안전한 웹 서비스를 위한 SOAP 메시지 보안기술 연구

  • 박배효 (한국정보보호진흥원 전자거래보호단) ;
  • 이재일 (한국정보보호진흥원 전자거래보호단)
  • Published : 2004.08.01

Abstract

상호운영성, 유연성, P2P(피어투피어), 역동성, 확장성 등 웹 서비스가 지닌 다양한 특성으로 인하여 웹 서비스 보안은 안전한 웹 서비스 운영을 위한 핵심요소라 할 수 있다. 웹 서비스의 기본 구성은 서비스 수요자와 제공자, 검색소로 구성되며 WSDL(Web Service Definition Language), UDDI(University Discovery and Integration of Business for Web), SOAP(Smple Object Access Protocol)등 세 개의 표준으로 서비스는 이루어진다. 이 중에서 특히 메시지 교환을 담당하는 통신 프로토콜인 SOAP는 웹 서비스 보안의 중심에 있으며, 웹 서비스 보안은 SOAP 메시지의 사용자 인증과 무결성, 기밀성을 보장하는 것으로 정의할 수 있다. SOAP는 HTTP를 통해 일반적으로 전송되므로 HTTP 상의 모든 위협을 가지게 되며 전송계층에 기반을 둔 보안을 생각할 수 있지만, 사실상 웹 서비스는 다수의 중간 중개자를 가질 수 있는 구조이기 때문에 단대단 보안(메시지 레벨의 보안)이 반드시 필요하다. 또한, 웹 서비스 상에서 단대단 보안을 보장하기 위해서는 각 객체와 키와의 연결이 중요하며 특정 객체에게 발행한 보안토큰의 신뢰성 화보를 위한 메카니즘을 필요로 한다. 본 논문에서는 이러한 보안 요구사항을 만족하기 위하여 XML 메시지 보안을 위한 전자서명 및 암호화 표준과 SOAP을 위한 W3C, OASIS의 통합표준을 중심으로 SOAP 메시지 보안기술을 분석하고자 한다.

Keywords

References

  1. W3C, Web Services Architecture - working group note, http://www.w3.org/2002/ws/arch/February 2004
  2. OASIS, Web Services Description Language (WSDL) 1,1, http://www.w3.org/TR/wsdl, March 2001
  3. UDDI consortium, http://www.uddi.org
  4. W3C, SOAP Version 1.2 - Recommendations, http://www.w3.org/TR/soap, June 2003
  5. W3C, XML-Signature Syntax and Processing, http: //www.w3.org/TR/xmldsigcore, February 2002
  6. W3C, XML Encryption Syntax and Processing, http://www.w3.org/TR/xmlenccore, December 2002
  7. W3C, Decryption Transform for XML Signature, http ://www.w3.org/TR/xmlencdecrypt, December 2002
  8. W3C, XML Key Management Specification (XKMS) Ver 2.0-Candidate Recommendation, http://www.w3.org/TR/xkms2, April 2004
  9. W3C. SOAP Security Extensions: Digital Signature, http://www.w3.org/TR/2001/N0TE-S0AP-dsig-20010206, February 2001
  10. OASIS, Web Services Secuhty: SOAP Message Secuhty 1.0(WS-Security 2004), http://does. oasis-open.org/wss/2004/01/oasis-200401-wss-soap-message-security-1.0.pdf. March 2004
  11. OASIS, Web Services Security: SAML Token Profile - working drafts, http://www.oasis-open.org/committees/download.php/7837/WSS-SAML-15.pdf, July 2004
  12. OASIS, Security Assertion Markup Language(SAML), http://www.oasis-open.org /committees /security, July 2004
  13. OASIS, eXtensible Access Control Markup Language(XACML) Version 1.0 - Stan-dards. February 2003
  14. J. Reagle, IETF RFC2807 XML Signature Requiremets, July 2000
  15. 중앙대학교, 위치기반 서비스에 적합한 전자서명 인증기술 연구, December 2003
  16. W3C, XML Key Management(XKMS 2.0) Requirements, http://www.w3.org/TR/xkms2-req, May 2003