XML语言在电子商务安全方面研究.docVIP

XML语言在电子商务安全方面研究 　　[摘要]随着网络技术的迅速发展，电子商务领域的信息交换变得日益频繁和重要，而信息交换的安全性、可靠性是目前影响电子商务效率的主要因素。介绍解决电子商务安全问题中的两个主要技术XML签名与XML加密。 　　[关键词]电子商务 可扩展标记语言XML XML加密XML签名 　　中图分类号：TP3 文献标识码：A 文章编号：1671－7597（2008）1110099－01 　　 　　一、引言 　　 　　电子商务是通过电子方式处理和传递数据，它涉及许多方面的活动，包括货物电子贸易和服务、在线数据传递、电子资金划拔等内容。电子商务的发展势头非常惊人，但它的产值在全球生产总值中却只占极小的份额，其原因就在于电子商务的安全问题，根据美国一个调查机构对近30000名因特网用户的调查显示，由于担心电子商务的安全性问题，超过60%的网民不愿意进行网上交易， 因此，如何建立一个安全、便捷的电子商务应用环境，对信息提供足够的保护，已经成为影响到电子商务健康发展的关键性课题。 　　XML是可扩展标记语言(eXtensible Markup Language)的简称.象HTML一样,XML是从所有标记语言的元语标准通用标记语言SGML(Standard Generalized Markup Language)那里派生出来的.SGML是一种元语言,也可以称为一个定义诸如HTML等标记语言的系统.XML也是一种元语言,一个定义Web应用的SGML的子集.和SGML一样,你也可以用XML来定义种种不同的标记语言满足不同的需要,特别在数据表现方面。 　　安全性领域是另一个快速增长的领域。在不同团体之间建立信任的传统方法在公共因特网上已不合适。在这些情况下，基于非对称密码术的信任机制可能会非常有用，但实际上，部署和密钥管理的方便性、互操作性的范围和提供的安全性远不如各种的“公钥基础设施”（Public Key Infrastructures (PKI)）的热情的供应商曾让我们相信的那样。处理层次数据结构，以及带有机密、访问权限或完整性等不同需求的数据的子集特别困难。 　　目前，一些团体正积极投身于检查这些问题和开发标准的活动中。其中主要的相关开发是 XML 加密和相关的 XML 签名、“可扩展访问控制语言（XACL）”和相关的“安全性断言标记语言（SAML以前是互为竞争对手的 AuthML 和 S2ML 的结合）”。所有这些都由 OASIS 和“XML 密钥管理规范（XKMS）”驱动。 　　 　　二、XML 加密和 XML 签名 　　 　　XML 加密语法的核心元素是 EncryptedData 元素，该元素与 EncryptedKey 元素一起用来将加密密钥从发起方传送到已知的接收方，EncryptedData 是从 EncryptedType 抽象类型派生的。要加密的数据可以是任意数据、XML 文档、XML 元素或 XML 元素内容；加密数据的结果是一个包含或引用密码数据的 XML 加密元素。当加密元素或元素内容时，EncryptedData 元素替换 XML 文档加密版本中的该元素或内容。当加密的是任意数据时，EncryptedData 元素可能成为新 XML 文档的根，或者可能成为一个子代元素。当加密整个 XML 文档时，EncryptedData 元素可能成为新文档的根。此外，EncryptedData 不能是另一个 EncryptedData 元素的父代或子代元素，但是实际加密的数据可以是包括现有 EncryptedData 或 EncryptedKey 元素的任何内容。 　　加密的颗粒度如何根据要求的不同而不同，以及可能出现什么结果。清单 1 中的代码片断显示了带有信用卡和其它个人信息的未加密 XML 文档。在某些情况下，可能希望加密除客户名称以外的所有信息，清单 2 的代码片断演示了如何这样做。 　　（一）清单 2.1 显示 John Smith 的银行帐户、5000 美元限额、卡号和有效期的信息 　　＜?xml version=1.0?＞ 　　＜PaymentInfo xmlns=/paymentv2＞ 　　＜Name＞John Smith＜Name/＞ 　　＜CreditCard Limit=5,000 Currency=USD＞ 　　＜Number＞4019 2445 0277 5567＜/Number＞ 　　＜Issuer＞Bank of the Internet＜/Issuer＞ 　　＜Expiration＞04/02＜/Expiration＞ 　　＜/CreditCard＞ 　　＜/PaymentInfo＞ 　　（二）清单2.2 除名称之外全部被