xml數(shù)據(jù)交換安全解決方案.docx

摘要：XML技術(shù)的發(fā)展使得基于網(wǎng)絡(luò)的數(shù)據(jù)交互越來越方便，但是互聯(lián)網(wǎng)開放性所帶來的信息安全隱患卻是一個日趨嚴(yán)重的問題。本文分析了基于XML的數(shù)據(jù)交換安全需求，介紹了XML安全服務(wù)標(biāo)準(zhǔn)。針對XML數(shù)據(jù)交換的請求/響應(yīng)機制，提出了相應(yīng)的控制措施，以保證XML數(shù)據(jù)交換的安全。關(guān)鍵詞：數(shù)據(jù)交換；XML；加密；數(shù)字簽名；XKMS；XACML分類號：TP393標(biāo)注：此項目獲得江蘇省計算機信息處理重點實驗室資助引言互聯(lián)網(wǎng)技術(shù)的發(fā)展，大大提高了信息流通的速度和效率，吸引了越來越多的企業(yè)、個人通過網(wǎng)絡(luò)從事其相關(guān)活動，基于網(wǎng)絡(luò)的數(shù)據(jù)交換和業(yè)務(wù)協(xié)作越來越頻繁。XML作為一種用來描述數(shù)據(jù)的標(biāo)記語言，具有對數(shù)據(jù)進行統(tǒng)一描述的強大功能；同時可擴展性、結(jié)構(gòu)化語義以及平臺無關(guān)性的特點充分滿足了互聯(lián)網(wǎng)和分布式異構(gòu)環(huán)境的需求，成為網(wǎng)絡(luò)數(shù)據(jù)傳輸和交換的主要載體，有力地推動了電子商務(wù)等網(wǎng)絡(luò)應(yīng)用的發(fā)展。作為一個開放的平臺，由于資源的共享性和互操作性，互聯(lián)網(wǎng)也面臨著各種各樣的安全威脅，如信息竊取、惡意欺騙、偽裝、非法修改以及各種擾亂破壞等。針對網(wǎng)絡(luò)的信息安全問題，人們提出了一些安全措施，比如安全套接字(SSL)、IP層安全標(biāo)準(zhǔn)(IPSec)、安全/多功能因特網(wǎng)郵件擴展(S/MIME)等，在一定程度上緩解了網(wǎng)絡(luò)信息安全的困境。隨著XML技術(shù)的廣泛應(yīng)用和深入發(fā)展，XML語言自身具有的結(jié)構(gòu)化特征，對數(shù)據(jù)信息安全技術(shù)提出了新的要求，如XML加密解密、XML數(shù)字簽名和確認(rèn)、XML文檔局部數(shù)據(jù)的安全性要求等，這些是現(xiàn)有的安全技術(shù)和協(xié)議無法做到的。1、基于XML數(shù)據(jù)交換的安全問題在開放環(huán)境下進行XML數(shù)據(jù)交換，確保信息的安全性是XML應(yīng)用順利開展的首要條件。沒有可靠的安全控制體系，重要文檔和敏感信息的明文存儲和傳輸都是非常危險。數(shù)據(jù)交換涉及的安全性內(nèi)容包括以下幾點：1、身份驗證：要求數(shù)據(jù)交換雙方的身份可鑒別，防止第三者假冒。2、訪問控制：對不同的用戶，能控制其對數(shù)據(jù)的訪問權(quán)限。3、數(shù)據(jù)的機密性：防止未授權(quán)的用戶竊取數(shù)據(jù)。4、數(shù)據(jù)的完整性：確認(rèn)數(shù)據(jù)在傳輸過程中沒有被篡改。5、非否認(rèn)服務(wù)：保證收發(fā)雙方無法否認(rèn)已接收或發(fā)送數(shù)據(jù)這一事實。由于XML文檔的結(jié)構(gòu)化和可讀性，對來自外部的數(shù)據(jù)交換請求或訪問請求，首先必須有相應(yīng)的身份認(rèn)證和訪問控制機制；其次，XML數(shù)據(jù)經(jīng)常作為公文或流程數(shù)據(jù)，以合作的形式流轉(zhuǎn)，因此需要有細(xì)粒度的加密和簽名支持；另外，針對XML應(yīng)用系統(tǒng)的特性，必須有相關(guān)的密鑰管理設(shè)施為用戶提供密鑰管理。通過這些問題的解決，建立一個可信任的網(wǎng)絡(luò)環(huán)境，保證基于XML數(shù)據(jù)交換活動中信息的保密性、完整性、可鑒別性、不可偽造性和抗抵賴性。2、XML安全標(biāo)準(zhǔn)概述為了促進上述問題得解決，推動XML應(yīng)用和安全服務(wù)的發(fā)展，國際標(biāo)準(zhǔn)化組織W3C和OASIS提出了一系列新的XML安全服務(wù)標(biāo)準(zhǔn)，來為以XML作為數(shù)據(jù)交換載體的應(yīng)用提供安全性保障。這些標(biāo)準(zhǔn)包括：XML加密(XMLEncryption)、XML數(shù)字簽名(XMLSignature)、XML密鑰管理規(guī)范(XKMS)、XML訪問控制標(biāo)記語言(XACML)等21XML加密3XML加密（XMLEncryption）可以對XML文檔中的全部數(shù)據(jù)加密，或者對其中部分元素加密，其他部分仍然以明文形式存在。對同一文檔的不同部分，可以采用不同的密鑰進行加密，同一個XML文件分別發(fā)給不同的接收者，接收者只能訪問擁有權(quán)限的那部分信息。并且該標(biāo)準(zhǔn)支持多重加密。XML加密語法的核心元素是EncryptedData元素，描述了一個加密數(shù)據(jù)包含的所有信息。當(dāng)加密元素或元素內(nèi)容時，EncryptedData元素替換XML文檔加密版本中的該元素或內(nèi)容。當(dāng)加密的是任意數(shù)據(jù)時，EncryptedData元素可能成為新XML文檔的根，或者可能成為一個子元素。當(dāng)加密整個XML文檔時，EncryptedData元素可能成為新文檔的根。EncryptedData中包含以下一些子元素：EncryptionMethod子元素使用URI唯一地標(biāo)識所采用的加密算法，確保通信雙方可以在加密算法上保持一致。KeyInfo子元素表達(dá)了用于加密數(shù)據(jù)的密鑰信息，是一個可選元素，具有很大的靈活性，可以根據(jù)通信雙方的約定，記錄密鑰名稱、密鑰值、數(shù)字證書，甚至是獲得密鑰的轉(zhuǎn)換方法描述，從而確保密鑰的安全性。CipherData子元素標(biāo)記被加密的數(shù)據(jù)。EncryptionProperties子元素可以用來描述加密數(shù)據(jù)和密鑰的附加信息，比如時間戳、加密序列號等。發(fā)送者創(chuàng)建符合以上結(jié)構(gòu)的EncryptedData元素發(fā)給接收者；接收者根據(jù)從EncryptedData元素中得到解密所需的加密算法、參數(shù)和密鑰信息，正確解密信息。22XML簽名4XML簽名（XMLSignature）標(biāo)準(zhǔn)可提供對任何數(shù)據(jù)類型的完整性、消息認(rèn)證、簽名者認(rèn)證等服務(wù)，無論是在包括該簽名的XML內(nèi)部還是在別處。XML簽名的主要目的是用于確保XML文件內(nèi)容沒有被篡改，同時對來源的可靠性進行驗證。Signature元素描述的是傳輸一個數(shù)字簽名的完整信息。SignedInfo子元素記錄了被簽署的信息，即原始信息。CanoniclizationMethod子元素使用URI唯一地標(biāo)識該數(shù)字簽名采用的XML數(shù)據(jù)的規(guī)范化法則，這是正確解析XML數(shù)據(jù)簽名的前提。因為XML數(shù)字簽名對SignedInfo元素的字節(jié)流進行運算處理，細(xì)微的差別都可能造成不一致，采用了canonicalization可以使XML簽名適應(yīng)各種文件系統(tǒng)和處理器在版式上的不同，因而XML簽名可以適應(yīng)XML文件可能遇到的各種環(huán)境。SignatureMethod元素記錄的是簽名采用的是何種算法。Reference元素代表一個被簽署的元素，通過URI定位被簽名元素，可以多次出現(xiàn)，所以XML簽名能一次簽署多條內(nèi)容。經(jīng)過運算的SignedInfo元素記錄在SignedValue中。KeyInfo元素用來描述密鑰信息并用來作簽名驗證使用。接收者可以根據(jù)Signature元素包含的信息確定數(shù)據(jù)的完整性和可靠性。23XML密鑰管理規(guī)范（XKMS）12XKMS定義了分發(fā)和注冊XML簽名規(guī)范所使用的公共密鑰的方法。XKMS以已有的XML加密和XML數(shù)字簽名為基礎(chǔ)。其關(guān)鍵的思想是提供Web上的可信服務(wù)(trustserver)，這樣XML應(yīng)用可以不用太多關(guān)注PKI細(xì)節(jié)。XKMS包括了兩部分：XML密鑰注冊服務(wù)規(guī)范（X-KRSS）和XML密鑰信息服務(wù)規(guī)范（X-KISS）。X-KISS用于向用戶提供密鑰和證書服務(wù)。分為兩類，定位服務(wù)和確認(rèn)服務(wù)，前者負(fù)責(zé)提供密鑰和證書，后者負(fù)責(zé)密鑰和證書的合法性檢驗。XKRSS用于向密鑰和證書的持有者提供密鑰管理服務(wù)，提供了密鑰（證書）注冊、密鑰（證書）注銷、密鑰恢復(fù)和密鑰更新服務(wù)。24XACML6XACML（XML訪問控制標(biāo)記語言）是OASIS討論制定的用于XML文檔訪問控制的一種策略描述語言，用來決定是否允許一個請求使用一項資源，比如它是否能使用整個文件，多個文件，還是某個文件的一部分。主要思想是圍繞一個四元組來定義訪問控制授權(quán)策略。subject為授權(quán)訪問用戶，resource代表訪問的資源，action表示對資源的訪問操作，condition表示采取特定操作的先決條件。在制定策略時，首先確定資源resource，針對resource，確定對于subject元素所描述的訪問者，是否授予其執(zhí)行action操作的權(quán)限。condition元素用于定義特定訪問操作的先決條件，這使得策略控制的描述制訂可以非常靈活，制定的訪問策略可以方便地應(yīng)用于各種不同的場合。3、XML數(shù)據(jù)交換安全解決方案對于來自外部的數(shù)據(jù)交換和訪問請求，最重要的步驟是驗證請求者的身份信息，確認(rèn)“他”是誰，同時確定訪問權(quán)限，防止非法訪問。目前存在多種訪問控制技術(shù)，如訪問控制列表(ACL)、基于角色的訪問控制(RBAC)等，但是由于不同的企業(yè)、部門采取不同的訪問控制技術(shù)、不同的技術(shù)實現(xiàn)平臺，造成訪問控制的安全邊界通常局限在企業(yè)內(nèi)部，而給跨邊界的互操作帶來很大的不便。XML作為實現(xiàn)跨平臺信息交換和提高異構(gòu)系統(tǒng)之間的互操作性的最佳解決方案的提出，極大地促進了數(shù)據(jù)交換應(yīng)用的發(fā)展。而基于XML強大的可擴展性而提出的XML安全服務(wù)標(biāo)準(zhǔn)，使我們可以在考慮XML數(shù)據(jù)信息交換的安全控制問題上，完全采用基于XML標(biāo)準(zhǔn)的體系結(jié)構(gòu)，繼承XML的靈活性和可擴展性。一個安全的XML數(shù)據(jù)交換請求/響應(yīng)流程可以用如圖1表示：圖1：XML數(shù)據(jù)交換請求/響應(yīng)流程(1)在訪問控制層驗證請求者的身份信息，根據(jù)策略進行訪問權(quán)限認(rèn)證，在這一步可以過濾非法用戶和越界訪問者；(2)分析訪問請求，提取數(shù)據(jù)，生成原始XML文檔；(3)對該XML文檔做安全處理；(4)形成目標(biāo)文檔，響應(yīng)請求。31訪問控制在XACML的基礎(chǔ)上，我們可以實現(xiàn)一種基于策略的訪問控制模型。這個模型中包含的組件功能如下：策略集是預(yù)先制訂的訪問控制策略的集合，是策略訪問控制的核心部件；授權(quán)用戶庫包含了授權(quán)用戶的相關(guān)信息，如口令、證書、授權(quán)權(quán)限等內(nèi)容；策略決策點用于評估決策請求，根據(jù)策略集所制訂的訪問控制策略和自身包含的評估原則與異常(exception)處理原則，對訪問請求做出評估，并返回一個授權(quán)決議；策略執(zhí)行點是一個對外的訪問控制接口，接受外部訪問請求，根據(jù)策略決策點返回的授權(quán)決議信息，向操作執(zhí)行點發(fā)出執(zhí)行指令；策略信息點收集訪問主體信息和被訪問的資源信息，作為決策評估的屬性信息；上下文處理句柄主要用于將來自策略執(zhí)行點的請求做規(guī)范化處理，而將授權(quán)決議、資源信息等從規(guī)范化格式轉(zhuǎn)換為響應(yīng)信息格式，回復(fù)策略執(zhí)行點。圖2是訪問控制管理體系結(jié)構(gòu)圖：圖2：訪問控制管理體系結(jié)構(gòu)當(dāng)一個請求提交到策略執(zhí)行點時，策略執(zhí)行點把這個請求轉(zhuǎn)交給上下文處理句柄，要求獲得決策信息。上下文處理句柄從資源庫獲得資源信息，向策略信息點取得訪問者信息，做規(guī)范化處理后，向策略決策點發(fā)送包含這些信息的策略詢問請求，從中獲得該訪問請求的授權(quán)決策信息，然后回復(fù)策略執(zhí)行點，由策略執(zhí)行點執(zhí)行授權(quán)決策。當(dāng)決策屬性為permitted，則由操作執(zhí)行點執(zhí)行對資源的操作；如果決策屬性為denied，則拒絕請求。當(dāng)然，對于決策屬性的返回值，可以根據(jù)實際應(yīng)用進行相應(yīng)的擴充。32安全處理安全處理模塊操作的對象是根據(jù)訪問請求生成的原始XML文檔，因此可以采用XML加密規(guī)范和XML簽名規(guī)范進行安全處理。首先對其中包含的敏感信息元素采用特定的加密算法加密，或者采用非對稱密鑰體系的公鑰進行加密，算法信息和密鑰信息可以放在和子元素中，加密后的信息構(gòu)成元素，然后建立符合XML加密規(guī)范的EncrypedData元素，取代文檔中被加密元素位置。其次是對該文檔進行數(shù)字簽名。首先通過消息摘要運算得到摘要值放在元素中，再建立元素和元素；通過對元素進行規(guī)范化處理產(chǎn)生元素，最后生成符合包含、和可選的、等元素的元素，嵌入XML文檔內(nèi)部作為目標(biāo)文檔，或者以外部文檔形式隨同目標(biāo)文檔發(fā)送。33密鑰管理機制在上述處理步驟中，涉及到密鑰的管理問題。PKI是目前廣泛應(yīng)用的一種密鑰管理技術(shù)，它圍繞著數(shù)字證書應(yīng)用，提供信息的真實性、完整性、機密性和不可否認(rèn)性，并在業(yè)務(wù)系統(tǒng)中建立有效的信任管理、授權(quán)控制和嚴(yán)密的責(zé)任機制。但是傳統(tǒng)的PKI是一種兩層的應(yīng)用模式，用戶必須安裝特定PKI提供者的客戶端工具集才能獲得PKI的密鑰和證書服務(wù)。如果運用PKI來解決密鑰管理問題，會使整個XML應(yīng)用變得復(fù)雜，而XML的初衷始為了解決交換過程中信息和數(shù)據(jù)表達(dá)的復(fù)雜性，使交換和處理簡單化。為了保護已有的投資，我們可以在現(xiàn)有的PKI基礎(chǔ)上集成XKMS，相當(dāng)于在PKI的提供者和用戶之間增加了一個中間層信任服務(wù)。這樣用戶不用直接跟PKI交互，而是通過信任服務(wù)(XKMS)間接地獲得PKI的密鑰和證書服務(wù)，把原來用戶直接面對的問題轉(zhuǎn)移到信任服務(wù)層，通過信任服務(wù)層向用戶提供基于XML的密鑰管理服務(wù)。XKMS-PKI密鑰管理體系組織結(jié)構(gòu)如圖3所示：圖3：XKMS-PKI密鑰管理體系結(jié)構(gòu)圖XKMS客戶端的用戶分為密鑰擁有者和使用者兩類，他們可以根據(jù)自己的需要，向信任服務(wù)(XKMS)端發(fā)出服務(wù)請求；信任服務(wù)端由兩個功能模塊組成：X-KRSS(密鑰注冊服務(wù)系統(tǒng))和X-KISS(密鑰信息服務(wù)系統(tǒng))，分別向客戶端的兩類用戶提供密鑰信息管理服務(wù)。XKMS服務(wù)端和客戶端之間采用XML消息交互通信。而XKMS與PKI提供者之間的交互的具體協(xié)議通信，可以在服務(wù)端實現(xiàn)，對客戶端的應(yīng)用而言，屏蔽了PKI的底層細(xì)節(jié)，只提供基于XML的密鑰管理服務(wù)。信任服務(wù)(XKMS)端實現(xiàn)這樣一些功能：X-KRSS模塊以兩種方式向用戶提供密鑰管理，一種方式稱為密鑰注冊，即用戶自己擁有密鑰對，通過X-KRSS注冊其公鑰，X-KRSS把公鑰和該用戶相關(guān)信息綁定，保存在PKI提供的數(shù)據(jù)庫。公鑰使用者可以通過X-KISS查找并獲得該用戶的公鑰。另一種方式稱為密鑰申請，即用戶直接向X-KRSS注冊申請密鑰，處理服務(wù)器根據(jù)用戶的注冊信息，在驗證有效性和真實性后，為用戶生成一個密鑰對，把公鑰和用戶信息綁定存入PKI數(shù)據(jù)庫，私鑰則通知用戶以安全方式提取。兩種方式的區(qū)別是，第一種方式注冊的密鑰對無法恢復(fù)，第二種方式可以提供密鑰恢復(fù)服務(wù)。X-KISS模塊除了向密鑰使用者提供查找定位服務(wù)外，也可以提供驗證服務(wù)。用戶可以根據(jù)需要，把文檔的驗證過程交給X-KISS進行。X-KISS進行驗證和鑒別后，向用戶回復(fù)驗證結(jié)果。在這種模式下進行的密鑰或證書操作時，客戶端應(yīng)用程序只需向信任服務(wù)發(fā)出XKMS請求，無需考慮具體的PKI提供者的實現(xiàn)細(xì)節(jié)問題；由信任服務(wù)對該請求消息進行解析