XML数据交换的安全解决方案.docxVIP

XML数据交换的安全解决方案 摘耍：XML技术的发展使得基于网络的数据交互越來越方便，但是互联网开放性所带來的信息安全隐患却是一 个H趋严重的问题。本文分析了基于XML的数据交换安全需求，介绍了 XML安全服务标准。针对XML数据交 换的请求/响应机制，提出了相应的控制措施，以保证XML数据交换的安全。 关键词：数据交换：XML：加密;数字签名;XKMS； XACML 分类号：TP393 标注：此项目获得江苏省计算机信息处理重点实验室资助 引言 互联网技术的发展，人人提高了信息流通的速度和效率，吸引了越來越多的企业、个人通过网络从事其相关活动，基于网络的数据交换和业务协作越来越频繁。XML作为一?种丿IJ来描述数据的标记语言，具有対数据进行统-?描述的强大功能；同时可扩展性、结构化语义以及平台无关性的特点充分满足了互联网和分布式异构环境的需求，成为网络数据传输和交换的主要载体，有力地推动了电子商务等网络应用的发展。 作为一个开放的平台，由于资源的共亨性和互操作性，互联网也面临着各种各样的安全威胁，如信息窃取、恶意 欺骗、伪装、非法修改以及各种扰乱破坏等。针对网络的信息安全问题，人们捉出了一些安全州施，比如安全套 接字(SSL)、IP层安全标准(IPSec)、安全/多功能因特网邮件扩展(S/MIME)等，在一定程度上缓解了网络信息 安全的困境。随着XML技术的广泛应用和深入发展，XML语言自身具有的结构化特征，对数据信息安全技术 提出了新的要求，如XML加密解密、XML数字签名和确认、XML文档局部数据的安全性要求等，这些是现有的 安全技术和协议无法做到的。 1、基于XML数据交换的安全问题 在开放环境下进行XML数据交换，确保信息的安全性是XML应用顺利开展的首要条件。没冇可靠的安全控制体 系，重耍文档和敏感信息的明文存储和传输都是非常危险。 数据交换涉及的安全性内界包括以下儿点： 1＞身份验证：要求数据交换双方的身份可鉴别，防止笫三者假冒。 2、访问控制：对不同的用户，能控制其对数据的访问权限。 3、数据的机密性：防止未授权的用户窃取数据。 4、数据的完幣性：确认数据在传输过程中没有被篡改。 5、非否认服务：保证收发双方无法否认已接收或发送数据这一事实。 于XML文档的结构化和可读性，对来自外部的数据交换请求或访问请求，TT先必须有相应的身份认证和访问控制机制：其次,XML数据经常作为公文或流程数据，以合作的形式流转，因此需要冇细粒度的加密和签名支 持；另外，针对XML应丿IJ系统的特性，必须有相关的密钥管理设施为川八提供密钥管理。通过这些问题的解决,建立一个可信任的网络环境，保证基于XML数据交换活动中信息的保密性、完整性、可鉴別性、不可伪造性和抗抵赖性。 2、XML安全标准概述 为了促进上述问题得解决，推动XML应用和安全服务的发展，国际标准化组织W3C和OASIS提出了一-系列新的XML安全服务标准，來为以XML作为数据交换载体的应用捉供安全性保障。这些标准包括:XML加密(XMLEncryption)、XML数字签名(XML Signature)、XML密钥管理规范(XKMS).XML访问控制标记语言(XACML)等 1 XML 加密[3] XML加密(XML Encryption)可以对XML文档屮的全部数据加密，或者对英中部分元素加密，其他部分仍然以明文形式存在。对同一文档的不同部分，可以采用不同的密钥进行加密，同一个XML文件分别发给不同的接收者，接收者只能访问拥有权限的那部分信息。并且该标准支持多重加密。 XML加密语法的核心元索是EncryptedData元索，描述了一个加密数据包含的所冇信息。当加密元索或元索内容时，EncryptedData元素替换XML文档加密版本中的该元素或内容。当加密的是任意数据时，EncryptedData元素可能成为新XML文档的根，或者可能成为一个了元素。当加密整个XML文档时，EncryptedData元索可能成为新文档的根。 EncryptedData中包含以下一些子元素：EncryptionMethod子元索使用URI唯一地标识所采用的加密算法,确保通信双方可以在加密算法上保持一致。Key Info子元索表达了用于加密数据的密钥信息，是一个可选元索，具有很大的灵活性，可以根据逋信双方的约定，记录密钥名称、密钥值、数字证书，甚至是获得密钥的转换方法描述，从而确保密钥的安全性。CipherData T元素标记被加密的数据。Encryptionproperties子元素可以用來描述加密数据和密钥的附加信息，比如时间戳、加密序列号等。 发送者创建符合以上结构的EncryptedData元索发给接收者；接收者根据从EncryptedData元