XML数据交换的安全解决方案

1、xml数据交换的安全解决方案摘耍：xml技术的发展使得基于网络的数据交互越來越方便，但是互联网开放性所带來的信息安全隐患却是一 个h趋严重的问题。本文分析了基于xml的数据交换安全需求，介绍了 xml安全服务标准。针对xml数据交 换的请求/响应机制，提出了相应的控制措施，以保证xml数据交换的安全。关键词：数据交换：xml：加密;数字签名;xkms； xacml分类号：tp393标注：此项目获得江苏省计算机信息处理重点实验室资助引言互联网技术的发展，人人提高了信息流通的速度和效率，吸引了越來越多的企业、个人通过网络从事其相关活动，基于网络的数据交换和业务协作越来越频繁。xml作为一种丿ij来

2、描述数据的标记语言，具有対数据进行统-描述的强大功能；同时可扩展性、结构化语义以及平台无关性的特点充分满足了互联网和分布式异构环境的需求，成为网络数据传输和交换的主要载体，有力地推动了电子商务等网络应用的发展。作为一个开放的平台，由于资源的共亨性和互操作性，互联网也面临着各种各样的安全威胁，如信息窃取、恶意 欺骗、伪装、非法修改以及各种扰乱破坏等。针对网络的信息安全问题，人们捉出了一些安全州施，比如安全套 接字(ssl)、ip层安全标准(ipsec)、安全/多功能因特网邮件扩展(s/mime)等，在一定程度上缓解了网络信息 安全的困境。随着xml技术的广泛应用和深入发展，xml语言自身具有的结

3、构化特征，对数据信息安全技术 提出了新的要求，如xml加密解密、xml数字签名和确认、xml文档局部数据的安全性要求等，这些是现有的 安全技术和协议无法做到的。1、基于xml数据交换的安全问题在开放环境下进行xml数据交换，确保信息的安全性是xml应用顺利开展的首要条件。没冇可靠的安全控制体 系，重耍文档和敏感信息的明文存储和传输都是非常危险。数据交换涉及的安全性内界包括以下儿点：1身份验证：要求数据交换双方的身份可鉴别，防止笫三者假冒。2、访问控制：对不同的用户，能控制其对数据的访问权限。3、数据的机密性：防止未授权的用户窃取数据。4、数据的完幣性：确认数据在传输过程中没有被篡改。5、非否认

4、服务：保证收发双方无法否认已接收或发送数据这一事实。于xml文档的结构化和可读性，对来自外部的数据交换请求或访问请求，tt先必须有相应的身份认证和访问控制机制：其次,xml数据经常作为公文或流程数据，以合作的形式流转，因此需要冇细粒度的加密和签名支持；另外，针对'xml应丿ij系统的特性，必须有相关的密钥管理设施为川八提供密钥管理。通过这些问题的解决,建立一个可信任的网络环境，保证基于xml数据交换活动中信息的保密性、完整性、可鉴別性、不可伪造性和抗抵赖性。2、xml安全标准概述为了促进上述问题得解决，推动xml应用和安全服务的发展，国际标准化组织w3c和oasis提出了一-系列新的x

5、ml安全服务标准，來为以xml作为数据交换载体的应用捉供安全性保障。这些标准包括:xml加密(xmlencryption)、xml数字签名(xml signature)、xml密钥管理规范(xkms).xml访问控制标记语言(xacml)等2. 1 xml 加密3xml加密(xml encryption)可以对xml文档屮的全部数据加密，或者对英中部分元素加密，其他部分仍然以明文形式存在。对同一文档的不同部分，可以采用不同的密钥进行加密，同一个xml文件分别发给不同的接收者，接收者只能访问拥有权限的那部分信息。并且该标准支持多重加密。xml加密语法的核心元索是encrypteddata元索，描

6、述了一个加密数据包含的所冇信息。当加密元索或元索内容时，encrypteddata元素替换xml文档加密版本中的该元素或内容。当加密的是任意数据时，encrypteddata元素可能成为新xml文档的根，或者可能成为一个了元素。当加密整个xml文档时，encrypteddata元索可能成为新文档的根。encrypteddata中包含以下一些子元素：encryptionmethod子元索使用uri唯一地标识所采用的加密算法,确保通信双方可以在加密算法上保持一致。key info子元索表达了用于加密数据的密钥信息，是一个可选元索，具有很大的灵活性，可以根据逋信双方的约定，记录密钥名称、密钥值、数字

7、证书，甚至是获得密钥的转换方法描述，从而确保密钥的安全性。cipherdata t元素标记被加密的数据。encryptionproperties子元素可以用來描述加密数据和密钥的附加信息，比如时间戳、加密序列号等。发送者创建符合以上结构的encrypteddata元索发给接收者；接收者根据从encrypteddata元索中得到解密所需的加密算法、参数和密钥信息，正确解密信息。2. 2 xml 签名4xml签名(xml signature)标准可提供对任何数据类型的完幣性、消息认证、签幺者认证等服务，无论是在包括该签乳的xml内部还足在别处。xml签需的主要目的是用丁确保xml文件内容没有被篡改

8、，同时对來源的可靠性进行验证。signature元素描述的是传输一个数字签名的完整信息.signedlnfo子元素记录了被签署的信息，即原始信息。 canoniclizationmethod子元素使用uri唯-哋标识该数字签名采川的xml数据的规范化法则，这是止确解 析xml数据签名的前捉。因为xml数字签名对signedlnfo元素的字节流进行运算处理，细微的差别都可能造 成不一致，采用了 canonicalization可以使xml签名适应各种文件系统和处理器在版式上的不同，因而xml 签名可以适应xml文件可能遇到的各种环境。signaturemethod元素记录的是签名采用的是何种算法

9、。reference元索代表一个被签署的元索，通过uri定位被签名元索，可以多次出现，所以xml签名能一次签署多条内容。经过运算的signedlnfo元素记录signedvalue屮。key inf o元索用來描述密钥倍息并用來作签名验证使用。接收者可以根据signature元素包含的信息确定数据的完敕性和可靠性。2. 3 xml密钥管理规范(xkms) 1 2xkms定义了分发和注册xml签名规范所使用的公共密钥的方法。xkms以已有的xml加密和xml数字签名 为基础。其关键的思想是提供web上的可信服务(trust server),这样xml应用可以不用太多关注pki细节。xkms包括了

10、两部分:xml密钥注册服务规范(x-krss)和xml密钥信息服务规范(x-kiss)。x-kiss用于向用户提供密钥和证书服务。分为两类，定位服务和确认服务，前者负责提供密钥和证书，后者负责密钥和证书的合法性检验。x-krss用于向密钥和证书的持有者提供密钥管理服务，提供了密钥(证书)注册、密钥(证书)注销、密钥恢复和密钥更新服务。2. 4 xacml6xacml (xml访问控制标记语言)是oasis讨论制定的用于xml文档访问控制的-种策略描述语言，用来决 定是否允许一个请求使用一项资源，比如它是否能使用整个文件，多个文件，还是某个文件的一部分。主要思想 是【羽绕一个四元纽.< s

11、ubject、resource、action、condition>來定义访问控制授权策略。subject为授权访问 用resource代表访问的资源，action表示对资源的访问操作，condition表加采取特宦操作的先决条件。 在制定策略时，首先确宦资源resource,针对resource,确定对于subject元素所描述的访问者，是否授子其 执行action操作的权限。condition元素用于定义特定访问操作的先决条件，这使得策略控制的描述制订可以非 常灵活，制定的访问策略可以方便地应用丁各种不同的场合。3、xml数据交换安全解决方案对于來自外部的数据交换和访问请求,最重要的步

12、骤是验证请求者的身份信息，确认“他”是谁，同时确定访问权限，防止非法访问。目前存在多种访问控制技术，如访问控制列表(acl)、基于角色的访问控制(rbac)等，但是由于不同的企业、部门采取不同的访问控制技术、不同的技术实现平台，造成访问控制的安全边界通常局限在企业内部，而给跨边界的互操作带來很人的不便。xml作为实现跨平台倍息交换和提高异构系统之间的互操作性的最佳解决方案的提出，极大地促进了数据交换应川的发展。而基于xml强大的可扩展性而提出的xml安全服务标准，使我们可以在考虑xml数据信息交换的安全控制问题上，完全采川基于xml标准的体系结构，继承xml的灵活性和可扩展性。一个安全的xml

13、数据交换请求/响应流程可以用如图1表示：图仁xml数据交换请求/响应流程(1) 在访问控制层验证请求者的身份信息，根据策略进行访问权限认证，在这一步可以过滤非法川户和越界访问(2) 分析访问请求，提取数据，生成原始xml文档；(3) 对该xml文档做安全处理；(4) 形成冃标文档，响应请求。3. 1访问控制在xacml的基础上，我们可以实现一种基于策略的访问控制模型。这个模型中包含的组件功能如下：策略集是预先制订的访问控制策略的集合，是策略访问控制的核心部件；授权用户库包含了授权用户的相关信息，如口令、证书、授权权限等内容；策略决策点用于评估决策请求，根据策略集所制订的访问控制策略和自身包含的

14、评估原则与界常(exception)处 理原则，对访问请求做出评估，并返回一个授权决议：策略执行点是一个对外的访问控制接口，接受外部访问请求，根据策略决策点返回的授权决议信息，向操作执行 点发出执行指令；策略信息点收集访问主体信息和被访问的资源信息，作为决策评估的属性信息；上下文处理句柄主耍用于将来自策略执行点的请求做规范化处理，而将授权决议、资源信息等从规范化格式转换 为响应信息格式，回复策略执行点。图2是访问控制管理体系结构图：图2：访问控制管理体系结构当一个请求提交到策略执行点时，策略执行点把这个请求转交给上下文处理句柄，要求获得决策信息。i:下文处 理句柄从资源库获得资源信息，向策略信

15、息点取得访问者信息，做规范化处理后，向策略决策点发送包含这些信 息的策略询问请求，从中获得该访问请求的授权决策信息，然厉回复策略执行点，由策略执行点执行授权决策。 当决策属性为permitted,则宙操作执行点执行对资源的操作；如果决策属性为denied.则拒绝请求。当然， 对于决策屈性的返回值，可以根据实际应川进行相应的扩充。3. 2安全处理安全处理模块操作的对彖是根据访问请求生成的原始xml文档，因此可以采用xml加密规范和xml签名规范 进行安全处理。首先对其中包含的敏感信息元索采用特宦的加密算法加密，或者采川非对称密钥体系的公钥进行加密，算法信息 和密钥信息可以放在v encrypti

16、onmethod和v keyl nfo子元素中,加密后的信息构成v cipherdata元素, 然后建立符合xml加密规范的encrypeddata元素，取代文档中被加密元素位置。其次是对该文档进行数字签名o首先通过消息摘要运算得到摘要值放在v digestvalue元索中，再建立 reference尤索和v signedlnfo尤素：通过对 signedlnfo尤索进彳规范化处理产生 signaturevalue 元素,最后生成符合包含v signedl nfo、 signaturevalue 和可选的v keyinfo、object等元素的<signature>元索，嵌入xml

17、文档内部作为标文档，或者以外部文档形式随同h标文档发送。3. 3密钥管理机制在上述处理步骤中，涉及到密钥的管理问题。pki是目前广泛应用的一种密钥管理技术,它围绕着数字证书应用,提供信息的真实性、完敕性、机密性和不可否认性,并在业务系统屮建立有效的信任管理、授权控制和严密的责任机制。但是传统的pki是一种两层的应用模式，用户必须安装特定pki提供者的客户端工具集才能获得pki的密钥和证书服务。如果运用pki來解决密钥管理问题，会使整个xml应用变得复杂，而xml的初衷始为了解决交换过程中信息和数据表达的复杂性，使交换和处理简单化。为了保护已有的投资，我们可以在现有的pki基础上集成xkms,和

18、当于在pki的提供者利目户z间增加了一 个中间层一信任服务。这样用户不用ft接跟pki交互，而是通过信任服务(xkms)间接地获n pki的密钥和证 书服务，把原來用户直接面对的问题转移到信任服务层，通过信任服务层向用户提供基于xml的密钥管理服务。xkms-pki密钥管理体系组织结构如图3所示：图3： xkms-pki密钥管理体系结构图xkms客户端的用户分为密钥拥有者和使用者两类，他们可以根据自己的需要，向信任服务(xkms)端发出服务请求：信任服务端由两个功能模块组成：x-krss(密钥注册服务系统)和x-kiss(密钥倍息服务系统)，分別向客户端的两类用户提供密钥倍息管理服务。xkms

19、服务端和客户端之间采用xml消息交互通信。iflj xkms与pki提供者z间的交互的具体协议通信，可以在服务端实现，对客户端的应川而言，屏蔽了 pki的底层细节，只提供基于xml的密钥管理服务。信任服务(xkms)端实现这样一些功能：x-krss模块以两种方式向用户提供密钥管理，-种方式称为密钥注册，即用户门己拥有密钥对，通过x-krss注册其公钥，x-krss把公钥和该用户相关信息绑定，保存在pki提供的数据库。公钥使用者可以通过x-kiss查找并获得该用户的公钥。另一种方式称为密钥川请，即用户直接向x-krss注册申请密钥，处理服务器根据川户的注册信息，在验证有效性和真实性后，为用户牛成一个密钥对，把公钥和用户信息绑定存入pki数据库,私钥则通知用户以安全方式提取。两种方式的区别是，第一种方式注册的密钥对无法恢复，第二种方式可以提供密钥恢复服务。x-kiss模块除了向密钥使用者提供查找定位服务外，也可以提供验证服务。用户可以根据需要，把文档的验证过程交给x-kiss进行。x-kiss进行验证和鉴别后，向用户回复验证结果。在这种模式下进行的密钥或证书操作时，客户端应川程序只需向信任服务发hl xkms请求,无需考虑具体的pki提供者的实现细节问题；山信任服务对该请求消息进行解析，将请求内容转换为相应的密钥或证书操作，并与指定的pki提供