JP2008544713A - ウェブ・サービスにおける秘密データ通信 - Google Patents

ウェブ・サービスにおける秘密データ通信 Download PDF

Info

Publication number
JP2008544713A
JP2008544713A JP2008518776A JP2008518776A JP2008544713A JP 2008544713 A JP2008544713 A JP 2008544713A JP 2008518776 A JP2008518776 A JP 2008518776A JP 2008518776 A JP2008518776 A JP 2008518776A JP 2008544713 A JP2008544713 A JP 2008544713A
Authority
JP
Japan
Prior art keywords
signature
value
response
request
web service
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2008518776A
Other languages
English (en)
Other versions
JP2008544713A5 (ja
Inventor
ナダリン、アンソニー、ジョゼフ
マッキントッシュ、マイケル
オーステル、ポーラ
ホンドー、マリヤン
ナガラトナム、ナタライ
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
International Business Machines Corp
Original Assignee
International Business Machines Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by International Business Machines Corp filed Critical International Business Machines Corp
Publication of JP2008544713A publication Critical patent/JP2008544713A/ja
Publication of JP2008544713A5 publication Critical patent/JP2008544713A5/ja
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/606Protecting data by securing the transmission between two devices or processes
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/629Protecting access to data via a platform, e.g. using keys or access control rules to features or functions of an application
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information

Abstract

【解決手段】該して、値を有する第1署名を帯びているエレメントを含むリクエストをクライアントからウェブ・サービスで受け取り、その第1署名の値を署名し、これにより第2署名を作成し、そのウェブ・サービスから第2署名を含むレスポンスをクライアントに送ることによってウェブ・サービスにおける秘密データ通信が提供されるようになっている方法、システム、及び製品が開示される。リクエスタは、レスポンスが第2署名を含むことを確かめることができる。リクエストは暗号化され得、レスポンスは暗号化され得る。第1署名は暗号化され得、ウェブ・サービスは、第1署名の値を暗号化して、第1署名のその暗号化された値をレスポンスに含めることができる。ウェブ・サービスは、SOAPで符号化されたリクエストを受け取り、SOAPで符号化されたレスポンスを送ることができる。
【選択図】図4

Description

本発明の分野はデータ処理であり、或いは、特にウェブ・サービスにおける秘密データ通信のための方法、システム、及び製品である。
“ウェブ・サービス”という用語は、ウェブ・ベースのアプリケーションを統合する標準化された方法を指す。ウェブ・サービスは、通例、バインディングと呼ばれる標準化されたフォーマットでのデータ通信を通してリクエストに応じてビジネス・サービスを提供する。バインディングは、データ符号化方法とデータ通信プロトコルとの仕様である。ウェブ・サービスに用いられる最も普通のバインディングは、SOAPプロトコルに従うXMLでのデータ符号化とHTTPでのデータ通信とである。SOAP(Simple Object Access Protocol(シンプル・オブジェクト・アクセス・プロトコル))は、XML及び拡張を用いて構造化されたタイプト・データの通過をサポートするリクエスト/レスポンス・メッセージ送信プロトコルである。
ブラウザ・クライアントからのリクエストに応答してHTML文書を提供するHTTPサーバのような在来のクライアント/サーバ・モデルとは異なって、ウェブ・サービスは表示とは関係が無い。その代わりに、ウェブ・サービスは、ネットワークを介してプログラムに従ったインターフェース(a programmatic interface)を通してビジネス・ロジック、データ、及びプロセスを共有する。ウェブ・サービス・アプリケーションはユーザとではなくて相互にインターフェースする。ウェブ・サービス間の全てのデータ通信は標準化されたバインディングに従って行われるので、ウェブ・サービスは1つのオペレーティング・システム或いはプログラミング言語に縛られない。ウィンドウズ(登録商標)プラットフォームで動作するジャバ・クライアントは、パールで書かれてユニックスの下で動作するウェブ・サービス・オペレーションを呼び出すことができる。C++で書かれたウィンドウズ(登録商標)・アプリケーションは、ジャバ・サーブレットとして実現されたウェブ・サービスにおいてオペレーションを呼び出すことができる。
ウェブ・サービス・プロトコルは、通例、クライアント又は仲介リクエスタが特定のサービスを要求するリクエスト・メッセージをウェブ・サービスに送り、ウェブ・サービスがレスポンス・メッセージの形のレスポンスを提供するようになっているリクエスト/レスポンス・プロトコルである。或るメッセージ交換パターンでは、交換のイニシエータにとっては、自分が受け取ったメッセージが実際に自分が開始したリクエストに対するレスポンスであることを確かめることが望ましい。その様な確認は、関連するレスポンスを促したリクエストの内容に関してリクエスタとウェブ・サービスとの間で合意を確立するのに役立つ。この確認は、ある形の攻撃からの危険を減少させるのに役立つ。しかし、現在の技術は、リクエスタが受け取ったメッセージが実際にリクエスタが開始したリクエストに対するレスポンスであることをリクエスタが確かめる方法を提供していない。
該して、値を有する第1署名を帯びているエレメントを含むリクエストをクライアントからウェブ・サービスで受け取り、その第1署名の値を署名し、これにより第2署名を作成し、そのウェブ・サービスから第2署名を含むレスポンスをクライアントに送ることによってウェブ・サービスにおける秘密データ通信が提供されるようになっている方法、システム、及び製品が開示される。リクエスタは、レスポンスが第2署名を含むことを確かめることができる。リクエストは暗号化され得、レスポンスは暗号化され得る。第1署名は暗号化され得、ウェブ・サービスは、第1署名の値を暗号化して、第1署名のその暗号化された値をレスポンスに含めることができる。ウェブ・サービスは、SOAPで符号化されたリクエストを受け取り、SOAPで符号化されたレスポンスを送ることができる。
値を有する署名確認エレメントを作成し、その署名確認エレメントの値を第1署名の値にセットし、署名確認エレメントを署名し、これにより第2署名を作成し、署名確認エレメントと第2署名とをレスポンスに含めることによって、第1署名の値の署名を行うことができる。値を各々有する第1署名を帯びた複数のエレメントを含むリクエストをウェブ・サービスが受け取ったとき、或る実施態様ではウェブ・サービスは第1署名の値の全てを署名し、これにより複数の第2署名を作ることができ、ウェブ・サービスはそれらの複数の第2署名を含むレスポンスをリクエスタに送ることができる。
本発明の上記の及び他の目的、特徴及び利点は、同様の参照番号が本発明の同様の部分を表している添付図面に示されている本発明の代表的実施態様についての以下のより詳しい記述から明らかとなろう。
本発明の実施態様に従うウェブ・サービスにおける秘密データ通信のための代表的な方法、システム及び製品が、添付図面を先ず図1から参照して、記載される。図1は、本発明の実施態様に従うウェブ・サービスにおける秘密データ通信のための代表的システムを示すネットワーク図を示す。“ネットワーク”という用語は、本明細書においては、2つ以上のコンピュータ間でのデータ通信のための任意のネットワーク化された結合を意味するために使用される。ネットワーク・データ通信は、通例、ルータと呼ばれる専用コンピュータで実行される。ネットワークは、通例、1つのコンピュータから他のコンピュータへ経路指定されるメッセージにコンピュータ・データを納めることによりデータ通信を実行する。ネットワークの良く知られている例は“インターネット”、すなわち、IETFのRFC791に記載されている“インターネット・プロトコル”に従って相互に通信するコンピュータの相互に接続されたシステムである。本発明の種々の実施態様で役に立つネットワークの他の例は、イントラネット、エクストラネット、ローカル・エリア・ネットワーク(“LAN”)、ワイド・エリア・ネットワーク(“WAN”)、及びその他の、当業者が考え付くネットワーク設備を含む。リクエスタから、ウェブ・サービスをサポートするウェブ・サーバへの任意のネットワーク化された結合の使用が完全に本発明の範囲内にある。
図1のシステムはデータ通信ネットワーク(100)を含む。ネットワーク(100)は、リクエスタ(108,112,102,110,126)とウェブ・サービス(106,128)との間のデータ通信を提供する。ウェブ・サービス・サーバ(106)はコンピュータであって、データ通信のためにワイヤライン接続(132)を通してネットワーク(100)に結合されており、これにウェブ・サービス(303)がインストールされて動作する。ウェブ・サービス(303)の機能を実行するためのコンピュータ・プログラム命令は、ウェブ・サービス・サーバ(106)のコンピュータ・メモリに格納されている。クライアント・デバイス(‘リクエスタ’)は、サービスを求めるリクエストをサーバ(106)に送信する。ウェブ・サービス(303)は、ネットワーク(100)を介してリクエストを受け取り、リクエストを処理し、ネットワーク(100)を介してレスポンスを送信する。図1のシステムは、ウェブ・サービスを求めるリクエストをウェブ・サービス(303)に送信してレスポンスを受信することのできる数個のリクエスタを含む。図1のシステムにおけるリクエスタは、
ワイヤライン接続(122)を通してネットワーク(100)に結合されているコンピュータであるワークステーション(102)と、
ワイヤライン接続(120)を通してネットワーク(100)に結合されているパーソナル・コンピュータ(108)と、
無線接続(114)を通してネットワーク(100)に結合されているパーソナル・デジタル・アシスタント(112)と、
無線接続(118)を通してネットワーク(100)に結合されているラップトップ・コンピュータ(126)と、
無線接続(116)を通してネットワーク(100)に結合されている移動電話機(110)と、
を含む。
‘リクエスタ’という用語は、任意のデータ通信クライアント・デバイスを、すなわち、データ通信のためにウェブ・サービスに結合し、リクエストをウェブ・サービスに送信し、ウェブ・サービスからレスポンスを受信することのできる任意のデバイスを指す。リクエスタの例は、パーソナル・コンピュータ、インターネット対応(internet−enabled)特別目的デバイス、インターネット可能な(internet−capable)パーソナル・データ・アドミニストレータ、及び他の、当業者が思いつくものである。リクエスタの種々の具体例は、ウェブ・サービスと有線又は無線で、或いはその両方で、結合することができる。ネットワークを通してウェブ・サービスにアクセスすることのできる任意のクライアント・デバイス又は機器のリクエスタとしての使用が充分に本発明の範囲内にある。
図1は、ワイヤライン接続(130)を通してネットワーク(100)に結合されたウェブ・サービス仲介(128)も含んでいる。ウェブ・サービス仲介(128)は、ウェブ・サービス(301)をインストールして、それに対して作用することができる。ウェブ・サービス(301)は、仲介ウェブ・サービスを提供する。ウェブ・サービス仲介は、ウェブ・サービス・リクエスタとウェブ・サービスとの間にあるウェブ・サービス・コンポーネント(この例では、サーバ)である。仲介は、一般に、クライアントからのリクエストを傍受し、仲介サービスを提供し、その後にそのクライアント・リクエストをウェブ・サービス・プロバイダ(時には‘ターゲット・サービス’と称される)に転送することによって動作する。同様に、ウェブ・サービス・プロバイダ(ターゲット・サービス)からのレスポンスは傍受され、操作され、その後に元のリクエスタに戻される。
仲介により提供されるサービスは、例えば、ターゲット・サービスについてのリクエストのソースの認証、コンテンツ及び形式についてのメッセージ確認、監査目的のためのメッセージ・ロギングを含む。仲介は、サービス、ウェブ・サービス・ヒットの数、個々のクライアントにより使用されたサービスの量及びタイミングなどを報告するマネージメントを提供することができる。仲介は、例えば新聞記事などのような頻繁に変化するけれども頻繁に要求されるデータを格納することによって、改善された性能をサポートするキャッシュとして使用され得る。仲介は、ロード・バランシング、すなわち数個のクライアントからのサービスを求めるリクエストを格納してそれらをピーク時でない実働時間中にターゲット・サービスに転送する、という意味での性能改善のために使用され得る。仲介は、例えば、後に支払勘定、受取勘定、及び一般元帳サービスのための別々のターゲット・サービスに転送される会計転記を求めるリクエストを受け取る会計仲介としてサービスを集めることができる。
図1のシステムは、一般的に、値を有する第1署名を帯びたエレメントを含むリクエストをリクエスタから例えばウェブ・サービス(303)などのウェブ・サービスにおいて受け取ることによって本発明の実施態様に従ってウェブ・サービスにおいて秘密データ通信を提供するように働く。ウェブ・サービスは、第1署名の値を署名し、これにより第2署名を作成し、そしてその第2署名を含むレスポンスをウェブ・サービス(303)からリクエスタに送る。以下でより詳しく説明されるように、第2署名(第1署名の1つの署名)を帯びたレスポンスを送ることは、リクエスタに対してウェブ・サービスのアイデンティティを認証し、そのレスポンスがリクエスタから受け取られたまさにそのリクエストに対するレスポンスであるとメッセージ完全性を証明する。
図1に示されている代表的システムを構成するクライアント・デバイス、サーバ、ネットワーク、及び他のデバイスの構成は、限定ではなくて説明を目的とするものである。本発明の種々の実施態様に従うウェブ・サービスにおける秘密データ通信に役立つデータ処理システムは、当業者が思い浮かべるであろうように、付加的な、図1に示されていないサーバ、ルータ、他のデバイス、及びピア・ツー・ピア・アーキテクチャを含むことができる。この様なデータ処理システムにおけるネットワークは、当業者が思い浮かべるであろうように、例えばTCP/IP、HTTP、WAP、HDTP、及びその他を含む多くのデータ通信プロトコルをサポートすることができる。本発明の種々の実施態様は、図1に示されているものに加えて多様なハードウェア・プラットフォーム及びネットワーク構成で実現され得る。
更なる説明のために、図2Aは、ウェブ・サービスにおける秘密データ通信が本発明の実施態様に従って実行され得るウェブ・サービス用の代表的コンピュータ・アーキテクチャの線図を示している。図2Aのアーキテクチャにおいて、ウェブ・サービス仲介(301)はデータ通信のためにデータ通信プロトコルを通してリクエスタ(102)及びターゲット・ウェブ・サービス(303)に結合されている。ウェブ・サービス仲介(301)とターゲット・ウェブ・サービス(303)とは、両方とも、ウェブ・サービスをサポートするサーバにインストールされている。リクエスタ(102)の位置にあるウェブ・サービス・コンポーネントは一般的に本明細書においては‘リクエスタ’と称される。同様に、仲介(301)の位置にあるコンポーネントは、特にリクエスタの視点から見られたときには、‘ウェブ・サービス’と称され得る。
クライアント/サーバの区別と、‘リクエスタ’という名称とは、ウェブ・サービスとの関係においては慎重に用いられなければならない。特定のコンポーネントがリクエスタであるのか、クライアントであるのか、サーバであるのか、それともサービスであるのかは、通信プロトコルでのリクエスト/レスポンス・メッセージの交換におけるそのコンポーネントの役割による。更なる説明のために、図2Aは、ウェブ・サービスにおける秘密データ通信が本発明の実施態様に従って実行され得るウェブ・サービス用の代表的コンピュータ・アーキテクチャの線図を示している。図2Bのアーキテクチャでは、例えば、ターゲット・サービス(303)は、リクエスタ(102)からのリクエストに対するレスポンスを準備するとき、ウェブ・サービス仲介(202)を通してターゲット・ウェブ・サービス(204)からウェブ・サービスを要求することができる。その様にするとき、ターゲット・ウェブ・サービス(303)はクライアントとして、且つリクエスタとして動作している。仲介(202)は、リクエストをターゲット・サービス(204)に転送するときクライアントとして且つリクエスタとして動作しているのであり、仲介(202)は、ターゲット・サービス(303)からリクエストを受け取ってターゲット・サービス(303)へのレスポンスを準備して送るときウェブ・サービスとして動作しているのである。同様に、仲介(301)は、リクエストをターゲット・サービス(303)に転送するときにはクライアントとして且つリクエスタとして動作しているのであり、仲介(301)は、リクエスタ(102)からリクエストを受け取ってリクエスタ(102)へのレスポンスを準備して送るときにはウェブ・サービスとして動作しているのである。従って、特定のウェブ・サービス・コンポーネントが特定の時点でクライアントと考えられるか、それともサーバと考えられるか、また、リクエスタと考えられるか、それともサービスと考えられるかは、その時点でそのコンポーネントにより実行されている機能による。ウェブ・サービス・コンポーネントは或る時点でクライアント又はリクエスタであり得、また次の時点ではサーバ又はウェブ・サービスであり得る。従って、用語からの混乱の危険を減少させるために、本明細書ではウェブ・サービス・コンポーネントは、普通、‘クライアント’又は‘サーバ’ではなくて‘リクエスタ’、‘仲介’、及び‘ウェブ・サービス’という用語を用いることによって記述される。
本発明に従うウェブ・サービスにおける秘密データ通信は、一般にコンピュータで、すなわち自動化された計算機で実行される。例えば、図1のシステムでは、全てのノード、サーバ、及び通信装置はある程度は少なくともコンピュータとして実現される。従って、更なる説明のために、図3は、本発明の実施態様に従うウェブ・サービスにおける秘密データ通信に役立つ代表的コンピュータ(152)を含む自動化計算機のブロック図を示している。図3のコンピュータ(152)は、少なくとも1つのコンピュータ・プロセッサ(156)又は‘CPU’と、システム・バス(160)を通してプロセッサ(156)及びコンピュータの他のコンポーネントに接続されているランダム・アクセス・メモリ(168)(“RAM”)とを含む。
RAM(168)にはウェブ・サービス(303)、すなわち、本発明の実施態様に従うウェブ・サービスにおける秘密データ通信のために改良されたコンピュータ・プログラム命令のセットが格納されている。RAM(168)には、サービスを求めるリクエスト(304)も格納されている。このリクエストは、値(308)を有する第1署名(306)を帯びたエレメント(310)を含む。RAM(168)には、リクエストに対するレスポンス(326)も格納されている。このレスポンスは第2署名(320)(第1署名の1つの署名)を帯びている。レスポンスは第1署名の値(308)も帯びている。ウェブ・サービス(303)のコンピュータ・プログラム命令は、値を有する第1署名(306)を帯びたエレメントを含むリクエスト(304)をリクエスタ(182)からウェブ・サービス(303)で受け取り、その第1署名の値を署名し、これにより第2署名(320)を作成し、第2署名(320)を含むレスポンスをウェブ・サービス(303)からリクエスタ(182)に送るための命令を含む。第2署名(第1署名の1つの署名)を帯びたレスポンスを送ることは、リクエスタに対してウェブ・サービスのアイデンティティを認証し、メッセージ完全性を証明する、すなわち、そのレスポンスがリクエスタから受け取られたまさにそのリクエストに対するレスポンスであると証明するという有益な効果を有する。
RAM(168)にはオペレーティング・システム(154)も格納されている。本発明の実施態様に従うコンピュータにおいて役に立つオペレーティング・システムはユニックス、リナックス、マイクロソフトNT、AIX、IBMのi5/OS、及びその他の、当業者が思い浮かべるであろうものを含む(ユニックスは米国及び他の国におけるザ・オープン・グループ(The Open Group)の登録商標であり、リナックスは米国、他の国、或いはその両方におけるリーナス・トーバルズの登録商標であり、マイクロソフト、ウィンドウズ(登録商標)、ウィンドウズ(登録商標)NT、及びウィンドウズ(登録商標)・ロゴは米国、他の国、或いは両方におけるマイクロソフト社の商標であり、AIX、IBM及びi5/OSはインターナショナル・ビジネス・マシーンズ・コーポレーションの登録商標である)。図3の例におけるオペレーティング・システム(154)、ウェブ・サービス(303)、リクエスト(304)、及びレスポンス(310)はRAM(168)の中に示されているが、これらのソフトウェアの多くのコンポーネントは通例不揮発性メモリ(166)にも格納される。
図3のコンピュータ(152)は、システム・バス(160)を通してプロセッサ(156)とコンピュータ(152)の他のコンポーネントとに結合された不揮発性コンピュータ・メモリ(166)を含む。不揮発性コンピュータ・メモリ(166)は、ハード・ディスク・ドライブ(170)、光ディスク・ドライブ(172)、電気的に消去可能でプログラマブルな読み出し専用メモリ・スペース(いわゆる‘EEPROM’又は‘フラッシュ’メモリ)(174)、RAMドライブ(図示されていない)、或いは当業者が思い浮かべる他の任意の種類のコンピュータ・メモリとして実現され得る。
図3のコンピュータ例は1つ以上の入出力インターフェース・アダプタ(178)を含む。コンピュータにおける入出力インターフェース・アダプタは、コンピュータ表示スクリーンのような表示装置(180)への出力と、キーボード及びマウスのようなユーザ入力装置(181)からのユーザ入力とを制御するために例えばソフトウェア・ドライバ及びコンピュータ・ハードウェアなどを通してユーザ指向の入出力を実行する。
図3の代表的コンピュータ(152)は、クライアント、リクエスタ(182)、ウェブ・サービス仲介、他のウェブ・サービス、及び他のコンピュータとのデータ通信接続(184)を実現するための通信アダプタ(167)を含む。この様なデータ通信は、RS−232接続を通してシリアルに、USBのような外部バスを通して、IPネットワークのようなデータ通信ネットワークを通して、また当業者が思い浮かべるであろう他の方法で、実行され得る。通信アダプタはハードウェア・レベルのデータ通信を実行し、それを通してコンピュータは直接に又はネットワークを通してデータ情報を他のコンピュータに送る。本発明の実施態様に従って宛先の可用性を判定するのに役立つ通信アダプタの例は、有線ダイアルアップ通信用モデム、有線ネットワーク通信用イーサネット(登録商標)(IEEE802.3)アダプタ、及び無線ネットワーク通信用802.11bアダプタを含む。
更なる説明のために、図4は、リクエスタ(102)からリクエスト(304)をウェブ・サービス(303)で受け取ること(302)を含む本発明の実施態様に従うウェブ・サービスにおける秘密データ通信のための代表的方法を示すフローチャートを示している。図4の例では、リクエスト(304)は、第1署名306を帯びたエレメント(310)を含む。第1署名(306)は値(308)を有する。リクエスト(304)は例えばSOAPなどのウェブ・サービス・リクエスト/レスポンス・プロトコルに従うメッセージであり得る。エレメント(310)はメッセージ構造のインスタンスである。SOAPメッセージはXMLで表現されるので、SOAPの例では、エレメント(310)はXMLエレメントとして、すなわち、XMLタグで実現されたメッセージ構造として、実現され得る。
第1署名(306)は、例えば、エレメント(310)をハッシュしてパブリック・キー・インフラストラクチャからのリクエスタの秘密キーでハッシュを暗号化することによってエレメント(310)のためのデジタル署名として実現され得る。エレメントからデジタル署名を作成するこのプロセスは‘署名(signing)’と称される。第1署名(306)は、暗号化されたハッシュをリクエストに含めることによってリクエスト(304)に組み込まれ得る。SOAPメッセージの例では、署名は、SOAP署名エレメントを作成し(その値は、暗号化されたハッシュのそれである)、そのSOAP署名エレメントをリクエスト(304)に含めることによって、リクエスト(304)に組み込まれ得る。
図4の方法は、第1署名(306)の値(308)を署名し(309)、これにより第2署名(320)を作成することを含む。ウェブ・サービスは、リクエスト(304)に対するレスポンス(326)を生成(324)する。リクエスト(304)の場合と同じく、レスポンスはウェブ・サービス・リクエスト/レスポンス・プロトコルに従うメッセージである。レスポンス(326)は第2署名(320)を含む。第1署名(306)と同様に、第2署名(320)は、第1署名の値(308)をハッシュしてパブリック・キー・インフラストラクチャからのウェブ・サービスの秘密キーでハッシュを暗号化することによって実現され得る。第2署名(320)は、暗号化されたハッシュをレスポンス(326)に含めることによってレスポンス(326)に組み込まれ得る。SOAPメッセージの例では、署名は、SOAP署名エレメントを作成し(その値は、暗号化されたハッシュのそれである)、そのSOAP署名エレメントをレスポンス(326)に含めることによって、レスポンス(326)に組み込まれ得る。レスポンス(326)は第1署名(306)の値(308)も含み得る。図4の方法は、第2署名を含むレスポンス(326)をウェブ・サービス(303)からリクエスタ(102)に送ること(338)も含む。
図4の方法では、リクエスタ(102)は、レスポンス(326)が第2署名(320)を含むことと、第2署名が第1署名(306)の値(308)の1つの署名であることとを確認(342)する。SOAPリクエストの場合、例えば、署名はSOAP署名エレメントとして実現され得る。リクエスタ(102)は、SOAP署名エレメントについてメッセージを調べることによってリクエストが署名を含むことを確認することができる。
リクエスタ(102)は、例えば、第2署名を解読して第1署名のハッシュと称されるものを生じさせることによって、第2署名が第1署名の1つの署名であることを確認することができる。リクエスタは、そのようにして作られたハッシュを、第1署名の記憶されているコピーからそのときに計算された第1署名のハッシュと比較することができる。代わりに、リクエスタ(102)は、リクエスタが第1署名を作成したときに第1署名のハッシュを格納し、第1署名のハッシュの格納されているコピーを用いてレスポンス・メッセージからのハッシュと称されるものと比較することができる。第2署名が第1署名(306)の値(308)の1つの署名であるという事実は、その2つのハッシュが等しければ、確認される(342)。その2つのハッシュが等しいということは、第2署名の解読が正しいことも立証する。ウェブ・サービスのパブリック・キーでの第2署名のリクエスタによる解読は、第2署名がウェブ・サービスの秘密キーを用いることによりウェブ・サービスによって暗号化され得たに過ぎないから、ウェブ・サービスのアイデンティティを認証する。確認プロセスは、第2署名(320)に埋め込まれている第1署名(306)の値(308)の完全性を、すなわち、第1署名がウェブ・サービスから改変無しで受け取られたことを、リクエスタ(102)に対して保証する。
図4の例では、リクエスト(304)は2つのエレメント(310,312)を含み、各エレメントは第1署名(306,314)を帯びている。リクエスト(304)内に2つのエレメントが示されていることは、本発明を限定するものではない。2という数はリクエスト(304)が第1署名(306,314)を帯びた複数のエレメント(310,312)を含み得、各第1署名が値(308,316)を有することを説明するために使われている。図4の方法は、第1署名の全ての値(308,316)を署名し(309)、これにより複数の第2署名(320,322)を作成することを更に含む。図4の方法は、レスポンス(326)をウェブ・サービス(303)からリクエスタ(102)に送ること(338)を更に含んでおり、そのレスポンス(326)は複数の第2署名(320,322)を含む。第1署名(306,314)の値(308,316)もレスポンス(326)に含まれ得る。
更なる説明のために、図5は、本発明の実施態様に従うウェブ・サービスにおける秘密データ通信のための更なる代表的方法を示すフローチャートを示しており、ここでは受け取られたリクエスト(304)は暗号化されていて良い。データを暗号化するプロセスは、データを難解な形に変換するためにデータにアルゴリズムを適用することを含む。代表的な暗号化アルゴリズムは、キーとして知られるている秘密の使用を含むことができる。或るアルゴリズムは、リクエスタとウェブ・サービスとにより共有される1つの秘密キーを使用する。他の或るアルゴリズムは2つのキー、すなわち被密キー及びパブリック・キー、を使用する。広く使用されている暗号化アルゴリズムは3DES(データ暗号化規格)、CAST−128、Twofish、及びアドバンスト・エンクリプション・スタンダード(Advanced Ecnryption Standard(AES))を含む。
図5の代表的方法は、図4の方法に似ている。すなわち、図5の方法は、値(308)を有する第1署名(306)を帯びた暗号化されたリクエスト(304)を受け取り(302)、第1署名(306)の値(308)を署名し、ウェブ・サービス(303)からレスポンス(326)を送る(338)ことを含み、これらは全て図4の方法と同様の仕方で作用する。しかし、図5の方法は、受け取られたリクエスト(304)が暗号化されているか否か判定する(321)ことも含む。例えばSOAPリクエストの場合、メッセージ・セキュリティ・ヘッダはリクエスト又はリクエストのエレメントが暗号化されているか否かを記述する情報を含むことができ、受け取られたリクエストが暗号化されているか否かを判定することは、その様なリクエスト・メッセージ・セキュリティ・ヘッダを調べることによって実行され得る。図5の例では、もしリクエストが暗号化されていれば(327)、この方法はウェブ・サービス(303)においてレスポンス(331)を暗号化すること(325)を含む。もしリクエストが暗号化されていなければ(329)、ウェブ・サービスはレスポンスを暗号化すること無くレスポンス(326)を送る(338)。
更なる説明のために、図6は、第1署名が暗号化され得る本発明の実施態様に従うウェブ・サービスにおける秘密データ通信の代表的方法を示すフローチャートを示す。図6の方法は図4の方法に似ている。すなわち、図6の方法は、値(308)を有する暗号化された第1署名(306)を帯びたリクエスト(304)を受け取り(302)、第1署名(306)の値(308)を署名し、レスポンス(326)をウェブ・サービス(303)から送ること(338)を含み、これらは全て図4の方法と同様の仕方で作用する。しかし、図6の方法は、第1署名が暗号化されているか否か判定すること(354)も含む。例えば、SOAPリクエストの場合、セキュリティ・ヘッダはリクエスト又はリクエストのエレメントが暗号化されているか否かを記述する情報を含むことができ、受け取られたリクエストの第1署名(306)が暗号化されているか否かを判定すること(354)は、その様なリクエスト・メッセージ・セキュリティ・ヘッダを調べることによって実行され得る。
第1署名(306)が暗号化されているとき、レスポンス内の第1署名の値(308)を暗号化することは、第1書名を作るために使用されたキーを保護するために役立つことができる。もし第1署名が暗号化されてリクエスト(304)で送られて、第1署名(306)の値(308)がレスポンス(326)において暗号化されていなければ、アタッカーが暗号化されている署名の値と暗号化されていない署名の値とを比較して、リクエスト(304)中の署名を作るためにリクエスタ(102)により使用されたキーに関する情報を入手する或る程度の危険がある。従って、図6の例では、もし第1署名が暗号化されていれば(352)、この方法は、ウェブ・サービス(303)において第1署名の値(308)を暗号化すること(350)と、その暗号化された値(358)をレスポンス(326)に含めることとを含む。もし第1署名の値が暗号化されていなければ(356)、ウェブ・サービスは、第1署名の値を暗号化せずにレスポンス(326)を送る(338)。
更なる説明のために、図7は、ウェブ・サービスのためにSOAP/HTTPバインディングを使用する本発明の実施態様に従うウェブ・サービスにおける秘密データ通信のための更なる代表的方法を示す。図7の方法は、図4の方法に似ている。すなわち、図7の方法は、値(308)を有する第1署名(306)を帯びたSOAPで符号化されているリクエスト(604)を受け取り(302)、第1署名(306)の値(308)を署名し(309)、ウェブ・サービス(303)からレスポンスを送ることを含んでおり、これらは全て図4の方法と同様の仕方で作用する。図7の方法は、SOAPで符号化されたリクエスト(604)を受け取り(602)、署名確認エレメント(410)を作成すること(408)を更に含み、署名確認エレメントは値(406)を有する。署名確認エレメントは、値フィールドを含むSOAPデータ構造である。ウェブ・サービス(303)は、署名確認エレメント(410)の値(406)を第1署名(306)の値(308)にセットする(416)。図7の方法は、ウェブ・サービス(303)が署名確認エレメント(410)を署名し(412)、これにより第2署名(320)を作成することを更に含む。この出願において、第1エレメントを“署名すること”は、その値が第1エレメントである署名確認エレメントを署名することも含む。図7の方法はSOAPリクエスト(604)に対するレスポンス(326)を生成することを更に含み、それは署名確認エレメント(410)と第2署名(320)とを含む。
図7の例では、SOAPリクエスト(604)は値(308)を有する1つの署名を含み、レスポンス(326)は1つの署名確認エレメント(410)を含んでいた。単一の署名確認エレメントが示されていることは、本発明を限定するものではない。SOAPリクエスト(604)は、複数の署名を伴う、複数の署名付きエレメントを含むことができる。本発明の種々の実施態様に従うウェブ・サービスにおける秘密データ通信のための或る方法では、SOAPレスポンス(326)は、元のリクエスト中の各署名について署名確認エレメント(410)を含むことができる。各署名確認エレメント(410)は、対応する署名の値(406)を含む。本発明の種々の実施態様に従うウェブ・サービスにおける秘密データ通信のための或る方法では、SOAPレスポンス(326)は単一の署名確認エレメント(410)を含むことができ、その値(406)は元のリクエスト中の署名のうちの1つの署名の値である。
下記は擬似コードSOAPリクエストの例である:
<S11:Envelope xmlns:S11=”...”xmlns:wsse=”...”xmlns:wsu=”...”xmlns:xenc=”...”xmlns:ds=”...”>
<S11:Header>
...
<wsse:Security>
...
<ds:Signature>
...
<ds:SignedInfo>
<ds:Reference URI=”#CreditCardInfo”>
</ds:Reference>
</ds:SignedInfo>
<ds:SignatureValue>
kpRyejY4uxwT9I74FYv8nQ==
</ds:SignatureValue>
<ds:KeyInfo>
...
<ds:KeyInfo>
</ds:Signature>
</wsse:Security>
...
</S11:Header>
<S11:Body>
<CreditCardInfo wsu:Id=”CreditCardInfo”>
</CreditCardInfo>
...
</S11:Body>
</S11:Envelope>
この例は‘擬似コード’として記述されているが、その理由は、それがリクエストの実際の作業モデルではなくてXMLコードの一般的な形で提示された説明であることにある。この例は、SOAP<header>エレメントとSOAP<body>エレメントとをSOAP<envelope>の中に包み込んでいる。ヘッダは、<security>エレメントの中にセキュリティ・データを含む。ボディはリクエスト・データを含む。この代表的SOAPリクエストは、<ds:Signature>と称される署名を帯びた<wsse:Security>と称されるエレメントを含む。この署名は<ds:Signature Value>と称される値を有する。この様に、この例において示されているSOAPリクエストは、上で記述され図7の参照符(604)のところに示されている種類のリクエストを具体化している。
署名の値は“kpRyejY4uxwT9I74FYv8nQ”である。この値は、署名されたエレメントをハッシュし、その後に暗号化することにより得られる。署名エレメントの<reference>エレメントは、署名により署名されたエレメントの名前が“CreditCardInfo”であることを示す。<creditCardInfo>エレメントはリクエストのボディに含まれている。CreditCardInfoの“Id”属性はCreditCardInfoであって、このエレメントが“CreditCardInfo”により参照され得ることを示す。従って、署名はCreditCardInfoエレメントを署名する。
下記は、上記リクエスト・メッセージにより表されるウェブ・サービス・リクエストに対するレスポンスを実現し得る擬似コードSOAPレスポンス・メッセージの例である:
<S11:Envelope xmlns:S11=”...”xmlns:wsse=”...”xmlns:wsu=”...”xmlns:xenc=”...”xmlns:ds=”...”xmlns:wsse11=”...”>
<S11:Header>
...
<wsse:Security>
<wsse11:SignatureConfirmation wsu:Id=”SignatureConfirmation”
Value=”kpRyejY4uxwT9174FYv8nQ==”/>
...
<ds:Signature>
...
<ds:SignedInfo>
...
<ds:Reference URI=”#SignatureConfirmation”>
<ds:DigestMethod
Algorithm=”http://www.w3.org/2000/xmldsig#shal”/>
<ds:DigestValue>
LyLsF0Pi4wPU...
<ds:Digest Value>
</ds:Reference>
</ds:SignedInfo>
<ds:SignatureValue>
MC0CFFrVLtRlk
</ds:SignatureValue>
<ds:KeyInfo>...</ds:KeyInfo>
</ds:Signature>
...
</wsse:Security>
...
</S11:Header>
<S11:Body>
...
</S11:Body>
</S11:Envelope>
この例では、SOAPレスポンスは、リクエスト中の署名の値に等しい値を有する署名確認エレメントを含む。SOAPレスポンスは署名も含み、それは署名確認エレメントを署名する。この様に、この例において記載されたSOAPレスポンスは、上で記述され図7の参照符(326)のところに示されている種類のレスポンスを具体化している。
上記の代表的SOAPリクエストと同様に、この代表的なSOAPレスポンスはSOAPエンベロープの中にヘッダとボディとを有する。ヘッダは<wsse:Security>という名前のエレメントの中に記載されたセキュリティ情報を含む。セキュリティ・エレメントの中には<signatureConfirmation>エレメントがあり、これは、“Value”という名前の属性において、対応するリクエストからの第1署名の値を伝えている。この例における“Value”属性は、リクエスト中の署名の値に等しい“kpRyejY4uxwT9174FYv8nQ”にセットされている。<signatureConfirmation>エレメントは“Id”という名前の識別属性も持っており、その値は“SignatureConfirmation”である。
セキュリティ・エレメント<wsse:Srcurity>は、<ds:Signature>という名前の署名エレメントも含む。リクエストからの第1署名の1つの署名である第2署名の値は、<ds:SignatureValue>という名前の<ds:Signature>のエレメントにおいて示されている。この例では第2署名の値は“MC0CFFrVLtRlk”にセットされている。署名エレメントの<ds:Reference>エレメントは、”#SignatureConfirmation”にセットされているその”URI”属性により、第2署名を作成するために署名されたデータを特定する。この例では、<ds:Reference>は、第1署名を、署名されたデータとして、すなわち、<wsse11:SignatureConfirmation>エレメント中の値“kpRyejY4uxwT9174FYv8nQ”として特定する。従って、SOAPレスポンスのこの例は、第1署名と、第2署名と、第2署名を作成するために署名されたデータとして第1署名を特定するURIとを含む。
本発明の種々の実施態様に従うウェブ・サービスにおける秘密データ通信では、リクエスタは、レスポンス中の署名確認エレメントを見出してその署名確認エレメントの値を対応するSOAPリクエスト中の署名の値と比較することによって、SOAPレスポンスが特定のSOAPリクエストに対応することを確認することができる。SOAPリクエストが複数の署名を含むときには、リクエスタは、レスポンスに含まれている署名確認エレメントの全てを見出して、それらの署名確認エレメントの値フィールドの値を元のSOAPリクエスト中の署名の値と比較することができる。
上記のSOAPリクエスト例及びSOAPレスポンス例の正確なフォーマットは本発明を限定するものではない。上記の例は、本発明に従うウェブ・サービスにおける秘密データ通信についてのSOAPリクエスト及びSOAPレスポンスのための可能なフォーマットの説明に過ぎない。本発明の種々の実施態様に従うウェブ・サービスにおける秘密データ通信のためにSOAPメッセージ構造又はSOAPデータ通信プロトコルを用いるときには、署名は当業者が思い浮かべるであろう任意のデータ構造で実現され得、全てのそのような構造は充分に本発明の範囲内にある。
本発明の代表的実施態様は、主として、ウェブ・サービスにおける秘密データ通信のための完全に機能的なコンピュータ・システムと関連して記載されている。しかし、当業者である読者は、任意の適切なデータ処理システムで使用される信号担持媒体に配置されたコンピュータ・プログラム製品においても本発明が具体化され得ることを認めるであろう。その様な信号担持媒体は、磁気媒体、光媒体、又は他の適切な媒体を含む、機械可読情報のための伝送媒体又は記録可能媒体であり得る。記録可能媒体の例は、ハードディスク内の磁気ディスク又はディスケット、光学ドライブ用のコンパクト・ディスク、磁気テープ、及びその他の、当業者が思い浮かべるであろうものを含む。伝送媒体の例は、音声通信用の電話ネットワークと、例えばイーサネット(登録商標)などのデジタル・データ通信ネットワークと、インターネット・プロトコル及びワールド・ワイド・ウェブで通信するネットワークとを含む。適切なプログラミング手段を有する任意のコンピュータ・システムが、プログラム製品において具体化された本発明の方法のステップを実行し得るであろうことを当業者は直ぐに認めるであろう。この明細書に記載されている代表的実施態様のうちの幾つかはコンピュータ・ハードウェアにインストールされてその上で実行するソフトウェアに向けられているけれども、ファームウェアとして或いはハードウェアとして具体化される代わりの実施態様が充分に本発明の範囲内にあることを当業者は直ぐに認めるであろう。
以上の記述から、本発明の種々の実施態様において、その範囲から逸脱すること無く、改変及び変更が行われ得ることが理解されるであろう。この明細書の記述は、説明を目的としているに過ぎず、限定的意味に解されるべきではない。本発明の範囲は、以下の請求項の言葉によってのみ限定される。
本発明の実施態様に従うウェブ・サービスにおける秘密データ通信のための代表的なシステムを示すネットワーク図を示す。 図2Aは、本発明の実施態様に従って秘密データ通信が実行され得るウェブ・サービスのための代表的アーキテクチャの線図を示す。図2Bは、本発明の実施態様に従って秘密データ通信が実行され得るウェブ・サービスのための代表的アーキテクチャの線図を示す。 本発明の実施態様に従うウェブ・サービスにおける秘密データ通信に役立つ代表的コンピュータを含む自動化された計算機のブロック図を示す。 本発明の実施態様に従うウェブ・サービスにおける秘密データ通信のための代表的方法を示すフローチャートを示す。 本発明の実施態様に従うウェブ・サービスにおける秘密データ通信のための更なる代表的方法を示すフローチャートを示す。 本発明の実施態様に従うウェブ・サービスにおける秘密データ通信のための更なる代表的方法を示すフローチャートを示す。 本発明の実施態様に従うウェブ・サービスにおける秘密データ通信のための更なる代表的方法を示すフローチャートを示す。

Claims (15)

  1. ウェブ・サービスにおける秘密データ通信のための方法であって、前記方法は、
    値を有する第1署名を帯びているエレメントを含むリクエストをリクエスタからウェブ・サービスで受け取るステップと、
    前記第1署名の値を署名し、これにより第2署名を作成するステップと、
    前記ウェブ・サービスから前記第2署名を含むレスポンスを前記リクエスタに送るステップと、
    を含むことを特徴とする方法。
  2. 前記レスポンスが前記第2署名を含むことを前記リクエスタにより確認するステップを更に含むことを特徴とする請求項1に記載の方法。
  3. リクエストを受け取るステップは、暗号化されているリクエストを受け取るステップを更に含み、
    前記方法は前記ウェブ・サービスにおいて前記レスポンスを暗号化することを更に含むことを特徴とする請求項1又は請求項2に記載の方法。
  4. リクエストを受け取るステップは、前記第1署名が暗号化されているリクエストを受け取るステップを更に含み、
    前記方法は前記第1署名の前記値を暗号化するステップを更に含み、
    前記レスポンスは前記第1署名の前記暗号化された値を更に含むことを特徴とする上記請求項のうちのいずれかに記載の方法。
  5. リクエストを受け取るステップは、SOAPで符号化されたリクエストを受け取るステップを更に含み、
    レスポンスを送るステップは、SOAPで符号化されたレスポンスを送るステップを更に含むことを特徴とする上記請求項のうちのいずれかに記載の方法。
  6. 前記第1署名の前記値を署名するステップは、
    値を有する署名確認エレメントを作成するステップと、
    前記署名確認エレメントの前記値を前記第1署名の前記値にセットするステップと、
    前記署名確認エレメントを署名し、これにより第2署名を作成するステップとを更に含んでおり、
    前記レスポンスは前記署名確認エレメントと前記第2署名とを含むことを特徴とする請求項5に記載の方法。
  7. 前記リクエストは、値を有する第1署名を帯びた複数のエレメントを更に含み、
    前記第1署名の前記値を署名するステップは、前記第1署名の全ての前記値を署名し、これにより複数の第2署名を作成するステップを更に含み、
    レスポンスを送るステップは、前記複数の第2署名を含むレスポンスを送るステップを更に含むことを特徴とする上記請求項のうちのいずれかに記載の方法。
  8. ウェブ・サービスにおける秘密データ通信のためのシステムであって、前記システムはコンピュータ・プロセッサとコンピュータ・メモリとを含み、前記コンピュータ・メモリは前記コンピュータ・プロセッサに作用可能に結合され、前記コンピュータ・メモリの中には、
    値を有する第1署名を帯びているエレメントを含むリクエストをリクエスタからウェブ・サービスで受け取るステップと、
    前記第1署名の値を署名し、これにより第2署名を作成するステップと、
    前記ウェブ・サービスから前記第2署名を含むレスポンスを前記リクエスタに送るステップと、
    を実行することができるコンピュータ・プログラム命令が配置されていることを特徴とするシステム。
  9. 前記レスポンスが前記第2署名を含むことを前記リクエスタにより確認するステップを実行することのできるコンピュータ・プログラム命令を更に含むことを特徴とする請求項8に記載のシステム。
  10. リクエストを受け取るステップは、暗号化されているリクエストを受け取るステップを更に含み、
    前記システムは前記ウェブ・サービスにおいて前記レスポンスを暗号化し得るコンピュータ・プログラム命令を更に含むことを特徴とする請求項8又は請求項9に記載のシステム。
  11. リクエストを受け取るステップは、前記第1署名が暗号化されているリクエストを受け取るステップを更に含み、
    前記システムは前記第1署名の前記値を暗号化し得るコンピュータ・プログラム命令を更に含み、
    前記レスポンスは前記第1署名の前記暗号化された値を更に含むことを特徴とする請求項8から10までのうちのいずれかに記載のシステム。
  12. リクエストを受け取るステップは、SOAPで符号化されたリクエストを受け取るステップを更に含み、
    レスポンスを送るステップは、SOAPで符号化されたレスポンスを送るステップを更に含むことを特徴とする請求項8から11までのうちのいずれかに記載のシステム。
  13. 前記第1署名の前記値を署名するステップは、
    値を有する署名確認エレメントを作成するステップと、
    前記署名確認エレメントの前記値を前記第1署名の前記値にセットするステップと、
    前記署名確認エレメントを署名し、これにより第2署名を作成するステップとを更に含んでおり、
    前記レスポンスは前記署名確認エレメントと前記第2署名とを含むことを特徴とする請求項12に記載のシステム。
  14. 前記リクエストは、値を有する第1署名を帯びた複数のエレメントを更に含み、
    前記第1署名の前記値を署名するステップは、前記第1署名の全ての前記値を署名し、これにより複数の第2署名を作成するステップを更に含み、
    レスポンスを送るステップは、前記複数の第2署名を含むレスポンスを送るステップを更に含むことを特徴とする請求項8から13までのうちのいずれかに記載のシステム。
  15. コンピュータ・プログラムであって、前記プログラムがコンピュータ上で走らされるときに請求項1から7までのうちのいずれかの請求項の全てのステップを実行するようになされているプログラム・コード手段を含むことを特徴とするコンピュータ・プログラム。
JP2008518776A 2005-06-28 2006-06-06 ウェブ・サービスにおける秘密データ通信 Pending JP2008544713A (ja)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US11/168,716 US20060294383A1 (en) 2005-06-28 2005-06-28 Secure data communications in web services
PCT/EP2006/062923 WO2007000386A1 (en) 2005-06-28 2006-06-06 Secure data communications in web services

Related Child Applications (1)

Application Number Title Priority Date Filing Date
JP2010183418A Division JP4775980B2 (ja) 2005-06-28 2010-08-18 ウェブ・サービスにおける秘密データ通信

Publications (2)

Publication Number Publication Date
JP2008544713A true JP2008544713A (ja) 2008-12-04
JP2008544713A5 JP2008544713A5 (ja) 2009-03-12

Family

ID=37308916

Family Applications (2)

Application Number Title Priority Date Filing Date
JP2008518776A Pending JP2008544713A (ja) 2005-06-28 2006-06-06 ウェブ・サービスにおける秘密データ通信
JP2010183418A Expired - Fee Related JP4775980B2 (ja) 2005-06-28 2010-08-18 ウェブ・サービスにおける秘密データ通信

Family Applications After (1)

Application Number Title Priority Date Filing Date
JP2010183418A Expired - Fee Related JP4775980B2 (ja) 2005-06-28 2010-08-18 ウェブ・サービスにおける秘密データ通信

Country Status (8)

Country Link
US (1) US20060294383A1 (ja)
EP (1) EP1897325B1 (ja)
JP (2) JP2008544713A (ja)
CN (1) CN100517355C (ja)
AT (1) ATE429768T1 (ja)
DE (1) DE602006006448D1 (ja)
TW (1) TWI416923B (ja)
WO (1) WO2007000386A1 (ja)

Families Citing this family (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1748366A1 (en) * 2005-07-28 2007-01-31 Sap Ag A data processing system and method
TW201011587A (en) * 2008-09-03 2010-03-16 Wayi Internat Digital Entertainment Co Ltd Computer tied-in system and its method
JP6023518B2 (ja) * 2012-09-06 2016-11-09 サターン ライセンシング エルエルシーSaturn Licensing LLC 情報処理装置、情報処理方法、プログラム、およびコンテンツ共有システム
JP6508688B2 (ja) 2014-10-31 2019-05-08 コンヴィーダ ワイヤレス, エルエルシー エンドツーエンドサービス層認証
CN104506890B (zh) * 2014-12-31 2018-06-05 成都东方盛行电子有限责任公司 一种基于pci-e标准的音视频数据传输方法
US9336092B1 (en) * 2015-01-01 2016-05-10 Emc Corporation Secure data deduplication
US10135904B2 (en) * 2015-01-27 2018-11-20 Stealth Security, Inc. Network attack detection on a mobile API of a web service
KR102001753B1 (ko) 2015-03-16 2019-10-01 콘비다 와이어리스, 엘엘씨 공개 키잉 메커니즘들을 사용한 서비스 계층에서의 종단간 인증

Citations (20)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2000057112A (ja) * 1998-08-11 2000-02-25 Fuji Xerox Co Ltd ネットワーク上で遠隔手続き呼び出しを実行するための方法、及び、遠隔手続き呼び出しを実行可能なネットワーク・システム
JP2002091303A (ja) * 2000-09-19 2002-03-27 Toshiba Corp 署名用記憶媒体及びxml署名授受方法
JP2003249919A (ja) * 2001-12-17 2003-09-05 Fujitsu Ltd 双方向通信方法
JP2003271441A (ja) * 2002-03-07 2003-09-26 Internatl Business Mach Corp <Ibm> データ処理方法、これを用いたネットワークサービスシステム及びプログラム
JP2003296192A (ja) * 2002-04-04 2003-10-17 Certrust Kk 電子署名・電子文書保管システム
WO2003088052A1 (en) * 2002-04-11 2003-10-23 Andrew Dominic Tune An information storage system
JP2004023649A (ja) * 2002-06-19 2004-01-22 Hitachi Software Eng Co Ltd ディジタル署名方法
JP2004201057A (ja) * 2002-12-19 2004-07-15 Nippon Telegr & Teleph Corp <Ntt> データ公証システム及びデータ公証方法並びに電子公証サーバ並びに電子公証プログラム及びその記録媒体
JP2004240596A (ja) * 2003-02-05 2004-08-26 Mitsubishi Electric Corp Webシステム
JP2004274355A (ja) * 2003-03-07 2004-09-30 Internatl Business Mach Corp <Ibm> Soapメッセージ作成方法並びに処理方法、情報処理方法、情報処理装置及びプログラム
JP2004357204A (ja) * 2003-05-30 2004-12-16 Nippon Telegr & Teleph Corp <Ntt> 証拠情報収集システムおよび方法
JP2005057417A (ja) * 2003-08-01 2005-03-03 Nec Corp 電子文書交換システム及び署名復号サービスシステム並びにプログラム
JP2005137011A (ja) * 2003-10-29 2005-05-26 Microsoft Corp 秘密認証データの知識を必要としないチャレンジ−ベースの認証
JP2005515540A (ja) * 2002-01-15 2005-05-26 インターナショナル・ビジネス・マシーンズ・コーポレーション 分散コンピューティング環境における集約サービスの供給
JP2005142661A (ja) * 2003-11-04 2005-06-02 Ntt Docomo Inc 端末装置、サーバ、電子認証システム、及び、署名付電子文書生成方法
JP2005167589A (ja) * 2003-12-02 2005-06-23 Internatl Business Mach Corp <Ibm> 情報処理装置、サーバ装置、情報処理装置のための方法、サーバ装置のための方法および装置実行可能なプログラム
JP2005521279A (ja) * 2002-03-18 2005-07-14 テレノル エイエスエイ セキュア・サービス・アクセス提供システム及び方法
JP2005322234A (ja) * 2004-05-04 2005-11-17 Microsoft Corp ウェブサービス構成のセキュリティチェック
JP2005539453A (ja) * 2002-09-18 2005-12-22 ジェイジーアール アクイジション インコーポレイテッド ウェブサービス間のセキュリティ構成の動的ネゴシエーション
JP2006506025A (ja) * 2002-10-15 2006-02-16 サムスン エレクトロニクス カンパニー リミテッド メタデータの管理方法

Family Cites Families (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5841550A (en) * 1994-12-30 1998-11-24 International Business Machines Corporation Method and system for specifcation of time dependent acknowledgement transmission media
JP3446482B2 (ja) * 1996-06-28 2003-09-16 三菱電機株式会社 暗号化装置
US5956390A (en) * 1997-09-03 1999-09-21 Motorola, Inc. Method and apparatus for providing verified message receipt in a messaging system
US6477243B1 (en) * 1998-04-29 2002-11-05 Openwave Systems Inc. Method and apparatus for automated facsimile message confirmation
JP2002207636A (ja) * 2001-01-11 2002-07-26 Fuji Xerox Co Ltd ネットワーク装置
US6694045B2 (en) * 2002-01-23 2004-02-17 Amerasia International Technology, Inc. Generation and verification of a digitized signature
US8817757B2 (en) * 2001-12-12 2014-08-26 At&T Intellectual Property Ii, L.P. Zero-configuration secure mobility networking technique with web-based authentication interface for large WLAN networks
US7174021B2 (en) * 2002-06-28 2007-02-06 Microsoft Corporation Systems and methods for providing secure server key operations
CN1252598C (zh) * 2002-09-03 2006-04-19 国际商业机器公司 提供身份相关的信息和防止中间人的攻击的方法和系统
US20060288216A1 (en) * 2003-03-04 2006-12-21 Peter Buhler Long-term secure digital signatures
JP3896486B2 (ja) * 2003-04-03 2007-03-22 独立行政法人産業技術総合研究所 ウェブサイトの検査装置
US7342918B2 (en) * 2003-04-15 2008-03-11 American Express Travel Related Services Co., Inc. Transaction card information access web service
JP4025268B2 (ja) * 2003-08-08 2007-12-19 株式会社東芝 クライアント/サーバシステム、クライアントモジュール及び暗号化通信プログラム
JP4583833B2 (ja) * 2003-09-12 2010-11-17 株式会社リコー 通信装置、通信システム、通信方法及びプログラム
KR100576722B1 (ko) * 2003-12-26 2006-05-03 한국전자통신연구원 웹서비스에 대한 메시지 보안 처리 시스템 및 방법

Patent Citations (21)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2000057112A (ja) * 1998-08-11 2000-02-25 Fuji Xerox Co Ltd ネットワーク上で遠隔手続き呼び出しを実行するための方法、及び、遠隔手続き呼び出しを実行可能なネットワーク・システム
JP2002091303A (ja) * 2000-09-19 2002-03-27 Toshiba Corp 署名用記憶媒体及びxml署名授受方法
JP2003249919A (ja) * 2001-12-17 2003-09-05 Fujitsu Ltd 双方向通信方法
JP2005515540A (ja) * 2002-01-15 2005-05-26 インターナショナル・ビジネス・マシーンズ・コーポレーション 分散コンピューティング環境における集約サービスの供給
JP2003271441A (ja) * 2002-03-07 2003-09-26 Internatl Business Mach Corp <Ibm> データ処理方法、これを用いたネットワークサービスシステム及びプログラム
JP2005521279A (ja) * 2002-03-18 2005-07-14 テレノル エイエスエイ セキュア・サービス・アクセス提供システム及び方法
JP2003296192A (ja) * 2002-04-04 2003-10-17 Certrust Kk 電子署名・電子文書保管システム
WO2003088052A1 (en) * 2002-04-11 2003-10-23 Andrew Dominic Tune An information storage system
JP2005522775A (ja) * 2002-04-11 2005-07-28 ドミニク トゥーン,アンドリュー 情報保存システム
JP2004023649A (ja) * 2002-06-19 2004-01-22 Hitachi Software Eng Co Ltd ディジタル署名方法
JP2005539453A (ja) * 2002-09-18 2005-12-22 ジェイジーアール アクイジション インコーポレイテッド ウェブサービス間のセキュリティ構成の動的ネゴシエーション
JP2006506025A (ja) * 2002-10-15 2006-02-16 サムスン エレクトロニクス カンパニー リミテッド メタデータの管理方法
JP2004201057A (ja) * 2002-12-19 2004-07-15 Nippon Telegr & Teleph Corp <Ntt> データ公証システム及びデータ公証方法並びに電子公証サーバ並びに電子公証プログラム及びその記録媒体
JP2004240596A (ja) * 2003-02-05 2004-08-26 Mitsubishi Electric Corp Webシステム
JP2004274355A (ja) * 2003-03-07 2004-09-30 Internatl Business Mach Corp <Ibm> Soapメッセージ作成方法並びに処理方法、情報処理方法、情報処理装置及びプログラム
JP2004357204A (ja) * 2003-05-30 2004-12-16 Nippon Telegr & Teleph Corp <Ntt> 証拠情報収集システムおよび方法
JP2005057417A (ja) * 2003-08-01 2005-03-03 Nec Corp 電子文書交換システム及び署名復号サービスシステム並びにプログラム
JP2005137011A (ja) * 2003-10-29 2005-05-26 Microsoft Corp 秘密認証データの知識を必要としないチャレンジ−ベースの認証
JP2005142661A (ja) * 2003-11-04 2005-06-02 Ntt Docomo Inc 端末装置、サーバ、電子認証システム、及び、署名付電子文書生成方法
JP2005167589A (ja) * 2003-12-02 2005-06-23 Internatl Business Mach Corp <Ibm> 情報処理装置、サーバ装置、情報処理装置のための方法、サーバ装置のための方法および装置実行可能なプログラム
JP2005322234A (ja) * 2004-05-04 2005-11-17 Microsoft Corp ウェブサービス構成のセキュリティチェック

Also Published As

Publication number Publication date
EP1897325B1 (en) 2009-04-22
JP2010288313A (ja) 2010-12-24
DE602006006448D1 (de) 2009-06-04
US20060294383A1 (en) 2006-12-28
CN101176101A (zh) 2008-05-07
EP1897325A1 (en) 2008-03-12
ATE429768T1 (de) 2009-05-15
TW200721771A (en) 2007-06-01
CN100517355C (zh) 2009-07-22
WO2007000386A1 (en) 2007-01-04
JP4775980B2 (ja) 2011-09-21
TWI416923B (zh) 2013-11-21

Similar Documents

Publication Publication Date Title
JP4775980B2 (ja) ウェブ・サービスにおける秘密データ通信
US9985994B2 (en) Enforcing compliance with a policy on a client
EP1714422B1 (en) Establishing a secure context for communicating messages between computer systems
US7900247B2 (en) Trusted third party authentication for web services
JP6545136B2 (ja) ウェブページの暗号化送信のためのシステム及び方法
JP4746333B2 (ja) コンピューティングシステムの効率的かつセキュアな認証
US9946884B2 (en) System and method for cryptographic suite management
JP4748774B2 (ja) 暗号化通信方式及びシステム
US20110035582A1 (en) Network authentication service system and method
US11184336B2 (en) Public key pinning for private networks
JP2003173284A (ja) 送信制御可能なネットワークシステム
US7100045B2 (en) System, method, and program for ensuring originality
US20080168273A1 (en) Configuration mechanism for flexible messaging security protocols
US8099602B2 (en) Methods for integrating security in network communications and systems thereof
US8225086B2 (en) Method and apparatus for remotely authenticating a command
Tusa et al. Design and implementation of an xml-based grid file storage system with security features
Gennai et al. Digital Signature in Automatic Email Processing: A Customer Case Study
Liu Enhancing security for XML Web services
Alvi et al. Developing a framework to implement public key infrastructure enabled security in XML documents

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20090122

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20090219

A871 Explanation of circumstances concerning accelerated examination

Free format text: JAPANESE INTERMEDIATE CODE: A871

Effective date: 20100210

A975 Report on accelerated examination

Free format text: JAPANESE INTERMEDIATE CODE: A971005

Effective date: 20100219

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20100302

RD12 Notification of acceptance of power of sub attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7432

Effective date: 20100607

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A821

Effective date: 20100608

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20100727

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20100818

A911 Transfer to examiner for re-examination before appeal (zenchi)

Free format text: JAPANESE INTERMEDIATE CODE: A911

Effective date: 20101101

A912 Re-examination (zenchi) completed and case transferred to appeal board

Free format text: JAPANESE INTERMEDIATE CODE: A912

Effective date: 20101126

RD14 Notification of resignation of power of sub attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7434

Effective date: 20110921