基于XPath 分解XML 文档的完整性检查.docVIP

基于XPath分解XML文档的完整性检查 刘宝龙*， 刘念， 陈桦 （西安工业大学 计算机科学与工程学院，中国，西安，710032） 摘 要：XML文档的分解在XML数据安全、文档发布中有着广泛的应用，XML文档在分解时需要考虑两个问题：首先，每一个分解的子文档应该是有意义的。其次，数据完整性机制应能检查每一个子文档的完整性。本文利用Xpath路径表达式实现XML数据的分解，并提出建立一个XML数据完整性检查池来提供分解后的XML数据完整性检查。利用XPath表达式，在保持子文档有效性的同时易于实现XML文档的分解。利用建立的数据完整性检查池，用户可以检查所得数据的完整性，而不需要和其他用户的协作。该方法的提出为细粒度安全环境中对XML文档的保护及发布提供了新的思路，为XML应用奠定了安全基础。 关键词：XPath；完整性检查池；DOM-HASH；DTD 中图号：TP309.2 文献标志码：A XML文档分解在XML数据安全中有着广泛的应用，比如：基于信任第三方文档的发布、基于工作流的多重XML数字签名及加密等。文献[1]中提出了一种XML文档分解的方案。该方案假定文档可以被分解成一系列不交叉的更小的子文档，记为，其中每一个仅包含一个独立的对象，并假定是一个顺序序列，因此整个文档可以看做是这些子文档连接的结果，即：。尽管上述方法可以分解一个XML文档，但是该方案的一个主要缺陷是：假设每一个文档可以被分割成一系列的子文档，并且每一个子文档是有效的。这是一个严格的假设，因为一个完整的有效的主题或许包含一个文档的几个部分。保持这些子文档的完全有效性是不容易的。利用XML数据的结构，文献[2]采用Xpath路径集合来分解一个文档，并生成一系列子文档，其中代表XPath表达式。通过XPath表达式，用户可以容易的获得一个子文档。这个方案的主要优点是基于Xpath分解的文档可以保证每个文档的完整含义。然而，这个方案中存在两个明显的缺陷。首先，在文档分解过程中，每一个子文档的完整性检查依赖公式，这表明原始文档的每一个部分必须被完全的分派，否则完整性检查将是不可行的。比如，假设一个文档由5个部分组成，实际应用中只需要对其中的3个部分进行处理。这样一来，其余2部分并没有被分派，按照公式进行完整性检查时总会返回一个失败的完整性检查；其次，子文档的完整性检查需要所有分解结果在线协同检查，这在实际应用中随着分解数目的增加是不现实的。 基于以上分析，本文利用XPath表达式来分解XML数据，并设计一个完整性检查池来检查分解子文档的完整性。该方案的基本思路是对原XML数据进行最小单位的XPath分解，并将分解的结果利用HASH算法进行处理，采用自下而上的验证过程，用户利用完整性检查池中提供的对应路径的摘要值，可自行完成分派数据的完整性检查，不需要同其用户进行协同检查，而且XML数据不需要全部被分解，可以离线完成完整性验证。该方法的提出为细粒度安全环境中对XML文档的保护奠定了基础，为XML数据安全起到了促进作用。 1 理论导引 有多种方法来确保信息的完整性，比如摘要值或者校验和机制[3]。这两种方法都可以用来发现原始信息发生的改变。然而，摘要值关注恶意攻击，而校验和主要用于发现偶然的变化[4]。 本文采用Hash算法机制来确保数据的完整性。采取Hash算法机制作为检查数据完整性方法的原因主要有两点[3]：（1）校验和通常用于检测数据的偶然变化，校验和在受到恶意攻击时提供的安全等级较低，因为它的数学结构使其更容易被破坏。CRC系列就是一个例子。（2）基于复杂数学模型的Hash函数具有单向性和抗冲突性，因此它提供的安全等级比校验和要高。 Hash算法的定义如下： （1） 其中是一个Hash算法，是一个消息，是Hash算法产生的数字摘要值[5]。Hash算法有如下特征： 输入的可以是任意大小的数据块。 产生一个固定长度的输出，并且它就叫做摘要值或者消息摘要。 对于任意给定的摘要值，找到一个信息使其满足公式是不可能的，这里称为Hash算法的单向性。 给定一个消息，找到且的情况是很困难的[6]。 找到任一满足公式的信息对(,)是很困难的。 现今广泛应用的Hash算法有MD5以及SHA系列。表1列出了常用Hash算法的一些参数及显现的Hash冲突问题。 表1 常用Hash算法 Table 1 Commonly used HASH algorithm Hash函数 块大小（bits） 输出（bits） 冲突情况（复杂度） MD5 512 128 有（220.96） SHA-0 512 160 有（233.6） SHA-