XML數(shù)據(jù)交換的安全解決方案

1、xml數(shù)據(jù)交換的安全解決方案摘耍：xml技術(shù)的發(fā)展使得基于網(wǎng)絡(luò)的數(shù)據(jù)交互越來越方便，但是互聯(lián)網(wǎng)開放性所帶來的信息安全隱患卻是一 個h趨嚴重的問題。本文分析了基于xml的數(shù)據(jù)交換安全需求，介紹了 xml安全服務(wù)標準。針對xml數(shù)據(jù)交 換的請求/響應機制，提出了相應的控制措施，以保證xml數(shù)據(jù)交換的安全。關(guān)鍵詞：數(shù)據(jù)交換：xml：加密;數(shù)字簽名;xkms； xacml分類號：tp393標注：此項目獲得江蘇省計算機信息處理重點實驗室資助引言互聯(lián)網(wǎng)技術(shù)的發(fā)展，人人提高了信息流通的速度和效率，吸引了越來越多的企業(yè)、個人通過網(wǎng)絡(luò)從事其相關(guān)活動，基于網(wǎng)絡(luò)的數(shù)據(jù)交換和業(yè)務(wù)協(xié)作越來越頻繁。xml作為一種丿ij來

2、描述數(shù)據(jù)的標記語言，具有対數(shù)據(jù)進行統(tǒng)-描述的強大功能；同時可擴展性、結(jié)構(gòu)化語義以及平臺無關(guān)性的特點充分滿足了互聯(lián)網(wǎng)和分布式異構(gòu)環(huán)境的需求，成為網(wǎng)絡(luò)數(shù)據(jù)傳輸和交換的主要載體，有力地推動了電子商務(wù)等網(wǎng)絡(luò)應用的發(fā)展。作為一個開放的平臺，由于資源的共亨性和互操作性，互聯(lián)網(wǎng)也面臨著各種各樣的安全威脅，如信息竊取、惡意 欺騙、偽裝、非法修改以及各種擾亂破壞等。針對網(wǎng)絡(luò)的信息安全問題，人們捉出了一些安全州施，比如安全套 接字(ssl)、ip層安全標準(ipsec)、安全/多功能因特網(wǎng)郵件擴展(s/mime)等，在一定程度上緩解了網(wǎng)絡(luò)信息 安全的困境。隨著xml技術(shù)的廣泛應用和深入發(fā)展，xml語言自身具有的結(jié)

3、構(gòu)化特征，對數(shù)據(jù)信息安全技術(shù) 提出了新的要求，如xml加密解密、xml數(shù)字簽名和確認、xml文檔局部數(shù)據(jù)的安全性要求等，這些是現(xiàn)有的 安全技術(shù)和協(xié)議無法做到的。1、基于xml數(shù)據(jù)交換的安全問題在開放環(huán)境下進行xml數(shù)據(jù)交換，確保信息的安全性是xml應用順利開展的首要條件。沒冇可靠的安全控制體 系，重耍文檔和敏感信息的明文存儲和傳輸都是非常危險。數(shù)據(jù)交換涉及的安全性內(nèi)界包括以下兒點：1身份驗證：要求數(shù)據(jù)交換雙方的身份可鑒別，防止笫三者假冒。2、訪問控制：對不同的用戶，能控制其對數(shù)據(jù)的訪問權(quán)限。3、數(shù)據(jù)的機密性：防止未授權(quán)的用戶竊取數(shù)據(jù)。4、數(shù)據(jù)的完幣性：確認數(shù)據(jù)在傳輸過程中沒有被篡改。5、非否認

4、服務(wù)：保證收發(fā)雙方無法否認已接收或發(fā)送數(shù)據(jù)這一事實。于xml文檔的結(jié)構(gòu)化和可讀性，對來自外部的數(shù)據(jù)交換請求或訪問請求，tt先必須有相應的身份認證和訪問控制機制：其次,xml數(shù)據(jù)經(jīng)常作為公文或流程數(shù)據(jù)，以合作的形式流轉(zhuǎn)，因此需要冇細粒度的加密和簽名支持；另外，針對'xml應丿ij系統(tǒng)的特性，必須有相關(guān)的密鑰管理設(shè)施為川八提供密鑰管理。通過這些問題的解決,建立一個可信任的網(wǎng)絡(luò)環(huán)境，保證基于xml數(shù)據(jù)交換活動中信息的保密性、完整性、可鑒別性、不可偽造性和抗抵賴性。2、xml安全標準概述為了促進上述問題得解決，推動xml應用和安全服務(wù)的發(fā)展，國際標準化組織w3c和oasis提出了一-系列新的x

5、ml安全服務(wù)標準，來為以xml作為數(shù)據(jù)交換載體的應用捉供安全性保障。這些標準包括:xml加密(xmlencryption)、xml數(shù)字簽名(xml signature)、xml密鑰管理規(guī)范(xkms).xml訪問控制標記語言(xacml)等2. 1 xml 加密3xml加密(xml encryption)可以對xml文檔屮的全部數(shù)據(jù)加密，或者對英中部分元素加密，其他部分仍然以明文形式存在。對同一文檔的不同部分，可以采用不同的密鑰進行加密，同一個xml文件分別發(fā)給不同的接收者，接收者只能訪問擁有權(quán)限的那部分信息。并且該標準支持多重加密。xml加密語法的核心元索是encrypteddata元索，描

6、述了一個加密數(shù)據(jù)包含的所冇信息。當加密元索或元索內(nèi)容時，encrypteddata元素替換xml文檔加密版本中的該元素或內(nèi)容。當加密的是任意數(shù)據(jù)時，encrypteddata元素可能成為新xml文檔的根，或者可能成為一個了元素。當加密整個xml文檔時，encrypteddata元索可能成為新文檔的根。encrypteddata中包含以下一些子元素：encryptionmethod子元索使用uri唯一地標識所采用的加密算法,確保通信雙方可以在加密算法上保持一致。key info子元索表達了用于加密數(shù)據(jù)的密鑰信息，是一個可選元索，具有很大的靈活性，可以根據(jù)逋信雙方的約定，記錄密鑰名稱、密鑰值、數(shù)字

7、證書，甚至是獲得密鑰的轉(zhuǎn)換方法描述，從而確保密鑰的安全性。cipherdata t元素標記被加密的數(shù)據(jù)。encryptionproperties子元素可以用來描述加密數(shù)據(jù)和密鑰的附加信息，比如時間戳、加密序列號等。發(fā)送者創(chuàng)建符合以上結(jié)構(gòu)的encrypteddata元索發(fā)給接收者；接收者根據(jù)從encrypteddata元索中得到解密所需的加密算法、參數(shù)和密鑰信息，正確解密信息。2. 2 xml 簽名4xml簽名(xml signature)標準可提供對任何數(shù)據(jù)類型的完幣性、消息認證、簽幺者認證等服務(wù)，無論是在包括該簽乳的xml內(nèi)部還足在別處。xml簽需的主要目的是用丁確保xml文件內(nèi)容沒有被篡改

8、，同時對來源的可靠性進行驗證。signature元素描述的是傳輸一個數(shù)字簽名的完整信息.signedlnfo子元素記錄了被簽署的信息，即原始信息。 canoniclizationmethod子元素使用uri唯-哋標識該數(shù)字簽名采川的xml數(shù)據(jù)的規(guī)范化法則，這是止確解 析xml數(shù)據(jù)簽名的前捉。因為xml數(shù)字簽名對signedlnfo元素的字節(jié)流進行運算處理，細微的差別都可能造 成不一致，采用了 canonicalization可以使xml簽名適應各種文件系統(tǒng)和處理器在版式上的不同，因而xml 簽名可以適應xml文件可能遇到的各種環(huán)境。signaturemethod元素記錄的是簽名采用的是何種算法

9、。reference元索代表一個被簽署的元索，通過uri定位被簽名元索，可以多次出現(xiàn)，所以xml簽名能一次簽署多條內(nèi)容。經(jīng)過運算的signedlnfo元素記錄signedvalue屮。key inf o元索用來描述密鑰倍息并用來作簽名驗證使用。接收者可以根據(jù)signature元素包含的信息確定數(shù)據(jù)的完敕性和可靠性。2. 3 xml密鑰管理規(guī)范(xkms) 1 2xkms定義了分發(fā)和注冊xml簽名規(guī)范所使用的公共密鑰的方法。xkms以已有的xml加密和xml數(shù)字簽名 為基礎(chǔ)。其關(guān)鍵的思想是提供web上的可信服務(wù)(trust server),這樣xml應用可以不用太多關(guān)注pki細節(jié)。xkms包括了

10、兩部分:xml密鑰注冊服務(wù)規(guī)范(x-krss)和xml密鑰信息服務(wù)規(guī)范(x-kiss)。x-kiss用于向用戶提供密鑰和證書服務(wù)。分為兩類，定位服務(wù)和確認服務(wù)，前者負責提供密鑰和證書，后者負責密鑰和證書的合法性檢驗。x-krss用于向密鑰和證書的持有者提供密鑰管理服務(wù)，提供了密鑰(證書)注冊、密鑰(證書)注銷、密鑰恢復和密鑰更新服務(wù)。2. 4 xacml6xacml (xml訪問控制標記語言)是oasis討論制定的用于xml文檔訪問控制的-種策略描述語言，用來決 定是否允許一個請求使用一項資源，比如它是否能使用整個文件，多個文件，還是某個文件的一部分。主要思想 是【羽繞一個四元紐.< s

11、ubject、resource、action、condition>來定義訪問控制授權(quán)策略。subject為授權(quán)訪問 用resource代表訪問的資源，action表示對資源的訪問操作，condition表加采取特宦操作的先決條件。 在制定策略時，首先確宦資源resource,針對resource,確定對于subject元素所描述的訪問者，是否授子其 執(zhí)行action操作的權(quán)限。condition元素用于定義特定訪問操作的先決條件，這使得策略控制的描述制訂可以非 常靈活，制定的訪問策略可以方便地應用丁各種不同的場合。3、xml數(shù)據(jù)交換安全解決方案對于來自外部的數(shù)據(jù)交換和訪問請求,最重要的步

12、驟是驗證請求者的身份信息，確認“他”是誰，同時確定訪問權(quán)限，防止非法訪問。目前存在多種訪問控制技術(shù)，如訪問控制列表(acl)、基于角色的訪問控制(rbac)等，但是由于不同的企業(yè)、部門采取不同的訪問控制技術(shù)、不同的技術(shù)實現(xiàn)平臺，造成訪問控制的安全邊界通常局限在企業(yè)內(nèi)部，而給跨邊界的互操作帶來很人的不便。xml作為實現(xiàn)跨平臺倍息交換和提高異構(gòu)系統(tǒng)之間的互操作性的最佳解決方案的提出，極大地促進了數(shù)據(jù)交換應川的發(fā)展。而基于xml強大的可擴展性而提出的xml安全服務(wù)標準，使我們可以在考慮xml數(shù)據(jù)信息交換的安全控制問題上，完全采川基于xml標準的體系結(jié)構(gòu)，繼承xml的靈活性和可擴展性。一個安全的xml

13、數(shù)據(jù)交換請求/響應流程可以用如圖1表示：圖仁xml數(shù)據(jù)交換請求/響應流程(1) 在訪問控制層驗證請求者的身份信息，根據(jù)策略進行訪問權(quán)限認證，在這一步可以過濾非法川戶和越界訪問(2) 分析訪問請求，提取數(shù)據(jù)，生成原始xml文檔；(3) 對該xml文檔做安全處理；(4) 形成冃標文檔，響應請求。3. 1訪問控制在xacml的基礎(chǔ)上，我們可以實現(xiàn)一種基于策略的訪問控制模型。這個模型中包含的組件功能如下：策略集是預先制訂的訪問控制策略的集合，是策略訪問控制的核心部件；授權(quán)用戶庫包含了授權(quán)用戶的相關(guān)信息，如口令、證書、授權(quán)權(quán)限等內(nèi)容；策略決策點用于評估決策請求，根據(jù)策略集所制訂的訪問控制策略和自身包含的

14、評估原則與界常(exception)處 理原則，對訪問請求做出評估，并返回一個授權(quán)決議：策略執(zhí)行點是一個對外的訪問控制接口，接受外部訪問請求，根據(jù)策略決策點返回的授權(quán)決議信息，向操作執(zhí)行 點發(fā)出執(zhí)行指令；策略信息點收集訪問主體信息和被訪問的資源信息，作為決策評估的屬性信息；上下文處理句柄主耍用于將來自策略執(zhí)行點的請求做規(guī)范化處理，而將授權(quán)決議、資源信息等從規(guī)范化格式轉(zhuǎn)換 為響應信息格式，回復策略執(zhí)行點。圖2是訪問控制管理體系結(jié)構(gòu)圖：圖2：訪問控制管理體系結(jié)構(gòu)當一個請求提交到策略執(zhí)行點時，策略執(zhí)行點把這個請求轉(zhuǎn)交給上下文處理句柄，要求獲得決策信息。i:下文處 理句柄從資源庫獲得資源信息，向策略信

15、息點取得訪問者信息，做規(guī)范化處理后，向策略決策點發(fā)送包含這些信 息的策略詢問請求，從中獲得該訪問請求的授權(quán)決策信息，然厲回復策略執(zhí)行點，由策略執(zhí)行點執(zhí)行授權(quán)決策。 當決策屬性為permitted,則宙操作執(zhí)行點執(zhí)行對資源的操作；如果決策屬性為denied.則拒絕請求。當然， 對于決策屈性的返回值，可以根據(jù)實際應川進行相應的擴充。3. 2安全處理安全處理模塊操作的對彖是根據(jù)訪問請求生成的原始xml文檔，因此可以采用xml加密規(guī)范和xml簽名規(guī)范 進行安全處理。首先對其中包含的敏感信息元索采用特宦的加密算法加密，或者采川非對稱密鑰體系的公鑰進行加密，算法信息 和密鑰信息可以放在v encrypti

16、onmethod和v keyl nfo子元素中,加密后的信息構(gòu)成v cipherdata元素, 然后建立符合xml加密規(guī)范的encrypeddata元素，取代文檔中被加密元素位置。其次是對該文檔進行數(shù)字簽名o首先通過消息摘要運算得到摘要值放在v digestvalue元索中，再建立 reference尤索和v signedlnfo尤素：通過對 signedlnfo尤索進彳規(guī)范化處理產(chǎn)生 signaturevalue 元素,最后生成符合包含v signedl nfo、 signaturevalue 和可選的v keyinfo、object等元素的<signature>元索，嵌入xml

17、文檔內(nèi)部作為標文檔，或者以外部文檔形式隨同h標文檔發(fā)送。3. 3密鑰管理機制在上述處理步驟中，涉及到密鑰的管理問題。pki是目前廣泛應用的一種密鑰管理技術(shù),它圍繞著數(shù)字證書應用,提供信息的真實性、完敕性、機密性和不可否認性,并在業(yè)務(wù)系統(tǒng)屮建立有效的信任管理、授權(quán)控制和嚴密的責任機制。但是傳統(tǒng)的pki是一種兩層的應用模式，用戶必須安裝特定pki提供者的客戶端工具集才能獲得pki的密鑰和證書服務(wù)。如果運用pki來解決密鑰管理問題，會使整個xml應用變得復雜，而xml的初衷始為了解決交換過程中信息和數(shù)據(jù)表達的復雜性，使交換和處理簡單化。為了保護已有的投資，我們可以在現(xiàn)有的pki基礎(chǔ)上集成xkms,和

18、當于在pki的提供者利目戶z間增加了一 個中間層一信任服務(wù)。這樣用戶不用ft接跟pki交互，而是通過信任服務(wù)(xkms)間接地獲n pki的密鑰和證 書服務(wù)，把原來用戶直接面對的問題轉(zhuǎn)移到信任服務(wù)層，通過信任服務(wù)層向用戶提供基于xml的密鑰管理服務(wù)。xkms-pki密鑰管理體系組織結(jié)構(gòu)如圖3所示：圖3： xkms-pki密鑰管理體系結(jié)構(gòu)圖xkms客戶端的用戶分為密鑰擁有者和使用者兩類，他們可以根據(jù)自己的需要，向信任服務(wù)(xkms)端發(fā)出服務(wù)請求：信任服務(wù)端由兩個功能模塊組成：x-krss(密鑰注冊服務(wù)系統(tǒng))和x-kiss(密鑰倍息服務(wù)系統(tǒng))，分別向客戶端的兩類用戶提供密鑰倍息管理服務(wù)。xkms

19、服務(wù)端和客戶端之間采用xml消息交互通信。iflj xkms與pki提供者z間的交互的具體協(xié)議通信，可以在服務(wù)端實現(xiàn)，對客戶端的應川而言，屏蔽了 pki的底層細節(jié)，只提供基于xml的密鑰管理服務(wù)。信任服務(wù)(xkms)端實現(xiàn)這樣一些功能：x-krss模塊以兩種方式向用戶提供密鑰管理，-種方式稱為密鑰注冊，即用戶門己擁有密鑰對，通過x-krss注冊其公鑰，x-krss把公鑰和該用戶相關(guān)信息綁定，保存在pki提供的數(shù)據(jù)庫。公鑰使用者可以通過x-kiss查找并獲得該用戶的公鑰。另一種方式稱為密鑰川請，即用戶直接向x-krss注冊申請密鑰，處理服務(wù)器根據(jù)川戶的注冊信息，在驗證有效性和真實性后，為用戶牛成一個密鑰對，把公鑰和用戶信息綁定存入pki數(shù)據(jù)庫,私鑰則通知用戶以安全方式提取。兩種方式的區(qū)別是，第一種方式注冊的密鑰對無法恢復，第二種方式可以提供密鑰恢復服務(wù)。x-kiss模塊除了向密鑰使用者提供查找定位服務(wù)外，也可以提供驗證服務(wù)。用戶可以根據(jù)需要，把文檔的驗證過程交給x-kiss進行。x-kiss進行驗證和鑒別后，向用戶回復驗證結(jié)果。在這種模式下進行的密鑰或證書操作時，客戶端應川程序只需向信任服務(wù)發(fā)hl xkms請求,無需考慮具體的pki提供者的實現(xiàn)細節(jié)問題；山信任服務(wù)對該請求消息進行解析，將請求內(nèi)容轉(zhuǎn)換為相應的密鑰或證書操作，并與指定的pki提供