JP5451897B2 - ネットワークにおけるsoapメッセージの処理方法およびネットワーク - Google Patents
ネットワークにおけるsoapメッセージの処理方法およびネットワーク Download PDFInfo
- Publication number
- JP5451897B2 JP5451897B2 JP2012540294A JP2012540294A JP5451897B2 JP 5451897 B2 JP5451897 B2 JP 5451897B2 JP 2012540294 A JP2012540294 A JP 2012540294A JP 2012540294 A JP2012540294 A JP 2012540294A JP 5451897 B2 JP5451897 B2 JP 5451897B2
- Authority
- JP
- Japan
- Prior art keywords
- binary content
- network
- encryption
- message
- soap
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
- 238000000034 method Methods 0.000 title claims description 75
- 238000012545 processing Methods 0.000 title claims description 43
- 239000000344 soap Substances 0.000 title 1
- 239000012634 fragment Substances 0.000 claims description 40
- 230000007246 mechanism Effects 0.000 claims description 8
- 230000005540 biological transmission Effects 0.000 claims description 4
- 238000005457 optimization Methods 0.000 claims description 4
- 238000004806 packaging method and process Methods 0.000 claims description 2
- 238000003672 processing method Methods 0.000 claims description 2
- 238000013459 approach Methods 0.000 description 8
- 238000004364 calculation method Methods 0.000 description 6
- 230000014509 gene expression Effects 0.000 description 2
- 101100443249 Caenorhabditis elegans dig-1 gene Proteins 0.000 description 1
- 230000006399 behavior Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0485—Networking architectures for enhanced packet encryption processing, e.g. offloading of IPsec packet processing or efficient security association look-up
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/126—Applying verification of the received information the source of the received data
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Storage Device Security (AREA)
- Information Transfer Between Computers (AREA)
Description
本発明は、ネットワーク、特にIP(Internet Protocol)ネットワークにおけるSOAP(Simple Object Access Protocol)メッセージの処理方法に関する。XML(Extended Markup Language)ベースのSOAPメッセージが、バイナリコンテンツを有するフラグメントを含む。該バイナリコンテンツが、該バイナリコンテンツへの参照をSOAPメッセージ内に残してSOAPメッセージのMTOM(Message Transmission Optimization Mechanism)アタッチメント内に移動される。該アタッチメントは、署名・暗号化プロセスによって署名および/または暗号化がそれぞれ行われる。また、本発明は、SOAP(Simple Object Access Protocol)メッセージを処理可能なネットワーク、特にIP(Internet Protocol)ネットワークに関する。XML(Extended Markup Language)ベースのSOAPメッセージが、バイナリコンテンツを有するフラグメントを含む。該バイナリコンテンツが、該バイナリコンテンツへの参照をSOAPメッセージ内に残してSOAPメッセージのMTOM(Message Transmission Optimization Mechanism)アタッチメント内に移動される。該アタッチメントは、署名・暗号化プロセスによって署名および/または暗号化がそれぞれ行われる。
XMLメッセージの処理がバイナリメッセージフォーマットに比べて非常にリソースを消費することは周知の事実である。この性質は、メッセージまたはメッセージ部分がXMLセキュリティ手段(XML署名、XML暗号化)を用いて署名または暗号化される場合に不利である。もちろん、上記のことはSOAPメッセージにも当てはまる。というのは、SOAPはXMLベースであり、使用されるセキュリティ手段、すなわちWSセキュリティ(Web Services Security)はXMLセキュリティに基づいているからである。このため、ウェブサービスフレームワーク開発者は数年来、メッセージ処理フローの最適化に取り組んでいる。1つの有望なアプローチは、ストリーミング処理パラダイムである。これは、セキュリティ保護されてないメッセージについては、例えばウェブサービスフレームワークApache Axis2ですでに採用されており、セキュリティ保護されているメッセージについては、最初の成果が現れている。
現在の技術、特にXML暗号化および署名の手続きならびに対応するメッセージのストリーミング処理に関する情報を提供する文書は以下の通りである。
1.非特許文献1
2.非特許文献2
3.非特許文献3
4.非特許文献4
5.非特許文献5
6.非特許文献6
7.非特許文献7
1.非特許文献1
2.非特許文献2
3.非特許文献3
4.非特許文献4
5.非特許文献5
6.非特許文献6
7.非特許文献7
SOAPメッセージ処理の基本的問題は、その高いリソース消費である。リソース消費は、メッセージ部分が暗号化または署名されているときにはさらに高くなる。ストリーミングメッセージ処理は、リソース消費を低減する1つの方法である。しかし、セキュリティ保護されているMTOMアタッチメントは、ネットワークストリームからのストリーミング1パス処理を妨げる。
より正確には、SOAPメッセージが、(1)MTOMアタッチメントを使用し、(2)このアタッチメントのうちの1つ以上がWSセキュリティを用いてセキュリティ保護されている場合、ストリーミングメッセージ処理は今のところ実現可能でない。その理由を以下で説明する。アタッチメントとしてトランスポートされるべきSOAP文書のバイナリ部分はMTOM参照によって置き換えられる。ネットワーク上には、まずこのSOAP文書が送信され、次にバイナリ部分がMTOMアタッチメントとして送信される。しかし、アタッチメントは参照位置においてSOAPメッセージ内に仮想的に埋め込まれている。SOAP文書に対するいくつかの代表的なオペレーション(文書サブツリーの抽出または移動等)の場合、この性質は無視することができる。しかし、他のいくつかのオペレーション(署名検証や暗号化されたコンテンツの復号のためのハッシュ値計算等)の場合、SOAPメッセージ内の参照を処理する時点で、アタッチメントを全部読まなければならない。したがって、この場合、メッセージの1パスストリーミング処理は破綻する。
Bartel, Mark, Boyer, John, Fox, Barb, LaMacchia, Brian, and Simon, Ed: XML Signature Syntax and Processing, W3C Recommendation, 2002.
Imamura, Takeshi, Dillaway, Blair, and Simon, Ed: XML Encryption Syntax and Processing, W3C Recommendation, 2002.
Gudgin, Martin, Mendelsohn, Noah, Nottingham, Mark, and Ruellan, Herve: SOAP Message Transmission Optimization Mechanism, W3C Recommendation, 2005.
Gruschka, Nils, Luttenberger, Norbert, and Herkenhoner, Ralph: Event-based SOAP Message Validation for WS-SecurityPolicy-enriched Web Services, Proceedings of the 2006 International Conference on Semantic Web & Web Services, 2006.
Govindaraju, Madhusudhan, Slominski, Aleksander, Chiu, Kenneth, Liu, Pu, van Engelen, Robert, and Lewis, Michael J.: Toward Characterizing the Performance of SOAP Toolkits, Proceedings of the Fifth IEEE/ACM International Workshop on Grid Computing (GRID'04), IEEE Computer Society, 365-372, 2004.
Lu, Wei, Chiu, Kenneth, Slominski, Aleksander, and Gannon, Dennis: A Streaming Validation Model for SOAP Digital Signature, In The 14th IEEE International Symposium on High Performance Distributed Computing (HPDC-14), 2005.
Imamura, Takeshi, Clark, Andy, and Maruyama, Hiroshi: A stream-based implementation of XML Encryption, XMLSEC '02: Proceedings of the 2002 ACM workshop on XML security, ACM Press, 11-17, 2002.
本発明の目的は、ネットワークにおけるSOAPメッセージの処理方法および対応するネットワークにおいて、署名および/または暗号化されたMTOMアタッチメントを有するSOAPメッセージのストリーミング処理を簡単な形で可能にするような改良およびさらなる展開を行うことである。
本発明によれば、上記の目的は、請求項1の構成を備えた方法および請求項13の構成を備えたネットワークによって達成される。
請求項1に記載の通り、本方法は、署名プロセス中に、署名されるフラグメント自体のハッシュに加えて、同じフラグメントがバイナリコンテンツを除いてハッシュされ、および/または、暗号化プロセス中に、フラグメント自体の暗号化に加えて、バイナリコンテンツの代わりにバイナリコンテンツへの参照のみを含むフラグメントが暗号化されることを特徴とする。
請求項13に記載の通り、本ネットワークは、署名プロセス中に、署名されるフラグメント自体のハッシュに加えて、同じフラグメントがバイナリコンテンツを除いてハッシュされることが可能であるように構成されたハッシュ手段、および/または、暗号化プロセス中に、フラグメント自体の暗号化に加えて、バイナリコンテンツの代わりにバイナリコンテンツへの参照のみを含むフラグメントが暗号化されることが可能であるように構成された暗号化手段を備えたことを特徴とする。
本発明によって認識されたこととして、出力SOAPメッセージに署名および/または暗号化されたアタッチメントに関する追加情報を単に追加することによって、署名および/または暗号化されたMTOMアタッチメントを有するSOAPメッセージのストリーミング処理が可能となる。具体的には、署名プロセス中に、署名されるフラグメント自体のハッシュに加えて、同じフラグメントがバイナリコンテンツを除いてハッシュされ、適当な形でSOAPメッセージに追加されることが可能である。同様に、暗号化プロセス中に、フラグメント自体の暗号化に加えて、バイナリコンテンツの代わりにバイナリコンテンツへの参照のみを含むフラグメントが暗号化される。この追加情報は、出力SOAPメッセージに追加されることが可能である。サーバ側でのSOAPメッセージの処理中には、出力SOAPメッセージに追加された追加部分に基づいて、署名および/または暗号化されたMTOMアタッチメントを有するSOAPメッセージの1パスストリーミング処理が可能となる。
好ましくは、署名および/または暗号化プロセス中に、バイナリコンテンツは、テキスト符号化形式、好ましくはbase64符号化形式でフラグメント内に存在してもよい。このようなテキスト符号化形式に基づいて、通常の署名および暗号化技術が、署名および/または暗号化プロセス中に使用可能である。
本発明の方法において、特に署名プロセス中に、バイナリコンテンツを除いて追加的にハッシュされたフラグメントに基づいて、トランスポートプロトコル内で使用するための追加ブロックを作成してもよい。好ましくは、このような追加ブロックは、それぞれの署名の変換エレメントに追加することが可能な変換ブロックであってもよい。上記のステップに基づいて、通常のSOAPメッセージへの簡単な拡張により、SOAPメッセージの1パスストリーミング処理が可能となる。
本発明のさらに好ましい実施形態に関して、バイナリコンテンツへの参照のみを含む追加的に暗号化されたフラグメントに基づいて、トランスポートプロトコル内で使用するための暗号化プロパティを作成してもよい。このような暗号化プロパティは、メッセージ処理のためにサーバ側で1パスストリーミングを行うための暗号化ブロックに単に追加されてもよい。
好ましくは、暗号化プロパティは、テキスト符号化形式、好ましくはbase64符号化形式で存在してもよい。これにより、通常の暗号化技術が、本発明の方法において使用可能である。
非常に簡単で効果的な方法に関して、バイナリコンテンツへの参照は、XOP(XML-binary Optimized Packaging)参照であってもよい。このようなXOP参照は、元のメッセージ内に参照部分のみを残してメッセージの外部へバイナリコンテンツを移動する可能性を提供することができる。
非常に効果的な1パスストリーミング処理に関して、SOAPメッセージは、サーバ側1パスストリーミング処理のためにシリアライズされてもよい。
SOAPメッセージの非常に効果的な処理に関して、サーバ側処理中に、ハッシュ値の計算は、1パスストリーミング方式でそれぞれ並列に実行されてもよい。
非常に簡単で確実な方法を提供するため、署名および/または暗号化プロセスのためにWSセキュリティ(Web Services Security)を使用してもよい。これにより、上記の方法を単純化するために既知の署名および/または暗号化技術の使用が可能となる。
フラグメント内のバイナリコンテンツの種類はいかなる特定のアプリケーションにも限定されない。好ましい実施形態において、バイナリコンテンツは、写真、医療画像またはソフトウェアバイナリであってもよい。
本発明は、現在のウェブサービスセキュリティ仕様およびメッセージ処理方法への拡張を導入することにより、上記の問題を克服して、暗号化および/または署名されたMTOMアタッチメントを有するSOAPメッセージのストリーミング処理を可能にする。より詳細には、本発明は、ウェブサービスセキュリティ仕様のXML署名およびXML暗号化に対する拡張を規定する。これらの拡張は、本発明で規定されるメカニズムをサポートするウェブサービスクライアントによって、出力SOAPメッセージに追加され、署名または暗号化されたアタッチメントに関する追加情報を含む。本発明で規定されるメカニズムをサポートするウェブサービスサーバは、これらの拡張を用いて、1パスストリーミング方式でこのメッセージを効率的に処理することができる。これにより、サーバ側でパフォーマンスが向上し、リソース消費が低減される。しかし、標準化されたメッセージフォーマットは変更されないので、SOAPメッセージ内の署名および暗号化は、本発明で規定されるメカニズムをサポートしないウェブサービスサーバによっても依然として処理可能である。
本発明は、MTOMアタッチメントに関連してSOAPセキュリティに対する拡張を提供する。アタッチメントを含むSOAPメッセージ全体の1パスサーバ側ストリーミング処理が提供される。その結果、ウェブサービスサーバのパフォーマンスが向上し、リソース消費が低減される。現在の標準およびフレームワークとの完全な下位互換性がある。
本発明を好ましい態様で実施するにはいくつもの可能性がある。このためには、一方で請求項1に従属する諸請求項を参照しつつ、他方で図面により例示された本発明の好ましい実施形態についての以下の説明を参照されたい。図面を用いて本発明の好ましい実施形態を説明する際には、本発明の教示による好ましい実施形態一般およびその変形例について説明する。
以下、図1〜図7を用いて、本発明およびその実施形態を説明する。図1〜図3は、セキュリティ保護および暗号化されたMTOMメッセージを作成する標準的アプローチを示す。図4〜図7は、本発明の方法を示す。
図1は、MTOM SOAPメッセージの標準フォーマットおよびシリアライゼーションを例示している。この図1は、MTOMアタッチメントがどのように作成されるかを例示している。左側には、バイナリコンテンツを有するSOAPメッセージフラグメントを示している。バイナリコンテンツは、ここでは写真(photo)である。XMLはテキストフォーマットであるので、バイナリコンテンツはテキスト符号化形式でのみトランスポート可能である。このための最も一般的な形式はbase64符号化である。バイナリコンテンツ(特に、大規模な)のこの種の処理はいくつかの問題を生じる。主として、base64の使用は、メモリおよびネットワークでのスペース消費を増大させる(33%)。さらに、大規模なSOAP文書の処理は、より困難でリソースを消費する。これらの問題を克服するため、従来、SOAPメッセージからこれらの論理的な「外部文書部分」を取り出し、それらの部分をアタッチメントとしてトランスポートするいくつかの可能性が公開されている。これらのうち、MTOMは、例えばSwA(SOAP with Attachments)のいくつかの欠点を除去しているので、最良のアプローチとみなされている。
図1に示すように、MTOMは、メモリ内にメッセージを格納するために、いわゆるXOPインフォセット(XOP infoset)を使用する。これにより、バイナリデータ(ここでは写真)が、SOAPメッセージの外部に元の形式で保持され、SOAPメッセージはバイナリファイルへの参照(<xop:Include>)のみを含む。
最後に、図の右側には、XOPインフォセットがネットワーク上でどのようにトランスポートされるかを示している。シリアライズされたXML部分およびバイナリ部分が、トランスポートプロトコル(通常、HTTP(HyperText Transfer Protocol))内の別個のMIME(Multipurpose Internet Mail Extensions)ブロックとしてトランスポートされる。このようにして、バイナリ部分はそのまま(符号化されずに)、SOAPメッセージへのアタッチメントとしてトランスポート可能である。
図2は、署名されたMTOM SOAPメッセージの標準フォーマット、処理およびシリアライゼーションを例示している。図2は、MTOM対応SOAPメッセージに対する署名作成プロセスを示している。XOPインフォセットの重要な性質は、<xop:Include>参照が「値渡し」参照であることである。すなわち、すべてのオペレーションは、XML文書を、その文書内に埋め込まれたバイナリコンテンツとともに処理しなければならない。いくつかのオペレーション(例えば<m:photo>ノードの移動)の場合には、これは考慮する必要がない。というのは、その場合、XOPインフォセットに対する作用と元のインフォセットに対する作用は等価であるからである。しかし、署名オペレーションは、署名されるノードのコンテンツ全体を読んでハッシュすることを必要とするので、この性質に従わなければならない。
そこで、図2に示すように、MTOMアタッチメントを含むノードに署名する前に、アタッチメントをXML文書に埋め込まなければならない。これは実際には、元のインフォセットを再構成することになる。その後、base64符号化されたバイナリアタッチメントををハッシュすることを含めて、ノードに署名することができる。署名計算後、XOP部分を復元し(図2には示していない)、バイナリ部分を再びアタッチメントとしてトランスポートすることができる。
このようなシリアライゼーションがサーバ側で処理される場合、これを1パスストリーミング方式で行うことはできない。<m:photo>ノードを処理した後、ハッシュ計算が実行可能となるようにアタッチメントを完全に受信するまで、ハッシュ計算を一時停止しなければならない。これは、SOAP処理を妨げる挙動となる。
図3は、暗号化されたMTOM SOAPメッセージの標準フォーマット、処理およびシリアライゼーションを例示している。この図は、MTOMアタッチメントを含むSOAPメッセージフラグメントを暗号化する方法を例示している。この場合も、暗号化オペレーションを適用する前に、アタッチメントをXML文書内に再埋め込み(およびbase64符号化)しなければならない。暗号化後、XML暗号化ブロックが、暗号化されたブロック(上記の例では、<m:photo>エレメント)を置き換える。この暗号化ブロックは、再び、(base64符号化された)バイナリコンテンツノード、すなわち、<xenc:CipherData>エレメントのコンテンツを含む。その後、このバイナリコンテンツは、XML文書から抽出され、MTOMアタッチメントとしてシリアライズされることが可能である。なお、署名作成とは異なり、暗号化されたメッセージのアタッチメントは、暗号化されていないメッセージにおけるものと同一でないことに注意しなければならない。
暗号化されていないXML文書の部分(ここでは<m:photo>ラッパ)は暗号化プロセスによってアタッチメントに移動されているので、この場合も、サーバ側での処理すなわち復号は、1パスストリーミング方式で実行することはできない。
図4は、本発明による署名されたMTOM SOAPメッセージを作成する方法の実施形態を例示している。この図4は、MTOMアタッチメントを含むフラグメントに対するXML署名を作成するための本発明のアプローチを示している。結果として得られるメッセージは、サーバ側で1パスストリーミング処理が可能である(後の図6参照)。署名プロセスの詳細は以下の通りである。署名されるフラグメント自体(上記の例では<m:photo>)のハッシュに加えて、同じフラグメントがバイナリコンテンツを除いてハッシュされる。したがって、以下の変換ブロックが、それぞれの署名の<ds:Transforms>エレメントに追加される。
<ds:Transform Algorithm="http://www.w3.org/2002/06/xmldsig-filter2">
<dsf:XPath Filter="intersect">
xpath-of-signed-element
</dsf:XPath>
<dsf:XPath Filter="subtract">
xpath-of-wrapping-element/*
</dsf:XPath>
</ds:Transform>
<dsf:XPath Filter="intersect">
xpath-of-signed-element
</dsf:XPath>
<dsf:XPath Filter="subtract">
xpath-of-wrapping-element/*
</dsf:XPath>
</ds:Transform>
Prefix Namespace
dsf http://www.w3.org/2002/06/xmldsig-filter2
ds http://www.w3.org/2000/09/xmldsig#
dsf http://www.w3.org/2002/06/xmldsig-filter2
ds http://www.w3.org/2000/09/xmldsig#
xpath-of-signed-elementおよびxpath-of-wrapping-elementの値は、署名されるべきエレメントおよびバイナリコンテンツ(「wrapping element」)の親エレメントを参照するXPath式によって置き換えなければならない。図4で用いた例では、いずれの式も//m:photoである。
図5は、本発明による暗号化されたMTOM SOAPメッセージを作成する方法の実施形態を例示している。この図5は、MTOMアタッチメントを含むフラグメントを暗号化するための本発明のアプローチを示している。結果として得られるメッセージは、サーバ側で1パスストリーミング処理が可能である(後の図7参照)。暗号化プロセスの詳細は以下の通りである。「元のインフォセット」からのフラグメント(上記の例では、バイナリコンテンツを含むエレメント<m:photo>)に加えて、「XOPインフォセット」からの同じフラグメント(上記の例では、XOP参照を含むエレメント<m:photo>)が暗号化される。第2の暗号化オペレーションの結果が、(base64符号化されて)暗号化プロパティとして暗号化ブロックに追加される。より正確には、以下のエレメントが<xenc:EncryptionProperties>ブロックに追加される。
<xenc:EncryptionProperty>
<nec:EncrytedBinaryWrapper>
encrypted-xop-infoset-fragment
</nec:EncrytedBinaryWrapper>
</xenc:EncryptionProperty>
<nec:EncrytedBinaryWrapper>
encrypted-xop-infoset-fragment
</nec:EncrytedBinaryWrapper>
</xenc:EncryptionProperty>
Prefix Namespace
xenc http://www.w3.Org/2001/04/xmlenc#
nec http://www.neclab.eu/2010/10/secmtom
xenc http://www.w3.Org/2001/04/xmlenc#
nec http://www.neclab.eu/2010/10/secmtom
最後に、SOAPメッセージをシリアライズする一方、<xenc:CipherValue>のコンテンツがMTOMアタッチメントとして抽出され、<nec:EncrytedBinaryWrapper>のコンテンツはXML文書内に残る。アタッチメントは大規模なバイナリアタッチメントを目的としており、ラッパは比較的小さいと想定されるので、これは、アタッチメントの基本理念に従っている。
図6は、本発明による署名されたMTOM SOAPメッセージのサーバ側処理の実施形態を例示している。この図6は、前述のアプローチ(図4参照)を用いて作成された、署名されたメッセージに対する、本発明が提案するサーバ側処理を示している。2つのハッシュ値(dig1およびdig2)の計算が、1パスストリーミング方式でそれぞれ並列に実行されることがわかる。1パスストリーミング中に、閉じラッピングエレメント(上記の例では</m:photo>エレメント)のキャッシュが実行される。しかし、ラッピングエレメントは比較的小さいという仮定に基づくと、これはほんのわずかなメモリ消費しか意味しない。
最後のSOAPメッセージエレメントを読んだ後、XOPインフォセット版のメッセージを確認することができることがわかる。
図7は、暗号化されたMTOM SOAPメッセージのサーバ側処理の実施形態を例示している。この図7は、前述のアプローチ(図5参照)を用いて作成された、暗号化されたメッセージに対する、本発明が提案するサーバ側処理を示している。XOPインフォセットの暗号化されたエレメントが作成され、ストリーミング方式でサービスアプリケーションに転送されていることがわかる。1パスストリーミング中に、ラッピングエレメントのキャッシュが実行されるが、これは、アタッチメントを復号している間にラッパを除去するために必要とされる。
最後のSOAPメッセージエレメントを読んだ後、XOPインフォセット版のメッセージが完全に復号されていることがわかる。
もちろん、署名および暗号化のための上記の本発明によるアプローチは、さまざまなアプリケーションを提供するためにシームレスに組み合わせることができる。したがって、ネストしたセキュリティメカニズムが完全にサポートされる。
本発明の効果は次の通りである。第1に、本方法によれば、完全にストリーミング方式でサーバ側メッセージ処理が可能となる。これにより、一般的に、文書ベースの方法に比べて、大幅にリソースが低減される。また、最後のSOAPエレメントを読んだ後(すなわち、アタッチメントを読む前)にSOAPメッセージは完全に復号・確認されるので、本方法によれば、例えばアタッチメントを必要としないデバイスタスクを開始するための「早期前処理」が可能となる。また、アタッチメント処理にリソースを消費せずに、不正なメッセージコールを検出・拒否することが可能となる。
本発明は、セキュリティ保護されたMTOMアタッチメントにおけるSOAPメッセージフォーマットおよび処理の拡張を提供する。セキュリティ保護されたSOAP/MTOMメッセージフォーマットのこの新規な使用法は、署名および/または暗号化されたMTOM SOAPメッセージの1パスストリーミングによるサーバ側処理を提供する。
本発明の方法の結果として、サーバ側メッセージ処理のメモリ消費および計算コストが低減される(グリーンコンピューティング)。本発明の方法は、関連する標準および従来のウェブサービスフレームワークとの完全な互換性を提供する。
上記の説明および添付図面の記載に基づいて、当業者は本発明の多くの変形例および他の実施形態に想到し得るであろう。したがって、本発明は、開示した具体的実施形態に限定されるものではなく、変形例および他の実施形態も、添付の特許請求の範囲内に含まれるものと解すべきである。本明細書では特定の用語を用いているが、それらは総称的・説明的意味でのみ用いられており、限定を目的としたものではない。
Claims (18)
- ネットワークにおけるSOAP(Simple Object Access Protocol)メッセージの処理方法において、XML(Extended Markup Language)ベースのSOAPメッセージが、バイナリコンテンツを有するフラグメントを含み、該バイナリコンテンツが、該バイナリコンテンツへの参照をSOAPメッセージ内に残してSOAPメッセージのMTOM(Message Transmission Optimization Mechanism)アタッチメント内に移動され、該アタッチメントが、署名・暗号化プロセスによって署名および/または暗号化がそれぞれ行われ、
ハッシュ手段が、署名プロセス中に、署名されるフラグメント自体のハッシュに加えて、同じフラグメントをバイナリコンテンツを除いてハッシュし、および/または、
暗号化手段が、暗号化プロセス中に、フラグメント自体の暗号化に加えて、バイナリコンテンツの代わりにバイナリコンテンツへの参照のみを含むフラグメントを暗号化する、
ことを特徴とする、ネットワークにおけるSOAPメッセージの処理方法。 - 署名および/または暗号化プロセス中に、バイナリコンテンツが、テキスト符号化形式でフラグメント内に存在することを特徴とする請求項1に記載の方法。
- バイナリコンテンツを除いて追加的にハッシュされたフラグメントに基づいて、トランスポートプロトコル内で使用するための追加ブロックが作成されることを特徴とする請求項1または2に記載の方法。
- 追加ブロックが、それぞれの署名の変換エレメントに追加される変換ブロックであることを特徴とする請求項3に記載の方法。
- バイナリコンテンツへの参照のみを含む追加的に暗号化されたフラグメントに基づいて、トランスポートプロトコル内で使用するための暗号化プロパティが作成されることを特徴とする請求項1ないし4のいずれか1項に記載の方法。
- 暗号化プロパティが、暗号化ブロックに追加されることを特徴とする請求項5に記載の方法。
- 暗号化プロパティが、テキスト符号化形式で存在することを特徴とする請求項5または6に記載の方法。
- バイナリコンテンツへの参照が、XOP(XML-binary Optimized Packaging)参照であることを特徴とする請求項1ないし7のいずれか1項に記載の方法。
- SOAPメッセージが、サーバ側1パスストリーミング処理のためにシリアライズされることを特徴とする請求項1ないし8のいずれか1項に記載の方法。
- サーバ側処理中に、ハッシュ値の計算が、並列に実行されることを特徴とする請求項9に記載の方法。
- 署名および/または暗号化プロセスのために、WSセキュリティ(Web Services Security)が使用されることを特徴とする請求項1ないし10のいずれか1項に記載の方法。
- バイナリコンテンツが、写真、医療画像またはソフトウェアバイナリであることを特徴とする請求項1ないし11のいずれか1項に記載の方法。
- XML(Extended Markup Language)ベースのSOAP(Simple Object Access Protocol)メッセージを処理可能なネットワークにおいて、SOAPメッセージが、バイナリコンテンツを有するフラグメントを含み、該バイナリコンテンツが、該バイナリコンテンツへの参照をSOAPメッセージ内に残してSOAPメッセージのMTOM(Message Transmission Optimization Mechanism)アタッチメント内に移動され、該アタッチメントが、署名・暗号化プロセスによって署名および/または暗号化がそれぞれ行われ、
署名プロセス中に、署名されるフラグメント自体のハッシュに加えて、同じフラグメントをバイナリコンテンツを除いてハッシュするハッシュ手段、および/または、暗号化プロセス中に、フラグメント自体の暗号化に加えて、バイナリコンテンツの代わりにバイナリコンテンツへの参照のみを含むフラグメントを暗号化する暗号化手段を備えたことを特徴とするネットワーク。 - 前記ネットワークはIP(Internet Protocol)ネットワークであることを特徴とする請求項1ないし12のいずれか1項に記載の方法。
- 前記ネットワークはIP(Internet Protocol)ネットワークであることを特徴とする請求項13項に記載のネットワーク。
- 前記ネットワークは、請求項1ないし12のいずれか1項に記載の方法を実行するネットワークであることを特徴とする請求項13または15に記載のネットワーク。
- 前記テキスト符号化形式はbase64符号化形式であることを特徴とする請求項2に記載の方法。
- 前記テキスト符号化形式はbase64符号化形式であることを特徴とする請求項7に記載の方法。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/EP2010/001200 WO2011103886A1 (en) | 2010-02-26 | 2010-02-26 | A method for processing a soap message within a network and a network |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2013512602A JP2013512602A (ja) | 2013-04-11 |
| JP5451897B2 true JP5451897B2 (ja) | 2014-03-26 |
Family
ID=43216478
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2012540294A Expired - Fee Related JP5451897B2 (ja) | 2010-02-26 | 2010-02-26 | ネットワークにおけるsoapメッセージの処理方法およびネットワーク |
Country Status (7)
| Country | Link |
|---|---|
| US (1) | US20120265992A1 (ja) |
| EP (1) | EP2532134B1 (ja) |
| JP (1) | JP5451897B2 (ja) |
| KR (1) | KR101430840B1 (ja) |
| CN (1) | CN102783114B (ja) |
| ES (1) | ES2424769T3 (ja) |
| WO (1) | WO2011103886A1 (ja) |
Families Citing this family (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20120069361A (ko) * | 2010-12-20 | 2012-06-28 | 한국전자통신연구원 | 네트워크 공격 관리 방법 및 시스템, 네트워크 공격 관리를 위한 네트워크 서비스 제공 장치 |
| US10015557B2 (en) | 2011-12-31 | 2018-07-03 | Intel Corporation | Content-based control system |
| EP2728083A1 (en) | 2012-11-06 | 2014-05-07 | Yesos Ibericos, S.A. | Construction element |
| CN102970378A (zh) * | 2012-12-13 | 2013-03-13 | 中国电子科技集团公司第十五研究所 | 二进制数据优化传输系统 |
| JP6471614B2 (ja) * | 2015-05-29 | 2019-02-20 | 株式会社リコー | 通信端末、通信システム、通信制御方法、及びプログラム |
| CN106534167A (zh) * | 2016-12-06 | 2017-03-22 | 郑州云海信息技术有限公司 | 一种基于xml的网络加密传输方法和系统 |
Family Cites Families (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7444675B2 (en) * | 2003-02-28 | 2008-10-28 | Hewlett-Packard Development Company, L.P. | Systems and methods for defining security information for web-services |
| US20050251676A1 (en) * | 2004-05-05 | 2005-11-10 | Intel Corporation | Method for offloading the digest portion of protocols |
| US7441185B2 (en) * | 2005-01-25 | 2008-10-21 | Microsoft Corporation | Method and system for binary serialization of documents |
| US7738887B2 (en) * | 2005-10-31 | 2010-06-15 | Microsoft Corporation | Voice instant messaging between mobile and computing devices |
| US20070115917A1 (en) * | 2005-10-31 | 2007-05-24 | Microsoft Corporation | MTOM data transfer via TCP |
| JP2007179171A (ja) * | 2005-12-27 | 2007-07-12 | Internatl Business Mach Corp <Ibm> | 秘密保持が要求されるモデル用のソフトウエア開発装置 |
| JP5108285B2 (ja) * | 2006-11-30 | 2012-12-26 | 株式会社日立製作所 | 署名方法、情報処理装置、および署名プログラム |
| JP4989259B2 (ja) * | 2007-03-06 | 2012-08-01 | 株式会社日立製作所 | 署名情報処理方法、そのプログラムおよび情報処理装置 |
| WO2009030261A1 (en) * | 2007-09-07 | 2009-03-12 | Nec Europe Ltd. | Method and system for secure web service data transfer |
| US8739180B2 (en) * | 2008-01-25 | 2014-05-27 | International Business Machines Corporation | Processing of MTOM messages |
| US8689292B2 (en) * | 2008-04-21 | 2014-04-01 | Api Technologies Corp. | Method and systems for dynamically providing communities of interest on an end user workstation |
-
2010
- 2010-02-26 ES ES10710537T patent/ES2424769T3/es active Active
- 2010-02-26 EP EP10710537.1A patent/EP2532134B1/en not_active Not-in-force
- 2010-02-26 CN CN201080064805.2A patent/CN102783114B/zh not_active Expired - Fee Related
- 2010-02-26 WO PCT/EP2010/001200 patent/WO2011103886A1/en active Application Filing
- 2010-02-26 US US13/517,168 patent/US20120265992A1/en not_active Abandoned
- 2010-02-26 KR KR1020127012964A patent/KR101430840B1/ko not_active IP Right Cessation
- 2010-02-26 JP JP2012540294A patent/JP5451897B2/ja not_active Expired - Fee Related
Also Published As
| Publication number | Publication date |
|---|---|
| KR20120082461A (ko) | 2012-07-23 |
| CN102783114B (zh) | 2015-09-23 |
| EP2532134A1 (en) | 2012-12-12 |
| US20120265992A1 (en) | 2012-10-18 |
| KR101430840B1 (ko) | 2014-08-18 |
| CN102783114A (zh) | 2012-11-14 |
| EP2532134B1 (en) | 2013-06-12 |
| ES2424769T3 (es) | 2013-10-08 |
| JP2013512602A (ja) | 2013-04-11 |
| WO2011103886A1 (en) | 2011-09-01 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US20210273816A1 (en) | Validating Authenticity of Electronic Documents Shared via Computer Networks | |
| JP5451897B2 (ja) | ネットワークにおけるsoapメッセージの処理方法およびネットワーク | |
| US9549022B2 (en) | Proxy server with byte-based include interpreter | |
| US11153365B2 (en) | Transfer of files with arrays of strings in soap messages | |
| JP6236435B2 (ja) | 非同期データ・ディクショナリを使用した、マルチテナント共有インフラストラクチャにおけるストリームベースのデータ重複排除 | |
| WO2013059545A1 (en) | System and method for transporting files between networked or connected systems and devices | |
| US20100185862A1 (en) | Method and System for Encrypting JavaScript Object Notation (JSON) Messages | |
| US20080235258A1 (en) | Method and Apparatus for Processing Extensible Markup Language Security Messages Using Delta Parsing Technology | |
| Wen et al. | Two Zero-Watermark methods for XML documents | |
| Sutter et al. | Blast: A binary large structured transmission format for the web | |
| JP2010538377A (ja) | 安全なウェブサービスデータ転送のための方法及びシステム | |
| EP3166277A1 (en) | Bit-aligned header compression for ccn messages using dictionary | |
| Sinha et al. | A formal solution to rewriting attacks on SOAP messages | |
| CN108563396A (zh) | 一种安全的云端对象存储方法 | |
| Makino et al. | Improving WS-Security performance with a template-based approach | |
| Islam et al. | An approach to security for unstructured big data | |
| JP5511270B2 (ja) | 情報処理装置、及び情報処理方法 | |
| Gruschka et al. | Server-side streaming processing of secured MTOM attachments | |
| Mhatre et al. | Implementation of file transfer using message transmission optimization mechanism (MTOM) | |
| Radwan et al. | XPRIDE: policy-driven Web services security based on XML content | |
| Nakayama et al. | Processing methods for partially encrypted data in multihop Web services |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20130710 |
|
| A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20131009 |
|
| A602 | Written permission of extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A602 Effective date: 20131017 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20131107 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20131205 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20131226 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 5451897 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| S111 | Request for change of ownership or part of ownership |
Free format text: JAPANESE INTERMEDIATE CODE: R313113 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
| LAPS | Cancellation because of no payment of annual fees |