Vulnerability in cloud computing. Securing SOAP message using SESoap method

Abstract

ABSTRACT: Cloud computing is a concept based on Internet, which delivers large scalable computing resources, as services over the Internet. The main benefit of this technology is the decrease of capital and operational costs, which has caused industrial companies and research communities pay attention to this technology, increasingly. A typical cloud computing systems has special characteristics. According to, five major characteristics have been considered for a typical cloud system. Having those characteristics, there are also three major service models, for each system, which are namely, Cloud Software as a Service (SaaS), Cloud Platform as a Service (PaaS), Cloud Infrastructure as a Service (IaaS). It should be added here that although there are a lot of positive features counted for cloud systems, there are also some problems that slacken this technology’s development. One of the most critical issues, is security, which threatens the successfulness of cloud computing. It is known that the exchange of information between web applications is done by means of the SOAP protocol. Securing this protocol is obviously a vital issue for any computer network. However, when it comes to cloud computing systems, the sensitivity of this issue rises, as the clients of system, release their data to the cloud. XML signature is employed to secure SOAP messages. However, there are also some weak points that have been identified, named as XML signature wrapping attacks, which have been categorized into four major groups; Simple Ancestry Context Attack, Optional element context attacks, Sibling Value Context Attack, Sibling Order Context. In this study, two existing methods, for referencing the signed part of SOAP Message to counter the mentioned attacks, named as ID and XPath method, are analyzed and examined. In addition, a new method is proposed and also tested, to secure the SOAP message. In the new method, the XML signature wrapping attack is prevented by employing the concept of XML digital signature on the SOAP message. In this study a different way for signing is used, which is more efficient than the current methods .The results of conducted experiments show that the proposed method is approximately three times faster than the best method, which is currently available. Keywords: Cloud computing, SOAP message, XML digital signature, Wrapping attack

………………………………………………………………………………………………………………………………………………………………………………………………………… ÖZ: Bulut bilişim internete dayanmakta olup internette geniş ölçeklenebilir programlama veri kaynağını ve hizmetleri sunan bir konsepttir. Bu sistemin başlıca faydaları sermayenin ve işletim maliyetinin düşürmesidir. Dolaysıyla sanayi kuruluşları ve araştırma topluluklarının bu sisteme gösterdiği ilgi gittikçe artmaktadır. Bulut bilişim sistemlerinin kendine özgü özellikleri vardır. Bir bulut bilişim sistemi genel olarak beş özelliğe sahiptir. Bu özelliklerin yanı sıra, her sistemin üç ana hizmet modeli de mevcuttur; Hizmet Olarak Yazılım (SaaS), Hizmet Olarak Platform (PaaS), Hizmet Olarak Altyapı (IaaS). Unutulmaması gerekir ki bu sistemin birçok faydaya sahip olmasının yanı sıra, bu teknolojinin geliştirilmesine ilişkin bazı sorunlar da bulunmaktadır. En kritik konulardan birisi bu sistemin başarı oranının olumsuz bir şekilde etkileyebilen güvenliktir. Bilindiği üzere, web uygulamaları arasında veri değişimi SOAP protokolü (Basit Nesne Erişim Protokolü) aracılığıyla gerçekleşmektedir. Bu protokolün güvenliği her bilişim ağı için hayati önem taşımaktadır. Fakat bulut bilişim sistemlerine gelindiğinde, sistem müşterileri kendi verilerinin buluta sürdükleri için güvenliğin önemi daha da artmaktadır. XML imzası SOAP mesajlarının güvenliğinin sağlanması için kullanılır. Ancak XML imzasının bazı zayıf yönleri da tespit edilmiştir. Bunlar XML imzası saldırı paketi olarak adlandırılmakta olup dört kategoriye bölünür; Basit Geçmiş İçerik Saldırısı (Simple Ancestry Context Attack), Seçimli Bileşen İçerik Saldırısı (Optional Element Context Attacks), Benzer Değer İçerik Saldırısı (Sibling Value Context Attack), Benzer Düzen İçerik Saldırısı (Sibling Order Context). Bu çalışmada, SOAP mesajının imzalanmış kısmına yönelik sözü gecen saldırıları önlenmek için kullanılmakta olan URI ve XPath olmak üzere, iki kullanılmakta olan yöntem analiz edilmiş ve değerlendirilmiştir. Ayrıca SOAP mesajlarının güvenliğinin sağlanması için yeni bir yöntem önerilmeye ve test edilmeye çalışılmıştır. Yeni yöntemde, XML imza sarma saldırısı SOAP mesajı uzerine XML sayısal imza yöntemlere söre daha fahli ve daha verimli bir ımzalame yüntemi kullanılmıştır. Deneyler göstermiştir ki öneilen yöntem varolan yüntemlere göre üç misli hızlıdır.

Anahtar Kelimeler: Bulut bilişim, SOAP mesajı, XML sayısal imza, Sarma saldırısı.