xml数据交换安全解决方案.docxVIP

摘??要：XML技术的发展使得基于网络的数据交互越来越方便，但是互联网开放性所带来的信息安全隐患却是一个日趋严重的问题。本文分析了基于XML的数据交换安全需求，介绍了XML安全服务标准。针对XML数据交换的请求/响应机制，提出了相应的控制措施，以保证?XML数据交换的安全。关键词：数据交换；XML；加密；数字签名；XKMS；XACML分类号：TP393标注：此项目获得江苏省计算机信息处理重点实验室资助引言互联网技术的发展，大大提高了信息流通的速度和效率，吸引了越来越多的企业、个人通过网络从事其相关活动，基于网络的数据交换和业务协作越来越频繁。XML作为一种用来描述数据的标记语言，具有对数据进行统一描述的强大功能；同时可扩展性、结构化语义以及平台无关性的特点充分满足了互联网和分布式异构环境的需求，成为网络数据传输和交换的主要载体，有力地推动了电子商务等网络应用的发展。作为一个开放的平台，由于资源的共享性和互操作性，互联网也面临着各种各样的安全威胁，如信息窃取、恶意欺骗、伪装、非法修改以及各种扰乱破坏等。针对网络的信息安全问题，人们提出了一些安全措施，比如安全套接字(SSL)、IP层安全标准(IPSec)、安全/多功能因特网邮件扩展(S/MIME)等，在一定程度上缓解了网络信息安全的困境。随着XML技术的广泛应用和深入发展，?XML语言自身具有的结构化特征，对数据信息安全技术提出了新的要求，如XML加密解密、XML数字签名和确认、XML文档局部数据的安全性要求等，这些是现有的安全技术和协议无法做到的。1、基于XML数据交换的安全问题在开放环境下进行XML数据交换，确保信息的安全性是XML应用顺利开展的首要条件。没有可靠的安全控制体系，重要文档和敏感信息的明文存储和传输都是非常危险。数据交换涉及的安全性内容包括以下几点：1、身份验证：要求数据交换双方的身份可鉴别，防止第三者假冒。2、访问控制：对不同的用户，能控制其对数据的访问权限。3、数据的机密性：防止未授权的用户窃取数据。4、数据的完整性：确认数据在传输过程中没有被篡改。5、非否认服务：保证收发双方无法否认已接收或发送数据这一事实。由于XML文档的结构化和可读性，对来自外部的数据交换请求或访问请求，首先必须有相应的身份认证和访问控制机制；其次，?XML数据经常作为公文或流程数据，以合作的形式流转，因此需要有细粒度的加密和签名支持；另外，针对XML应用系统的特性，必须有相关的密钥管理设施为用户提供密钥管理。通过这些问题的解决，建立一个可信任的网络环境，保证基于XML数据交换活动中信息的必威体育官网网址性、完整性、可鉴别性、不可伪造性和抗抵赖性。2、XML安全标准概述为了促进上述问题得解决，推动XML应用和安全服务的发展，?国际标准化组织W3C和OASIS提出了一系列新的XML安全服务标准，来为以XML作为数据交换载体的应用提供安全性保障。这些标准包括：XML加密(XML?Encryption)、XML数字签名(XML?Signature)、XML密钥管理规范(XKMS)、XML访问控制标记语言(XACML)等2．1?XML加密[3]XML加密（XML?Encryption）可以对XML文档中的全部数据加密，或者对其中部分元素加密，其他部分仍然以明文形式存在。对同一文档的不同部分，可以采用不同的密钥进行加密，同一个XML文件分别发给不同的接收者，接收者只能访问拥有权限的那部分信息。并且该标准支持多重加密。XML加密语法的核心元素是EncryptedData元素，描述了一个加密数据包含的所有信息。当加密元素或元素内容时，EncryptedData?元素替换?XML?文档加密版本中的该元素或内容。当加密的是任意数据时，EncryptedData?元素可能成为新?XML?文档的根，或者可能成为一个子元素。当加密整个?XML?文档时，EncryptedData?元素可能成为新文档的根。EncryptedData中包含以下一些子元素：EncryptionMethod子元素使用URI唯一地标识所采用的加密算法，确保通信双方可以在加密算法上保持一致。KeyInfo子元素表达了用于加密数据的密钥信息，是一个可选元素，具有很大的灵活性，可以根据通信双方的约定，记录密钥名称、密钥值、数字证书，甚至是获得密钥的转换方法描述，从而确必威体育官网网址钥的安全性。CipherData子元素标记被加密的数据。EncryptionProperties子元素可以用来描述加密数据和密钥的附加信息，比如时间戳、加密序列号等。发送者创建符合以上结构的EncryptedData元素发给接收者；接收者根据从EncryptedData元素中得到解密所需的加密算法、参数和密钥信息，正确解密信息。2．2?XML