xml數(shù)據(jù)交換安全解決方案.docx

摘要：XML技術(shù)的發(fā)展使得基于網(wǎng)絡(luò)的數(shù)據(jù)交互越來(lái)越方便，但是互聯(lián)網(wǎng)開(kāi)放性所帶來(lái)的信息安全隱患卻是一個(gè)日趨嚴(yán)重的問(wèn)題。本文分析了基于XML的數(shù)據(jù)交換安全需求，介紹了XML安全服務(wù)標(biāo)準(zhǔn)。針對(duì)XML數(shù)據(jù)交換的請(qǐng)求/響應(yīng)機(jī)制，提出了相應(yīng)的控制措施，以保證XML數(shù)據(jù)交換的安全。關(guān)鍵詞：數(shù)據(jù)交換；XML；加密；數(shù)字簽名；XKMS；XACML分類(lèi)號(hào)：TP393標(biāo)注：此項(xiàng)目獲得江蘇省計(jì)算機(jī)信息處理重點(diǎn)實(shí)驗(yàn)室資助引言互聯(lián)網(wǎng)技術(shù)的發(fā)展，大大提高了信息流通的速度和效率，吸引了越來(lái)越多的企業(yè)、個(gè)人通過(guò)網(wǎng)絡(luò)從事其相關(guān)活動(dòng)，基于網(wǎng)絡(luò)的數(shù)據(jù)交換和業(yè)務(wù)協(xié)作越來(lái)越頻繁。XML作為一種用來(lái)描述數(shù)據(jù)的標(biāo)記語(yǔ)言，具有對(duì)數(shù)據(jù)進(jìn)行統(tǒng)一描述的強(qiáng)大功能；同時(shí)可擴(kuò)展性、結(jié)構(gòu)化語(yǔ)義以及平臺(tái)無(wú)關(guān)性的特點(diǎn)充分滿足了互聯(lián)網(wǎng)和分布式異構(gòu)環(huán)境的需求，成為網(wǎng)絡(luò)數(shù)據(jù)傳輸和交換的主要載體，有力地推動(dòng)了電子商務(wù)等網(wǎng)絡(luò)應(yīng)用的發(fā)展。作為一個(gè)開(kāi)放的平臺(tái)，由于資源的共享性和互操作性，互聯(lián)網(wǎng)也面臨著各種各樣的安全威脅，如信息竊取、惡意欺騙、偽裝、非法修改以及各種擾亂破壞等。針對(duì)網(wǎng)絡(luò)的信息安全問(wèn)題，人們提出了一些安全措施，比如安全套接字(SSL)、IP層安全標(biāo)準(zhǔn)(IPSec)、安全/多功能因特網(wǎng)郵件擴(kuò)展(S/MIME)等，在一定程度上緩解了網(wǎng)絡(luò)信息安全的困境。隨著XML技術(shù)的廣泛應(yīng)用和深入發(fā)展，XML語(yǔ)言自身具有的結(jié)構(gòu)化特征，對(duì)數(shù)據(jù)信息安全技術(shù)提出了新的要求，如XML加密解密、XML數(shù)字簽名和確認(rèn)、XML文檔局部數(shù)據(jù)的安全性要求等，這些是現(xiàn)有的安全技術(shù)和協(xié)議無(wú)法做到的。1、基于XML數(shù)據(jù)交換的安全問(wèn)題在開(kāi)放環(huán)境下進(jìn)行XML數(shù)據(jù)交換，確保信息的安全性是XML應(yīng)用順利開(kāi)展的首要條件。沒(méi)有可靠的安全控制體系，重要文檔和敏感信息的明文存儲(chǔ)和傳輸都是非常危險(xiǎn)。數(shù)據(jù)交換涉及的安全性?xún)?nèi)容包括以下幾點(diǎn)：1、身份驗(yàn)證：要求數(shù)據(jù)交換雙方的身份可鑒別，防止第三者假冒。2、訪問(wèn)控制：對(duì)不同的用戶(hù)，能控制其對(duì)數(shù)據(jù)的訪問(wèn)權(quán)限。3、數(shù)據(jù)的機(jī)密性：防止未授權(quán)的用戶(hù)竊取數(shù)據(jù)。4、數(shù)據(jù)的完整性：確認(rèn)數(shù)據(jù)在傳輸過(guò)程中沒(méi)有被篡改。5、非否認(rèn)服務(wù)：保證收發(fā)雙方無(wú)法否認(rèn)已接收或發(fā)送數(shù)據(jù)這一事實(shí)。由于XML文檔的結(jié)構(gòu)化和可讀性，對(duì)來(lái)自外部的數(shù)據(jù)交換請(qǐng)求或訪問(wèn)請(qǐng)求，首先必須有相應(yīng)的身份認(rèn)證和訪問(wèn)控制機(jī)制；其次，XML數(shù)據(jù)經(jīng)常作為公文或流程數(shù)據(jù)，以合作的形式流轉(zhuǎn)，因此需要有細(xì)粒度的加密和簽名支持；另外，針對(duì)XML應(yīng)用系統(tǒng)的特性，必須有相關(guān)的密鑰管理設(shè)施為用戶(hù)提供密鑰管理。通過(guò)這些問(wèn)題的解決，建立一個(gè)可信任的網(wǎng)絡(luò)環(huán)境，保證基于XML數(shù)據(jù)交換活動(dòng)中信息的保密性、完整性、可鑒別性、不可偽造性和抗抵賴(lài)性。2、XML安全標(biāo)準(zhǔn)概述為了促進(jìn)上述問(wèn)題得解決，推動(dòng)XML應(yīng)用和安全服務(wù)的發(fā)展，國(guó)際標(biāo)準(zhǔn)化組織W3C和OASIS提出了一系列新的XML安全服務(wù)標(biāo)準(zhǔn)，來(lái)為以XML作為數(shù)據(jù)交換載體的應(yīng)用提供安全性保障。這些標(biāo)準(zhǔn)包括：XML加密(XMLEncryption)、XML數(shù)字簽名(XMLSignature)、XML密鑰管理規(guī)范(XKMS)、XML訪問(wèn)控制標(biāo)記語(yǔ)言(XACML)等21XML加密3XML加密（XMLEncryption）可以對(duì)XML文檔中的全部數(shù)據(jù)加密，或者對(duì)其中部分元素加密，其他部分仍然以明文形式存在。對(duì)同一文檔的不同部分，可以采用不同的密鑰進(jìn)行加密，同一個(gè)XML文件分別發(fā)給不同的接收者，接收者只能訪問(wèn)擁有權(quán)限的那部分信息。并且該標(biāo)準(zhǔn)支持多重加密。XML加密語(yǔ)法的核心元素是EncryptedData元素，描述了一個(gè)加密數(shù)據(jù)包含的所有信息。當(dāng)加密元素或元素內(nèi)容時(shí)，EncryptedData元素替換XML文檔加密版本中的該元素或內(nèi)容。當(dāng)加密的是任意數(shù)據(jù)時(shí)，EncryptedData元素可能成為新XML文檔的根，或者可能成為一個(gè)子元素。當(dāng)加密整個(gè)XML文檔時(shí)，EncryptedData元素可能成為新文檔的根。EncryptedData中包含以下一些子元素：EncryptionMethod子元素使用URI唯一地標(biāo)識(shí)所采用的加密算法，確保通信雙方可以在加密算法上保持一致。KeyInfo子元素表達(dá)了用于加密數(shù)據(jù)的密鑰信息，是一個(gè)可選元素，具有很大的靈活性，可以根據(jù)通信雙方的約定，記錄密鑰名稱(chēng)、密鑰值、數(shù)字證書(shū)，甚至是獲得密鑰的轉(zhuǎn)換方法描述，從而確保密鑰的安全性。CipherData子元素標(biāo)記被加密的數(shù)據(jù)。EncryptionProperties子元素可以用來(lái)描述加密數(shù)據(jù)和密鑰的附加信息，比如時(shí)間戳、加密序列號(hào)等。發(fā)送者創(chuàng)建符合以上結(jié)構(gòu)的EncryptedData元素發(fā)給接收者；接收者根據(jù)從EncryptedData元素中得到解密所需的加密算法、參數(shù)和密鑰信息，正確解密信息。22XML簽名4XML簽名（XMLSignature）標(biāo)準(zhǔn)可提供對(duì)任何數(shù)據(jù)類(lèi)型的完整性、消息認(rèn)證、簽名者認(rèn)證等服務(wù)，無(wú)論是在包括該簽名的XML內(nèi)部還是在別處。XML簽名的主要目的是用于確保XML文件內(nèi)容沒(méi)有被篡改，同時(shí)對(duì)來(lái)源的可靠性進(jìn)行驗(yàn)證。Signature元素描述的是傳輸一個(gè)數(shù)字簽名的完整信息。SignedInfo子元素記錄了被簽署的信息，即原始信息。CanoniclizationMethod子元素使用URI唯一地標(biāo)識(shí)該數(shù)字簽名采用的XML數(shù)據(jù)的規(guī)范化法則，這是正確解析XML數(shù)據(jù)簽名的前提。因?yàn)閄ML數(shù)字簽名對(duì)SignedInfo元素的字節(jié)流進(jìn)行運(yùn)算處理，細(xì)微的差別都可能造成不一致，采用了canonicalization可以使XML簽名適應(yīng)各種文件系統(tǒng)和處理器在版式上的不同，因而XML簽名可以適應(yīng)XML文件可能遇到的各種環(huán)境。SignatureMethod元素記錄的是簽名采用的是何種算法。Reference元素代表一個(gè)被簽署的元素，通過(guò)URI定位被簽名元素，可以多次出現(xiàn)，所以XML簽名能一次簽署多條內(nèi)容。經(jīng)過(guò)運(yùn)算的SignedInfo元素記錄在SignedValue中。KeyInfo元素用來(lái)描述密鑰信息并用來(lái)作簽名驗(yàn)證使用。接收者可以根據(jù)Signature元素包含的信息確定數(shù)據(jù)的完整性和可靠性。23XML密鑰管理規(guī)范（XKMS）12XKMS定義了分發(fā)和注冊(cè)XML簽名規(guī)范所使用的公共密鑰的方法。XKMS以已有的XML加密和XML數(shù)字簽名為基礎(chǔ)。其關(guān)鍵的思想是提供Web上的可信服務(wù)(trustserver)，這樣X(jué)ML應(yīng)用可以不用太多關(guān)注PKI細(xì)節(jié)。XKMS包括了兩部分：XML密鑰注冊(cè)服務(wù)規(guī)范（X-KRSS）和XML密鑰信息服務(wù)規(guī)范（X-KISS）。X-KISS用于向用戶(hù)提供密鑰和證書(shū)服務(wù)。分為兩類(lèi)，定位服務(wù)和確認(rèn)服務(wù)，前者負(fù)責(zé)提供密鑰和證書(shū)，后者負(fù)責(zé)密鑰和證書(shū)的合法性檢驗(yàn)。XKRSS用于向密鑰和證書(shū)的持有者提供密鑰管理服務(wù)，提供了密鑰（證書(shū)）注冊(cè)、密鑰（證書(shū)）注銷(xiāo)、密鑰恢復(fù)和密鑰更新服務(wù)。24XACML6XACML（XML訪問(wèn)控制標(biāo)記語(yǔ)言）是OASIS討論制定的用于XML文檔訪問(wèn)控制的一種策略描述語(yǔ)言，用來(lái)決定是否允許一個(gè)請(qǐng)求使用一項(xiàng)資源，比如它是否能使用整個(gè)文件，多個(gè)文件，還是某個(gè)文件的一部分。主要思想是圍繞一個(gè)四元組來(lái)定義訪問(wèn)控制授權(quán)策略。subject為授權(quán)訪問(wèn)用戶(hù)，resource代表訪問(wèn)的資源，action表示對(duì)資源的訪問(wèn)操作，condition表示采取特定操作的先決條件。在制定策略時(shí)，首先確定資源resource，針對(duì)resource，確定對(duì)于subject元素所描述的訪問(wèn)者，是否授予其執(zhí)行action操作的權(quán)限。condition元素用于定義特定訪問(wèn)操作的先決條件，這使得策略控制的描述制訂可以非常靈活，制定的訪問(wèn)策略可以方便地應(yīng)用于各種不同的場(chǎng)合。3、XML數(shù)據(jù)交換安全解決方案對(duì)于來(lái)自外部的數(shù)據(jù)交換和訪問(wèn)請(qǐng)求，最重要的步驟是驗(yàn)證請(qǐng)求者的身份信息，確認(rèn)“他”是誰(shuí)，同時(shí)確定訪問(wèn)權(quán)限，防止非法訪問(wèn)。目前存在多種訪問(wèn)控制技術(shù)，如訪問(wèn)控制列表(ACL)、基于角色的訪問(wèn)控制(RBAC)等，但是由于不同的企業(yè)、部門(mén)采取不同的訪問(wèn)控制技術(shù)、不同的技術(shù)實(shí)現(xiàn)平臺(tái)，造成訪問(wèn)控制的安全邊界通常局限在企業(yè)內(nèi)部，而給跨邊界的互操作帶來(lái)很大的不便。XML作為實(shí)現(xiàn)跨平臺(tái)信息交換和提高異構(gòu)系統(tǒng)之間的互操作性的最佳解決方案的提出，極大地促進(jìn)了數(shù)據(jù)交換應(yīng)用的發(fā)展。而基于XML強(qiáng)大的可擴(kuò)展性而提出的XML安全服務(wù)標(biāo)準(zhǔn)，使我們可以在考慮XML數(shù)據(jù)信息交換的安全控制問(wèn)題上，完全采用基于XML標(biāo)準(zhǔn)的體系結(jié)構(gòu)，繼承XML的靈活性和可擴(kuò)展性。一個(gè)安全的XML數(shù)據(jù)交換請(qǐng)求/響應(yīng)流程可以用如圖1表示：圖1：XML數(shù)據(jù)交換請(qǐng)求/響應(yīng)流程(1)在訪問(wèn)控制層驗(yàn)證請(qǐng)求者的身份信息，根據(jù)策略進(jìn)行訪問(wèn)權(quán)限認(rèn)證，在這一步可以過(guò)濾非法用戶(hù)和越界訪問(wèn)者；(2)分析訪問(wèn)請(qǐng)求，提取數(shù)據(jù)，生成原始XML文檔；(3)對(duì)該XML文檔做安全處理；(4)形成目標(biāo)文檔，響應(yīng)請(qǐng)求。31訪問(wèn)控制在XACML的基礎(chǔ)上，我們可以實(shí)現(xiàn)一種基于策略的訪問(wèn)控制模型。這個(gè)模型中包含的組件功能如下：策略集是預(yù)先制訂的訪問(wèn)控制策略的集合，是策略訪問(wèn)控制的核心部件；授權(quán)用戶(hù)庫(kù)包含了授權(quán)用戶(hù)的相關(guān)信息，如口令、證書(shū)、授權(quán)權(quán)限等內(nèi)容；策略決策點(diǎn)用于評(píng)估決策請(qǐng)求，根據(jù)策略集所制訂的訪問(wèn)控制策略和自身包含的評(píng)估原則與異常(exception)處理原則，對(duì)訪問(wèn)請(qǐng)求做出評(píng)估，并返回一個(gè)授權(quán)決議；策略執(zhí)行點(diǎn)是一個(gè)對(duì)外的訪問(wèn)控制接口，接受外部訪問(wèn)請(qǐng)求，根據(jù)策略決策點(diǎn)返回的授權(quán)決議信息，向操作執(zhí)行點(diǎn)發(fā)出執(zhí)行指令；策略信息點(diǎn)收集訪問(wèn)主體信息和被訪問(wèn)的資源信息，作為決策評(píng)估的屬性信息；上下文處理句柄主要用于將來(lái)自策略執(zhí)行點(diǎn)的請(qǐng)求做規(guī)范化處理，而將授權(quán)決議、資源信息等從規(guī)范化格式轉(zhuǎn)換為響應(yīng)信息格式，回復(fù)策略執(zhí)行點(diǎn)。圖2是訪問(wèn)控制管理體系結(jié)構(gòu)圖：圖2：訪問(wèn)控制管理體系結(jié)構(gòu)當(dāng)一個(gè)請(qǐng)求提交到策略執(zhí)行點(diǎn)時(shí)，策略執(zhí)行點(diǎn)把這個(gè)請(qǐng)求轉(zhuǎn)交給上下文處理句柄，要求獲得決策信息。上下文處理句柄從資源庫(kù)獲得資源信息，向策略信息點(diǎn)取得訪問(wèn)者信息，做規(guī)范化處理后，向策略決策點(diǎn)發(fā)送包含這些信息的策略詢(xún)問(wèn)請(qǐng)求，從中獲得該訪問(wèn)請(qǐng)求的授權(quán)決策信息，然后回復(fù)策略執(zhí)行點(diǎn)，由策略執(zhí)行點(diǎn)執(zhí)行授權(quán)決策。當(dāng)決策屬性為permitted，則由操作執(zhí)行點(diǎn)執(zhí)行對(duì)資源的操作；如果決策屬性為denied，則拒絕請(qǐng)求。當(dāng)然，對(duì)于決策屬性的返回值，可以根據(jù)實(shí)際應(yīng)用進(jìn)行相應(yīng)的擴(kuò)充。32安全處理安全處理模塊操作的對(duì)象是根據(jù)訪問(wèn)請(qǐng)求生成的原始XML文檔，因此可以采用XML加密規(guī)范和XML簽名規(guī)范進(jìn)行安全處理。首先對(duì)其中包含的敏感信息元素采用特定的加密算法加密，或者采用非對(duì)稱(chēng)密鑰體系的公鑰進(jìn)行加密，算法信息和密鑰信息可以放在和子元素中，加密后的信息構(gòu)成元素，然后建立符合XML加密規(guī)范的EncrypedData元素，取代文檔中被加密元素位置。其次是對(duì)該文檔進(jìn)行數(shù)字簽名。首先通過(guò)消息摘要運(yùn)算得到摘要值放在元素中，再建立元素和元素；通過(guò)對(duì)元素進(jìn)行規(guī)范化處理產(chǎn)生元素，最后生成符合包含、和可選的、等元素的元素，嵌入XML文檔內(nèi)部作為目標(biāo)文檔，或者以外部文檔形式隨同目標(biāo)文檔發(fā)送。33密鑰管理機(jī)制在上述處理步驟中，涉及到密鑰的管理問(wèn)題。PKI是目前廣泛應(yīng)用的一種密鑰管理技術(shù)，它圍繞著數(shù)字證書(shū)應(yīng)用，提供信息的真實(shí)性、完整性、機(jī)密性和不可否認(rèn)性，并在業(yè)務(wù)系統(tǒng)中建立有效的信任管理、授權(quán)控制和嚴(yán)密的責(zé)任機(jī)制。但是傳統(tǒng)的PKI是一種兩層的應(yīng)用模式，用戶(hù)必須安裝特定PKI提供者的客戶(hù)端工具集才能獲得PKI的密鑰和證書(shū)服務(wù)。如果運(yùn)用PKI來(lái)解決密鑰管理問(wèn)題，會(huì)使整個(gè)XML應(yīng)用變得復(fù)雜，而XML的初衷始為了解決交換過(guò)程中信息和數(shù)據(jù)表達(dá)的復(fù)雜性，使交換和處理簡(jiǎn)單化。為了保護(hù)已有的投資，我們可以在現(xiàn)有的PKI基礎(chǔ)上集成XKMS，相當(dāng)于在PKI的提供者和用戶(hù)之間增加了一個(gè)中間層信任服務(wù)。這樣用戶(hù)不用直接跟PKI交互，而是通過(guò)信任服務(wù)(XKMS)間接地獲得PKI的密鑰和證書(shū)服務(wù)，把原來(lái)用戶(hù)直接面對(duì)的問(wèn)題轉(zhuǎn)移到信任服務(wù)層，通過(guò)信任服務(wù)層向用戶(hù)提供基于XML的密鑰管理服務(wù)。XKMS-PKI密鑰管理體系組織結(jié)構(gòu)如圖3所示：圖3：XKMS-PKI密鑰管理體系結(jié)構(gòu)圖XKMS客戶(hù)端的用戶(hù)分為密鑰擁有者和使用者兩類(lèi)，他們可以根據(jù)自己的需要，向信任服務(wù)(XKMS)端發(fā)出服務(wù)請(qǐng)求；信任服務(wù)端由兩個(gè)功能模塊組成：X-KRSS(密鑰注冊(cè)服務(wù)系統(tǒng))和X-KISS(密鑰信息服務(wù)系統(tǒng))，分別向客戶(hù)端的兩類(lèi)用戶(hù)提供密鑰信息管理服務(wù)。XKMS服務(wù)端和客戶(hù)端之間采用XML消息交互通信。而XKMS與PKI提供者之間的交互的具體協(xié)議通信，可以在服務(wù)端實(shí)現(xiàn)，對(duì)客戶(hù)端的應(yīng)用而言，屏蔽了PKI的底層細(xì)節(jié)，只提供基于XML的密鑰管理服務(wù)。信任服務(wù)(XKMS)端實(shí)現(xiàn)這樣一些功能：X-KRSS模塊以?xún)煞N方式向用戶(hù)提供密鑰管理，一種方式稱(chēng)為密鑰注冊(cè)，即用戶(hù)自己擁有密鑰對(duì)，通過(guò)X-KRSS注冊(cè)其公鑰，X-KRSS把公鑰和該用戶(hù)相關(guān)信息綁定，保存在PKI提供的數(shù)據(jù)庫(kù)。公鑰使用者可以通過(guò)X-KISS查找并獲得該用戶(hù)的公鑰。另一種方式稱(chēng)為密鑰申請(qǐng)，即用戶(hù)直接向X-KRSS注冊(cè)申請(qǐng)密鑰，處理服務(wù)器根據(jù)用戶(hù)的注冊(cè)信息，在驗(yàn)證有效性和真實(shí)性后，為用戶(hù)生成一個(gè)密鑰對(duì)，把公鑰和用戶(hù)信息綁定存入PKI數(shù)據(jù)庫(kù)，私鑰則通知用戶(hù)以安全方式提取。兩種方式的區(qū)別是，第一種方式注冊(cè)的密鑰對(duì)無(wú)法恢復(fù)，第二種方式可以提供密鑰恢復(fù)服務(wù)。X-KISS模塊除了向密鑰使用者提供查找定位服務(wù)外，也可以提供驗(yàn)證服務(wù)。用戶(hù)可以根據(jù)需要，把文檔的驗(yàn)證過(guò)程交給X-KISS進(jìn)行。X-KISS進(jìn)行驗(yàn)證和鑒別后，向用戶(hù)回復(fù)驗(yàn)證結(jié)果。在這種模式下進(jìn)行的密鑰或證書(shū)操作時(shí)，客戶(hù)端應(yīng)用程序只需向信任服務(wù)發(fā)出XKMS請(qǐng)求，無(wú)需考慮具體的PKI提供者的實(shí)現(xiàn)細(xì)節(jié)問(wèn)題；由信任服務(wù)對(duì)該請(qǐng)求消息進(jìn)行解析