ネットワークにおけるSOAPメッセージの処理方法およびネットワーク
署名および/または暗号化されたMTOMアタッチメントを有するXML(Extended Markup Language)ベースのSOAP(Simple Object Access Protocol)メッセージの1パスストリーミング処理を簡単な形で可能にするため、ネットワーク、特にIP(Internet Protocol)ネットワークにおけるSOAPメッセージの処理方法を提供する。SOAPメッセージは、バイナリコンテンツを有するフラグメントを含み、該バイナリコンテンツが、該バイナリコンテンツへの参照をSOAPメッセージ内に残してSOAPメッセージのMTOM(Message Transmission Optimization Mechanism)アタッチメント内に移動され、該アタッチメントが、署名・暗号化プロセスによって署名および/または暗号化がそれぞれ行われる。本方法は、署名プロセス中に、署名されるフラグメント自体のハッシュに加えて、同じフラグメントがバイナリコンテンツを除いてハッシュされ、および/または、暗号化プロセス中に、フラグメント自体の暗号化に加えて、バイナリコンテンツの代わりにバイナリコンテンツへの参照のみを含むフラグメントが暗号化されることを特徴とする。また、好ましくは上記方法を実行する、対応するネットワークが提供される。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、ネットワーク、特にIP(Internet Protocol)ネットワークにおけるSOAP(Simple Object Access Protocol)メッセージの処理方法に関する。XML(Extended Markup Language)ベースのSOAPメッセージが、バイナリコンテンツを有するフラグメントを含む。該バイナリコンテンツが、該バイナリコンテンツへの参照をSOAPメッセージ内に残してSOAPメッセージのMTOM(Message Transmission Optimization Mechanism)アタッチメント内に移動される。該アタッチメントは、署名・暗号化プロセスによって署名および/または暗号化がそれぞれ行われる。また、本発明は、SOAP(Simple Object Access Protocol)メッセージを処理可能なネットワーク、特にIP(Internet Protocol)ネットワークに関する。XML(Extended Markup Language)ベースのSOAPメッセージが、バイナリコンテンツを有するフラグメントを含む。該バイナリコンテンツが、該バイナリコンテンツへの参照をSOAPメッセージ内に残してSOAPメッセージのMTOM(Message Transmission Optimization Mechanism)アタッチメント内に移動される。該アタッチメントは、署名・暗号化プロセスによって署名および/または暗号化がそれぞれ行われる。
【背景技術】
【0002】
XMLメッセージの処理がバイナリメッセージフォーマットに比べて非常にリソースを消費することは周知の事実である。この性質は、メッセージまたはメッセージ部分がXMLセキュリティ手段(XML署名、XML暗号化)を用いて署名または暗号化される場合に不利である。もちろん、上記のことはSOAPメッセージにも当てはまる。というのは、SOAPはXMLベースであり、使用されるセキュリティ手段、すなわちWSセキュリティ(Web Services Security)はXMLセキュリティに基づいているからである。このため、ウェブサービスフレームワーク開発者は数年来、メッセージ処理フローの最適化に取り組んでいる。1つの有望なアプローチは、ストリーミング処理パラダイムである。これは、セキュリティ保護されてないメッセージについては、例えばウェブサービスフレームワークApache Axis2ですでに採用されており、セキュリティ保護されているメッセージについては、最初の成果が現れている。
【0003】
現在の技術、特にXML暗号化および署名の手続きならびに対応するメッセージのストリーミング処理に関する情報を提供する文書は以下の通りである。
1.非特許文献1
2.非特許文献2
3.非特許文献3
4.非特許文献4
5.非特許文献5
6.非特許文献6
7.非特許文献7
【0004】
SOAPメッセージ処理の基本的問題は、その高いリソース消費である。リソース消費は、メッセージ部分が暗号化または署名されているときにはさらに高くなる。ストリーミングメッセージ処理は、リソース消費を低減する1つの方法である。しかし、セキュリティ保護されているMTOMアタッチメントは、ネットワークストリームからのストリーミング1パス処理を妨げる。
【0005】
より正確には、SOAPメッセージが、(1)MTOMアタッチメントを使用し、(2)このアタッチメントのうちの1つ以上がWSセキュリティを用いてセキュリティ保護されている場合、ストリーミングメッセージ処理は今のところ実現可能でない。その理由を以下で説明する。アタッチメントとしてトランスポートされるべきSOAP文書のバイナリ部分はMTOM参照によって置き換えられる。ネットワーク上には、まずこのSOAP文書が送信され、次にバイナリ部分がMTOMアタッチメントとして送信される。しかし、アタッチメントは参照位置においてSOAPメッセージ内に仮想的に埋め込まれている。SOAP文書に対するいくつかの代表的なオペレーション(文書サブツリーの抽出または移動等)の場合、この性質は無視することができる。しかし、他のいくつかのオペレーション(署名検証や暗号化されたコンテンツの復号のためのハッシュ値計算等)の場合、SOAPメッセージ内の参照を処理する時点で、アタッチメントを全部読まなければならない。したがって、この場合、メッセージの1パスストリーミング処理は破綻する。
【先行技術文献】
【非特許文献】
【0006】
【非特許文献1】Bartel, Mark, Boyer, John, Fox, Barb, LaMacchia, Brian, and Simon, Ed: XML Signature Syntax and Processing, W3C Recommendation, 2002.
【非特許文献2】Imamura, Takeshi, Dillaway, Blair, and Simon, Ed: XML Encryption Syntax and Processing, W3C Recommendation, 2002.
【非特許文献3】Gudgin, Martin, Mendelsohn, Noah, Nottingham, Mark, and Ruellan, Herve: SOAP Message Transmission Optimization Mechanism, W3C Recommendation, 2005.
【非特許文献4】Gruschka, Nils, Luttenberger, Norbert, and Herkenhoner, Ralph: Event-based SOAP Message Validation for WS-SecurityPolicy-enriched Web Services, Proceedings of the 2006 International Conference on Semantic Web & Web Services, 2006.
【非特許文献5】Govindaraju, Madhusudhan, Slominski, Aleksander, Chiu, Kenneth, Liu, Pu, van Engelen, Robert, and Lewis, Michael J.: Toward Characterizing the Performance of SOAP Toolkits, Proceedings of the Fifth IEEE/ACM International Workshop on Grid Computing (GRID'04), IEEE Computer Society, 365-372, 2004.
【非特許文献6】Lu, Wei, Chiu, Kenneth, Slominski, Aleksander, and Gannon, Dennis: A Streaming Validation Model for SOAP Digital Signature, In The 14th IEEE International Symposium on High Performance Distributed Computing (HPDC-14), 2005.
【非特許文献7】Imamura, Takeshi, Clark, Andy, and Maruyama, Hiroshi: A stream-based implementation of XML Encryption, XMLSEC '02: Proceedings of the 2002 ACM workshop on XML security, ACM Press, 11-17, 2002.
【発明の概要】
【発明が解決しようとする課題】
【0007】
本発明の目的は、ネットワークにおけるSOAPメッセージの処理方法および対応するネットワークにおいて、署名および/または暗号化されたMTOMアタッチメントを有するSOAPメッセージのストリーミング処理を簡単な形で可能にするような改良およびさらなる展開を行うことである。
【課題を解決するための手段】
【0008】
本発明によれば、上記の目的は、請求項1の構成を備えた方法および請求項13の構成を備えたネットワークによって達成される。
【0009】
請求項1に記載の通り、本方法は、署名プロセス中に、署名されるフラグメント自体のハッシュに加えて、同じフラグメントがバイナリコンテンツを除いてハッシュされ、および/または、暗号化プロセス中に、フラグメント自体の暗号化に加えて、バイナリコンテンツの代わりにバイナリコンテンツへの参照のみを含むフラグメントが暗号化されることを特徴とする。
【0010】
請求項13に記載の通り、本ネットワークは、署名プロセス中に、署名されるフラグメント自体のハッシュに加えて、同じフラグメントがバイナリコンテンツを除いてハッシュされることが可能であるように構成されたハッシュ手段、および/または、暗号化プロセス中に、フラグメント自体の暗号化に加えて、バイナリコンテンツの代わりにバイナリコンテンツへの参照のみを含むフラグメントが暗号化されることが可能であるように構成された暗号化手段を備えたことを特徴とする。
【0011】
本発明によって認識されたこととして、出力SOAPメッセージに署名および/または暗号化されたアタッチメントに関する追加情報を単に追加することによって、署名および/または暗号化されたMTOMアタッチメントを有するSOAPメッセージのストリーミング処理が可能となる。具体的には、署名プロセス中に、署名されるフラグメント自体のハッシュに加えて、同じフラグメントがバイナリコンテンツを除いてハッシュされ、適当な形でSOAPメッセージに追加されることが可能である。同様に、暗号化プロセス中に、フラグメント自体の暗号化に加えて、バイナリコンテンツの代わりにバイナリコンテンツへの参照のみを含むフラグメントが暗号化される。この追加情報は、出力SOAPメッセージに追加されることが可能である。サーバ側でのSOAPメッセージの処理中には、出力SOAPメッセージに追加された追加部分に基づいて、署名および/または暗号化されたMTOMアタッチメントを有するSOAPメッセージの1パスストリーミング処理が可能となる。
【0012】
好ましくは、署名および/または暗号化プロセス中に、バイナリコンテンツは、テキスト符号化形式、好ましくはbase64符号化形式でフラグメント内に存在してもよい。このようなテキスト符号化形式に基づいて、通常の署名および暗号化技術が、署名および/または暗号化プロセス中に使用可能である。
【0013】
本発明の方法において、特に署名プロセス中に、バイナリコンテンツを除いて追加的にハッシュされたフラグメントに基づいて、トランスポートプロトコル内で使用するための追加ブロックを作成してもよい。好ましくは、このような追加ブロックは、それぞれの署名の変換エレメントに追加することが可能な変換ブロックであってもよい。上記のステップに基づいて、通常のSOAPメッセージへの簡単な拡張により、SOAPメッセージの1パスストリーミング処理が可能となる。
【0014】
本発明のさらに好ましい実施形態に関して、バイナリコンテンツへの参照のみを含む追加的に暗号化されたフラグメントに基づいて、トランスポートプロトコル内で使用するための暗号化プロパティを作成してもよい。このような暗号化プロパティは、メッセージ処理のためにサーバ側で1パスストリーミングを行うための暗号化ブロックに単に追加されてもよい。
【0015】
好ましくは、暗号化プロパティは、テキスト符号化形式、好ましくはbase64符号化形式で存在してもよい。これにより、通常の暗号化技術が、本発明の方法において使用可能である。
【0016】
非常に簡単で効果的な方法に関して、バイナリコンテンツへの参照は、XOP(XML-binary Optimized Packaging)参照であってもよい。このようなXOP参照は、元のメッセージ内に参照部分のみを残してメッセージの外部へバイナリコンテンツを移動する可能性を提供することができる。
【0017】
非常に効果的な1パスストリーミング処理に関して、SOAPメッセージは、サーバ側1パスストリーミング処理のためにシリアライズされてもよい。
【0018】
SOAPメッセージの非常に効果的な処理に関して、サーバ側処理中に、ハッシュ値の計算は、1パスストリーミング方式でそれぞれ並列に実行されてもよい。
【0019】
非常に簡単で確実な方法を提供するため、署名および/または暗号化プロセスのためにWSセキュリティ(Web Services Security)を使用してもよい。これにより、上記の方法を単純化するために既知の署名および/または暗号化技術の使用が可能となる。
【0020】
フラグメント内のバイナリコンテンツの種類はいかなる特定のアプリケーションにも限定されない。好ましい実施形態において、バイナリコンテンツは、写真、医療画像またはソフトウェアバイナリであってもよい。
【0021】
本発明は、現在のウェブサービスセキュリティ仕様およびメッセージ処理方法への拡張を導入することにより、上記の問題を克服して、暗号化および/または署名されたMTOMアタッチメントを有するSOAPメッセージのストリーミング処理を可能にする。より詳細には、本発明は、ウェブサービスセキュリティ仕様のXML署名およびXML暗号化に対する拡張を規定する。これらの拡張は、本発明で規定されるメカニズムをサポートするウェブサービスクライアントによって、出力SOAPメッセージに追加され、署名または暗号化されたアタッチメントに関する追加情報を含む。本発明で規定されるメカニズムをサポートするウェブサービスサーバは、これらの拡張を用いて、1パスストリーミング方式でこのメッセージを効率的に処理することができる。これにより、サーバ側でパフォーマンスが向上し、リソース消費が低減される。しかし、標準化されたメッセージフォーマットは変更されないので、SOAPメッセージ内の署名および暗号化は、本発明で規定されるメカニズムをサポートしないウェブサービスサーバによっても依然として処理可能である。
【0022】
本発明は、MTOMアタッチメントに関連してSOAPセキュリティに対する拡張を提供する。アタッチメントを含むSOAPメッセージ全体の1パスサーバ側ストリーミング処理が提供される。その結果、ウェブサービスサーバのパフォーマンスが向上し、リソース消費が低減される。現在の標準およびフレームワークとの完全な下位互換性がある。
【0023】
本発明を好ましい態様で実施するにはいくつもの可能性がある。このためには、一方で請求項1に従属する諸請求項を参照しつつ、他方で図面により例示された本発明の好ましい実施形態についての以下の説明を参照されたい。図面を用いて本発明の好ましい実施形態を説明する際には、本発明の教示による好ましい実施形態一般およびその変形例について説明する。
【図面の簡単な説明】
【0024】
【図1】MTOM SOAPメッセージの標準フォーマットおよびシリアライゼーションを例示する図である。
【図2】署名されたMTOM SOAPメッセージの標準フォーマット、処理およびシリアライゼーションを例示する図である。
【図3】暗号化されたMTOM SOAPメッセージの標準フォーマット、処理およびシリアライゼーションを例示する図である。
【図4】本発明による署名されたMTOM SOAPメッセージを作成する実施形態を例示する図である。
【図5】本発明による暗号化されたMTOM SOAPメッセージを作成する実施形態を例示する図である。
【図6】本発明による署名されたMTOM SOAPメッセージのサーバ側処理の実施形態を例示する図である。
【図7】本発明による暗号化されたMTOM SOAPメッセージのサーバ側処理の実施形態を例示する図である。
【発明を実施するための形態】
【0025】
以下、図1〜図7を用いて、本発明およびその実施形態を説明する。図1〜図3は、セキュリティ保護および暗号化されたMTOMメッセージを作成する標準的アプローチを示す。図4〜図7は、本発明の方法を示す。
【0026】
図1は、MTOM SOAPメッセージの標準フォーマットおよびシリアライゼーションを例示している。この図1は、MTOMアタッチメントがどのように作成されるかを例示している。左側には、バイナリコンテンツを有するSOAPメッセージフラグメントを示している。バイナリコンテンツは、ここでは写真(photo)である。XMLはテキストフォーマットであるので、バイナリコンテンツはテキスト符号化形式でのみトランスポート可能である。このための最も一般的な形式はbase64符号化である。バイナリコンテンツ(特に、大規模な)のこの種の処理はいくつかの問題を生じる。主として、base64の使用は、メモリおよびネットワークでのスペース消費を増大させる(33%)。さらに、大規模なSOAP文書の処理は、より困難でリソースを消費する。これらの問題を克服するため、従来、SOAPメッセージからこれらの論理的な「外部文書部分」を取り出し、それらの部分をアタッチメントとしてトランスポートするいくつかの可能性が公開されている。これらのうち、MTOMは、例えばSwA(SOAP with Attachments)のいくつかの欠点を除去しているので、最良のアプローチとみなされている。
【0027】
図1に示すように、MTOMは、メモリ内にメッセージを格納するために、いわゆるXOPインフォセット(XOP infoset)を使用する。これにより、バイナリデータ(ここでは写真)が、SOAPメッセージの外部に元の形式で保持され、SOAPメッセージはバイナリファイルへの参照(<xop:Include>)のみを含む。
【0028】
最後に、図の右側には、XOPインフォセットがネットワーク上でどのようにトランスポートされるかを示している。シリアライズされたXML部分およびバイナリ部分が、トランスポートプロトコル(通常、HTTP(HyperText Transfer Protocol))内の別個のMIME(Multipurpose Internet Mail Extensions)ブロックとしてトランスポートされる。このようにして、バイナリ部分はそのまま(符号化されずに)、SOAPメッセージへのアタッチメントとしてトランスポート可能である。
【0029】
図2は、署名されたMTOM SOAPメッセージの標準フォーマット、処理およびシリアライゼーションを例示している。図2は、MTOM対応SOAPメッセージに対する署名作成プロセスを示している。XOPインフォセットの重要な性質は、<xop:Include>参照が「値渡し」参照であることである。すなわち、すべてのオペレーションは、XML文書を、その文書内に埋め込まれたバイナリコンテンツとともに処理しなければならない。いくつかのオペレーション(例えば<m:photo>ノードの移動)の場合には、これは考慮する必要がない。というのは、その場合、XOPインフォセットに対する作用と元のインフォセットに対する作用は等価であるからである。しかし、署名オペレーションは、署名されるノードのコンテンツ全体を読んでハッシュすることを必要とするので、この性質に従わなければならない。
【0030】
そこで、図2に示すように、MTOMアタッチメントを含むノードに署名する前に、アタッチメントをXML文書に埋め込まなければならない。これは実際には、元のインフォセットを再構成することになる。その後、base64符号化されたバイナリアタッチメントををハッシュすることを含めて、ノードに署名することができる。署名計算後、XOP部分を復元し(図2には示していない)、バイナリ部分を再びアタッチメントとしてトランスポートすることができる。
【0031】
このようなシリアライゼーションがサーバ側で処理される場合、これを1パスストリーミング方式で行うことはできない。<m:photo>ノードを処理した後、ハッシュ計算が実行可能となるようにアタッチメントを完全に受信するまで、ハッシュ計算を一時停止しなければならない。これは、SOAP処理を妨げる挙動となる。
【0032】
図3は、暗号化されたMTOM SOAPメッセージの標準フォーマット、処理およびシリアライゼーションを例示している。この図は、MTOMアタッチメントを含むSOAPメッセージフラグメントを暗号化する方法を例示している。この場合も、暗号化オペレーションを適用する前に、アタッチメントをXML文書内に再埋め込み(およびbase64符号化)しなければならない。暗号化後、XML暗号化ブロックが、暗号化されたブロック(上記の例では、<m:photo>エレメント)を置き換える。この暗号化ブロックは、再び、(base64符号化された)バイナリコンテンツノード、すなわち、<xenc:CipherData>エレメントのコンテンツを含む。その後、このバイナリコンテンツは、XML文書から抽出され、MTOMアタッチメントとしてシリアライズされることが可能である。なお、署名作成とは異なり、暗号化されたメッセージのアタッチメントは、暗号化されていないメッセージにおけるものと同一でないことに注意しなければならない。
【0033】
暗号化されていないXML文書の部分(ここでは<m:photo>ラッパ)は暗号化プロセスによってアタッチメントに移動されているので、この場合も、サーバ側での処理すなわち復号は、1パスストリーミング方式で実行することはできない。
【0034】
図4は、本発明による署名されたMTOM SOAPメッセージを作成する方法の実施形態を例示している。この図4は、MTOMアタッチメントを含むフラグメントに対するXML署名を作成するための本発明のアプローチを示している。結果として得られるメッセージは、サーバ側で1パスストリーミング処理が可能である(後の図6参照)。署名プロセスの詳細は以下の通りである。署名されるフラグメント自体(上記の例では<m:photo>)のハッシュに加えて、同じフラグメントがバイナリコンテンツを除いてハッシュされる。したがって、以下の変換ブロックが、それぞれの署名の<ds:Transforms>エレメントに追加される。
【0035】
<ds:Transform Algorithm="http://www.w3.org/2002/06/xmldsig-filter2">
<dsf:XPath Filter="intersect">
xpath-of-signed-element
</dsf:XPath>
<dsf:XPath Filter="subtract">
xpath-of-wrapping-element/*
</dsf:XPath>
</ds:Transform>
【0036】
Prefix Namespace
dsf http://www.w3.org/2002/06/xmldsig-filter2
ds http://www.w3.org/2000/09/xmldsig#
【0037】
xpath-of-signed-elementおよびxpath-of-wrapping-elementの値は、署名されるべきエレメントおよびバイナリコンテンツ(「wrapping element」)の親エレメントを参照するXPath式によって置き換えなければならない。図4で用いた例では、いずれの式も//m:photoである。
【0038】
図5は、本発明による暗号化されたMTOM SOAPメッセージを作成する方法の実施形態を例示している。この図5は、MTOMアタッチメントを含むフラグメントを暗号化するための本発明のアプローチを示している。結果として得られるメッセージは、サーバ側で1パスストリーミング処理が可能である(後の図7参照)。暗号化プロセスの詳細は以下の通りである。「元のインフォセット」からのフラグメント(上記の例では、バイナリコンテンツを含むエレメント<m:photo>)に加えて、「XOPインフォセット」からの同じフラグメント(上記の例では、XOP参照を含むエレメント<m:photo>)が暗号化される。第2の暗号化オペレーションの結果が、(base64符号化されて)暗号化プロパティとして暗号化ブロックに追加される。より正確には、以下のエレメントが<xenc:EncryptionProperties>ブロックに追加される。
【0039】
<xenc:EncryptionProperty>
<nec:EncrytedBinaryWrapper>
encrypted-xop-infoset-fragment
</nec:EncrytedBinaryWrapper>
</xenc:EncryptionProperty>
【0040】
Prefix Namespace
xenc http://www.w3.Org/2001/04/xmlenc#
nec http://www.neclab.eu/2010/10/secmtom
【0041】
最後に、SOAPメッセージをシリアライズする一方、<xenc:CipherValue>のコンテンツがMTOMアタッチメントとして抽出され、<nec:EncrytedBinaryWrapper>のコンテンツはXML文書内に残る。アタッチメントは大規模なバイナリアタッチメントを目的としており、ラッパは比較的小さいと想定されるので、これは、アタッチメントの基本理念に従っている。
【0042】
図6は、本発明による署名されたMTOM SOAPメッセージのサーバ側処理の実施形態を例示している。この図6は、前述のアプローチ(図4参照)を用いて作成された、署名されたメッセージに対する、本発明が提案するサーバ側処理を示している。2つのハッシュ値(dig1およびdig2)の計算が、1パスストリーミング方式でそれぞれ並列に実行されることがわかる。1パスストリーミング中に、閉じラッピングエレメント(上記の例では</m:photo>エレメント)のキャッシュが実行される。しかし、ラッピングエレメントは比較的小さいという仮定に基づくと、これはほんのわずかなメモリ消費しか意味しない。
【0043】
最後のSOAPメッセージエレメントを読んだ後、XOPインフォセット版のメッセージを確認することができることがわかる。
【0044】
図7は、暗号化されたMTOM SOAPメッセージのサーバ側処理の実施形態を例示している。この図7は、前述のアプローチ(図5参照)を用いて作成された、暗号化されたメッセージに対する、本発明が提案するサーバ側処理を示している。XOPインフォセットの暗号化されたエレメントが作成され、ストリーミング方式でサービスアプリケーションに転送されていることがわかる。1パスストリーミング中に、ラッピングエレメントのキャッシュが実行されるが、これは、アタッチメントを復号している間にラッパを除去するために必要とされる。
【0045】
最後のSOAPメッセージエレメントを読んだ後、XOPインフォセット版のメッセージが完全に復号されていることがわかる。
【0046】
もちろん、署名および暗号化のための上記の本発明によるアプローチは、さまざまなアプリケーションを提供するためにシームレスに組み合わせることができる。したがって、ネストしたセキュリティメカニズムが完全にサポートされる。
【0047】
本発明の効果は次の通りである。第1に、本方法によれば、完全にストリーミング方式でサーバ側メッセージ処理が可能となる。これにより、一般的に、文書ベースの方法に比べて、大幅にリソースが低減される。また、最後のSOAPエレメントを読んだ後(すなわち、アタッチメントを読む前)にSOAPメッセージは完全に復号・確認されるので、本方法によれば、例えばアタッチメントを必要としないデバイスタスクを開始するための「早期前処理」が可能となる。また、アタッチメント処理にリソースを消費せずに、不正なメッセージコールを検出・拒否することが可能となる。
【0048】
本発明は、セキュリティ保護されたMTOMアタッチメントにおけるSOAPメッセージフォーマットおよび処理の拡張を提供する。セキュリティ保護されたSOAP/MTOMメッセージフォーマットのこの新規な使用法は、署名および/または暗号化されたMTOM SOAPメッセージの1パスストリーミングによるサーバ側処理を提供する。
【0049】
本発明の方法の結果として、サーバ側メッセージ処理のメモリ消費および計算コストが低減される(グリーンコンピューティング)。本発明の方法は、関連する標準および従来のウェブサービスフレームワークとの完全な互換性を提供する。
【0050】
上記の説明および添付図面の記載に基づいて、当業者は本発明の多くの変形例および他の実施形態に想到し得るであろう。したがって、本発明は、開示した具体的実施形態に限定されるものではなく、変形例および他の実施形態も、添付の特許請求の範囲内に含まれるものと解すべきである。本明細書では特定の用語を用いているが、それらは総称的・説明的意味でのみ用いられており、限定を目的としたものではない。
【技術分野】
【0001】
本発明は、ネットワーク、特にIP(Internet Protocol)ネットワークにおけるSOAP(Simple Object Access Protocol)メッセージの処理方法に関する。XML(Extended Markup Language)ベースのSOAPメッセージが、バイナリコンテンツを有するフラグメントを含む。該バイナリコンテンツが、該バイナリコンテンツへの参照をSOAPメッセージ内に残してSOAPメッセージのMTOM(Message Transmission Optimization Mechanism)アタッチメント内に移動される。該アタッチメントは、署名・暗号化プロセスによって署名および/または暗号化がそれぞれ行われる。また、本発明は、SOAP(Simple Object Access Protocol)メッセージを処理可能なネットワーク、特にIP(Internet Protocol)ネットワークに関する。XML(Extended Markup Language)ベースのSOAPメッセージが、バイナリコンテンツを有するフラグメントを含む。該バイナリコンテンツが、該バイナリコンテンツへの参照をSOAPメッセージ内に残してSOAPメッセージのMTOM(Message Transmission Optimization Mechanism)アタッチメント内に移動される。該アタッチメントは、署名・暗号化プロセスによって署名および/または暗号化がそれぞれ行われる。
【背景技術】
【0002】
XMLメッセージの処理がバイナリメッセージフォーマットに比べて非常にリソースを消費することは周知の事実である。この性質は、メッセージまたはメッセージ部分がXMLセキュリティ手段(XML署名、XML暗号化)を用いて署名または暗号化される場合に不利である。もちろん、上記のことはSOAPメッセージにも当てはまる。というのは、SOAPはXMLベースであり、使用されるセキュリティ手段、すなわちWSセキュリティ(Web Services Security)はXMLセキュリティに基づいているからである。このため、ウェブサービスフレームワーク開発者は数年来、メッセージ処理フローの最適化に取り組んでいる。1つの有望なアプローチは、ストリーミング処理パラダイムである。これは、セキュリティ保護されてないメッセージについては、例えばウェブサービスフレームワークApache Axis2ですでに採用されており、セキュリティ保護されているメッセージについては、最初の成果が現れている。
【0003】
現在の技術、特にXML暗号化および署名の手続きならびに対応するメッセージのストリーミング処理に関する情報を提供する文書は以下の通りである。
1.非特許文献1
2.非特許文献2
3.非特許文献3
4.非特許文献4
5.非特許文献5
6.非特許文献6
7.非特許文献7
【0004】
SOAPメッセージ処理の基本的問題は、その高いリソース消費である。リソース消費は、メッセージ部分が暗号化または署名されているときにはさらに高くなる。ストリーミングメッセージ処理は、リソース消費を低減する1つの方法である。しかし、セキュリティ保護されているMTOMアタッチメントは、ネットワークストリームからのストリーミング1パス処理を妨げる。
【0005】
より正確には、SOAPメッセージが、(1)MTOMアタッチメントを使用し、(2)このアタッチメントのうちの1つ以上がWSセキュリティを用いてセキュリティ保護されている場合、ストリーミングメッセージ処理は今のところ実現可能でない。その理由を以下で説明する。アタッチメントとしてトランスポートされるべきSOAP文書のバイナリ部分はMTOM参照によって置き換えられる。ネットワーク上には、まずこのSOAP文書が送信され、次にバイナリ部分がMTOMアタッチメントとして送信される。しかし、アタッチメントは参照位置においてSOAPメッセージ内に仮想的に埋め込まれている。SOAP文書に対するいくつかの代表的なオペレーション(文書サブツリーの抽出または移動等)の場合、この性質は無視することができる。しかし、他のいくつかのオペレーション(署名検証や暗号化されたコンテンツの復号のためのハッシュ値計算等)の場合、SOAPメッセージ内の参照を処理する時点で、アタッチメントを全部読まなければならない。したがって、この場合、メッセージの1パスストリーミング処理は破綻する。
【先行技術文献】
【非特許文献】
【0006】
【非特許文献1】Bartel, Mark, Boyer, John, Fox, Barb, LaMacchia, Brian, and Simon, Ed: XML Signature Syntax and Processing, W3C Recommendation, 2002.
【非特許文献2】Imamura, Takeshi, Dillaway, Blair, and Simon, Ed: XML Encryption Syntax and Processing, W3C Recommendation, 2002.
【非特許文献3】Gudgin, Martin, Mendelsohn, Noah, Nottingham, Mark, and Ruellan, Herve: SOAP Message Transmission Optimization Mechanism, W3C Recommendation, 2005.
【非特許文献4】Gruschka, Nils, Luttenberger, Norbert, and Herkenhoner, Ralph: Event-based SOAP Message Validation for WS-SecurityPolicy-enriched Web Services, Proceedings of the 2006 International Conference on Semantic Web & Web Services, 2006.
【非特許文献5】Govindaraju, Madhusudhan, Slominski, Aleksander, Chiu, Kenneth, Liu, Pu, van Engelen, Robert, and Lewis, Michael J.: Toward Characterizing the Performance of SOAP Toolkits, Proceedings of the Fifth IEEE/ACM International Workshop on Grid Computing (GRID'04), IEEE Computer Society, 365-372, 2004.
【非特許文献6】Lu, Wei, Chiu, Kenneth, Slominski, Aleksander, and Gannon, Dennis: A Streaming Validation Model for SOAP Digital Signature, In The 14th IEEE International Symposium on High Performance Distributed Computing (HPDC-14), 2005.
【非特許文献7】Imamura, Takeshi, Clark, Andy, and Maruyama, Hiroshi: A stream-based implementation of XML Encryption, XMLSEC '02: Proceedings of the 2002 ACM workshop on XML security, ACM Press, 11-17, 2002.
【発明の概要】
【発明が解決しようとする課題】
【0007】
本発明の目的は、ネットワークにおけるSOAPメッセージの処理方法および対応するネットワークにおいて、署名および/または暗号化されたMTOMアタッチメントを有するSOAPメッセージのストリーミング処理を簡単な形で可能にするような改良およびさらなる展開を行うことである。
【課題を解決するための手段】
【0008】
本発明によれば、上記の目的は、請求項1の構成を備えた方法および請求項13の構成を備えたネットワークによって達成される。
【0009】
請求項1に記載の通り、本方法は、署名プロセス中に、署名されるフラグメント自体のハッシュに加えて、同じフラグメントがバイナリコンテンツを除いてハッシュされ、および/または、暗号化プロセス中に、フラグメント自体の暗号化に加えて、バイナリコンテンツの代わりにバイナリコンテンツへの参照のみを含むフラグメントが暗号化されることを特徴とする。
【0010】
請求項13に記載の通り、本ネットワークは、署名プロセス中に、署名されるフラグメント自体のハッシュに加えて、同じフラグメントがバイナリコンテンツを除いてハッシュされることが可能であるように構成されたハッシュ手段、および/または、暗号化プロセス中に、フラグメント自体の暗号化に加えて、バイナリコンテンツの代わりにバイナリコンテンツへの参照のみを含むフラグメントが暗号化されることが可能であるように構成された暗号化手段を備えたことを特徴とする。
【0011】
本発明によって認識されたこととして、出力SOAPメッセージに署名および/または暗号化されたアタッチメントに関する追加情報を単に追加することによって、署名および/または暗号化されたMTOMアタッチメントを有するSOAPメッセージのストリーミング処理が可能となる。具体的には、署名プロセス中に、署名されるフラグメント自体のハッシュに加えて、同じフラグメントがバイナリコンテンツを除いてハッシュされ、適当な形でSOAPメッセージに追加されることが可能である。同様に、暗号化プロセス中に、フラグメント自体の暗号化に加えて、バイナリコンテンツの代わりにバイナリコンテンツへの参照のみを含むフラグメントが暗号化される。この追加情報は、出力SOAPメッセージに追加されることが可能である。サーバ側でのSOAPメッセージの処理中には、出力SOAPメッセージに追加された追加部分に基づいて、署名および/または暗号化されたMTOMアタッチメントを有するSOAPメッセージの1パスストリーミング処理が可能となる。
【0012】
好ましくは、署名および/または暗号化プロセス中に、バイナリコンテンツは、テキスト符号化形式、好ましくはbase64符号化形式でフラグメント内に存在してもよい。このようなテキスト符号化形式に基づいて、通常の署名および暗号化技術が、署名および/または暗号化プロセス中に使用可能である。
【0013】
本発明の方法において、特に署名プロセス中に、バイナリコンテンツを除いて追加的にハッシュされたフラグメントに基づいて、トランスポートプロトコル内で使用するための追加ブロックを作成してもよい。好ましくは、このような追加ブロックは、それぞれの署名の変換エレメントに追加することが可能な変換ブロックであってもよい。上記のステップに基づいて、通常のSOAPメッセージへの簡単な拡張により、SOAPメッセージの1パスストリーミング処理が可能となる。
【0014】
本発明のさらに好ましい実施形態に関して、バイナリコンテンツへの参照のみを含む追加的に暗号化されたフラグメントに基づいて、トランスポートプロトコル内で使用するための暗号化プロパティを作成してもよい。このような暗号化プロパティは、メッセージ処理のためにサーバ側で1パスストリーミングを行うための暗号化ブロックに単に追加されてもよい。
【0015】
好ましくは、暗号化プロパティは、テキスト符号化形式、好ましくはbase64符号化形式で存在してもよい。これにより、通常の暗号化技術が、本発明の方法において使用可能である。
【0016】
非常に簡単で効果的な方法に関して、バイナリコンテンツへの参照は、XOP(XML-binary Optimized Packaging)参照であってもよい。このようなXOP参照は、元のメッセージ内に参照部分のみを残してメッセージの外部へバイナリコンテンツを移動する可能性を提供することができる。
【0017】
非常に効果的な1パスストリーミング処理に関して、SOAPメッセージは、サーバ側1パスストリーミング処理のためにシリアライズされてもよい。
【0018】
SOAPメッセージの非常に効果的な処理に関して、サーバ側処理中に、ハッシュ値の計算は、1パスストリーミング方式でそれぞれ並列に実行されてもよい。
【0019】
非常に簡単で確実な方法を提供するため、署名および/または暗号化プロセスのためにWSセキュリティ(Web Services Security)を使用してもよい。これにより、上記の方法を単純化するために既知の署名および/または暗号化技術の使用が可能となる。
【0020】
フラグメント内のバイナリコンテンツの種類はいかなる特定のアプリケーションにも限定されない。好ましい実施形態において、バイナリコンテンツは、写真、医療画像またはソフトウェアバイナリであってもよい。
【0021】
本発明は、現在のウェブサービスセキュリティ仕様およびメッセージ処理方法への拡張を導入することにより、上記の問題を克服して、暗号化および/または署名されたMTOMアタッチメントを有するSOAPメッセージのストリーミング処理を可能にする。より詳細には、本発明は、ウェブサービスセキュリティ仕様のXML署名およびXML暗号化に対する拡張を規定する。これらの拡張は、本発明で規定されるメカニズムをサポートするウェブサービスクライアントによって、出力SOAPメッセージに追加され、署名または暗号化されたアタッチメントに関する追加情報を含む。本発明で規定されるメカニズムをサポートするウェブサービスサーバは、これらの拡張を用いて、1パスストリーミング方式でこのメッセージを効率的に処理することができる。これにより、サーバ側でパフォーマンスが向上し、リソース消費が低減される。しかし、標準化されたメッセージフォーマットは変更されないので、SOAPメッセージ内の署名および暗号化は、本発明で規定されるメカニズムをサポートしないウェブサービスサーバによっても依然として処理可能である。
【0022】
本発明は、MTOMアタッチメントに関連してSOAPセキュリティに対する拡張を提供する。アタッチメントを含むSOAPメッセージ全体の1パスサーバ側ストリーミング処理が提供される。その結果、ウェブサービスサーバのパフォーマンスが向上し、リソース消費が低減される。現在の標準およびフレームワークとの完全な下位互換性がある。
【0023】
本発明を好ましい態様で実施するにはいくつもの可能性がある。このためには、一方で請求項1に従属する諸請求項を参照しつつ、他方で図面により例示された本発明の好ましい実施形態についての以下の説明を参照されたい。図面を用いて本発明の好ましい実施形態を説明する際には、本発明の教示による好ましい実施形態一般およびその変形例について説明する。
【図面の簡単な説明】
【0024】
【図1】MTOM SOAPメッセージの標準フォーマットおよびシリアライゼーションを例示する図である。
【図2】署名されたMTOM SOAPメッセージの標準フォーマット、処理およびシリアライゼーションを例示する図である。
【図3】暗号化されたMTOM SOAPメッセージの標準フォーマット、処理およびシリアライゼーションを例示する図である。
【図4】本発明による署名されたMTOM SOAPメッセージを作成する実施形態を例示する図である。
【図5】本発明による暗号化されたMTOM SOAPメッセージを作成する実施形態を例示する図である。
【図6】本発明による署名されたMTOM SOAPメッセージのサーバ側処理の実施形態を例示する図である。
【図7】本発明による暗号化されたMTOM SOAPメッセージのサーバ側処理の実施形態を例示する図である。
【発明を実施するための形態】
【0025】
以下、図1〜図7を用いて、本発明およびその実施形態を説明する。図1〜図3は、セキュリティ保護および暗号化されたMTOMメッセージを作成する標準的アプローチを示す。図4〜図7は、本発明の方法を示す。
【0026】
図1は、MTOM SOAPメッセージの標準フォーマットおよびシリアライゼーションを例示している。この図1は、MTOMアタッチメントがどのように作成されるかを例示している。左側には、バイナリコンテンツを有するSOAPメッセージフラグメントを示している。バイナリコンテンツは、ここでは写真(photo)である。XMLはテキストフォーマットであるので、バイナリコンテンツはテキスト符号化形式でのみトランスポート可能である。このための最も一般的な形式はbase64符号化である。バイナリコンテンツ(特に、大規模な)のこの種の処理はいくつかの問題を生じる。主として、base64の使用は、メモリおよびネットワークでのスペース消費を増大させる(33%)。さらに、大規模なSOAP文書の処理は、より困難でリソースを消費する。これらの問題を克服するため、従来、SOAPメッセージからこれらの論理的な「外部文書部分」を取り出し、それらの部分をアタッチメントとしてトランスポートするいくつかの可能性が公開されている。これらのうち、MTOMは、例えばSwA(SOAP with Attachments)のいくつかの欠点を除去しているので、最良のアプローチとみなされている。
【0027】
図1に示すように、MTOMは、メモリ内にメッセージを格納するために、いわゆるXOPインフォセット(XOP infoset)を使用する。これにより、バイナリデータ(ここでは写真)が、SOAPメッセージの外部に元の形式で保持され、SOAPメッセージはバイナリファイルへの参照(<xop:Include>)のみを含む。
【0028】
最後に、図の右側には、XOPインフォセットがネットワーク上でどのようにトランスポートされるかを示している。シリアライズされたXML部分およびバイナリ部分が、トランスポートプロトコル(通常、HTTP(HyperText Transfer Protocol))内の別個のMIME(Multipurpose Internet Mail Extensions)ブロックとしてトランスポートされる。このようにして、バイナリ部分はそのまま(符号化されずに)、SOAPメッセージへのアタッチメントとしてトランスポート可能である。
【0029】
図2は、署名されたMTOM SOAPメッセージの標準フォーマット、処理およびシリアライゼーションを例示している。図2は、MTOM対応SOAPメッセージに対する署名作成プロセスを示している。XOPインフォセットの重要な性質は、<xop:Include>参照が「値渡し」参照であることである。すなわち、すべてのオペレーションは、XML文書を、その文書内に埋め込まれたバイナリコンテンツとともに処理しなければならない。いくつかのオペレーション(例えば<m:photo>ノードの移動)の場合には、これは考慮する必要がない。というのは、その場合、XOPインフォセットに対する作用と元のインフォセットに対する作用は等価であるからである。しかし、署名オペレーションは、署名されるノードのコンテンツ全体を読んでハッシュすることを必要とするので、この性質に従わなければならない。
【0030】
そこで、図2に示すように、MTOMアタッチメントを含むノードに署名する前に、アタッチメントをXML文書に埋め込まなければならない。これは実際には、元のインフォセットを再構成することになる。その後、base64符号化されたバイナリアタッチメントををハッシュすることを含めて、ノードに署名することができる。署名計算後、XOP部分を復元し(図2には示していない)、バイナリ部分を再びアタッチメントとしてトランスポートすることができる。
【0031】
このようなシリアライゼーションがサーバ側で処理される場合、これを1パスストリーミング方式で行うことはできない。<m:photo>ノードを処理した後、ハッシュ計算が実行可能となるようにアタッチメントを完全に受信するまで、ハッシュ計算を一時停止しなければならない。これは、SOAP処理を妨げる挙動となる。
【0032】
図3は、暗号化されたMTOM SOAPメッセージの標準フォーマット、処理およびシリアライゼーションを例示している。この図は、MTOMアタッチメントを含むSOAPメッセージフラグメントを暗号化する方法を例示している。この場合も、暗号化オペレーションを適用する前に、アタッチメントをXML文書内に再埋め込み(およびbase64符号化)しなければならない。暗号化後、XML暗号化ブロックが、暗号化されたブロック(上記の例では、<m:photo>エレメント)を置き換える。この暗号化ブロックは、再び、(base64符号化された)バイナリコンテンツノード、すなわち、<xenc:CipherData>エレメントのコンテンツを含む。その後、このバイナリコンテンツは、XML文書から抽出され、MTOMアタッチメントとしてシリアライズされることが可能である。なお、署名作成とは異なり、暗号化されたメッセージのアタッチメントは、暗号化されていないメッセージにおけるものと同一でないことに注意しなければならない。
【0033】
暗号化されていないXML文書の部分(ここでは<m:photo>ラッパ)は暗号化プロセスによってアタッチメントに移動されているので、この場合も、サーバ側での処理すなわち復号は、1パスストリーミング方式で実行することはできない。
【0034】
図4は、本発明による署名されたMTOM SOAPメッセージを作成する方法の実施形態を例示している。この図4は、MTOMアタッチメントを含むフラグメントに対するXML署名を作成するための本発明のアプローチを示している。結果として得られるメッセージは、サーバ側で1パスストリーミング処理が可能である(後の図6参照)。署名プロセスの詳細は以下の通りである。署名されるフラグメント自体(上記の例では<m:photo>)のハッシュに加えて、同じフラグメントがバイナリコンテンツを除いてハッシュされる。したがって、以下の変換ブロックが、それぞれの署名の<ds:Transforms>エレメントに追加される。
【0035】
<ds:Transform Algorithm="http://www.w3.org/2002/06/xmldsig-filter2">
<dsf:XPath Filter="intersect">
xpath-of-signed-element
</dsf:XPath>
<dsf:XPath Filter="subtract">
xpath-of-wrapping-element/*
</dsf:XPath>
</ds:Transform>
【0036】
Prefix Namespace
dsf http://www.w3.org/2002/06/xmldsig-filter2
ds http://www.w3.org/2000/09/xmldsig#
【0037】
xpath-of-signed-elementおよびxpath-of-wrapping-elementの値は、署名されるべきエレメントおよびバイナリコンテンツ(「wrapping element」)の親エレメントを参照するXPath式によって置き換えなければならない。図4で用いた例では、いずれの式も//m:photoである。
【0038】
図5は、本発明による暗号化されたMTOM SOAPメッセージを作成する方法の実施形態を例示している。この図5は、MTOMアタッチメントを含むフラグメントを暗号化するための本発明のアプローチを示している。結果として得られるメッセージは、サーバ側で1パスストリーミング処理が可能である(後の図7参照)。暗号化プロセスの詳細は以下の通りである。「元のインフォセット」からのフラグメント(上記の例では、バイナリコンテンツを含むエレメント<m:photo>)に加えて、「XOPインフォセット」からの同じフラグメント(上記の例では、XOP参照を含むエレメント<m:photo>)が暗号化される。第2の暗号化オペレーションの結果が、(base64符号化されて)暗号化プロパティとして暗号化ブロックに追加される。より正確には、以下のエレメントが<xenc:EncryptionProperties>ブロックに追加される。
【0039】
<xenc:EncryptionProperty>
<nec:EncrytedBinaryWrapper>
encrypted-xop-infoset-fragment
</nec:EncrytedBinaryWrapper>
</xenc:EncryptionProperty>
【0040】
Prefix Namespace
xenc http://www.w3.Org/2001/04/xmlenc#
nec http://www.neclab.eu/2010/10/secmtom
【0041】
最後に、SOAPメッセージをシリアライズする一方、<xenc:CipherValue>のコンテンツがMTOMアタッチメントとして抽出され、<nec:EncrytedBinaryWrapper>のコンテンツはXML文書内に残る。アタッチメントは大規模なバイナリアタッチメントを目的としており、ラッパは比較的小さいと想定されるので、これは、アタッチメントの基本理念に従っている。
【0042】
図6は、本発明による署名されたMTOM SOAPメッセージのサーバ側処理の実施形態を例示している。この図6は、前述のアプローチ(図4参照)を用いて作成された、署名されたメッセージに対する、本発明が提案するサーバ側処理を示している。2つのハッシュ値(dig1およびdig2)の計算が、1パスストリーミング方式でそれぞれ並列に実行されることがわかる。1パスストリーミング中に、閉じラッピングエレメント(上記の例では</m:photo>エレメント)のキャッシュが実行される。しかし、ラッピングエレメントは比較的小さいという仮定に基づくと、これはほんのわずかなメモリ消費しか意味しない。
【0043】
最後のSOAPメッセージエレメントを読んだ後、XOPインフォセット版のメッセージを確認することができることがわかる。
【0044】
図7は、暗号化されたMTOM SOAPメッセージのサーバ側処理の実施形態を例示している。この図7は、前述のアプローチ(図5参照)を用いて作成された、暗号化されたメッセージに対する、本発明が提案するサーバ側処理を示している。XOPインフォセットの暗号化されたエレメントが作成され、ストリーミング方式でサービスアプリケーションに転送されていることがわかる。1パスストリーミング中に、ラッピングエレメントのキャッシュが実行されるが、これは、アタッチメントを復号している間にラッパを除去するために必要とされる。
【0045】
最後のSOAPメッセージエレメントを読んだ後、XOPインフォセット版のメッセージが完全に復号されていることがわかる。
【0046】
もちろん、署名および暗号化のための上記の本発明によるアプローチは、さまざまなアプリケーションを提供するためにシームレスに組み合わせることができる。したがって、ネストしたセキュリティメカニズムが完全にサポートされる。
【0047】
本発明の効果は次の通りである。第1に、本方法によれば、完全にストリーミング方式でサーバ側メッセージ処理が可能となる。これにより、一般的に、文書ベースの方法に比べて、大幅にリソースが低減される。また、最後のSOAPエレメントを読んだ後(すなわち、アタッチメントを読む前)にSOAPメッセージは完全に復号・確認されるので、本方法によれば、例えばアタッチメントを必要としないデバイスタスクを開始するための「早期前処理」が可能となる。また、アタッチメント処理にリソースを消費せずに、不正なメッセージコールを検出・拒否することが可能となる。
【0048】
本発明は、セキュリティ保護されたMTOMアタッチメントにおけるSOAPメッセージフォーマットおよび処理の拡張を提供する。セキュリティ保護されたSOAP/MTOMメッセージフォーマットのこの新規な使用法は、署名および/または暗号化されたMTOM SOAPメッセージの1パスストリーミングによるサーバ側処理を提供する。
【0049】
本発明の方法の結果として、サーバ側メッセージ処理のメモリ消費および計算コストが低減される(グリーンコンピューティング)。本発明の方法は、関連する標準および従来のウェブサービスフレームワークとの完全な互換性を提供する。
【0050】
上記の説明および添付図面の記載に基づいて、当業者は本発明の多くの変形例および他の実施形態に想到し得るであろう。したがって、本発明は、開示した具体的実施形態に限定されるものではなく、変形例および他の実施形態も、添付の特許請求の範囲内に含まれるものと解すべきである。本明細書では特定の用語を用いているが、それらは総称的・説明的意味でのみ用いられており、限定を目的としたものではない。
【特許請求の範囲】
【請求項1】
ネットワーク、特にIP(Internet Protocol)ネットワークにおけるSOAP(Simple Object Access Protocol)メッセージの処理方法において、XML(Extended Markup Language)ベースのSOAPメッセージが、バイナリコンテンツを有するフラグメントを含み、該バイナリコンテンツが、該バイナリコンテンツへの参照をSOAPメッセージ内に残してSOAPメッセージのMTOM(Message Transmission Optimization Mechanism)アタッチメント内に移動され、該アタッチメントが、署名・暗号化プロセスによって署名および/または暗号化がそれぞれ行われ、
署名プロセス中に、署名されるフラグメント自体のハッシュに加えて、同じフラグメントがバイナリコンテンツを除いてハッシュされ、および/または、暗号化プロセス中に、フラグメント自体の暗号化に加えて、バイナリコンテンツの代わりにバイナリコンテンツへの参照のみを含むフラグメントが暗号化されることを特徴とする、ネットワークにおけるSOAPメッセージの処理方法。
【請求項2】
署名および/または暗号化プロセス中に、バイナリコンテンツが、テキスト符号化形式、好ましくはbase64符号化形式でフラグメント内に存在することを特徴とする請求項1に記載の方法。
【請求項3】
バイナリコンテンツを除いて追加的にハッシュされたフラグメントに基づいて、トランスポートプロトコル内で使用するための追加ブロックが作成されることを特徴とする請求項1または2に記載の方法。
【請求項4】
追加ブロックが、それぞれの署名の変換エレメントに追加される変換ブロックであることを特徴とする請求項3に記載の方法。
【請求項5】
バイナリコンテンツへの参照のみを含む追加的に暗号化されたフラグメントに基づいて、トランスポートプロトコル内で使用するための暗号化プロパティが作成されることを特徴とする請求項1ないし4のいずれか1項に記載の方法。
【請求項6】
暗号化プロパティが、暗号化ブロックに追加されることを特徴とする請求項5に記載の方法。
【請求項7】
暗号化プロパティが、テキスト符号化形式、好ましくはbase64符号化形式で存在することを特徴とする請求項5または6に記載の方法。
【請求項8】
バイナリコンテンツへの参照が、XOP(XML-binary Optimized Packaging)参照であることを特徴とする請求項1ないし7のいずれか1項に記載の方法。
【請求項9】
SOAPメッセージが、サーバ側1パスストリーミング処理のためにシリアライズされることを特徴とする請求項1ないし8のいずれか1項に記載の方法。
【請求項10】
サーバ側処理中に、ハッシュ値の計算が、並列に実行されることを特徴とする請求項9に記載の方法。
【請求項11】
署名および/または暗号化プロセスのために、WSセキュリティ(Web Services Security)が使用されることを特徴とする請求項1ないし10のいずれか1項に記載の方法。
【請求項12】
バイナリコンテンツが、写真、医療画像またはソフトウェアバイナリであることを特徴とする請求項1ないし11のいずれか1項に記載の方法。
【請求項13】
XML(Extended Markup Language)ベースのSOAP(Simple Object Access Protocol)メッセージを処理可能なネットワーク、特にIP(Internet Protocol)ネットワーク、好ましくは請求項1ないし12のいずれか1項に記載の方法を実行するネットワークにおいて、SOAPメッセージが、バイナリコンテンツを有するフラグメントを含み、該バイナリコンテンツが、該バイナリコンテンツへの参照をSOAPメッセージ内に残してSOAPメッセージのMTOM(Message Transmission Optimization Mechanism)アタッチメント内に移動され、該アタッチメントが、署名・暗号化プロセスによって署名および/または暗号化がそれぞれ行われ、
署名プロセス中に、署名されるフラグメント自体のハッシュに加えて、同じフラグメントがバイナリコンテンツを除いてハッシュされることが可能であるように構成されたハッシュ手段、および/または、暗号化プロセス中に、フラグメント自体の暗号化に加えて、バイナリコンテンツの代わりにバイナリコンテンツへの参照のみを含むフラグメントが暗号化されることが可能であるように構成された暗号化手段を備えたことを特徴とするネットワーク。
【請求項1】
ネットワーク、特にIP(Internet Protocol)ネットワークにおけるSOAP(Simple Object Access Protocol)メッセージの処理方法において、XML(Extended Markup Language)ベースのSOAPメッセージが、バイナリコンテンツを有するフラグメントを含み、該バイナリコンテンツが、該バイナリコンテンツへの参照をSOAPメッセージ内に残してSOAPメッセージのMTOM(Message Transmission Optimization Mechanism)アタッチメント内に移動され、該アタッチメントが、署名・暗号化プロセスによって署名および/または暗号化がそれぞれ行われ、
署名プロセス中に、署名されるフラグメント自体のハッシュに加えて、同じフラグメントがバイナリコンテンツを除いてハッシュされ、および/または、暗号化プロセス中に、フラグメント自体の暗号化に加えて、バイナリコンテンツの代わりにバイナリコンテンツへの参照のみを含むフラグメントが暗号化されることを特徴とする、ネットワークにおけるSOAPメッセージの処理方法。
【請求項2】
署名および/または暗号化プロセス中に、バイナリコンテンツが、テキスト符号化形式、好ましくはbase64符号化形式でフラグメント内に存在することを特徴とする請求項1に記載の方法。
【請求項3】
バイナリコンテンツを除いて追加的にハッシュされたフラグメントに基づいて、トランスポートプロトコル内で使用するための追加ブロックが作成されることを特徴とする請求項1または2に記載の方法。
【請求項4】
追加ブロックが、それぞれの署名の変換エレメントに追加される変換ブロックであることを特徴とする請求項3に記載の方法。
【請求項5】
バイナリコンテンツへの参照のみを含む追加的に暗号化されたフラグメントに基づいて、トランスポートプロトコル内で使用するための暗号化プロパティが作成されることを特徴とする請求項1ないし4のいずれか1項に記載の方法。
【請求項6】
暗号化プロパティが、暗号化ブロックに追加されることを特徴とする請求項5に記載の方法。
【請求項7】
暗号化プロパティが、テキスト符号化形式、好ましくはbase64符号化形式で存在することを特徴とする請求項5または6に記載の方法。
【請求項8】
バイナリコンテンツへの参照が、XOP(XML-binary Optimized Packaging)参照であることを特徴とする請求項1ないし7のいずれか1項に記載の方法。
【請求項9】
SOAPメッセージが、サーバ側1パスストリーミング処理のためにシリアライズされることを特徴とする請求項1ないし8のいずれか1項に記載の方法。
【請求項10】
サーバ側処理中に、ハッシュ値の計算が、並列に実行されることを特徴とする請求項9に記載の方法。
【請求項11】
署名および/または暗号化プロセスのために、WSセキュリティ(Web Services Security)が使用されることを特徴とする請求項1ないし10のいずれか1項に記載の方法。
【請求項12】
バイナリコンテンツが、写真、医療画像またはソフトウェアバイナリであることを特徴とする請求項1ないし11のいずれか1項に記載の方法。
【請求項13】
XML(Extended Markup Language)ベースのSOAP(Simple Object Access Protocol)メッセージを処理可能なネットワーク、特にIP(Internet Protocol)ネットワーク、好ましくは請求項1ないし12のいずれか1項に記載の方法を実行するネットワークにおいて、SOAPメッセージが、バイナリコンテンツを有するフラグメントを含み、該バイナリコンテンツが、該バイナリコンテンツへの参照をSOAPメッセージ内に残してSOAPメッセージのMTOM(Message Transmission Optimization Mechanism)アタッチメント内に移動され、該アタッチメントが、署名・暗号化プロセスによって署名および/または暗号化がそれぞれ行われ、
署名プロセス中に、署名されるフラグメント自体のハッシュに加えて、同じフラグメントがバイナリコンテンツを除いてハッシュされることが可能であるように構成されたハッシュ手段、および/または、暗号化プロセス中に、フラグメント自体の暗号化に加えて、バイナリコンテンツの代わりにバイナリコンテンツへの参照のみを含むフラグメントが暗号化されることが可能であるように構成された暗号化手段を備えたことを特徴とするネットワーク。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【公表番号】特表2013−512602(P2013−512602A)
【公表日】平成25年4月11日(2013.4.11)
【国際特許分類】
【出願番号】特願2012−540294(P2012−540294)
【出願日】平成22年2月26日(2010.2.26)
【国際出願番号】PCT/EP2010/001200
【国際公開番号】WO2011/103886
【国際公開日】平成23年9月1日(2011.9.1)
【出願人】(508342183)エヌイーシー ヨーロッパ リミテッド (101)
【氏名又は名称原語表記】NEC EUROPE LTD.
【Fターム(参考)】
【公表日】平成25年4月11日(2013.4.11)
【国際特許分類】
【出願日】平成22年2月26日(2010.2.26)
【国際出願番号】PCT/EP2010/001200
【国際公開番号】WO2011/103886
【国際公開日】平成23年9月1日(2011.9.1)
【出願人】(508342183)エヌイーシー ヨーロッパ リミテッド (101)
【氏名又は名称原語表記】NEC EUROPE LTD.
【Fターム(参考)】
[ Back to top ]