特集 次世代XML Webサービスを試す Part 2 ４．SOAPメッセージの完全性 インフォテリア株式会社 吉松 史彰 2003/01/29

---

　前半では、セキュリティ・トークンとは何かについて述べ、WS-Security仕様で規定されている内容のうち、WSEで実装されている、ユーザー名／パスワードおよびX.509v3証明書を使用したセキュリティ・トークンによるメッセージ認証を解説した。ここからの後半では、WS-Securityがサポートする、SOAPメッセージの改ざんを防止するためのデジタル署名と、機密を保持するための暗号化について、ここまでと同様にWSEで試しながらその仕組みを解説していく。

SOAPメッセージの完全性の保証

　WS-Securityが取り扱うセキュリティ領域に、「メッセージの完全性」がある。メッセージの完全性とは、端的にはメッセージが転送の途中で改ざんされていないことを保証することだ。そのために有効な手段としてデジタル署名がある。WS-Security仕様には、W3CとIETFから発表されているXML署名仕様を利用して、SOAPメッセージにデジタル署名を施す手順が示されている。

　WSEでは、前述のUsernameTokenとX509SecurityTokenの2つを使って、必要な要素にデジタル署名を施し、その内容をXML署名の形式でSOAPヘッダに添付できるようになっている。「必要な要素」とは、デフォルトではWSEが作成するSOAPメッセージに含まれる次の6つの要素だ。

• Body
• Header/path/action
• Header/path/to
• Header/path/id
• Header/Timestamp/Created
• Header/Timestamp/Expires

　例えば、path要素に子要素を追加すれば、それも署名の対象になる。また、署名の対象を開発者がコントロールすることもできる。SOAPのBodyには署名したくない、Body全体ではなくBodyの一部だけ署名したい、という操作も可能である。

　WSEで、X509SecurityTokenを使ってSOAPメッセージにデジタル署名を施すには、クライアント側で次のコードを実装する（Part1で用いたWebサービス・クライアントの内容を、このコードで置き換える）。

localhost.Service1 svc = new localhost.Service1(); Microsoft.Web.Services.SoapContext ctx = svc.RequestSoapContext; Microsoft.Web.Services.Security.X509.X509CertificateStore store =     Microsoft.Web.Services.Security.X509.X509CertificateStore.     CurrentUserStore(Microsoft.Web.Services.Security.X509.     X509CertificateStore.MyStore); if (!store.OpenRead())   return; Microsoft.Web.Services.Security.X509.X509Certificate cert =   (Microsoft.Web.Services.Security.X509.X509Certificate)     store.FindCertificateBySubjectString("WSE Test")[0]; Microsoft.Web.Services.Security.X509SecurityToken x509   = new Microsoft.Web.Services.Security.X509SecurityToken(cert); ctx.Security.Tokens.Add(x509); store.Close(); Microsoft.Web.Services.Security.Signature sign   = new Microsoft.Web.Services.Security.Signature(x509); ctx.Security.Elements.Add(sign); string ret = svc.GetData();

Webサービス・クライアントでSOAPメッセージにデジタル署名を施すためのコード例

（は、実際のコードでは改行しないで次行に続いていることを示しています）

　ここではまず、クライアント・プログラムが動作しているコンピュータ上の証明書ストアにアクセスして証明書（Microsoft..Web.Services.Security.X509.X509Certificate）クラスを取得している。先ほどのコードではこのクラスを、CreateCertFromFileメソッドを呼び出して、その引数にファイル名を渡して作成していた。しかし、デジタル署名を行うには秘密鍵が必要になる。通常は証明書のファイルには秘密鍵は含めない。従って、X509Certificateクラスをファイルから作成してしまうと秘密鍵がないので署名ができない。そのため、ファイルからではなく、秘密鍵を含んだ形で証明書が保管されている証明書ストアにアクセスしているのだ。

　証明書ストアにアクセスするには、X509CertificateStoreクラスのstaticメソッドであるCurrentUserStoreを、証明書ストアの名前を指定して呼び出せばよい。名前は「My」という文字列なのだが、定数が用意されているので上記のコードではそれを使っている。証明書ストアが取得できたらそれを開き（OpenRead）、中から名前を指定して証明書を検索する。X509CertificateStoreクラスには、FindCertificateByXXXというメソッドが4つあるが、ここではサブジェクトの名前の一部分から検索するFindCertificateBySubjectStringメソッドを利用している。本来、該当する証明書がいくつか見つかった場合は、X509CertificateCollectionクラスをループして利用するものを探さなければならないのだが、今回は1つしかないことが分かっているので、インデクサ（[0]）を使って最初の証明書を取り出している。

　証明書が取得できたら、次にトークンを作成して、セキュリティ・トークンとしてSOAPメッセージに追加する。このコードは先ほどのコードと同じだ。次に、デジタル署名を行うので、Microsoft..Web.Services.Security.Signatureクラス（のオブジェクト）を作成する。Signatureクラスのコンストラクタに作成したセキュリティ・トークンを渡すと、それを使って決められた要素にWSEがデジタル署名をしてくれる。SignatureクラスのオブジェクトをSOAPヘッダのSecurity要素に追加すれば、デジタル署名は完了だ。

　このコードで送信されるSOAPメッセージは次のようになる。なんとも目が回りそうな内容だが、これを手で書いたり、目で見たりして理解する必要がないのはいうまでもないだろう。

上記のコードで送信されるデジタル署名されたSOAPメッセージ例（IEで表示）

　このメッセージを受け取ったサーバ側（[WebMethod]）では、デジタル署名を検証するコードなどは一切書く必要はない。それはすべてWSEが行ってくれる。[WebMethod]の行まで到達したということは、デジタル署名の検証に問題がなかったということなので、このSOAPメッセージに添付されてきた証明書の正当な持ち主がデジタル署名を行ったことを確認できたことになる。ということは、添付されている証明書が申告している「私は誰それです」という表明も認証されたことになる。

INDEX
	特集　次世代XML Webサービスを試す Part 2
	WS-Security詳細解説
	1．WS-SecurityとWeb Services Enhancements
	2．セキュリティ・トークンと認証
	3．セキュリティ・トークンとしてのX.509v3証明書
	4．SOAPメッセージの完全性
	5．SOAPメッセージの秘匿性

　

「特集：次世代XML Webサービスを試す」

＠ITメールマガジン　新着情報やスタッフのコラムがメールで届きます（無料）