目次! Web サービス! Web サービスの基本! Web サービス SOAP WSDL UDDI! Web サービスのデモ! Web サービスのセキュリティ! Web サービスのセキュリティ基本! XML 署名 XML 暗号 XKMS! XMLセキュリティの基本デモ (XML 署名と署名検証 )

Size: px

Start display at page:

Download "目次! Web サービス! Web サービスの基本! Web サービス SOAP WSDL UDDI! Web サービスのデモ! Web サービスのセキュリティ! Web サービスのセキュリティ基本! XML 署名 XML 暗号 XKMS! XMLセキュリティの基本デモ (XML 署名と署名検証 )"

いおりかむら
6 years ago
Views:

1 Web サービスと Web サービスのセキュリティ Internet Week 鈴木優一エントラストジャパン CTO Copyright c 2003 Entrust Japan. 1

2 目次! Web サービス! Web サービスの基本! Web サービス SOAP WSDL UDDI! Web サービスのデモ! Web サービスのセキュリティ! Web サービスのセキュリティ基本! XML 署名 XML 暗号 XKMS! XMLセキュリティの基本デモ (XML 署名と署名検証 )! Webサービスのセキュリティ応用! SAML XACML Liberty WSS DSS Copyright c 2003 Entrust Japan. 2

3 Web サービス! Webサービス : 分散システム! SOAP(XMLプロトコル RPC)! WSDL:Webサービスインタフェース定義! UDDI:Webサービスの登録と検索 Copyright c 2003 Entrust Japan. 3

4 Web サービス今までの分散システム! DCE RPC (Remote Procedure Call)! OSF 1980 年代後半! プロシージャ! DCE 環境に閉じる成功しなかった! CORBA IIOP (Internet Inter-ORB Protocol)! OMG 1990 年代半ば! 分散オブジェクト! MS DCOM (Distributed Common Object Model)! Windows の世界に閉じる! いずれも共通の環境を前提としている! TCP Socket 上のヘビーなプロトコル Copyright c 2003 Entrust Japan. 4

5 Web サービス Web サービス : 疎結合な分散システムクライアント / サーバ言語依存:C/C++ 蜜結合イントラネット TCP ソケット分散システムのパラダムシフト Web サービス疎結合プラットフォーム非依存言語非依存インターネット XML / SOAP / HTTP インターネット Copyright c 2003 Entrust Japan. 5

6 Web サービス : ファイアウォールフレンドリクライアント HTTP Web サービスインターネット FW HTTP でファイアウォールを通過できる Copyright c 2003 Entrust Japan. 6

7 Web サービス! OS アプリ開発言語に依存しない XML 要求 / SOAP 要求処理応答受理 Web HTTP HTTP Web アプリケーション XML 応答 / SOAP 例 :OS UNIX 言語 C 例 :OS Windows 言語 VB Copyright c 2003 Entrust Japan. 7

8 Web サービスのフレームワーク! Web サービスの関係 Web Services Description Language サービスの検索リクエスタ UDDI レジストリ UDDI 検索結果 WSDL 要求応答 SOAP/RPC Universal Description, Discovery and Integration サービスの登録 Web サービスプロバイダ Copyright c 2003 Entrust Japan. 8

9 Web サービス! W3C Web サービス活動! Webサービスアーキテクチャ! WSDL1.2! Webサービスプロトコル! SOAP1.2 Copyright c 2003 Entrust Japan. 9

10 SOAP SOAP :XML メッセージ交換プロトコル! SOAP (Simple Object Access Protocol) 1.2! W3C Recommendation 24 June 2003! 標準化団体 :W3C! XML ベースのメッセージ交換プロトコル (RPC)! SOAP:Web サービスで使用されるメッセージのデータフォーマットやメッセージの処理ルールを定めた通信規約エンベロープの仕様! SOAP 1.1(W3C Note) から Recommendation! V1.2 は v1.1 の曖昧さを除去! 現在多くの実装が v1.1 で行われている! SOAP 1.2 仕様! SOAP Version 1.2 Part 0: Primer! SOAP Version 1.2 Part 1: Messaging Framework! SOAP Version 1.2 Part 2: Adjuncts! SOAP Version 1.2 Specification Assertions and Test Collection Copyright c 2003 Entrust Japan. 10

11 SOAP の特徴! 分散オブジェクトにアクセスするためのメッセージ交換規約! メッセージのエンベロープ! ヘッダーとボディ! IIOP などが行うトランザクション管理はしない! 軽量柔軟祖結合! トランスポートプロトコルとは独立! HTTP! SMTP! SOAP 処理に各種の Tool が提供されている Copyright c 2003 Entrust Japan. 11

12 SOAP エンベロープ! SOAP エンベロープの構造 SOAP エンベロープ <?xml version="1.0" encoding=" utf-8 "?> <SOAP ENV: Envelope xmlns:env = " <SOAP-Env: Header> // 経路サーバなどへの情報セキュリティトークンなど </ SOAP-Env: Header> <SOAP-Env: Body> //XML メッセージ SAML などのプロトコル </SOAP-Env: Body> </SOAP ENV: Envelope> ヘッダールーティング情報オプションボディメッセージ本体必須 Copyright c 2003 Entrust Japan. 12

13 SOAP over HTTP( 要求 )! Example 1 SOAP メッセージ要求を HTTP に載せる POST /StockQuote HTTP/1.1 Host: Content-Type: text/xml+soap; charset="utf-8" Content-Length: nnnn SOAPAction: "Some-URI" HTTP <SOAP-ENV:Envelope xmlns:soap-env=" SOAP-ENV:encodingStyle=" <SOAP-ENV:Body> <m:getlasttradeprice xmlns:m="some-uri"> <symbol>dis</symbol> </m:getlasttradeprice> </SOAP-ENV:Body> </SOAP-ENV:Envelope> 価格を問合わせ SOAP メッセージ Copyright c 2003 Entrust Japan. 13

14 SOAP over HTTP( 応答 )! Example 2 SOAP メッセージ応答を HTTP に載せる HTTP/ OK Content-Type: text/xml; charset="utf-8" Content-Length: nnnn HTTP <SOAP-ENV:Envelope xmlns:soap-env=" SOAP-ENV:encodingStyle=" <SOAP-ENV:Body> <m:getlasttradepriceresponse xmlns:m="some-uri"> <Price>34.5</Price> </m:getlasttradepriceresponse> 価格を答える </SOAP-ENV:Body> </SOAP-ENV:Envelope> SOAP メッセージ Copyright c 2003 Entrust Japan. 14

15 SOAP プロセッサー! SOAP RPC Web サーバ要求 XML over SOAP over HTTP HTTP 処理 SOAP プロセッサー構文チェックヘッダーボディから XML メッセージを抜き出すアプリケーションへ XML メッセージを引き渡すアプリケーション XML メッセージから対応する処理を行う応答アプリケーションの応答から SOAP 構文組み立て HTTP 応答に組み込む結果を XML メッセージとして SOAP プロセッサへ返す Copyright c 2003 Entrust Japan. 15

16 SOAP RPC! RPC リモートプロシージャコール! 例 : int GetPrice (string name)! SOAP 要求 ( メソッド呼び出し )! メソッド名を要素名に! パラメータは子要素に <?xml version= 1.0 encoding= utf-8?> <soapenv:envelope xmlns:soapenv= > <soapenv:header> </soapenv:header> <soapenv:body> <r:getprice メソッド名に対応する要素名 soapenv:encodingstyle= xmlns:r= <r:name>mikan</r:name> パラメータ名から取られた要素名 </r:getprice> </soapenv:body> </soapenv:envelope> Copyright c 2003 Entrust Japan. 16

17 SOAP RPC 応答! 応答結果は <rpc:result> 要素で返される <?xml version="1.0" encoding= utf-8"?> <soapenv:envelope xmlns:soapenv=" <soapenv:header> </soapenv:header> <soapenv:body> <r:getpriceresponse soapenv:encodingstyle= xmlns:r= xmlns:rpc= <rpc:result>r:price</rpc:result> <r:price>100</r:price> </r:getpriceresponse> </soapenv:body> </soapenv:envelope> 応答結果応答要素名 Copyright c 2003 Entrust Japan. 17

18 SOAP 処理! SOAP 処理! SOAP 構文解析! エラー処理 :SOAP フォールト! <Fault> " Code 違反コードを記述する " Reason 人間が読めるエラー解説を記述する " Node エラー発生元のURIを記述する " Detail SOAP 本体に関係するアプリケーション固有のエラー情報を記述する! XML メッセージの抜出しアプリケーションへ引渡し! 結果の SOAP 構文組み立て HTTP ヘッダ埋込み Copyright c 2003 Entrust Japan. 18

19 SOAP 処理 Tool! 各種の Tool が利用できる! Apache AXIS 1.0! SOAP 1.1/1.2 対応! WSDLからJava Code 生成! SUN JAX-RPC 互換! SUN JAXP, JAX-RPC SOAP クライアント WSDL サービスメソッド stab JAX RPC Run Time SOAP HTTP Tier JAX RPC Run Time Copyright c 2003 Entrust Japan. 19

20 WSDL WSDL(Web サービス記述言語 )! WSDL (Web Service Description Language)! WSDL 1.1! IBM, Microsoft らが W3C Note として公開! WSDL 1.2 W3C Recommendation を目指して現在 Draft 策定中 (2003 末に標準へ )! CORBA の IDL(Interface Description Language) に相当するインタフェース記述仕様 Copyright c 2003 Entrust Japan. 20

21 WSDL (Web Service Description Language)! Web サービスへのインタフェース記述言語! CORBA の IDL 相当! 何を記述するのか?! Web サービスの所在! Web サービスのメッセージフォーマット ( 入出力の定義 )! Web サービスが用いる通信プロトコル! WSDL プロセッサでメソッドのインタフェースを自動生成! 開発者はメッソド呼出しの中身のみを書けばよい! 自動生成の可能性もある! WSDL の用途! Web サービスのインタフェースを公開することで利用者が簡単に Web サービスを利用できるようにする Copyright c 2003 Entrust Japan. 21

22 WSDL の構造 <wsdl:definitions> WSDL 文書メッセージのフォーマットの型を抽象的に定義する抽象的な定義具体的な定義 <types> <message> <porttype> operations <operation> <binding> <Service> <port> Web サービスで使用するメッセージのフォーマットを抽象的に定義する : 関連する操作をひとまとめにした抽象的なポートを定義する入力と出力とフォルトメッセージ出力を行う処理の1 単位である操作を抽象的に定義する porttype 要素で定義されたポートタイプ内の個々の抽象的な操作に具体的な通信プロトコルをバインドする port 要素で定義したポートの関連するポートをまとめたサービスを定義する binding 要素で定義したバインディングに通信エンドポイントのネットワークアドレスをバインドする Copyright c 2003 Entrust Japan. 22

23 UDDI UDDI (Web サービスの登録と検索 )! UDDI (Universal Description, Discovery and Integration)! UDDI.org v1.0 (2000)! OASIS UDDI v2.0 v3.0(19 July 2002 )! Web サービス提供者の情報を登録公開! 利用者が検索サービスを受ける! パブリック UDDI! 誰でもが登録できるセキュリティが必要! プライベート UDDI! クローズな企業内企業間で登録 Copyright c 2003 Entrust Japan. 23

24 UDDI モデル! Web サービス案内説明 <BusinessEntity> 企業情報連絡先 <BusinessServices> サービスの名称 <bindingtemplates> サービス URI <tmodel> サービス技術仕様説明 Copyright c 2003 Entrust Japan. 24

25 UDDI API! UDDI 検索登録 API! 発行 API 情報の登録や削除ユーザー認証を行うためのAPI! 照会 API 情報の検索や詳細情報の取得を行うためのAPI! セキュリティ方針 API 認証トークンに関するAPI! 管理および所有権移動 API businessentityまたはtmodel 構造の管理や所有権を移動するためのAPI! サブスクリプション API UDDIレジストリに加えられた変更を通知するためのAPI! 値セット API 登録時に呼び出されたkeyedReferenceの値が有効かどうかを検査するためのAPI Copyright c 2003 Entrust Japan. 25

26 Web サービスの相互運用性! WS-I! Basic Profile 1.0 specification 2003/08/08! 基本的相互運用性のためのプロファイル規定! WS-Basic1! XML Schema 1.0! SOAP 1.1! WSDL 1.1! UDDI 2.0! サンプルテスト Tool の提供 Copyright c 2003 Entrust Japan. 26

27 Web サービスデモ Web サービスのデモ! Apache AXIS を用いた SOAP バインディング! サンプルクライアントプログラム! サンプルサーバプログラム! Web サービスの動作確認! XML over SOAP over HTTP! リクエスト / レスポンスのトレース! 伊藤康宏! エントラストジャパン Copyright c 2003 Entrust Japan. 27

28 Web サービスのセキュリティ基本! XML 署名! XML 暗号! XKMS(XML 鍵管理サービス ) Copyright c 2003 Entrust Japan. 28

29 Web サービスのセキュリティ標準化団体 W3C と OASIS! W3C ( XMLベースのセキュリティ標準策定 : 基本仕様! XML ディジタル署名 (RFC 3075)! XAdES; 長期署名フォーマット! XML 暗号! XKMS(XML ベースの鍵管理 )! SOAP (Simple Object Access Protocol)! OASIS ( Organization for the Advancement of Structured Information Standards (XMLベースの業界標準化団体): 応用仕様! SAML(Security Assertion Markup Language)! XACML (XML Access Control Markup Language)! WSS (Web Service Security)! DSS (Digital Signature Services) Copyright c 2003 Entrust Japan. 29

30 Web サービスのセキュリティビジネスアプリケーションの基盤へ! Web サービスセキュリティの必要性! インターネットでの Web サービス! セキュリティメカニズムが必須! 改ざん検出発信源の特定! セキュリティプロトコルの整備 :PKI の利用! XML ディジタル署名! XML 暗号! XML メッセージングプロトコル! Web サービスセキュリティ標準がほぼそろう! 参考 :Web サービスのセキュリティの解説 ( 鈴木 Security Forum! Copyright c 2003 Entrust Japan. 30

31 Web サービスのセキュリティフレームワーク - 信頼できる XML メッセージング - ビジネスアプリケーションリクエスタあるドメインから別のドメインへ認証, 認可属性情報を伝達する情報は SOAP 封書形式のメッセージングにフォーマットされ HTTP で転送する認証認可情報の伝達 Trust Context (Protocol) SAML XACML DSS WSS HTTP など Trusted XML Messaging XML 署名 XML 暗号 SOAP 署名, 暗号エンベロープ鍵管理のアウトソース Trust Services XKMS (X-KISS) アプリケーションは複雑な PKI に関する知識を必要としないプロバイダ PKI に関する複雑な鍵管理証明書処理はアプリケーションから隠され外部の XKMS サーバで処理される PKI Copyright c 2003 Entrust Japan. 31

32 Web サービス XML セキュリティ相関図 XPath XSLT (Transform) X-KRSS X-KISS Signature Validation X-Bulk XML Base XML Syntax (XML 1.0) XML Schema XSL (XML Style List) Organization Signature Xpointer TIML (XML Time Stamp) Digital Signature Services XKMS 2.0 XML Signature XML Infoset XML Encryption XML Security Secure Web Services XACML 1.0 SAML 1.0 Web Services Web Service Definition Language Liberty 1.1 DSS W3C XML Protocol / SOAP 1.2 WSS-SOAP WSS-SAML Web Services Security WSS XAdES Canonicalization (C14N) Exclusive Canonicalization UDDI OASIS Copyright c 2003 Entrust Japan. 32

33 XML 署名 XML ディジタル署名 -XML セキュリティの基盤! 標準化 : W3C と IETF の共同作業! XML-Signature Syntax and Processing! W3C Recommendation (2002.2)! IETF XML Digital Signature: RFC3075! XML 構文でディジタル署名タグを規定! CMS SignedData (ASN.1) に較べ署名の可読性を増す! XML 文書との親和性! 電子申請フォームなどに適用! 署名の前に XML 文書の正規化 (C14N) が必要! XML 記述の任意性 ( 空白改行が任意に入れられる ) を除く! Canonical XMLVersion 1.0 W3C Recommendation (2001.5) " RFC3076! Exclusive XML Canonicalization 1.0 W3C Recommendation (2002.6) Copyright c 2003 Entrust Japan. 33

34 XML 署名の例 <Signature Id= MyFirstSignature 署名要素 xmlns=" <SignedInfo> 1 署名情報 <CanonicalizationMethod SignedInfo 要素の正規化情報 Algorithm=" <SignatureMethod 署名方法 Algorithm= /> 署名アルゴリズム <Reference URI= > 署名対象 <Transforms> 署名対象文書の正規化方式 (C14N) <Transform Algorithm=" </Transforms> <DigestMethod Algorithm=" <DigestValue>j6lwx3rvEPO0vKtMup4NbeVu8nk=</DigestValue> ハッシュ値 </Reference> </SignedInfo> <SignatureValue>MC0CFFrVLtRlk=...</SignatureValue> 2. 署名値 <KeyInfo> 3. 署名検証鍵情報 ( オプション ) <X509Data> a5xgv4yrk </X509Data> X.509 公開鍵証明書 </KeyInfo> <Objects>.</Objects> 4. 署名関連情報 ( オプション ) </Signature> Copyright c 2003 Entrust Japan. 34

35 XML 署名の特徴! 任意のファイルの署名 (XML 以外のファイルも OK)! XML の特定のエレメントコンテントへの署名! 署名検証者に鍵情報 <KeyInfo> に X.509cert や Kerbeross トークンなどを指定できる! 証明書の有効性は検証しない ( 公開鍵は正しいとする検証は XKMS などに任せる )! 3 タイプの XML 署名! Detached Signatures! Enveloping Signatures! Enveloped Signatures 注文書製品 A を 5 個注文します ,3 X 株式会社営業部長鈴木署名領域上記注文書に対するコメント非署名領域 Copyright c 2003 Entrust Japan. 35

36 XML 署名の 3 つのタイプ XML 署名文書 XML 署名文書 XML 署名文書注文書 abc 500 xyz 署名要素 <Signature> 署名対象 XML 文書または任意のデータ署名対象署名要素 <Signature> <Signature> 署名要素 <Signature> 署名対象参照署名対象署名対象参照署名対象参照署名値署名値署名値 Detached 署名 Enveloped 署名 Enveloping 署名 Copyright c 2003 Entrust Japan. 36

37 長期署名の検証の問題ー通常の PKI 環境の限界! 通常の PKI 環境! 証明書有効期間切れると署名検証ができない!! 過去の鍵情報が保証されない! 失効情報 (CRL) が利用できなくなる! 署名時点の信頼できる時間情報がない! 署名検証時点で失効されていなかったかが分からない Copyright c 2003 Entrust Japan. 37

38 PKI 環境でのデジタル署名の有効性! 証明書失効後は署名が失効以前に生成されたか失効後に生成されたか分からない証明書有効期間内証明書有効期限後署名の有効性確認可署名の有効性確認不可数十年後アルゴリズム危殆化署名生成署名検証証明書失効署名生成? 署名検証署名生成が失効前か後か? 署名検証? 失効情報取得不可署名生成が失効前か後か? 署名の偽造可能 Copyright c 2003 Entrust Japan. 38

39 XAdES 長期署名のフォーマット! 長期署名のフォーマット証明書失効情報の参照値 ( ハッシュ値 ) Elect. Signature (XA ES) Signature Policy ID Signed Attributes Digital Signature XA ES-T Timestamp over digital signature XA ES-C Complete certificate and revocation references XAdES-X Complete certificate and revocation Data 基本署名フォーマット (ES) 基本署名フォーマット (ES) にタイムスタンプを付ける長期署名フォーマット : 関連する証明書チェーンそれぞれのCRL ARLをすべて収集 Copyright c 2003 Entrust Japan. 39

40 長期記録のための電子署名! 何十年も保存する署名文書 (Archive)! 暗号強度の弱体化署名アルゴリズムの危殆化による署名偽造を防ぐ! XAdES-A! 暗号方式が既に解読されるようになっても署名時点の有効性を検証できる方式 (ES-X にアーカイブタイムスタンプを付ける )! XAdES-A の延長方法! 前のアーカイブタイムスタンプの有効期限切れ前に検証の有効性確認のため新しいアーカイブタイムスタンプを付加する ES-X Archive Time Stump Archive Time Stump Archive Time Stump Copyright c 2003 Entrust Japan. 40

41 XML 長期署名フォーマット (XAdES)! <ds:signature ID?> XML 署名! <ds:signedinfo> 署名情報! <ds:canonicalizationmethod/> 正規化メソッド! <ds:signaturemethod/> 署名方式! (<ds:reference URI? > 署名データへの参照! (<ds:transforms>)? 変換方式! <ds:digestmethod> ダイジェスト方式! <ds:digestvalue> ハッシュ値! </ds:reference>)+! </ds:signedinfo>! <ds:signaturevalue> 署名値! (<ds:keyinfo>)? 鍵情報 ( 証明書 ) XML Dsig 基本! <ds:object> オブジェクト! <QualifyingProperties> XAdES! <SignedProperties> 署名属性! <SignedSignatureProperties>! (SigningTime) 署名時間! (SigningCertificate) 署名用証明書参照! (SignaturePolicyIdentifier) 署名ポリシ ID XAdES-T! </SignedSignatureProperties>! </SignedProperties>!! <UnsignedProperties> 非署名属性! <UnsignedSignatureProperties> XAdES-C! (CounterSignature)* 直列署名! (SignatureTimeStamp)+ タイムスタンプ! (CompleteCertificateRefs) 証明書参照! (CompleteRevocationRefs)- 失効情報参照! (CertificatesValues) 証明書チェーン XAdES-X! (RevocationValues) 失効情報! (ArchiveTimeStamp)+ アーカイブタイムスタンプ! </UnsignedSignatureProperties>! </UnsignedProperties> XAdES-A! </QualifyingProperties>! </ds:object>! </ds:signature> Copyright c 2003 Entrust Japan. 41

42 XML 暗号 XML 暗号! XML Encryption Syntax and Processing! W3C Recommendation ( )! 暗号化対象! 任意のファイル ( 非 XML も含む ) の暗号化! 任意の XML エレメントコンテントの暗号化! XML 暗号プロセッサが鍵情報 <KeyInfo> を基に対象部分を暗号化し <CypherData> に置き換える! 対称鍵で暗号化! 公開鍵で対称鍵を暗号化! XML 復号プロセッサが <CypherData> を元に戻す! 使用する鍵は正しいものとする! 公開鍵の有効性検証はこの仕様の外部で行う! XKMS などに任せる Copyright c 2003 Entrust Japan. 42

43 XML 暗号の例指定したエレメントを暗号化 (W3C: 標準化の最終段階 ) XML 暗号化の例 ( 人事データ ) <?xml version= 1.0?> <employee id= > <name> 鈴木優一 </name> <title>cto</title> <salary> <salary> エレメントの内容が <EncryptedData> エレメントに置きかえられる <EncryptedData xmlns= Type= NodeList > <CypherData><CipherValue> AbCd..XyZ </CipherValue> </CypherData> </EncryptedData> </salary> 暗号化された値 </employee> 従業員 ID: 氏名 : 鈴木優一タイトル : CTO 給与 : AbCd..XyZ 必要な部分のみを暗号化 Copyright c 2003 Entrust Japan. 43

44 XML 署名暗号 Toolkit! 各社の Toolkits, SDK がある! Baltimore! DataPower! Entrust/Toolkit ; for Java! IAIK XML Signature Library (IXSIL)! IBM XML Security Suite! Infomosaic! Microsoft! NEC XMLDSIG! Phaos! RSA BSAFE Cert-J! Ubisecure! VeriSign! Entrust Security Toolkit for Java (6.1)! 簡単な Java プログラムで XML 署名 XML 暗号を生成! XML Digital Signature 処理! 3 タイプの XML 署名サポート! XML Encryption 処理サポート! 署名検証暗号復号処理もサポート Copyright c 2003 Entrust Japan. 44

45 XKMS XKMS XML 鍵管理! XML Key Management Specification 2.0! W3C Draft Last Call (2002.4)! Web ベースの鍵管理サービス! 2 つのサービス ( 要求と応答 )! 鍵情報サービス (X-KISS :Key Information Service)! XML 署名, 暗号の鍵情報に関する問合わせと応答! 鍵情報の有効性問合わせ ( 証明書検証 )! 鍵登録サービス (X-KRSS :Key Registration Service )! 鍵の登録プロトコル ( 証明書発行要求 )! バックエンドの PKI とのリンケージ! クライアントサーバメッセージングは SOAP に載せる! Copyright c 2003 Entrust Japan. 45

46 XKMS サービス X-KISS( 鍵情報の有効性検証 ) ブラウザ Web サーバクライアント問合わせ証明書応答信頼できるサービス LDAP OSCP PKI サービス鍵情報の有効性 Tier 1 Tier 2 認証パス証明書検証失効チェック Copyright c 2003 Entrust Japan. 46

47 XKMS X-KISS( 鍵情報サービス )! クライアントが XML 署名の鍵情報についての処理を XKMS サーバに委任 ( 公開鍵証明書の有効性検証など )! <ds:keyinfo> エレメントについての問合わせ応答! X.509 証明書の構文解析! ディレクトリから証明書 CRL を取得! 失効情報の検証! 認証パス構築検証! Tier サービスモデル! Tier 0 :PKI など Trust サービスを用いないで鍵情報を得る! Tier 1 : 鍵所在情報サービス (Locale)! Tier 2 : 有効性検証サービス (Validate) Copyright c 2003 Entrust Japan. 47

48 XKMS X-KRSS( 鍵登録サービス )! X-KRSS! ユーザ毎の公開鍵登録のプロトコル! 鍵ペアをクライアント生成の場合! 鍵ペアをサーバで生成の場合! PoP 確認! 鍵失効要求! 鍵回復サービス! バッチ鍵登録サービス! IC カードのバルク発行 Copyright c 2003 Entrust Japan. 48

49 XML 署名デモ XML セキュリティの基本デモ (XML 署名と署名検証 )! XML 署名生成! 署名 Tool の動作! XML 署名の検証! 証明書の検証! 改ざんの検出! 伊藤康宏! エントラストジャパン Copyright c 2003 Entrust Japan. 49

50 Web サービスのセキュリティの応用! SAML( セキュリティアサーション )! Liberty( 連携 SSO)! XACML( ポリシー記述 )! DSS( 署名生成検証タイムスタンプサービス )! WSS(Webサービス経路のセキュリティ ) Copyright c 2003 Entrust Japan. 50

51 SAML SAML( Security Assertion Markup Language )! SAML 1.1 OASIS Standard (2003.9)! 認証アクセス制御属性情報の伝達 SAML Authority 外部認証環境属性 DBなど PKIなど (Role) Policy Policy Policy アクセス規則など (Rule) クレデンシャル情報 ( 鍵情報など ) Authentication Authority Attribute Authority Policy Decision Point (PDP) SAML 要求 SAML Authentication Assertion Attribute Assertion Authorization Decision Assertion System Entity アプリケーション要求クライアントまたはアクセス要求を受けたサーバ Policy Enforcement Point (PEP) アクセス制御の実行 Copyright c 2003 Entrust Japan. 51

52 SAML Assertion! SAML Authority による認証属性認可決定の証明! <Assertion>! Assretion 属性! バージョン番号 :1.0! AssertionID :! Issuer :Assertion の発行者! IssueInstant :Assertion 発行時間! <AuthenticationStatement> : 認証 Statement! <AttributeStatement> : 属性 Statement いずれか! <AuthorizationDecisionStatement> : 認可決定 Statement 1 つのステートメント Copyright c 2003 Entrust Japan. 52

53 SAML プロトコル ( 要求, 応答プロトコル )! 要求応答プロトコル! SOAP にエンベロープ要求要求者 ( リクエスタ ) 応答 <Request> <xxxquerie> <Response> <Status> OK <Assertion> <AuthenticationQuerie> <AttributeQuerie> <AuthorizationDecisionQuerie> 応答者 ( プロバイダ ) SAML Authority Copyright c 2003 Entrust Japan. 53

54 SAML アサーションと公開鍵証明書! SAML アサーション! 要求事項に対する証明! 単目的 (1 回のセッションで消費 )! 短寿命 ( 数分 ~ 数時間 )! 公開鍵証明書 X.509 属性証明書! 公開鍵証明書 :Subject と公開鍵を結合! X.509 属性証明書 : Subject と属性の結合! 多目的! 長寿命 Copyright c 2003 Entrust Japan. 54

55 SAML アサーションポリシと CP/CPS! CP/CPS: PKI でのポリシ規定! CP: 証明書ポリシ! CPS: 認証実施規定! SAML でのポリシ規定! SAML AuthenticationMethod 属性 URL! セキュリティの基準ポリシ規定! SAML Condition 要素! SAML Authority の責任範囲を規定! SAML Advice 要素! アサーション消費者への注意! SAML SubjectConfirmation 要素! 認証方法 ( パスワードか PKI か ) Copyright c 2003 Entrust Japan. 55

56 SAML のセキュリティ! SAML は特定のセキュリティ技術は規定しない! パスワード Kerberos PKI! ピア to ピア環境! SSLサーバ認証とセッションの暗号化で十分! アサーションにデジタル署名を必要としない! デジタル署名が必要な場合! <Request> <Response> <Assertion> にデジタル署名! メッセージがサーバー間を渡り歩く場合! アサーションをプッシュする場合! デジタル署名はXML Enveloped 署名 Copyright c 2003 Entrust Japan. 56

57 SAML の使用法 (SSO)! SSO(Cookie 認証と違いドメインを超えられる )! SSO Pull Model Web ユーザソース Web サイトデスティネーション Web サイト認証デスティネーション接続要求認証参照情報資源要求 SAML 認証要求 SAML 認証提供資源提供 Copyright c 2003 Entrust Japan. 57

58 SAML の使用法 ( 認可サービス )! アプリケーションチェーン Web ユーザ Web サーバ PEP アプリケーション PDP 認可権限付与セキュリティシステム認証要求認証参照情報動的資源要求アクセス機能要求 SAML 認証要求 SAML 認証提供資源アクセス許可資源アクセス提供 Copyright c 2003 Entrust Japan. 58

59 SAML over SOAP over HTTP( 要求 )! SAML メッセージを SOAP でエンベロープし HTTP で転送 ( 要求 ) POST /SamlService HTTP/1.1 Host: Content-Type: text/xml Content-Length: nnn SOAPAction: <SOAP-ENV:Envelope xmlns:soap-env= > <SOAP-ENV:Body> <samlp:request xmlns:samlp:= xmlns:saml= xmlns:ds= > <ds:signature> </ds:signature> XMLデジタル署名 <samlp:authenticationquery> // 認証問合わせ SAML </samlp:authenticationquery> </samlp:request> </SOAP-ENV:Body> </SOAP-ENV:Envelope> HTTP SOAP Copyright c 2003 Entrust Japan. 59

60 SAML over SOAP over HTTP( 応答 )! 応答 HTTP/ OK 331 Content-Type: text/xml Content-Length: nnnn HTTP <SOAP-ENV:Envelope xmlns:soap-env= > <SOAP-ENV:Body> <samlp:response xmlns:samlp= xmlns:saml= xmlns:ds= StatusCode= Success > <saml:assertion> <saml:authenticationstatement> </saml:authenticationstatement> SAML <ds:signature> </ds:signature> アサーションに XML デジタル署名 </saml:assertion> </Response> </SOAP-Env:Body> </SOAP-ENV:Envelope> SOAP Copyright c 2003 Entrust Japan. 60

61 Grid Computing のセキュリティ! Globus project! グリッドコンピューティングの Alliance! Argonne National Laboratory, the University of Southern California's Information Sciences Institute, the University of Chicago, the University of Edinburgh, and the Swedish Center for Parallel Computers,! グリッドコンピューティングのセキュリティ! セキュリティが最も重要! SAML の採用 Copyright c 2003 Entrust Japan. 61

62 OGSA セキュリティ Load Map Intrusion Detection Secure Conversations Credential and Identity Translation Single ( Single Logon ) Logon Access Control Enforcement Audit & Non-repudiation - Anti- virus Management Policy Management (authorizatio (authorization, privacy n, privacy, federation,, federation, etc) etc) User Management Service / End-point Policy Mapping Authorization Rules Policy Policy Expression and Exchange Privacy Policy Trust Model Secure Logging Key Management Bindings Security (transport, protocol, message security) Copyright c 2003 Entrust Japan. 62

63 Grid Service :SAML のセキュリティ Initiator (user or another service) (1) Authentication and request Target Resource/PEP (Grid Service) Local State (2) Authorization Decision Request (SAML) (3) Authorization Decision Response (SAML)? Policy Authorization Service/ PDP (e.g. Permis, Akenti) Copyright c 2003 Entrust Japan. 63

64 Liberty Liberty Alliance Project! Liberty Alliance Version 1.1 Specification (2003.1)! 現在 Phase2 の作業中 ( )! Liberty1.1 の機能! マルチベンダ SSO を可能にする! SAML をベースに SSO 機能を強化! 本人性連携 (Federated Identity)! 認証 (SSO)! グローバルログアウト! コンテクストセキュリティセキュリティポリシの一致の確認 Liberty SSO SAML SAML 認証アサーション属性認可 Copyright c 2003 Entrust Japan. 64

65 Liberty Alliance Project (Federation)! Identity Provider が Service Provider と連携する! メンバーの本人情報を直接交換しない ( プライバシ確保 ) Circle of Trust Airline.Inc Hotel.Inc Identity Provider Service Provider CarRental.Inc Service Provider Copyright c 2003 Entrust Japan. 65

66 Liberty Alliance と.NET Passport! ビジネス連携 SSO への要求! 企業内システムから企業間連携へ! Liberty Alliance Project 1.1! SAML ベースの Federated SSO! SAML 認証アサーションの伝達! PKI との連携! 今後の展開が期待される (150 社以上のメンバー )!.NET Passport 2.0! マイクロソフト独自のサービス! Kerbeross 5.0 ベースの SSO! 暗号化した認証クッキーの伝達! 既に多くの展開例がある! WS Federation! IBM Microsoft RSA! Liberty と競合 Copyright c 2003 Entrust Japan. 66

67 XACML XACML! XACML 1.0 OASIS Standard (2003.2)! OASIS extensible Access Control Markup Language! アクセス制御のポリシー記述 (SAML PDP の拡張 )! トリプレット <Target> Subject+Resource+Action! 要求と応答要求 <Request> <Subject> <Resource> <Action> read PEP PDP 実行応答 <Response> <Result> <Decision>Permit PAP ポリシの登録 Copyright c 2003 Entrust Japan. 67

68 XACML データフローモデル PEP Obligation Service Obligation Context Context PDP PIP Policy PAP Subject Environment Resource Copyright c 2003 Entrust Japan. 68

69 XACML ポリシ言語構造 <PolicySet> Policy Combining Algorithm <Target> <Policy> <Obligations> <Subjects> <Resources> > <Actions> <Rule> Rule Combining Algorithm <Condition> <Target> <Subjects> <Resources> <Actions> Copyright c 2003 Entrust Japan. 69

70 XACML の Policy の例 <?xml version= 1.0?> <Policy> <Target> <Subjects><AnySubject/></Subjects> <Resources><AnySubject/></Resources> <Actions><AnyAction/></Actions> </Target > <Rule> <Target> <Subject> <uid>suzuki</uid> </subject> <Resource href= creditcardnumber /> <Action name= write /> </Target > <Conditions> </Conditions> </Rule> </Policy> Copyright c 2003 Entrust Japan. 70

71 SAML, Liberty, XACML 対応製品! 多くの製品が SAML 対応または対応表明をしている! Entrust GetAccess 7.0! Netegrity SiteMinder 5.5! Sun ONE Identity Server 6.0! VeriSign Trust Services Integration Kit (TSIK)! Baltimore SelectAccess Version 5.1! RSA Security CLearTrust! Etc.! マルチベンダー相互運用性! 今後の課題 Copyright c 2003 Entrust Japan. 71

72 DSS DSS (Digital Signature Service)! OASIS DSS TC! 現在策定中の作業! ほぼ Requirement がまとまる (2003.5)! 主な機能! Corporate Signature Envelope! 組織代表者の署名サーバ! 長期署名フォーマット XAdES のプロファイル! ビジネス文書の交換に必要! XML Time Stamp Protocol! XML 署名との相性! TIML(Temporal Integrity Markup Language) 提案ドラフト! Signature Validation Service! 最終的には署名文書の署名を検証するサービス! X-KISS の拡張 Copyright c 2003 Entrust Japan. 72

73 WSS WSS (Web Services Security)! OASIS WSS TC! 現在策定中の作業! IBM, Microsoft, VeriSign の仕様から OASIS へ! 主な仕様! Core 仕様! SOAP Message Security Draft 11 - (3/03/2003) " Web サービスネットワークの SOAP ヘッダー規約! プロファイル! SAML Token Profile Draft 6 (2/ ) " SOAP ヘッダーでの SAML アサーションの利用法! X509 Token Profile Draft 3 " X.509 証明書の扱い Copyright c 2003 Entrust Japan. 73

74 XML 対 ASN.1! IETF PKIX S/MIME 標準は ASN.1 ベース! ASN.1 は効率的なコード化が可能! エンコードしたデータはバイナリ可読性がない!! ASN.1 署名標準フォーマットは CMS SignedData! しかし ASN.1 の理解者が少ない! XML で ASN.1 と同一構文と意味付けができる! XML はマシンと人間に可読性をもつ! XML の理解者は多い! ディジタル署名の普及には XML 署名が優れる! PKI 関連標準を全てを XML で記述するか?! 基盤標準は ASN.1! アプリケーションは XML Copyright c 2003 Entrust Japan. 74

75 Q&A 鈴木優一 Copyright c 2003 Entrust Japan. 75

SAML

SAML 2003 6 2 XML Consortium SWG ( )NTT ( ) Copyright XML Consortium 2003/06/02 1 Copyright XML Consortium 2003/06/02 2 2002 2003 7 8 9 10 11 12 1 2 3 4 5 6 3/5 6/2 Copyright XML Consortium 2003/06/02 3 Copyright