트랜잭션 프로토콜
WCF(Windows Communication Foundation)에서는 WS-Atomic Transaction 및 WS-Coordination 프로토콜을 구현합니다.
사양/문서 | 버전 | 링크 |
WS-Coordination |
1.0 1.1 |
WS-AtomicTransaction |
1.0 1.1 |
https://go.microsoft.com/fwlink/?LinkId=96080 https://go.microsoft.com/fwlink/?LinkId=96081 |
이러한 프로토콜 사양의 상호 운용성은 두 가지 수준에서, 즉 응용 프로그램 간에 그리고 트랜잭션 관리자 간에 필요합니다(다음 그림 참조). 사양은 두 가지 수준의 상호 운용성을 위한 메시지 형식 및 메시지 교환을 상세하게 설명합니다. 응용 프로그램 간의 교환을 위한 보안, 안정성 및 인코딩은 일반적인 응용 프로그램 교환을 위해 수행되는 것과 같은 방식으로 적용됩니다. 그러나 트랜잭션 관리자 간의 상호 운용성을 위해서는 특정한 바인딩에 대한 동의가 필요합니다. 이러한 부분은 일반적으로 사용자가 구성하지 않기 때문입니다.
이 항목에서는 WS-AT(WS-Atomic Transaction) 사양과 보안의 조합에 대해 설명하고, 트랜잭션 관리자 간 통신을 위해 사용하는 보안이 설정된 바인딩에 대해 설명합니다. 이 문서에서 설명하는 방식은 IBM, IONA, Sun Microsystems 등에서 WS-AT 및 WS-Coordination의 다른 구현과 함께 성공적으로 테스트되었습니다.
다음 그림에서는 두 개의 트랜잭션 관리자(트랜잭션 관리자 1, 트랜잭션 관리자 2)와 두 개의 응용 프로그램(응용 프로그램 1, 응용 프로그램 2) 간의 상호 운용성에 대해 설명합니다.
한 명의 개시자(I)와 한 명의 참가자(P)가 있는 일반적인 WS-Coordination/WS-Atomic Transaction 시나리오를 예로 들어 봅니다. 개시자와 참가자는 둘 다 트랜잭션 관리자(각각 ITM과 PTM)를 가집니다. 이 항목에서는 2단계 커밋을 2PC라고 합니다.
1. CreateCoordinationContext |
12. 응용 프로그램 메시지 응답 |
2. CreateCoordinationContextResponse |
13. 커밋(완료) |
3. 등록(완료) |
14. 준비(2PC) |
4. RegisterResponse |
15. 준비(2PC) |
5. 응용 프로그램 메시지 |
16. 준비됨(2PC) |
6. CreateCoordinationContext와 Context |
17. 준비됨(2PC) |
7. 등록(지속적) |
18. 커밋됨(완료) |
8. RegisterResponse |
19. 커밋(2PC) |
9. CreateCoordinationContextResponse |
20. 커밋(2PC) |
10. 등록(Durable) |
21. 커밋됨(2PC) |
11. RegisterResponse |
22. 커밋됨(2PC) |
이 문서에서는 WS-AtomicTransaction 사양과 보안의 조합에 대해 설명하고, 트랜잭션 관리자 간 통신을 위해 사용하는 보안이 설정된 바인딩에 대해 설명합니다. 이 문서에서 설명하는 방식은 WS-AT 및 WS-Coordination의 다른 구현과 함께 성공적으로 테스트되었습니다.
그림과 표에서는 보안의 관점에서 메시지에 대한 4가지 클래스를 보여 줍니다.
- 활성화 메시지(CreateCoordinationContext 및 CreateCoordinationContextResponse)
- 등록 메시지(Register 및 RegisterResponse)
- 프로토콜 메시지(준비, 롤백, 커밋, 중단 등)
- 응용 프로그램 메시지
처음 세 개의 메시지 클래스는 트랜잭션 관리자 메시지로 간주되며, 해당 바인딩 구성은 이 항목의 뒷부분에 있는 "응용 프로그램 메시지 교환"에서 설명합니다. 네 번째 메시지는 응용 프로그램 간 메시지이며, 이 항목의 뒷부분에 있는 "메시지 예제" 단원에서 설명합니다. 이 단원에서는 WCF에서 이러한 클래스 각각에 대해 사용하는 프로토콜 바인딩에 대해 설명합니다.
다음 XML 네임스페이스 및 관련 접두사는 이 문서 전체에서 사용됩니다.
접두사 | Version | 네임스페이스 URI |
s11 |
wsa |
Pre-1.0 1.0 |
http://www.w3.org/2004/08/addressing |
wscoor |
1.0 1.1 |
wsat |
1.0 1.1 |
t |
Pre-1.3 1.3 |
o |
xsd |
트랜잭션 관리자 바인딩
R1001: WS-AT 1.0 트랜잭션에 참여 중인 트랜잭션 관리자는 WS-Atomic Transaction 및 WS-Coordination 메시지 교환을 위해 SOAP 1.1과 WS-Addressing 2004/08을 사용해야 합니다.
R1002: WS-AT 1.1 트랜잭션에 참여 중인 트랜잭션 관리자는 WS-Atomic Transaction 및 WS-Coordination 메시지 교환을 위해 SOAP 1.1과 WS-Addressing 2005/08을 사용해야 합니다.
응용 프로그램 메시지는 이러한 바인딩에 제한되지 않으며, 이에 대해서는 나중에 설명합니다.
트랜잭션 관리자 HTTPS 바인딩
트랜잭션 관리자 HTTPS 바인딩은 전송 보안에만 전적으로 의존하여 보안을 수행하며, 트랜잭션 트리에 있는 각 발신자-수신자 쌍 간의 신뢰를 설정합니다.
HTTPS 전송 구성
X.509 인증서는 트랜잭션 관리자 ID를 설정하는 데 사용합니다. 클라이언트/서버 인증이 필요하며, 클라이언트/서버 권한 부여는 구현 정보로 유지됩니다.
- R1111: 연결을 통해 표시되는 X.509 인증서에는 원래 컴퓨터의 FQDN(정규화된 도메인 이름)과 일치하는 주체 이름이 있어야 합니다.
- B1112: DNS는 X.509 주체 이름을 확인한 시스템에서 각 발신자-수신자 쌍 간에 작동해야 합니다.
바인딩 구성 활성화 및 등록
WCF에는 HTTPS를 통한 상관 관계와 함께 요청/회신 이중 바인딩이 필요합니다. 요청/회신 메시지 교환 패턴의 상관 관계 및 설명에 대한 자세한 내용은 8단원 WS-Atomic Transaction을 참조하십시오.
2PC 프로토콜 바인딩 구성
WCF에서는 HTTPS를 통해 단방향(데이터그램) 메시지를 지원합니다. 메시지 간의 상관 관계는 구현 정보로 유지됩니다.
B1131: 구현은 WCF의 2PC 메시지 상관 관계를 수행하기 위해 WS-Addressing에서 설명하는 것처럼wsa:ReferenceParameters를 지원해야 합니다.
트랜잭션 관리자가 혼합된 보안 바인딩
이는 ID 설정을 목적으로 WS-Coordination 발급 토큰 모델과 혼합된 전송 보안을 사용하는 대체(혼합 모드) 바인딩입니다. 두 바인딩 간에 다른 요소는 활성화와 등록뿐입니다.
HTTPS 전송 구성
X.509 인증서는 트랜잭션 관리자 ID를 설정하는 데 사용합니다. 클라이언트/서버 인증이 필요하며, 클라이언트/서버 권한 부여는 구현 정보로 유지됩니다.
활성화 메시지 바인딩 구성
활성화 메시지는 일반적으로 응용 프로그램과 해당 로컬 트랜잭션 관리자 간에 발생하기 때문에 대개 상호 운용성에 관여하지 않습니다.
B1221: WCF에서는 활성화 메시지에 대해 이중 HTTPS 바인딩(메시징 프로토콜 참조)을 사용합니다. 요청 및 회신 메시지는 WS-AT 1.0용 WS-Addressing 2004/08 및 WS-AT 1.1용 WS-Addressing 2005/08을 사용하여 상호 관련됩니다.
8단원 WS-Atomic Transaction 사양에서는 상관 관계 및 메시지 교환 패턴에 대해 좀 더 자세히 설명합니다.
- R1222: 코디네이터는 CreateCoordinationContext를 수신하는 즉시 연관된 비밀 STx로 SecurityContextToken을 발급해야 합니다. 이 토큰은 WS-Trust 사양을 따르는 t:IssuedTokens 헤더의 내부로 반환됩니다.
- R1223: 기존 코디네이션 컨텍스트 내에서 활성화가 수행되면 기존 컨텍스트와 연관된 SecurityContextToken과 함께 t:IssuedTokens 헤더가 CreateCoordinationContext 메시지에서 이동해야 합니다.
새 t:IssuedTokens 헤더는 보내는 wscoor:CreateCoordinationContextResponse 메시지에 연결되도록 생성되어야 합니다.
등록 메시지 바인딩 구성
B1231: WCF에서는 이중 HTTPS 바인딩(메시징 프로토콜 참조)을 사용합니다. 요청 및 회신 메시지는 WS-AT 1.0용 WS-Addressing 2004/08 및 WS-AT 1.1용 WS-Addressing 2005/08을 사용하여 상호 관련됩니다.
8단원 WS-AtomicTransaction에서는 메시지 교환 패턴의 상관 관계 및 설명에 대해 좀 더 자세히 설명합니다.
R1232: 보내는 wscoor:Register 메시지는 보안 프로토콜에 설명된 IssuedTokenOverTransport 인증 모드를 사용해야 합니다.
wsse:Timestamp 요소는 발급된 SecurityContextToken STx를 사용하여 서명되어야 합니다. 이 서명은 특정 트랜잭션과 연관된 토큰을 소유했음을 나타내며, 트랜잭션에 등록된 참가자를 인증하는 데 사용합니다. RegistrationResponse 메시지는 HTTPS를 통해 다시 보내집니다.
2PC 프로토콜 바인딩 구성
WCF에서는 HTTPS를 통해 단방향(데이터그램) 메시지를 지원합니다. 메시지 간의 상관 관계는 구현 정보로 유지됩니다.
B1241: 구현은 WCF의 2PC 메시지 상관 관계를 수행하기 위해 WS-Addressing에서 설명하는 것처럼wsa:ReferenceParameters를 지원해야 합니다.
응용 프로그램 메시지 교환
바인딩이 다음 보안 요구 사항을 만족하는 경우, 응용 프로그램에서는 응용 프로그램 간 메시지에 대해 특정 바인딩을 자유롭게 사용할 수 있습니다.
- R2001: 응용 프로그램 간 메시지는 메시지의 헤더에서 CoordinationContext와 함께 t:IssuedTokens 헤더를 이동시켜야 합니다.
- R2002: t:IssuedToken의 무결성 및 기밀성이 제공되어야 합니다.
CoordinationContext 헤더에는 wscoor:Identifier가 포함됩니다. xsd:AnyURI를 정의하면 절대 URI와 상대 URI를 모두 사용할 수 있지만 WCF에서는 절대 URI인 wscoor:Identifiers만 지원합니다.
B2003: wscoor:CoordinationContext의 wscoor:Identifier가 상대 URI이면 트랜잭션 WCF 서비스에서 오류가 반환됩니다.
메시지 예제
CreateCoordinationContext 요청/응답 메시지
다음 메시지는 요청/응답 패턴을 따릅니다.
CreateCoordinationContext와 WSCoor 1.0
<s:Body xmlns:s="https://schemas.xmlsoap.org/soap/envelope/">
CreateCoordinationContext와 WSCoor 1.1
<s:Body xmlns:s="https://schemas.xmlsoap.org/soap/envelope/">
CreateCoordinationContextResponse와 Trust Pre-1.3 및 WSCoor 1.0
<!-- Data below is shown in the clear for
illustration purposes only. -->
<a:Action>./ws/2004/10/wscoor/CreateCoordinationContextResponse </a:Action>
<a:To s:mustUnderstand="1">https://... </a:To>
<wsse:SecurityTokenReference >
<!-- base64 encoded value -->
<o:Security xmlns:o="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-secext-1.0.xsd">
<u:Timestamp u:Id="_0">
CreateCoordinationContextResponse와 Trust 1.3 및 WSCoor 1.1
<!-- Data below is shown in the clear for illustration purposes only. -->
<a:Action>http://docs.oasis-open.org/ws-tx/wscoor/2006/06/CreateCoordinationContextResponse </a:Action>
<a:To s:mustUnderstand="1">https://... </a:To>
xmlns:wssu="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss- wssecurity-utility-1.0.xsd"
<wssu:Identifier> http://fabrikam123.com/SCTi
<wsp:AppliesTo> http://fabrikam123.com/CCi </wsp:AppliesTo>
<wsse:SecurityTokenReference >
<!-- base64 encoded value -->
<o:Security xmlns:o="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-secext-1.0.xsd">
<u:Timestamp u:Id="_0">
<wscoor:Identifier> http://fabrikam123.com/CCi
<a:ReferenceParameters> ...
등록 메시지
다음 메시지는 등록 메시지입니다.
WSCoor 1.0으로 등록
<wssu:Timestamp wssu:Id="_0" >
<!-- supporting signature over the timestamp -->
<wsse:Signature xmlns:ds="http://www.w3.org/2000/09/xmldsig#">
<ds:CanonicalizationMethod Algorithm="http://www.w3.org/2001/10/xml-exc-c14n#"/>
<ds:SignatureMethod Algorithm="http://www.w3.org/2000/09/xmldsig#hmac-sha1"/>
<ds:Reference URI="#_0">
<ds:Transform Algorithm="http://www.w3.org/2001/10/xml-exc-c14n#"/>
<ds:DigestMethod Algorithm="http://www.w3.org/2000/09/xmldsig#sha1"/>
<s:Body xmlns:s="https://schemas.xmlsoap.org/soap/envelope/">
<a:Address>https://... </a:Address>
WSCoor 1.1로 등록
<wssu:Timestamp wssu:Id="_0" >
<wssu:Identifier> http://fabrikam123.com/SCTi
<!-- supporting signature over the timestamp -->
<wsse:Signature xmlns:ds="http://www.w3.org/2000/09/xmldsig#">
<ds:CanonicalizationMethod Algorithm="http://www.w3.org/2001/10/xml-exc-c14n#"/>
<ds:SignatureMethod Algorithm="http://www.w3.org/2000/09/xmldsig#hmac-sha1"/>
<ds:Reference URI="#_0">
<ds:Transform Algorithm="http://www.w3.org/2001/10/xml-exc-c14n#"/>
<ds:DigestValue> alRzyhjLgoUOYoh8cx4n75eTcUk=
<wsse:SecurityTokenReference xmlns:wsse="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-secext-1.0.xsd">
<wsse:Reference URI="http://fabrikam123.com/SCTi"/>
<s:Body xmlns:s="https://schemas.xmlsoap.org/soap/envelope/">
<a:Address>https://... </a:Address>
WSCoor 1.0으로 응답 등록
<s:Body xmlns:s="https://schemas.xmlsoap.org/soap/envelope/">
WSCoor 1.1로 응답 등록
<a:Action> http://docs.oasis-open.org/ws-tx/wscoor/2006/06/RegisterResponse
<a:RelatesTo> urn:uuid:ed418b86-a75e-4aea-9d4e-a5d0cb5c088e </a:RelatesTo>
<s:Body xmlns:s="https://schemas.xmlsoap.org/soap/envelope/">
<a:ReferenceParameters> ... </a:ReferenceParameters>
2단계 커밋 프로토콜 메시지
다음 메시지는 2PC(2단계 커밋) 프로토콜과 관련됩니다.
WSAT 1.0으로 커밋
<wssu:Timestamp wssu:Id="_0" >
<s:Body xmlns:s="https://schemas.xmlsoap.org/soap/envelope/">
<wsat:Commit />
WSAT 1.1로 커밋
<wssu:Timestamp wssu:Id="_0" >
<s:Body xmlns:s="https://schemas.xmlsoap.org/soap/envelope/">
<wsat:Commit />
응용 프로그램 메시지
다음 메시지는 응용 프로그램 메시지입니다.
응용 프로그램 메시지-요청
<!-- Addressing headers, all signed-->
<wsse:Security s:mustUnderstand="1">
<wssu:Timestamp wssu:Id="timestamp">
<!-- IA certificate -->
<e:EncryptedKey Id="encrypted_key">
<!-- ephemeral key encrypted for PA certificate -->
<e:ReferenceList xmlns:e="http://www.w3.org/2001/04/xmlenc#">
<e:DataReference URI="#encrypted_body"/>
<e:DataReference URI="#encrypted_CCi"/>
<e:DataReference URI="#encrypted_issuedtokens"/>
<Signature xmlns="http://www.w3.org/2000/09/xmldsig#">
<!-- signature over Addressing headers, Timestamp, and Body -->
<wsse11:EncryptedHeader >
<!-- encrypted wscoor:CoordinationContext header containing CCi -->
<!-- encrypted wst:IssuedTokens header containing SCTi -->
<!-- wst:IssuedTokens header is taken verbatim from message #2 above, omitted for brevity -->
<s:Body wssu:Id="body">
<!-- encrypted content of the Body element of the application message -->
<e:EncryptedData Id="encrypted_body"