ES2424769T3 - Método para el procesamiento de un mensaje de SOAP dentro de una red y una red - Google Patents

Método para el procesamiento de un mensaje de SOAP dentro de una red y una red Download PDF

Info

Publication number
ES2424769T3
ES2424769T3 ES10710537T ES10710537T ES2424769T3 ES 2424769 T3 ES2424769 T3 ES 2424769T3 ES 10710537 T ES10710537 T ES 10710537T ES 10710537 T ES10710537 T ES 10710537T ES 2424769 T3 ES2424769 T3 ES 2424769T3
Authority
ES
Spain
Prior art keywords
binary content
fragment
message
soap
encryption
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
ES10710537T
Other languages
English (en)
Inventor
Nils Gruschka
Luigi Lo Iacono
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Europe Ltd
Original Assignee
NEC Europe Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Europe Ltd filed Critical NEC Europe Ltd
Application granted granted Critical
Publication of ES2424769T3 publication Critical patent/ES2424769T3/es
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0485Networking architectures for enhanced packet encryption processing, e.g. offloading of IPsec packet processing or efficient security association look-up
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • H04L63/126Applying verification of the received information the source of the received data

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Storage Device Security (AREA)
  • Information Transfer Between Computers (AREA)

Abstract

Un método para el procesamiento de un mensaje de SOAP (Protocolo Simple de Acceso a Objetos) dentro de una red, en especial una red de IP (Protocolo de Internet), en el que el mensaje de SOAP basado en XML (Lenguaje de Marcación Extendida) está comprendiendo un fragmento con un contenido binario, en el que el contenido binario se moverá a un elemento adjunto de MTOM (Mecanismo de Optimización de Transmisión de Mensajes) del mensaje de SOAP con una referencia restante al contenido binario dentro del mensaje de SOAP y en el que el elemento adjunto se firmará y/o se cifrará por un proceso de firma y de cifrado, respectivamente, caracterizado por que durante el proceso de firma además de la aplicación de función de troceo del propio fragmento firmado, se aplicará una función de troceo del mismo fragmento excluyendo el contenido binario y/o durante el proceso de cifrado además del cifrado del propio fragmento se cifrará el fragmento incluyendo solo la 10 referencia al contenido binario en lugar del contenido binario.

Description

Metodo para el procesamiento de un mensaje de SOAP dentro de una red y una red.
La presente invencion se refiere a un metodo para procesar un mensaje de SOAP (Protocolo Simple de Acceso a Objetos) dentro de una red, en especial una red de IP (Protocolo de Internet), en el que el mensaje de SOAP basado en XML (Lenguaje de Marcacion Extendida) esta comprendiendo un fragmento con un contenido binario, en el que el contenido binario se movera a un elemento adjunto de MTOM (Mecanismo de Optimizacion de Transmision de Mensajes) del mensaje de SOAP con una referencia restante al contenido binario dentro del mensaje de SOAP y en el que el elemento adjunto se firmara y/o cifrara por un proceso de firma y de cifrado, respectivamente. Ademas, la presente invencion se refiere a una red, en especial una red de IP (Protocolo de Internet), en la que se procesara un mensaje de SOAP (Protocolo Simple de Acceso a Objetos) basado en XML (Lenguaje de Marcacion Extendida), en la que el mensaje de SOAP esta comprendiendo un fragmento con un contenido binario, en la que el contenido binario se movera a un elemento adjunto de MTOM (Mecanismo de Optimizacion de Transmision de Mensajes) del mensaje de SOAP con una referencia restante al contenido binario dentro del mensaje de SOAP y en el que el elemento adjunto estara firmado y/o cifrado por un proceso de firma y de cifrado, respectivamente.
El documento WO 2005/030261 A1 desvela un metodo para el procesamiento de un mensaje de SOAP con todas las caracteristicas de la parte de preambulo de la reivindicacion 1, en el que se coloca una firma digital en un elemento adjunto adicional al final de una secuencia.
Ademas, el documento de Xiaoling Lui y otros: "A novel SOAP Attachment - Oriented Security Model", 7th International Symposium on Software Reliability Engineering, 2006 (ISSRE'06) desvela un metodo en el que una entidad intermedia reconstruye el mensaje de SOAP y valida los elementos adjuntos en un paso unico, pero tiene que esperar a que se reciban todos los elementos adjuntos para realizar la validacion de seguridad.
Es un hecho bien conocido, que el procesamiento de mensajes XML consume muchos recursos en comparacion con los formatos de mensajes binarios. Esta propiedad se ve perjudicada si el mensaje o partes del menaje se firman y se cifran usando medios de seguridad de XML (firma de XML, cifrado de XML). Lo que se indica anteriormente, por supuesto, tambien es cierto para los mensajes de SOAP ya que SOAP esta basado en XML y los medios de seguridad usados - WS-Security (Seguridad de Servicios Web) - se basan en la seguridad de XML. Como consecuencia, los desarrolladores de la estructura del Servicio Web han estado trabajando desde algunos aros en la optimizacion del flujo de procesamiento de mensajes. Un enfoque prometedor es el paradigma de procesamiento de transmision por secuencias. Para mensajes no seguros ya esta adoptado, por ejemplo en la estructura del Servicio Web Apache Axis2 y para mensajes seguros son visibles los primeros resultados.
Documentos adicionales que dan informacion acerca de la tecnologia actual, en especial los procedimientos de cifrado y de firma de XML y el procesamiento de transmision por secuencias de los mensajes de acuerdo son los que siguen:
1.
Bartel, Mark, Boyer, John, Fox, Barb, LaMacchia, Brian y Simon, Ed: XML Signature Syntax and Processing, Recomendacion de W3C, 2002.
2.
Imamura, Takeshi, Dillaway, Blair y Simon, Ed: XML Encryption Syntax and Processing, Recomendacion de W3C, 2002.
3.
Gudgin, Martin, Mendelsohn, Noah, Nottingham, Mark y Ruellan, Herve: SOAP Message Transmission Optimization Mechanism, Recomendacion de W3C, 2005.
4.
Gruschka, Nils, Luttenberger, Norbert y Herkenh6ner, Ralph: Event-based SOAP Message Validation for WS-Security Policy-enriched Web Services, Proceedings of the 2006 International Conference on Semantic Web & Web Services, 2006.
5.
Govindaraju, Madhusudhan, Slominski, Aleksander, Chiu, Kenneth, Liu, Pu, van Engelen, Robert y Lewis, Michael J.: Toward Characterizing the Performance of SOAP Toolkits, Proceedings of the Fifth IEEEIACM International Workshop on Grid Computing (GRID'04), IEEE Computer Society, 365-372, 2004.
6.
Lu, Wei, Chiu, Kenneth, Slominski, Aleksander y Gannon, Dennis: A Streaming Validation Model for SOAP Digital Signature, 14th IEEE International Symposium on High Performance Distributed Computing (HPDC- 14), 2005.
7.
Imamura, Takeshi, Clark, Andy y Maruyama, Hiroshi: A stream-based implementation of XML Encryption, XMLSEC '02: Proceedings of the 2002 ACM workshop on XML security, ACM Press, 11-17, 2002.
El problema basico de procesamiento de mensajes de SOAP es su elevado consumo de recursos. El consumo de recursos es incluso mayor cuando partes del mensaje estan cifradas o firmadas. El procesamiento de mensajes de transmision por secuencias es un metodo para reducir el consumo de recursos. Sin embargo, los elementos adjuntos de MTOM seguros inhiben el procesamiento de transmision por secuencias de una pasada con respecto a la secuencia de red.
Mas precisamente, el procesamiento de mensajes de transmision por secuencias ya no es factible, si el mensaje de SOAP: (1) usa elementos adjuntos de MTOM y (2) uno o mas de estos elementos adjuntos se han hecho seguros usando WS-Security. La razon se explica en lo siguiente. La parte binaria del documento de SOAP que va a transportarse como un elemento adjunto se sustituye por una referencia de MTOM. Se envia sobre la red en primer lugar este documento de SOAP y, a continuacion, la parte binaria como un elemento adjunto de MTOM. Sin embargo, el elemento adjunto se incorpora virtualmente dentro del mensaje de SOAP en la ubicacion de referencia. Para varias operaciones tipicas sobre el documento de SOAP -como extraer o mover subarboles de documentos se puede hacer caso omiso de esta propiedad. Sin embargo, para algunas otras operaciones -incluyendo el calculo del valor de funcion de troceo para la verificacion de la firma o descifrar contenido cifrado -el elemento adjunto se debe leer completamente en el momento del procesamiento de la referencia dentro del mensaje de SOAP. Por lo tanto, en este caso se rompe el procesamiento de transmision por secuencias de una pasada del mensaje.
Es un objeto de la presente invencion mejorar y desarrollar adicionalmente un metodo para el procesamiento de un mensaje de SOAP dentro de una red y una red conforme para permitir un procesamiento de transmision por secuencias de los mensajes de SOAP con elementos adjuntos de MTOM firmados y/o cifrados de una forma simple.
De acuerdo con la invencion, el objeto mencionado anteriormente se logra por un metodo que comprende las caracteristicas de la reivindicacion 1 y una red que comprende las caracteristicas de la reivindicacion 13.
De acuerdo con la reivindicacion 1, el metodo se caracteriza por que durante el proceso de firma ademas de la aplicacion de funcion de troceo del propio fragmento firmado se aplicara una funcion de troceo al mismo fragmento excluyendo el contenido binario y/o durante el proceso de cifrado ademas del cifrado del propio fragmento se cifrara el fragmento incluyendo solo la referencia al contenido binario en lugar del contenido binario.
De acuerdo con la reivindicacion 13, la red se caracteriza por unos medios de aplicacion de funcion de troceo, que se adaptan de modo que durante el proceso de firma ademas de la aplicacion de funcion de troceo del propio fragmento firmado se puede aplicar una funcion de troceo del mismo fragmento excluyendo el contenido binario y/o por unos medios de cifrado, que se adaptan de modo que durante el proceso de cifrado ademas del cifrado del propio fragmento se puede cifrar el fragmento incluyendo solo la referencia al contenido binario en lugar del contenido binario.
De acuerdo con la invencion, se ha reconocido que es posible permitir un procesamiento de transmision por secuencias de los mensajes de SOAP con elementos adjuntos de MTOM firmados y/o cifrados simplemente aradiendo informacion adicional acerca del elemento adjunto firmado y/o cifrado al mensaje de SOAP saliente. En concreto, durante el proceso de firma ademas de la aplicacion de funcion de troceo del propio fragmento firmado se aplicara una funcion de troceo del mismo fragmento excluyendo el contenido binario y se puede aradir al mensaje de SOAP de un modo adecuado. Por consiguiente, durante el proceso de cifrado ademas del cifrado del propio fragmento se cifrara el fragmento incluyendo solo la referencia al contenido binario -en lugar del contenido binario. Esta informacion adicional tambien se puede aradir al mensaje de SOAP saliente. Durante el procesamiento de los mensajes de SOAP en un lado de servidor sera posible un procesamiento de transmision por secuencias de una pasada de los mensajes de SOAP con elementos adjuntos de MTOM firmados y/o cifrados en funcion de las partes adicionales aradidas al mensaje de SOAP saliente.
Preferentemente, durante el proceso de firma y/o de cifrado el contenido binario podria estar presente dentro del fragmento de una forma codificada en texto, codificada preferentemente en base 64. En base a una forma codificada en texto de este tipo, se pueden usar las tecnologias de firma y cifrado habituales durante el proceso de firma y/o de cifrado.
Durante el metodo inventivo y, en especial, durante el proceso de firma basado en el fragmento al que adicionalmente se ha aplicado funcion de troceo - excluyendo el contenido binario -se podria crear un bloque adicional para su uso dentro de un protocolo de transporte. Preferentemente, un bloque adicional de este tipo podria ser un bloque de transformacion que se podria aradir a un elemento de transformacion de la firma respectiva. En base a las etapas mencionadas anteriormente, es posible una extension simple a los mensajes de SOAP habituales para permitir un procesamiento de transmision por secuencias de una pasada de los mensajes de SOAP.
Con respecto a una realizacion preferida adicional de la invencion basada en el fragmento cifrado adicionalmente incluyendo solo la referencia al contenido binario -se podria crear una propiedad de cifrado para su uso dentro de un protocolo de transporte. Una propiedad de cifrado de este tipo podria aradirse simplemente a un bloque de cifrado para una transmision por secuencias de una pasada en el lado de servidor para el procesamiento de mensajes.
Preferentemente, la propiedad de cifrado podria estar presente de una forma codificada en texto, codificada preferentemente en base 64. De este modo, las tecnologias de cifrado usuales se podrian usar durante el metodo inventivo.
Con respecto a un metodo muy simple y efectivo, la referencia al contenido binario podria ser una referencia de XOP (Empaquetamiento Optimizado binario de XML). Una referencia de XOP de este tipo puede proporcionar la posibilidad de sacar el contenido binario de un mensaje con solo una parte de referencia restante dentro del mensaje original.
Con respecto a un procesamiento de transmision por secuencias de una pasada muy efectivo, el mensaje de SOAP se podria serializar para un procesamiento de transmision por secuencias de una pasada de lado de servidor.
Con respecto a un procesamiento muy efectivo del mensaje de SOAP durante el procesamiento de lado de servidor, cada uno de los calculos de los valores de funcion de troceo se podria realizar en paralelo de un modo de transmision por secuencias de una pasada.
Para proporcionar un metodo muy simple y fiable se podria usar WS-Security (Seguridad de Servicios Web) para los procesos de firma y/o de cifrado. De este modo, es posible el uso de las tecnologias conocidas de firma y/o de cifrado para simplificar el metodo anterior.
El tipo de contenido binario dentro del fragmento no se limita a aplicacion especifica alguna. Dentro de una realizacion preferida, el contenido binario podria ser una foto, una imagen medica o numeros binarios de software.
La presente invencion introduce una extension a las actuales especificaciones de seguridad de Servicios Web y metodos de procesamiento de mensajes para superar el problema mencionado anteriormente y para posibilitar, de este modo, el procesamiento de transmision por secuencias de los mensajes de SOAP con elementos adjuntos de MTOM cifrados y/o firmados. Para ser mas especificos, esta invencion define extensiones para las especificaciones de seguridad de los Servicios Web de Firma de XML y de Cifrado de XML. Estas extensiones se araden por un cliente de Servicios Web -que soporta los mecanismos definidos en la presente invencion - al mensaje de SOAP saliente y contienen informacion adicional acerca del elemento adjunto firmado o cifrado. Un servidor de Servicios Web -que soporta los mecanismos definidos en la presente invencion -puede usar estas extensiones para procesar eficientemente este mensaje de un modo de transmision por secuencias de una pasada. Esto conduce a un mayor rendimiento y a un consumo reducido de recursos en el lado de servidor. Sin embargo, debido a que no se cambia el formato de mensajes convencional, la firma y el cifrado dentro del mensaje de SOAP tambien se puede procesar aun por servidores de Servicios Web que no soporten los mecanismos definidos en la presente invencion.
La presente invencion esta proporcionando una extension para la seguridad de SOAP en conjuncion con elementos adjuntos de MTOM. Se proporciona un procesamiento de transmision por secuencias de lado de servidor de una pasada de la totalidad del mensaje de SOAP, incluyendo elementos adjuntos. El resultado es un mayor rendimiento y un consumo reducido de recursos para los servidores de Servicios Web. Se da una compatibilidad total hacia atras con las normas y estructuras actuales.
Existen varias formas de las que diserar y desarrollar adicionalmente la enseranza de la presente invencion de un modo ventajoso. Para este fin, ha de hacerse referencia, por una parte, a las reivindicaciones de patente subordinadas a la reivindicacion de patente 1 y, por otra parte, a la siguiente explicacion de los ejemplos preferidos de realizaciones de la invencion, ilustrados por los dibujos. En conexion con la explicacion de las realizaciones preferidas de la invencion con la ayuda de los dibujos, se explicaran realizaciones generalmente preferidas y desarrollos adicionales de la enseranza. En los dibujos
la Figura 1
esta ilustrando un formato y serializacion convencionales de los mensajes de SOAP de MTOM,
la Figura 2
esta ilustrando un formato, procesamiento y serializacion convencionales de mensajes de SOAP de MTOM firmados,
la Figura 3
esta ilustrando un formato, procesamiento y serializacion convencionales de mensajes de SOAP de MTOM cifrados,
la Figura 4
esta ilustrando una realizacion para la creacion de mensajes de SOAP de MTOM firmados de acuerdo con la invencion,
la Figura 5
esta ilustrando una realizacion para la creacion de mensajes de SOAP de MTOM cifrados de acuerdo con la invencion,
la Figura 6
esta ilustrando una realizacion para el procesamiento de lado de servidor de mensajes de SOAP de MTOM firmados de acuerdo con la invencion.
la Figura 7
esta ilustrando una realizacion para el procesamiento de lado de servidor de mensajes de SOAP de MTOM cifrados de acuerdo con la invencion.
Las siguientes Figuras 1 a 7 explican la invencion y sus realizaciones. Las Figuras 1 a 3 muestran el enfoque convencional para la creacion de mensajes de MTOM seguros y cifrados. Las Figuras 4 a 7 muestran el metodo de la presente invencion.
La Figura 1 esta ilustrando un formato y serializacion convencionales de los mensajes de SOAP de MTOM. Esta Figura 1 ilustra como se crean los elementos adjuntos de MTOM. En el lado izquierdo, se puede ver un fragmento de mensaje de SOAP con contenido binario -en este caso: una foto. Debido a que XML es un formato de texto, el contenido binario solo se puede transportar de una forma codificada en texto. La forma mas comun para esto es la codificacion en base 64. Este tipo de manejo de contenido binario -especialmente grande -crea algunos problemas. Principalmente, el uso de base 64 aumenta el consumo de espacio en memoria y sobre la red (33 %). Adicionalmente, el manejo de un gran documento de SOAP es mas dificil y consume mas recursos. Para superar estos problemas, en el pasado se han publicado varias posibilidades para eliminar estas "partes de documento externas" logicas del mensaje de SOAP y transportarlas como un elemento adjunto. De entre estos, MTOM se considera como el mejor enfoque ya que elimina algunos inconvenientes de, por ejemplo, SwA (SOAP con Elementos adjuntos).
Como se muestra en la Figura 1, MTOM usa el llamado conjunto de informacion de XOP para almacenar mensajes en la memoria. Mediante este, los datos binarios -en este caso: una foto -se mantienen en su forma original fuera del mensaje de SOAP que solamente incluye una referencia (<xop:Include>) al fichero binario.
Finalmente, en el lado derecho de la figura se puede ver como el conjunto de informacion de XOP se transporta sobre la red: la parte de XML serializada y la parte binaria se transportan como bloques de MIME (Extensiones de Correo Electronico de Internet Multiproposito) separados dentro del protocolo de transporte, tipicamente HTTP (Protocolo de Transferencia de HiperTexto). De este modo, la parte binaria se puede transportar tal y como esta - sin codificacion -como un elemento adjunto al mensaje de SOAP.
La Figura 2 esta ilustrando un formato, procesamiento y serializacion convencionales de los mensajes de SOAP de MTOM firmados. La Figura 2 muestra el proceso de creacion de firma para un mensaje de SOAP con MTOM habilitado. Una propiedad importante del conjunto de informacion de XOP es que la referencia <xop:Include> es una referencia "por valor", es decir, todas las operaciones deben tratar los documentos de XML asi como el contenido binario que se incorpora dentro del documento. Para varias operaciones, por ejemplo, el movimiento del nodo <m:photo>, no se necesita considerar esto, ya que el funcionamiento es equivalente sobre el conjunto de informacion de XOP o sobre el conjunto de informacion original. Sin embargo, para una operacion de firma que requiere leer y aplicar una funcion de troceo a la totalidad del contenido de un nodo firmado, se debe cumplir con esta propiedad.
De este modo, como se muestra en la Figura 2 antes de firmar un nodo que incluye un elemento adjunto de MTOM, el elemento adjunto se debe incorporar al documento de XML, lo que realmente reconstruye el conjunto de informacion original. A continuacion, el nodo se puede firmar, incluyendo la aplicacion de funcion de troceo al elemento adjunto binario codificado en base 64. Despues del calculo de la firma, se puede restaurar la parte de XOP
-
lo que no se muestra en la Figura 2 - y la parte binaria se puede transportar de nuevo como un elemento adjunto.
Si una serializacion de este tipo se procesa en el lado de servidor, esto no se puede hacer de un modo de transmision por secuencias de una pasada. Despues de procesar el nodo <m:photo>, el calculo de funcion de troceo se debe pausar hasta que se haya recibido completamente el elemento adjunto de modo que se pueda realizar el calculo de funcion de troceo, lo que causa un comportamiento de bloqueo para el procesamiento de SOAP.
La Figura 3 esta ilustrando un formato, procesamiento y serializacion convencionales de mensajes de SOAP de MTOM cifrados. Esta figura ilustra el modo de cifrar un fragmento de mensaje de SOAP que contiene un elemento adjunto de MTOM. De nuevo, antes de aplicar la operacion de cifrado, se debe volver a incorporar el elemento adjunto -y codificarse en base 64 -dentro del documento de XML. Despues del cifrado, el bloque de cifrado de XML sustituye al bloque cifrado, en el ejemplo anterior el elemento <:m:photo>. Este bloque de cifrado incluye de nuevo un nodo de contenido binario -codificado en base 64: el contenido del elemento <xenc:CipherData>. Este contenido binario se puede extraer a continuacion del documento de XML y serializarse como un elemento adjunto de MTOM. Debe observarse que, -en contraste con la creacion de firma - el elemento adjunto del mensaje cifrado no es el mismo que en el mensaje sin cifrar.
Debido a que las partes del documento de XML sin cifrar -en este caso: el contenedor de <m:photo> - se han movido por el proceso de cifrado al elemento adjunto, de nuevo el procesamiento, es decir el descifrado, en el lado de servidor no se puede realizar de un modo de transmision por secuencias de una pasada.
La Figura 4 esta ilustrando una realizacion de un metodo para la creacion de mensajes de SOAP de MTOM firmados de acuerdo con la invencion. Esta Figura 4 muestra el enfoque inventivo para la creacion de una firma de XML para un fragmento que contiene un elemento adjunto de MTOM. El mensaje resultante permite un procesamiento de transmision por secuencias de una pasada en el lado de servidor, vease la Figura 6 a continuacion. Los detalles del proceso de firma son como sigue: ademas de la aplicacion de funcion de troceo del propio fragmento firmado <m:photo> en el ejemplo anterior -se aplica una funcion de troceo al mismo fragmento -excluyendo el contenido binario. Por lo tanto, se arade el siguiente bloque de transformacion al elemento <ds:Transforms> de la firma respectiva:
<ds:Transform Algorithm="http://www.w3.org/2002/06/xmldsig-filter2">
<dsf:XPath Filter="intersect">
xpath-of-signed-element </dsf:XPath> <dsf:XPath Filter="subtract">
xpath-of-wrapping-element/� </dsf:XPath> </ds:Transform>
Prefijo
Espacio de nombres
dsf
http://www.w3.org/2002/06/xmldsig-filter2
ds
http://www.w3.org/2000/0�/xmldsig�
Los valores xpath-of-signed-element (xpath del elemento firmado) y xpath-of-wrapping-element (xpath del elemento
10 contenedor) se deben sustituir por unas expresiones XPath que hacen referencia a los elementos que han de firmarse y el elemento primario del contenido binario ("elemento contenedor"). En el ejemplo usado en la Figura 4, ambas expresiones son //m:photo.
La Figura 5 esta ilustrando una realizacion de un metodo para la creacion de mensajes de SOAP de MTOM cifrados de acuerdo con la invencion. Esta Figura 5 muestra el enfoque inventivo para cifrar un fragmento que contiene un 15 elemento adjunto de MTOM. El mensaje resultante permite un procesamiento de transmision por secuencias de una pasada en el lado de servidor, vease la Figura 7 a continuacion. Los detalles del proceso de cifrado son como sigue: se cifra, ademas del fragmento procedente del "conjunto de informacion original" -en el ejemplo anterior el elemento <m:photo> incluyendo el contenido binario -, el mismo fragmento del "conjunto de informacion de XOP" - en el ejemplo anterior el elemento <m:photo> incluyendo la referencia XOP. El resultado de la segunda operacion de
20 cifrado se arade - codificado en base 64 -como una propiedad de cifrado al bloque de cifrado. Para ser mas precisos, se arade el siguiente elemento al bloque <xenc:EncryptionProperties>:
<xenc: EncryptionProperty>
<nec: EncrytedBinaryWrapper>
encrypted-xop-infoset-fragment
25 </nec:EncrytedBinaryWrapper>
</xenc: EncryptionProperty>
Prefijo
Espacio de nombres
xenc
http://www.w3.org/2001/04/xmlenc�
Nec
http://www.w3.neclab.eu/2010/10/secmtom
Finalmente, mientras que se serializa el mensaje de SOAP, el contenido de <xenc:Cipher�alue> se extrae como un
30 elemento adjunto de MTOM, mientras que el contenido de <nec:EncrytedBinaryWrapper> permanece dentro del documento de XML. Debido a que los elementos adjuntos se preven para grandes elementos adjuntos binarios y se supone que el contenedor es bastante pequero, esto es conforme a los principios de los elementos adjuntos.
La Figura 6 esta ilustrando una realizacion para el procesamiento de lado de servidor de los mensajes de SOAP de MTOM firmados de acuerdo con la invencion. Esta Figura 6 muestra el procesamiento de lado de servidor propuesto 35 de los mensajes firmados creados usando el enfoque que se presenta anteriormente, vease la Figura 4. Se puede ver que los calculos de los dos valores de funcion de troceo -dig1 y dig2 -se realizan en paralelo, cada uno de un modo de transmision por secuencias de una pasada. Durante la transmision por secuencias de una pasada se realizara el almacenamiento en memoria cache de los elementos contenedores de cierre -en el ejemplo anterior el
elemento </m:photo>. Sin embargo, en base a la suposicion de que el elemento contenedor es bastante pequero, esto implica solo un pequero consumo de memoria.
Se puede ver que, despues de leer el ultimo elemento de mensaje de SOAP, se puede verificar la version del conjunto de informacion de XOP del mensaje.
La Figura esta ilustrando una realizacion para el procesamiento de lado de servidor de los mensajes de SOAP de MTOM cifrados. Esta Figura 7 muestra el procesamiento de lado de servidor propuesto de los mensajes cifrados creados usando el enfoque que se presenta anteriormente, vease la Figura 5. Se puede ver que los elementos cifrados del conjunto de informacion de XOP se crean y se retransmiten a la aplicacion del servicio de un modo de transmision por secuencias. Durante la transmision por secuencias de una pasada se realizara el almacenamiento en memoria cache de los elementos contenedores, lo que es necesario para eliminar el contenedor durante el descifrado del elemento adjunto.
Como se puede ver, despues de la lectura del ultimo elemento de mensaje de SOAP, la version del conjunto de informacion de XOP del mensaje se descifra completamente.
Los enfoques inventivos presentados anteriormente para la firma y el cifrado, por supuesto, se pueden combinar de forma ininterrumpida para proporcionar diversas aplicaciones. De este modo, se soportan completamente mecanismos de seguridad anidados.
Las ventajas de la presente invencion son: en primer lugar, el metodo posibilita el procesamiento de mensajes de lado de servidor de un modo de transmision por secuencias totalmente, lo que en general conduce a una gran reduccion de recursos en comparacion con los metodos basados en documentos. Adicionalmente, debido a que el mensaje de SOAP se descifra y se verifica completamente despues de leer el ultimo elemento de SOAP -es decir, antes de leer el elemento adjunto -el metodo posibilita un "preprocesamiento temprano" para comenzar, por ejemplo, tareas de dispositivo, que no requieren el elemento adjunto, o posibilita la deteccion y el rechazo de las llamadas de mensajes invalidos sin malgastar recursos en el procesamiento de elementos adjuntos.
La presente invencion esta proporcionando una extension del formato de mensajes de SOAP y el procesamiento en el contexto de elementos adjuntos de MTOM seguros. Este uso novedoso del formato de los mensajes de SOAP / MTOM seguros esta proporcionando un procesamiento de transmision por secuencias de una pasada de lado de servidor de mensajes de SOAP de MTOM firmados y/o cifrados.
El resultado del metodo inventivo es una reduccion del consumo de memoria y de los costes de computacion para el procesamiento de mensajes de lado de servidor (green computing, tecnologias verdes). El metodo inventivo esta proporcionando una compatibilidad total con las normas implicadas y con las estructuras de Servicio Web existentes.
Muchas modificaciones y otras realizaciones de la invencion expuesta en el presente documento vendran a la mente de un experto en la materia a la que se refiere la invencion que tenga el beneficio de las enseranzas presentadas en la descripcion anterior y los dibujos asociados. Por lo tanto, ha de entenderse que la invencion no ha de limitarse a las realizaciones especificas desveladas y que se pretende que las modificaciones y otras realizaciones esten incluidas dentro del alcance de las reivindicaciones adjuntas. Aunque se emplean terminos especificos en el presente documento, se usan solo en un sentido generico y descriptivo y no con fines de limitacion.

Claims (12)

  1. REIVINDICACIONES
    1.
    Un metodo para el procesamiento de un mensaje de SOAP (Protocolo Simple de Acceso a Objetos) dentro de una red, en especial una red de IP (Protocolo de Internet), en el que el mensaje de SOAP basado en XML (Lenguaje de Marcacion Extendida) esta comprendiendo un fragmento con un contenido binario, en el que el contenido binario se movera a un elemento adjunto de MTOM (Mecanismo de Optimizacion de Transmision de Mensajes) del mensaje de SOAP con una referencia restante al contenido binario dentro del mensaje de SOAP y en el que el elemento adjunto se firmara y/o se cifrara por un proceso de firma y de cifrado, respectivamente,
    caracterizada par que durante el proceso de firma ademas de la aplicacion de funcion de troceo del propio fragmento firmado, se aplicara una funcion de troceo del mismo fragmento excluyendo el contenido binario y/o durante el proceso de cifrado ademas del cifrado del propio fragmento se cifrara el fragmento incluyendo solo la referencia al contenido binario en lugar del contenido binario.
  2. 2.
    Un metodo de acuerdo con la reivindicacion 1, en el que durante el proceso de firma y/o de cifrado esta presente el contenido binario dentro del fragmento de una forma codificada en texto, codificada preferentemente en base 64.
  3. 3.
    Un metodo de acuerdo con la reivindicacion 1 o 2, en el que se creara un bloque adicional en base al fragmento al que adicionalmente se ha aplicado funcion de troceo excluyendo el contenido binario para su uso dentro de un protocolo de transporte.
  4. 4.
    Un metodo de acuerdo con la reivindicacion 3, en el que el bloque adicional es un bloque de transformacion que se aradira a un elemento de transformacion de la firma respectiva.
  5. 5.
    Un metodo de acuerdo con una de las reivindicaciones 1 a 4, en el que en base al fragmento cifrado adicionalmente que incluye solo la referencia al contenido binario se creara una propiedad de cifrado para su uso dentro de un protocolo de transporte.
  6. 6.
    Un metodo de acuerdo con la reivindicacion 5, en el que la propiedad de cifrado se aradira a un bloque de cifrado.
  7. 7.
    Un metodo de acuerdo con la reivindicacion 5 o 6, en el que la propiedad de cifrado esta presente de una forma codificada en texto, codificada preferentemente en base 64.
  8. 8.
    Un metodo de acuerdo con una de las reivindicaciones 1 a 7, en el que la referencia al contenido binario es una referencia de XOP (Empaquetamiento Optimizado binario de XML).
    �. Un metodo de acuerdo con una de las reivindicaciones 1 a 8, en el que el mensaje de SOAP se serializara para un procesamiento de transmision por secuencias de una pasada de lado de servidor.
  9. 10.
    Un metodo de acuerdo con la reivindicacion �, en el que durante el procesamiento de lado de servidor los calculos de los valores de funcion de troceo se realizaran en paralelo.
  10. 11.
    Un metodo de acuerdo con una de las reivindicaciones 1 a 10, en el que se usara la funcion WS-Security (Seguridad de Servicios Web) para los procesos de firma y/o de cifrado.
  11. 12.
    Un metodo de acuerdo con una de las reivindicaciones 1 a 11, en el que el contenido binario es una foto, una imagen medica o numeros binarios de software.
  12. 13.
    Una red, en especial una red de IP (Protocolo de Internet), que comprende un medio para el procesamiento de un mensaje de SOAP (Protocolo Simple de Acceso a Objetos) basado en XML (Lenguaje de Marcacion Extendida), en el que el mensaje de SOAP comprende un fragmento con un contenido binario, en el que dichos medios de procesamiento estan adaptados para mover el contenido binario a un elemento adjunto de MTOM (Mecanismo de Optimizacion de Transmision de Mensajes) del mensaje de SOAP con una referencia restante al contenido binario dentro del mensaje de SOAP y para firmar y/o cifrar el elemento adjunto por un proceso de firma y de cifrado, respectivamente,
    caracterizada par unos medios de aplicacion de funcion de troceo, que estan adaptados para generar, durante el proceso de firma ademas de un valor de funcion de troceo del propio fragmento firmado, un valor de funcion de troceo del mismo fragmento excluyendo el contenido binario y/o par unos medios de cifrado que estan adaptados para cifrar durante el proceso de cifrado el propio fragmento, y para cifrar el fragmento incluyendo solo la referencia al contenido binario en lugar del contenido binario.
ES10710537T 2010-02-26 2010-02-26 Método para el procesamiento de un mensaje de SOAP dentro de una red y una red Active ES2424769T3 (es)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/EP2010/001200 WO2011103886A1 (en) 2010-02-26 2010-02-26 A method for processing a soap message within a network and a network

Publications (1)

Publication Number Publication Date
ES2424769T3 true ES2424769T3 (es) 2013-10-08

Family

ID=43216478

Family Applications (1)

Application Number Title Priority Date Filing Date
ES10710537T Active ES2424769T3 (es) 2010-02-26 2010-02-26 Método para el procesamiento de un mensaje de SOAP dentro de una red y una red

Country Status (7)

Country Link
US (1) US20120265992A1 (es)
EP (1) EP2532134B1 (es)
JP (1) JP5451897B2 (es)
KR (1) KR101430840B1 (es)
CN (1) CN102783114B (es)
ES (1) ES2424769T3 (es)
WO (1) WO2011103886A1 (es)

Families Citing this family (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20120069361A (ko) * 2010-12-20 2012-06-28 한국전자통신연구원 네트워크 공격 관리 방법 및 시스템, 네트워크 공격 관리를 위한 네트워크 서비스 제공 장치
EP2798836A4 (en) 2011-12-31 2015-08-05 Intel Corp CONTROL SYSTEM BASED ON CONTENT
EP2728083A1 (en) 2012-11-06 2014-05-07 Yesos Ibericos, S.A. Construction element
CN102970378A (zh) * 2012-12-13 2013-03-13 中国电子科技集团公司第十五研究所 二进制数据优化传输系统
JP6471614B2 (ja) * 2015-05-29 2019-02-20 株式会社リコー 通信端末、通信システム、通信制御方法、及びプログラム
CN106534167A (zh) * 2016-12-06 2017-03-22 郑州云海信息技术有限公司 一种基于xml的网络加密传输方法和系统

Family Cites Families (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7444675B2 (en) * 2003-02-28 2008-10-28 Hewlett-Packard Development Company, L.P. Systems and methods for defining security information for web-services
US20050251676A1 (en) * 2004-05-05 2005-11-10 Intel Corporation Method for offloading the digest portion of protocols
US7441185B2 (en) * 2005-01-25 2008-10-21 Microsoft Corporation Method and system for binary serialization of documents
US7738887B2 (en) * 2005-10-31 2010-06-15 Microsoft Corporation Voice instant messaging between mobile and computing devices
US20070115917A1 (en) * 2005-10-31 2007-05-24 Microsoft Corporation MTOM data transfer via TCP
JP2007179171A (ja) * 2005-12-27 2007-07-12 Internatl Business Mach Corp <Ibm> 秘密保持が要求されるモデル用のソフトウエア開発装置
JP5108285B2 (ja) * 2006-11-30 2012-12-26 株式会社日立製作所 署名方法、情報処理装置、および署名プログラム
JP4989259B2 (ja) * 2007-03-06 2012-08-01 株式会社日立製作所 署名情報処理方法、そのプログラムおよび情報処理装置
EP2191629A1 (en) * 2007-09-07 2010-06-02 Nec Europe Ltd. Method and system for secure web service data transfer
US8739180B2 (en) * 2008-01-25 2014-05-27 International Business Machines Corporation Processing of MTOM messages
US8689292B2 (en) * 2008-04-21 2014-04-01 Api Technologies Corp. Method and systems for dynamically providing communities of interest on an end user workstation

Also Published As

Publication number Publication date
JP2013512602A (ja) 2013-04-11
EP2532134A1 (en) 2012-12-12
KR101430840B1 (ko) 2014-08-18
WO2011103886A1 (en) 2011-09-01
CN102783114B (zh) 2015-09-23
US20120265992A1 (en) 2012-10-18
JP5451897B2 (ja) 2014-03-26
KR20120082461A (ko) 2012-07-23
CN102783114A (zh) 2012-11-14
EP2532134B1 (en) 2013-06-12

Similar Documents

Publication Publication Date Title
ES2424769T3 (es) Método para el procesamiento de un mensaje de SOAP dentro de una red y una red
Elkins et al. MIME security with OpenPGP
US9461817B2 (en) Method and system for encrypting JavaScript object notation (JSON) messages
US11153365B2 (en) Transfer of files with arrays of strings in soap messages
Aumasson et al. The hash function BLAKE
Pöhls JSON sensor signatures (JSS): End-to-end integrity protection from constrained device to IoT application
Forsby et al. Lightweight x. 509 digital certificates for the internet of things
US20150089578A1 (en) Mitigating policy violations through textual redaction
Mödersheim et al. A sound abstraction of the parsing problem
George et al. Light weight cryptographic solutions for fog based blockchain
Fedrecheski et al. A low-overhead approach for self-sovereign identity in IoT
ES2328150T3 (es) Informacion dirigida a un dispositivo destinatario sobre las propiedades del contenido de un mensaje.
CN108270546A (zh) 一种信息传输的方法及系统
Chu et al. OMA DM v1. x compliant Lightweight Device Management for Constrained M2M devices
Seak et al. A file-based implementation of XML encryption
CN108563396A (zh) 一种安全的云端对象存储方法
Kaczmarek Malware instrumentation application to regin analysis
Abdul Haleem et al. An energy-conserving approach for data formatting and trusted document exchange in resource-constrained networks
Da Conceicao et al. μTESLA protocol in vehicular networks
Gruschka et al. Server-side streaming processing of secured MTOM attachments
Kangasharju Efficient implementation of XML security for mobile devices
Elkins et al. RFC3156: MIME Security with OpenPGP
Mhatre et al. Implementation of file transfer using message transmission optimization mechanism (MTOM)
Mödersheim et al. A Sound Abstraction of the Parsing Problem (Extended Version)
Radwan et al. XPRIDE: policy-driven Web services security based on XML content