Active XML 기반 '전자의료기록 시스템'의 보안성 분석

  • Published : 2006.10.30

Abstract

XML기반 웹서비스의 활성화와 더불어 효율적인 데이터 호출 및 통합을 위해, XML 문서 안에 웹서비스 호출 노드를 내장할 수 있는 Active XML(AXML) 문서가 개발되었다. 본 논문에서는 기존 전송계층 보안 프로토콜 및 WS-Security의 제한점을 방지하기 위한, AXML 문서의 내장형 웹서비스 호출과 XML-Encryption 및 XML-Signature 보안 표준을 통합한 데이터 암호화 및 전자서명 방식에 대해 소개한다. 또한, '전자의료 시스템' 예제를 통해 AXML 문서를 이용한 중첩된 웹서비스 호출 및 쿼리위임 방식에 대해 소개한다. 마지막으로, 기존 보안성 정형분석 방법의 확장을 통한 AXML 시스템의 보안 취약 가능성에 대해 언급하고자 한다.

Keywords

References

  1. Active XML (AXML) Home Page, http://activexml.net, 2003
  2. IBM, Microsoft, and VeriSign, Web Services Security (WS-Security), Version 1.0, 2002
  3. G. Lowe, 'Breaking and Fixing the Needham-Schroeder Public-Key Protocol Using FDR', Proceedings of TACAS, number 1055 in LNCS. Springer, 1996
  4. 김일곤, 최진영, 김현석, 전철욱, 강인혜, '보안 프로토콜 안전성 분석을 위한 정형적 방법론', 정보보호학회 논문지 : 제15권, 제1호, pp.17-27, 2005
  5. G. Lowe, 'Casper: A compiler for the analysis of security protocols', 10th IEEE Computer Security Foundations Workshop, 1997
  6. C.A.R. Hoare, Communicating Sequential Processes, Prentice-Hall, 1985
  7. Formal Systems(Europe) Ltd, FDR2 User Manual, 1999
  8. P. Ryan, S. Schneider, 'Modelling and Analysis of Security Protocols', Addison-Wesley, 2001
  9. D. Eastlake, J. Reagle, T. Imamura, B. Dillaway, E. Simon, XML-Encryption syntax and Proceeding, W3C Recommendation, 2001
  10. D. Eastlake, J. Reagle, D. Solo, M. Bartel, J. Byer, B. Fox, B. LaMacchia, E. Simon, XML-Signature Synatax and Proceedings, W3 Recommendation, 2002
  11. S. Abiteboul, I. Manolescu, F. Taropa, 'A Framework for Distributed XML Data Management', Proceedings of EDBT, pp.1049-1058, 2006
  12. XML Path language (XPath) Version 1.0. W3C Recommendation, http://www.w3c.org/TR/xpath, 1999
  13. S. Abiteboul, O. Benjelloun, I. Manolescu, T. Milo, R. Weber, 'Active XML: Peer-to-peer data and web services integration(demo)', Proceedings of 28th VLDB, pp.1087-1090, 2002
  14. S. Abiteboul, O. Benjelloun, B. Cautis, I. Manolescu, T. Milo, N. Preda, 'Lazy Query Evaluation for Active XML', Proceedings of ACM SIGMOD, pp. 227-238. 2004
  15. S. Abiteboul, O. Benjelloun, T. Milo, 'Positive Active XML', Proceedings of ACM PODS, 2004
  16. S. Abiteboul, I. Manolescu, F. Taropa, 'A Framework for Distributed XML Data Management', Proceedings of EDBT, pp.1049-1058, 2006
  17. S. Abiteboul, O. Benjelloun, B. Cautis, and T. Milo, 'Active XML, Security and Access Control', Proceedings of SBBD, pp.13-22, 2004
  18. S. Abiteboul, B. Alexe, O. Benjelloun, B. Cautis, I. Fundulaki, T. Milo, and A. Sahuguet, 'An Electronic Patient Record on Steroids : Distributed, Peerto-Peer, Secure and Privacy-conscious', Proceedings. of 30th VLDB, pp.1273-1276, 2004
  19. E. Kleiner, A.W. Roscoe, 'Web Services Security: a Preliminary Study using Casper and FDR', Proceedings of ARSPA, 2004
  20. E. Kleiner, A.W. Roscoe, 'On the Relationship between Web Services Security and Traditional Protocols', Proceedings of DIMACS Workshop on Security of Web Services and E-Commerce, 2005
  21. Microsoft, Microsoft Web Services Enhancements (WSE) 2.0, http://msdn.mi crosft .com/webservi ces/webservi ces/building/wse/default.aspx
  22. L. Tobarra, D. Cazorla, F. Cuartero, Gregorio Diaz, 'Application of Formal Methods to the Analysis of Web Services Security', Proceedings of International Workshop on Web Services and Formal Methods. pp.215-229. 2005
  23. K. Bhargavan, C. Fournet, A. D. Gordon, R. Pucella, 'TulaFale: A security tool for web services', In International Symposium on Formal Methods for Components and Objects (FMCO'03), pp.197-222. 2004
  24. I. Kim, D. Biswas, 'I. Kim and D. Biswas, Application of Model Checking to AXML System's Security : A Case Study,' Proceedings. of International Workshop on Web Services and Formal Methods (WS-FM'06), pp.242-256, 2006