JP2013512602A - ネットワークにおけるsoapメッセージの処理方法およびネットワーク - Google Patents

ネットワークにおけるsoapメッセージの処理方法およびネットワーク Download PDF

Info

Publication number
JP2013512602A
JP2013512602A JP2012540294A JP2012540294A JP2013512602A JP 2013512602 A JP2013512602 A JP 2013512602A JP 2012540294 A JP2012540294 A JP 2012540294A JP 2012540294 A JP2012540294 A JP 2012540294A JP 2013512602 A JP2013512602 A JP 2013512602A
Authority
JP
Japan
Prior art keywords
binary content
fragment
encryption
soap
binary
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2012540294A
Other languages
English (en)
Other versions
JP5451897B2 (ja
Inventor
グルシュカ、ニルス
イアコノ、ルイージ ロ
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Europe Ltd
Original Assignee
NEC Europe Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Europe Ltd filed Critical NEC Europe Ltd
Publication of JP2013512602A publication Critical patent/JP2013512602A/ja
Application granted granted Critical
Publication of JP5451897B2 publication Critical patent/JP5451897B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0485Networking architectures for enhanced packet encryption processing, e.g. offloading of IPsec packet processing or efficient security association look-up
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • H04L63/126Applying verification of the received information the source of the received data

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Storage Device Security (AREA)
  • Information Transfer Between Computers (AREA)

Abstract

署名および/または暗号化されたMTOMアタッチメントを有するXML(Extended Markup Language)ベースのSOAP(Simple Object Access Protocol)メッセージの1パスストリーミング処理を簡単な形で可能にするため、ネットワーク、特にIP(Internet Protocol)ネットワークにおけるSOAPメッセージの処理方法を提供する。SOAPメッセージは、バイナリコンテンツを有するフラグメントを含み、該バイナリコンテンツが、該バイナリコンテンツへの参照をSOAPメッセージ内に残してSOAPメッセージのMTOM(Message Transmission Optimization Mechanism)アタッチメント内に移動され、該アタッチメントが、署名・暗号化プロセスによって署名および/または暗号化がそれぞれ行われる。本方法は、署名プロセス中に、署名されるフラグメント自体のハッシュに加えて、同じフラグメントがバイナリコンテンツを除いてハッシュされ、および/または、暗号化プロセス中に、フラグメント自体の暗号化に加えて、バイナリコンテンツの代わりにバイナリコンテンツへの参照のみを含むフラグメントが暗号化されることを特徴とする。また、好ましくは上記方法を実行する、対応するネットワークが提供される。

Description

本発明は、ネットワーク、特にIP(Internet Protocol)ネットワークにおけるSOAP(Simple Object Access Protocol)メッセージの処理方法に関する。XML(Extended Markup Language)ベースのSOAPメッセージが、バイナリコンテンツを有するフラグメントを含む。該バイナリコンテンツが、該バイナリコンテンツへの参照をSOAPメッセージ内に残してSOAPメッセージのMTOM(Message Transmission Optimization Mechanism)アタッチメント内に移動される。該アタッチメントは、署名・暗号化プロセスによって署名および/または暗号化がそれぞれ行われる。また、本発明は、SOAP(Simple Object Access Protocol)メッセージを処理可能なネットワーク、特にIP(Internet Protocol)ネットワークに関する。XML(Extended Markup Language)ベースのSOAPメッセージが、バイナリコンテンツを有するフラグメントを含む。該バイナリコンテンツが、該バイナリコンテンツへの参照をSOAPメッセージ内に残してSOAPメッセージのMTOM(Message Transmission Optimization Mechanism)アタッチメント内に移動される。該アタッチメントは、署名・暗号化プロセスによって署名および/または暗号化がそれぞれ行われる。
XMLメッセージの処理がバイナリメッセージフォーマットに比べて非常にリソースを消費することは周知の事実である。この性質は、メッセージまたはメッセージ部分がXMLセキュリティ手段(XML署名、XML暗号化)を用いて署名または暗号化される場合に不利である。もちろん、上記のことはSOAPメッセージにも当てはまる。というのは、SOAPはXMLベースであり、使用されるセキュリティ手段、すなわちWSセキュリティ(Web Services Security)はXMLセキュリティに基づいているからである。このため、ウェブサービスフレームワーク開発者は数年来、メッセージ処理フローの最適化に取り組んでいる。1つの有望なアプローチは、ストリーミング処理パラダイムである。これは、セキュリティ保護されてないメッセージについては、例えばウェブサービスフレームワークApache Axis2ですでに採用されており、セキュリティ保護されているメッセージについては、最初の成果が現れている。
現在の技術、特にXML暗号化および署名の手続きならびに対応するメッセージのストリーミング処理に関する情報を提供する文書は以下の通りである。
1.非特許文献1
2.非特許文献2
3.非特許文献3
4.非特許文献4
5.非特許文献5
6.非特許文献6
7.非特許文献7
SOAPメッセージ処理の基本的問題は、その高いリソース消費である。リソース消費は、メッセージ部分が暗号化または署名されているときにはさらに高くなる。ストリーミングメッセージ処理は、リソース消費を低減する1つの方法である。しかし、セキュリティ保護されているMTOMアタッチメントは、ネットワークストリームからのストリーミング1パス処理を妨げる。
より正確には、SOAPメッセージが、(1)MTOMアタッチメントを使用し、(2)このアタッチメントのうちの1つ以上がWSセキュリティを用いてセキュリティ保護されている場合、ストリーミングメッセージ処理は今のところ実現可能でない。その理由を以下で説明する。アタッチメントとしてトランスポートされるべきSOAP文書のバイナリ部分はMTOM参照によって置き換えられる。ネットワーク上には、まずこのSOAP文書が送信され、次にバイナリ部分がMTOMアタッチメントとして送信される。しかし、アタッチメントは参照位置においてSOAPメッセージ内に仮想的に埋め込まれている。SOAP文書に対するいくつかの代表的なオペレーション(文書サブツリーの抽出または移動等)の場合、この性質は無視することができる。しかし、他のいくつかのオペレーション(署名検証や暗号化されたコンテンツの復号のためのハッシュ値計算等)の場合、SOAPメッセージ内の参照を処理する時点で、アタッチメントを全部読まなければならない。したがって、この場合、メッセージの1パスストリーミング処理は破綻する。
Bartel, Mark, Boyer, John, Fox, Barb, LaMacchia, Brian, and Simon, Ed: XML Signature Syntax and Processing, W3C Recommendation, 2002. Imamura, Takeshi, Dillaway, Blair, and Simon, Ed: XML Encryption Syntax and Processing, W3C Recommendation, 2002. Gudgin, Martin, Mendelsohn, Noah, Nottingham, Mark, and Ruellan, Herve: SOAP Message Transmission Optimization Mechanism, W3C Recommendation, 2005. Gruschka, Nils, Luttenberger, Norbert, and Herkenhoner, Ralph: Event-based SOAP Message Validation for WS-SecurityPolicy-enriched Web Services, Proceedings of the 2006 International Conference on Semantic Web & Web Services, 2006. Govindaraju, Madhusudhan, Slominski, Aleksander, Chiu, Kenneth, Liu, Pu, van Engelen, Robert, and Lewis, Michael J.: Toward Characterizing the Performance of SOAP Toolkits, Proceedings of the Fifth IEEE/ACM International Workshop on Grid Computing (GRID'04), IEEE Computer Society, 365-372, 2004. Lu, Wei, Chiu, Kenneth, Slominski, Aleksander, and Gannon, Dennis: A Streaming Validation Model for SOAP Digital Signature, In The 14th IEEE International Symposium on High Performance Distributed Computing (HPDC-14), 2005. Imamura, Takeshi, Clark, Andy, and Maruyama, Hiroshi: A stream-based implementation of XML Encryption, XMLSEC '02: Proceedings of the 2002 ACM workshop on XML security, ACM Press, 11-17, 2002.
本発明の目的は、ネットワークにおけるSOAPメッセージの処理方法および対応するネットワークにおいて、署名および/または暗号化されたMTOMアタッチメントを有するSOAPメッセージのストリーミング処理を簡単な形で可能にするような改良およびさらなる展開を行うことである。
本発明によれば、上記の目的は、請求項1の構成を備えた方法および請求項13の構成を備えたネットワークによって達成される。
請求項1に記載の通り、本方法は、署名プロセス中に、署名されるフラグメント自体のハッシュに加えて、同じフラグメントがバイナリコンテンツを除いてハッシュされ、および/または、暗号化プロセス中に、フラグメント自体の暗号化に加えて、バイナリコンテンツの代わりにバイナリコンテンツへの参照のみを含むフラグメントが暗号化されることを特徴とする。
請求項13に記載の通り、本ネットワークは、署名プロセス中に、署名されるフラグメント自体のハッシュに加えて、同じフラグメントがバイナリコンテンツを除いてハッシュされることが可能であるように構成されたハッシュ手段、および/または、暗号化プロセス中に、フラグメント自体の暗号化に加えて、バイナリコンテンツの代わりにバイナリコンテンツへの参照のみを含むフラグメントが暗号化されることが可能であるように構成された暗号化手段を備えたことを特徴とする。
本発明によって認識されたこととして、出力SOAPメッセージに署名および/または暗号化されたアタッチメントに関する追加情報を単に追加することによって、署名および/または暗号化されたMTOMアタッチメントを有するSOAPメッセージのストリーミング処理が可能となる。具体的には、署名プロセス中に、署名されるフラグメント自体のハッシュに加えて、同じフラグメントがバイナリコンテンツを除いてハッシュされ、適当な形でSOAPメッセージに追加されることが可能である。同様に、暗号化プロセス中に、フラグメント自体の暗号化に加えて、バイナリコンテンツの代わりにバイナリコンテンツへの参照のみを含むフラグメントが暗号化される。この追加情報は、出力SOAPメッセージに追加されることが可能である。サーバ側でのSOAPメッセージの処理中には、出力SOAPメッセージに追加された追加部分に基づいて、署名および/または暗号化されたMTOMアタッチメントを有するSOAPメッセージの1パスストリーミング処理が可能となる。
好ましくは、署名および/または暗号化プロセス中に、バイナリコンテンツは、テキスト符号化形式、好ましくはbase64符号化形式でフラグメント内に存在してもよい。このようなテキスト符号化形式に基づいて、通常の署名および暗号化技術が、署名および/または暗号化プロセス中に使用可能である。
本発明の方法において、特に署名プロセス中に、バイナリコンテンツを除いて追加的にハッシュされたフラグメントに基づいて、トランスポートプロトコル内で使用するための追加ブロックを作成してもよい。好ましくは、このような追加ブロックは、それぞれの署名の変換エレメントに追加することが可能な変換ブロックであってもよい。上記のステップに基づいて、通常のSOAPメッセージへの簡単な拡張により、SOAPメッセージの1パスストリーミング処理が可能となる。
本発明のさらに好ましい実施形態に関して、バイナリコンテンツへの参照のみを含む追加的に暗号化されたフラグメントに基づいて、トランスポートプロトコル内で使用するための暗号化プロパティを作成してもよい。このような暗号化プロパティは、メッセージ処理のためにサーバ側で1パスストリーミングを行うための暗号化ブロックに単に追加されてもよい。
好ましくは、暗号化プロパティは、テキスト符号化形式、好ましくはbase64符号化形式で存在してもよい。これにより、通常の暗号化技術が、本発明の方法において使用可能である。
非常に簡単で効果的な方法に関して、バイナリコンテンツへの参照は、XOP(XML-binary Optimized Packaging)参照であってもよい。このようなXOP参照は、元のメッセージ内に参照部分のみを残してメッセージの外部へバイナリコンテンツを移動する可能性を提供することができる。
非常に効果的な1パスストリーミング処理に関して、SOAPメッセージは、サーバ側1パスストリーミング処理のためにシリアライズされてもよい。
SOAPメッセージの非常に効果的な処理に関して、サーバ側処理中に、ハッシュ値の計算は、1パスストリーミング方式でそれぞれ並列に実行されてもよい。
非常に簡単で確実な方法を提供するため、署名および/または暗号化プロセスのためにWSセキュリティ(Web Services Security)を使用してもよい。これにより、上記の方法を単純化するために既知の署名および/または暗号化技術の使用が可能となる。
フラグメント内のバイナリコンテンツの種類はいかなる特定のアプリケーションにも限定されない。好ましい実施形態において、バイナリコンテンツは、写真、医療画像またはソフトウェアバイナリであってもよい。
本発明は、現在のウェブサービスセキュリティ仕様およびメッセージ処理方法への拡張を導入することにより、上記の問題を克服して、暗号化および/または署名されたMTOMアタッチメントを有するSOAPメッセージのストリーミング処理を可能にする。より詳細には、本発明は、ウェブサービスセキュリティ仕様のXML署名およびXML暗号化に対する拡張を規定する。これらの拡張は、本発明で規定されるメカニズムをサポートするウェブサービスクライアントによって、出力SOAPメッセージに追加され、署名または暗号化されたアタッチメントに関する追加情報を含む。本発明で規定されるメカニズムをサポートするウェブサービスサーバは、これらの拡張を用いて、1パスストリーミング方式でこのメッセージを効率的に処理することができる。これにより、サーバ側でパフォーマンスが向上し、リソース消費が低減される。しかし、標準化されたメッセージフォーマットは変更されないので、SOAPメッセージ内の署名および暗号化は、本発明で規定されるメカニズムをサポートしないウェブサービスサーバによっても依然として処理可能である。
本発明は、MTOMアタッチメントに関連してSOAPセキュリティに対する拡張を提供する。アタッチメントを含むSOAPメッセージ全体の1パスサーバ側ストリーミング処理が提供される。その結果、ウェブサービスサーバのパフォーマンスが向上し、リソース消費が低減される。現在の標準およびフレームワークとの完全な下位互換性がある。
本発明を好ましい態様で実施するにはいくつもの可能性がある。このためには、一方で請求項1に従属する諸請求項を参照しつつ、他方で図面により例示された本発明の好ましい実施形態についての以下の説明を参照されたい。図面を用いて本発明の好ましい実施形態を説明する際には、本発明の教示による好ましい実施形態一般およびその変形例について説明する。
MTOM SOAPメッセージの標準フォーマットおよびシリアライゼーションを例示する図である。 署名されたMTOM SOAPメッセージの標準フォーマット、処理およびシリアライゼーションを例示する図である。 暗号化されたMTOM SOAPメッセージの標準フォーマット、処理およびシリアライゼーションを例示する図である。 本発明による署名されたMTOM SOAPメッセージを作成する実施形態を例示する図である。 本発明による暗号化されたMTOM SOAPメッセージを作成する実施形態を例示する図である。 本発明による署名されたMTOM SOAPメッセージのサーバ側処理の実施形態を例示する図である。 本発明による暗号化されたMTOM SOAPメッセージのサーバ側処理の実施形態を例示する図である。
以下、図1〜図7を用いて、本発明およびその実施形態を説明する。図1〜図3は、セキュリティ保護および暗号化されたMTOMメッセージを作成する標準的アプローチを示す。図4〜図7は、本発明の方法を示す。
図1は、MTOM SOAPメッセージの標準フォーマットおよびシリアライゼーションを例示している。この図1は、MTOMアタッチメントがどのように作成されるかを例示している。左側には、バイナリコンテンツを有するSOAPメッセージフラグメントを示している。バイナリコンテンツは、ここでは写真(photo)である。XMLはテキストフォーマットであるので、バイナリコンテンツはテキスト符号化形式でのみトランスポート可能である。このための最も一般的な形式はbase64符号化である。バイナリコンテンツ(特に、大規模な)のこの種の処理はいくつかの問題を生じる。主として、base64の使用は、メモリおよびネットワークでのスペース消費を増大させる(33%)。さらに、大規模なSOAP文書の処理は、より困難でリソースを消費する。これらの問題を克服するため、従来、SOAPメッセージからこれらの論理的な「外部文書部分」を取り出し、それらの部分をアタッチメントとしてトランスポートするいくつかの可能性が公開されている。これらのうち、MTOMは、例えばSwA(SOAP with Attachments)のいくつかの欠点を除去しているので、最良のアプローチとみなされている。
図1に示すように、MTOMは、メモリ内にメッセージを格納するために、いわゆるXOPインフォセット(XOP infoset)を使用する。これにより、バイナリデータ(ここでは写真)が、SOAPメッセージの外部に元の形式で保持され、SOAPメッセージはバイナリファイルへの参照(<xop:Include>)のみを含む。
最後に、図の右側には、XOPインフォセットがネットワーク上でどのようにトランスポートされるかを示している。シリアライズされたXML部分およびバイナリ部分が、トランスポートプロトコル(通常、HTTP(HyperText Transfer Protocol))内の別個のMIME(Multipurpose Internet Mail Extensions)ブロックとしてトランスポートされる。このようにして、バイナリ部分はそのまま(符号化されずに)、SOAPメッセージへのアタッチメントとしてトランスポート可能である。
図2は、署名されたMTOM SOAPメッセージの標準フォーマット、処理およびシリアライゼーションを例示している。図2は、MTOM対応SOAPメッセージに対する署名作成プロセスを示している。XOPインフォセットの重要な性質は、<xop:Include>参照が「値渡し」参照であることである。すなわち、すべてのオペレーションは、XML文書を、その文書内に埋め込まれたバイナリコンテンツとともに処理しなければならない。いくつかのオペレーション(例えば<m:photo>ノードの移動)の場合には、これは考慮する必要がない。というのは、その場合、XOPインフォセットに対する作用と元のインフォセットに対する作用は等価であるからである。しかし、署名オペレーションは、署名されるノードのコンテンツ全体を読んでハッシュすることを必要とするので、この性質に従わなければならない。
そこで、図2に示すように、MTOMアタッチメントを含むノードに署名する前に、アタッチメントをXML文書に埋め込まなければならない。これは実際には、元のインフォセットを再構成することになる。その後、base64符号化されたバイナリアタッチメントををハッシュすることを含めて、ノードに署名することができる。署名計算後、XOP部分を復元し(図2には示していない)、バイナリ部分を再びアタッチメントとしてトランスポートすることができる。
このようなシリアライゼーションがサーバ側で処理される場合、これを1パスストリーミング方式で行うことはできない。<m:photo>ノードを処理した後、ハッシュ計算が実行可能となるようにアタッチメントを完全に受信するまで、ハッシュ計算を一時停止しなければならない。これは、SOAP処理を妨げる挙動となる。
図3は、暗号化されたMTOM SOAPメッセージの標準フォーマット、処理およびシリアライゼーションを例示している。この図は、MTOMアタッチメントを含むSOAPメッセージフラグメントを暗号化する方法を例示している。この場合も、暗号化オペレーションを適用する前に、アタッチメントをXML文書内に再埋め込み(およびbase64符号化)しなければならない。暗号化後、XML暗号化ブロックが、暗号化されたブロック(上記の例では、<m:photo>エレメント)を置き換える。この暗号化ブロックは、再び、(base64符号化された)バイナリコンテンツノード、すなわち、<xenc:CipherData>エレメントのコンテンツを含む。その後、このバイナリコンテンツは、XML文書から抽出され、MTOMアタッチメントとしてシリアライズされることが可能である。なお、署名作成とは異なり、暗号化されたメッセージのアタッチメントは、暗号化されていないメッセージにおけるものと同一でないことに注意しなければならない。
暗号化されていないXML文書の部分(ここでは<m:photo>ラッパ)は暗号化プロセスによってアタッチメントに移動されているので、この場合も、サーバ側での処理すなわち復号は、1パスストリーミング方式で実行することはできない。
図4は、本発明による署名されたMTOM SOAPメッセージを作成する方法の実施形態を例示している。この図4は、MTOMアタッチメントを含むフラグメントに対するXML署名を作成するための本発明のアプローチを示している。結果として得られるメッセージは、サーバ側で1パスストリーミング処理が可能である(後の図6参照)。署名プロセスの詳細は以下の通りである。署名されるフラグメント自体(上記の例では<m:photo>)のハッシュに加えて、同じフラグメントがバイナリコンテンツを除いてハッシュされる。したがって、以下の変換ブロックが、それぞれの署名の<ds:Transforms>エレメントに追加される。
<ds:Transform Algorithm="http://www.w3.org/2002/06/xmldsig-filter2">
<dsf:XPath Filter="intersect">
xpath-of-signed-element
</dsf:XPath>
<dsf:XPath Filter="subtract">
xpath-of-wrapping-element/*
</dsf:XPath>
</ds:Transform>
Prefix Namespace
dsf http://www.w3.org/2002/06/xmldsig-filter2
ds http://www.w3.org/2000/09/xmldsig#
xpath-of-signed-elementおよびxpath-of-wrapping-elementの値は、署名されるべきエレメントおよびバイナリコンテンツ(「wrapping element」)の親エレメントを参照するXPath式によって置き換えなければならない。図4で用いた例では、いずれの式も//m:photoである。
図5は、本発明による暗号化されたMTOM SOAPメッセージを作成する方法の実施形態を例示している。この図5は、MTOMアタッチメントを含むフラグメントを暗号化するための本発明のアプローチを示している。結果として得られるメッセージは、サーバ側で1パスストリーミング処理が可能である(後の図7参照)。暗号化プロセスの詳細は以下の通りである。「元のインフォセット」からのフラグメント(上記の例では、バイナリコンテンツを含むエレメント<m:photo>)に加えて、「XOPインフォセット」からの同じフラグメント(上記の例では、XOP参照を含むエレメント<m:photo>)が暗号化される。第2の暗号化オペレーションの結果が、(base64符号化されて)暗号化プロパティとして暗号化ブロックに追加される。より正確には、以下のエレメントが<xenc:EncryptionProperties>ブロックに追加される。
<xenc:EncryptionProperty>
<nec:EncrytedBinaryWrapper>
encrypted-xop-infoset-fragment
</nec:EncrytedBinaryWrapper>
</xenc:EncryptionProperty>
Prefix Namespace
xenc http://www.w3.Org/2001/04/xmlenc#
nec http://www.neclab.eu/2010/10/secmtom
最後に、SOAPメッセージをシリアライズする一方、<xenc:CipherValue>のコンテンツがMTOMアタッチメントとして抽出され、<nec:EncrytedBinaryWrapper>のコンテンツはXML文書内に残る。アタッチメントは大規模なバイナリアタッチメントを目的としており、ラッパは比較的小さいと想定されるので、これは、アタッチメントの基本理念に従っている。
図6は、本発明による署名されたMTOM SOAPメッセージのサーバ側処理の実施形態を例示している。この図6は、前述のアプローチ(図4参照)を用いて作成された、署名されたメッセージに対する、本発明が提案するサーバ側処理を示している。2つのハッシュ値(dig1およびdig2)の計算が、1パスストリーミング方式でそれぞれ並列に実行されることがわかる。1パスストリーミング中に、閉じラッピングエレメント(上記の例では</m:photo>エレメント)のキャッシュが実行される。しかし、ラッピングエレメントは比較的小さいという仮定に基づくと、これはほんのわずかなメモリ消費しか意味しない。
最後のSOAPメッセージエレメントを読んだ後、XOPインフォセット版のメッセージを確認することができることがわかる。
図7は、暗号化されたMTOM SOAPメッセージのサーバ側処理の実施形態を例示している。この図7は、前述のアプローチ(図5参照)を用いて作成された、暗号化されたメッセージに対する、本発明が提案するサーバ側処理を示している。XOPインフォセットの暗号化されたエレメントが作成され、ストリーミング方式でサービスアプリケーションに転送されていることがわかる。1パスストリーミング中に、ラッピングエレメントのキャッシュが実行されるが、これは、アタッチメントを復号している間にラッパを除去するために必要とされる。
最後のSOAPメッセージエレメントを読んだ後、XOPインフォセット版のメッセージが完全に復号されていることがわかる。
もちろん、署名および暗号化のための上記の本発明によるアプローチは、さまざまなアプリケーションを提供するためにシームレスに組み合わせることができる。したがって、ネストしたセキュリティメカニズムが完全にサポートされる。
本発明の効果は次の通りである。第1に、本方法によれば、完全にストリーミング方式でサーバ側メッセージ処理が可能となる。これにより、一般的に、文書ベースの方法に比べて、大幅にリソースが低減される。また、最後のSOAPエレメントを読んだ後(すなわち、アタッチメントを読む前)にSOAPメッセージは完全に復号・確認されるので、本方法によれば、例えばアタッチメントを必要としないデバイスタスクを開始するための「早期前処理」が可能となる。また、アタッチメント処理にリソースを消費せずに、不正なメッセージコールを検出・拒否することが可能となる。
本発明は、セキュリティ保護されたMTOMアタッチメントにおけるSOAPメッセージフォーマットおよび処理の拡張を提供する。セキュリティ保護されたSOAP/MTOMメッセージフォーマットのこの新規な使用法は、署名および/または暗号化されたMTOM SOAPメッセージの1パスストリーミングによるサーバ側処理を提供する。
本発明の方法の結果として、サーバ側メッセージ処理のメモリ消費および計算コストが低減される(グリーンコンピューティング)。本発明の方法は、関連する標準および従来のウェブサービスフレームワークとの完全な互換性を提供する。
上記の説明および添付図面の記載に基づいて、当業者は本発明の多くの変形例および他の実施形態に想到し得るであろう。したがって、本発明は、開示した具体的実施形態に限定されるものではなく、変形例および他の実施形態も、添付の特許請求の範囲内に含まれるものと解すべきである。本明細書では特定の用語を用いているが、それらは総称的・説明的意味でのみ用いられており、限定を目的としたものではない。

Claims (13)

  1. ネットワーク、特にIP(Internet Protocol)ネットワークにおけるSOAP(Simple Object Access Protocol)メッセージの処理方法において、XML(Extended Markup Language)ベースのSOAPメッセージが、バイナリコンテンツを有するフラグメントを含み、該バイナリコンテンツが、該バイナリコンテンツへの参照をSOAPメッセージ内に残してSOAPメッセージのMTOM(Message Transmission Optimization Mechanism)アタッチメント内に移動され、該アタッチメントが、署名・暗号化プロセスによって署名および/または暗号化がそれぞれ行われ、
    署名プロセス中に、署名されるフラグメント自体のハッシュに加えて、同じフラグメントがバイナリコンテンツを除いてハッシュされ、および/または、暗号化プロセス中に、フラグメント自体の暗号化に加えて、バイナリコンテンツの代わりにバイナリコンテンツへの参照のみを含むフラグメントが暗号化されることを特徴とする、ネットワークにおけるSOAPメッセージの処理方法。
  2. 署名および/または暗号化プロセス中に、バイナリコンテンツが、テキスト符号化形式、好ましくはbase64符号化形式でフラグメント内に存在することを特徴とする請求項1に記載の方法。
  3. バイナリコンテンツを除いて追加的にハッシュされたフラグメントに基づいて、トランスポートプロトコル内で使用するための追加ブロックが作成されることを特徴とする請求項1または2に記載の方法。
  4. 追加ブロックが、それぞれの署名の変換エレメントに追加される変換ブロックであることを特徴とする請求項3に記載の方法。
  5. バイナリコンテンツへの参照のみを含む追加的に暗号化されたフラグメントに基づいて、トランスポートプロトコル内で使用するための暗号化プロパティが作成されることを特徴とする請求項1ないし4のいずれか1項に記載の方法。
  6. 暗号化プロパティが、暗号化ブロックに追加されることを特徴とする請求項5に記載の方法。
  7. 暗号化プロパティが、テキスト符号化形式、好ましくはbase64符号化形式で存在することを特徴とする請求項5または6に記載の方法。
  8. バイナリコンテンツへの参照が、XOP(XML-binary Optimized Packaging)参照であることを特徴とする請求項1ないし7のいずれか1項に記載の方法。
  9. SOAPメッセージが、サーバ側1パスストリーミング処理のためにシリアライズされることを特徴とする請求項1ないし8のいずれか1項に記載の方法。
  10. サーバ側処理中に、ハッシュ値の計算が、並列に実行されることを特徴とする請求項9に記載の方法。
  11. 署名および/または暗号化プロセスのために、WSセキュリティ(Web Services Security)が使用されることを特徴とする請求項1ないし10のいずれか1項に記載の方法。
  12. バイナリコンテンツが、写真、医療画像またはソフトウェアバイナリであることを特徴とする請求項1ないし11のいずれか1項に記載の方法。
  13. XML(Extended Markup Language)ベースのSOAP(Simple Object Access Protocol)メッセージを処理可能なネットワーク、特にIP(Internet Protocol)ネットワーク、好ましくは請求項1ないし12のいずれか1項に記載の方法を実行するネットワークにおいて、SOAPメッセージが、バイナリコンテンツを有するフラグメントを含み、該バイナリコンテンツが、該バイナリコンテンツへの参照をSOAPメッセージ内に残してSOAPメッセージのMTOM(Message Transmission Optimization Mechanism)アタッチメント内に移動され、該アタッチメントが、署名・暗号化プロセスによって署名および/または暗号化がそれぞれ行われ、
    署名プロセス中に、署名されるフラグメント自体のハッシュに加えて、同じフラグメントがバイナリコンテンツを除いてハッシュされることが可能であるように構成されたハッシュ手段、および/または、暗号化プロセス中に、フラグメント自体の暗号化に加えて、バイナリコンテンツの代わりにバイナリコンテンツへの参照のみを含むフラグメントが暗号化されることが可能であるように構成された暗号化手段を備えたことを特徴とするネットワーク。
JP2012540294A 2010-02-26 2010-02-26 ネットワークにおけるsoapメッセージの処理方法およびネットワーク Expired - Fee Related JP5451897B2 (ja)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/EP2010/001200 WO2011103886A1 (en) 2010-02-26 2010-02-26 A method for processing a soap message within a network and a network

Publications (2)

Publication Number Publication Date
JP2013512602A true JP2013512602A (ja) 2013-04-11
JP5451897B2 JP5451897B2 (ja) 2014-03-26

Family

ID=43216478

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2012540294A Expired - Fee Related JP5451897B2 (ja) 2010-02-26 2010-02-26 ネットワークにおけるsoapメッセージの処理方法およびネットワーク

Country Status (7)

Country Link
US (1) US20120265992A1 (ja)
EP (1) EP2532134B1 (ja)
JP (1) JP5451897B2 (ja)
KR (1) KR101430840B1 (ja)
CN (1) CN102783114B (ja)
ES (1) ES2424769T3 (ja)
WO (1) WO2011103886A1 (ja)

Families Citing this family (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20120069361A (ko) * 2010-12-20 2012-06-28 한국전자통신연구원 네트워크 공격 관리 방법 및 시스템, 네트워크 공격 관리를 위한 네트워크 서비스 제공 장치
EP2798836A4 (en) 2011-12-31 2015-08-05 Intel Corp CONTROL SYSTEM BASED ON CONTENT
EP2728083A1 (en) 2012-11-06 2014-05-07 Yesos Ibericos, S.A. Construction element
CN102970378A (zh) * 2012-12-13 2013-03-13 中国电子科技集团公司第十五研究所 二进制数据优化传输系统
JP6471614B2 (ja) * 2015-05-29 2019-02-20 株式会社リコー 通信端末、通信システム、通信制御方法、及びプログラム
CN106534167A (zh) * 2016-12-06 2017-03-22 郑州云海信息技术有限公司 一种基于xml的网络加密传输方法和系统

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007179171A (ja) * 2005-12-27 2007-07-12 Internatl Business Mach Corp <Ibm> 秘密保持が要求されるモデル用のソフトウエア開発装置
JP2008140043A (ja) * 2006-11-30 2008-06-19 Hitachi Ltd 署名方法、情報処理装置、および署名プログラム
JP2008219585A (ja) * 2007-03-06 2008-09-18 Hitachi Ltd 署名情報処理方法、そのプログラムおよび情報処理装置
WO2009030261A1 (en) * 2007-09-07 2009-03-12 Nec Europe Ltd. Method and system for secure web service data transfer

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7444675B2 (en) * 2003-02-28 2008-10-28 Hewlett-Packard Development Company, L.P. Systems and methods for defining security information for web-services
US20050251676A1 (en) * 2004-05-05 2005-11-10 Intel Corporation Method for offloading the digest portion of protocols
US7441185B2 (en) * 2005-01-25 2008-10-21 Microsoft Corporation Method and system for binary serialization of documents
US7738887B2 (en) * 2005-10-31 2010-06-15 Microsoft Corporation Voice instant messaging between mobile and computing devices
US20070115917A1 (en) * 2005-10-31 2007-05-24 Microsoft Corporation MTOM data transfer via TCP
US8739180B2 (en) * 2008-01-25 2014-05-27 International Business Machines Corporation Processing of MTOM messages
US8689292B2 (en) * 2008-04-21 2014-04-01 Api Technologies Corp. Method and systems for dynamically providing communities of interest on an end user workstation

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007179171A (ja) * 2005-12-27 2007-07-12 Internatl Business Mach Corp <Ibm> 秘密保持が要求されるモデル用のソフトウエア開発装置
JP2008140043A (ja) * 2006-11-30 2008-06-19 Hitachi Ltd 署名方法、情報処理装置、および署名プログラム
JP2008219585A (ja) * 2007-03-06 2008-09-18 Hitachi Ltd 署名情報処理方法、そのプログラムおよび情報処理装置
WO2009030261A1 (en) * 2007-09-07 2009-03-12 Nec Europe Ltd. Method and system for secure web service data transfer

Also Published As

Publication number Publication date
ES2424769T3 (es) 2013-10-08
EP2532134A1 (en) 2012-12-12
KR101430840B1 (ko) 2014-08-18
WO2011103886A1 (en) 2011-09-01
CN102783114B (zh) 2015-09-23
US20120265992A1 (en) 2012-10-18
JP5451897B2 (ja) 2014-03-26
KR20120082461A (ko) 2012-07-23
CN102783114A (zh) 2012-11-14
EP2532134B1 (en) 2013-06-12

Similar Documents

Publication Publication Date Title
US11044100B2 (en) Validating documents
US8898244B2 (en) System and method for transporting files between networked or connected systems and devices
US9549022B2 (en) Proxy server with byte-based include interpreter
JP5451897B2 (ja) ネットワークにおけるsoapメッセージの処理方法およびネットワーク
US11153365B2 (en) Transfer of files with arrays of strings in soap messages
JP6236435B2 (ja) 非同期データ・ディクショナリを使用した、マルチテナント共有インフラストラクチャにおけるストリームベースのデータ重複排除
US20100185862A1 (en) Method and System for Encrypting JavaScript Object Notation (JSON) Messages
EP2130138A2 (en) Method and apparatus for processing extensible markup language security messages using delta parsing technology
EP3163837A1 (en) Header compression for ccn messages using a static dictionary
Wen et al. Two Zero-Watermark methods for XML documents
Sutter et al. Blast: A binary large structured transmission format for the web
JP2010538377A (ja) 安全なウェブサービスデータ転送のための方法及びシステム
EP3166277A1 (en) Bit-aligned header compression for ccn messages using dictionary
Sinha et al. A formal solution to rewriting attacks on SOAP messages
EP3163838A1 (en) Header compression for ccn messages using dictionary learning
CN108563396A (zh) 一种安全的云端对象存储方法
Makino et al. Improving WS-Security performance with a template-based approach
Islam et al. An approach to security for unstructured big data
JP5511270B2 (ja) 情報処理装置、及び情報処理方法
Gruschka et al. Server-side streaming processing of secured MTOM attachments
Mhatre et al. Implementation of file transfer using message transmission optimization mechanism (MTOM)
Radwan et al. XPRIDE: policy-driven Web services security based on XML content
Nakayama et al. Processing methods for partially encrypted data in multihop Web services

Legal Events

Date Code Title Description
A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20130710

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20131009

A602 Written permission of extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A602

Effective date: 20131017

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20131107

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20131205

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20131226

R150 Certificate of patent or registration of utility model

Ref document number: 5451897

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

S111 Request for change of ownership or part of ownership

Free format text: JAPANESE INTERMEDIATE CODE: R313113

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

LAPS Cancellation because of no payment of annual fees