 이미 다 준비되어 있다. Configuration 몇줄 만으로 TLS가 지원 된다. http://vertx.io/core_manual_java.html#ssl-serversNetServer server = vertx.createNetServer() .setSSL(true) .setKeyStorePath("/path/to/your/keystore/server-keystore.jks") .setKeyStorePassword("password"); 아무리 봐도 잘만들었어...

REST API 보안조대협REST API에 대한 보안에 대해서 알아보자. API 에 대한 보안은 인증, 메세지 암호화, 무결성 크게 3가지 관점에서 고민해볼 수 있다. 1) 인증인증은, REST API를 호출한 사람(클라이언트)가 적절한 사용자 인가를 판단해주는 것이다. 아무나 API를 호출하는 것이 아니라 인증을 받은 사람많이 API를 호출해주게 하는 것인데, 쉽게 생각하면 사용자의 id,passwd로 서비스에 로그인을 하는 개념을 생각할 수 있다.API Key 방식API에 대한 인증 방법은 몇가지가 있는데, 그 중에서 가장 기초적인 방법은 API Key를 이용하는 방법이다. API Key란, 특정 사용자만 알 수 있는 일종의 문자열이다. 현재 Amazon이 이 방식을 사용하고 있는데 API를 사용하고..

Java KeyStore file에 저장되는 것들 http://docstore.mik.ua/orelly/java-ent/security/ch11_02.htm Now that we understand the pieces that make up a key management system, we can look at the topic of key management itself. From an administrative perspective, the primary tool that provides key management for Java 1.2 is the keytool utility. Keytool operates upon a file (or other storage system) containing a ..

http://www.javaworld.com/javaworld/jw-01-2001/jw-0112-howto.htmlhttp://www.javaworld.com/jw-02-2001/jw-0216-howto.htmlhttp://juntheater.tistory.com/entry/keytool%EB%A5%BC-%EC%9D%B4%EC%9A%A9%ED%95%9C-%ED%82%A4-%EC%83%9D%EC%84%B1http://juntheater.tistory.com/entry/Java-SSL-%EA%B5%AC%ED%98%84 weblogic SSL Client samplehttp://docs.oracle.com/cd/E11035_01/wls100/security/SSL_client.htmlhttp://blog.pa..

1. 클라이언트가 서버에 접속하면 서버인증서(서버의 공개키를 인증기관이 전자서명으로 인증한 것) 를 전송받습니다. (이때, 클라이언트 인증을 필요로 할 경우 클라이언트의 인증서를 전송하게 됩니다.) 2. 클라이언트는 받은 서버 인증서를 분석하여 신뢰할 수 있는 인증서인지를 검토한 후, 서버의 공개키를 추출합니다. 3. 클라이언트가 세션키로 사용할 임의의 메세지를 서버의 공개키로 암호화하여 서버에 전송합니다. 4. 서버에서는 자신의 비밀키로 세션키를 복호화하여 그 키를 사용하여 대칭키 암호방식으로 메시지를 암호화하여 클라이언트와 통신하게 되며 이것은 "https"라는 별도의 프로토콜을 사용하게 됩니다. 즉 공개키를 서버가 클라이언트로 내려보내면 클라이언트에서 세션키를 암호화해서 서버에 보내서 세션을 만든다..