DSML及其加密與簽名

1、DSML及其加密與簽名摘要DSL是一種基于XL和LDAP的標(biāo)記語(yǔ)言。DSL2.0用XL文檔為應(yīng)用程序建立一種標(biāo)準(zhǔn)方法，來(lái)讀娶查詢和更新目錄，它能夠定義運(yùn)行在移動(dòng)設(shè)備或PDA上的應(yīng)用程序訪問(wèn)目錄的方式，而且訪問(wèn)時(shí)無(wú)需專門的客戶端。在實(shí)現(xiàn)DSL時(shí)，還必須考慮其安全性。在XL安全領(lǐng)域方面開發(fā)的規(guī)范有XL加密、XL簽名、XAL、SAL、XKS。本文采用XL加密和簽名來(lái)對(duì)DSL進(jìn)行加密和數(shù)字簽名。2)數(shù)據(jù)完整性：保證沒(méi)有經(jīng)過(guò)授權(quán)的用戶不能改變或者刪除信息，從而信息在傳送的過(guò)程中不會(huì)被偶然或故意破壞，保持信息的完整、統(tǒng)一。因此,要預(yù)防對(duì)信息的隨意生成、修改和刪除,同時(shí)要防止數(shù)據(jù)傳送過(guò)程中信息的丟失和重復(fù)3

2、)可用性：指合法用戶的正常請(qǐng)求能及時(shí)、正確、安全地得到服務(wù)或回應(yīng)。4)非偽裝性：指發(fā)送方能確信接收方不是假冒的。5)反抵賴性:保證信息的發(fā)送者不能抵賴或否認(rèn)對(duì)信息的發(fā)送，當(dāng)然信息發(fā)送前需要對(duì)發(fā)送者進(jìn)行安全認(rèn)證。要在信息的傳輸過(guò)程中為參與交易的個(gè)人、企業(yè)或國(guó)家提供可靠的標(biāo)識(shí)。目前網(wǎng)絡(luò)存在的威脅主要表現(xiàn)在以下幾個(gè)方面：1)非授權(quán)訪問(wèn)：沒(méi)有預(yù)先經(jīng)過(guò)同意，就使用網(wǎng)絡(luò)或計(jì)算機(jī)資源被看作非授權(quán)訪問(wèn)。它主要有以下幾種形式：假冒、身份攻擊、非法用戶進(jìn)入網(wǎng)絡(luò)系統(tǒng)進(jìn)行違法操作、合法用戶以未授權(quán)方式進(jìn)行操作等。2)信息遺漏丟失：指敏感數(shù)據(jù)有意或無(wú)意被泄漏出去或丟失。3)破壞數(shù)據(jù)完整性：以非法手段竊得對(duì)數(shù)據(jù)的使用權(quán)，

3、刪除、修改、插入或重發(fā)某些重要信息，以取得有益于攻擊者的響應(yīng)；惡意添加，修改數(shù)據(jù)，以干擾用戶的正常使用。4)拒絕服務(wù)攻擊：是一種比較簡(jiǎn)單，但又日益流行的攻擊和禁用企業(yè)信息資源的方法。在拒絕服務(wù)攻擊中，作惡者發(fā)送大量的信息流量，使eb服務(wù)器、主機(jī)、路由器和其它網(wǎng)絡(luò)設(shè)備負(fù)擔(dān)過(guò)重。通過(guò)這種方式發(fā)送的信息流量非常之大，致使企業(yè)的用戶、客戶和合作伙伴都在好長(zhǎng)一段時(shí)間內(nèi)無(wú)法訪問(wèn)網(wǎng)絡(luò)?；谝陨系陌踩{以及網(wǎng)絡(luò)安全的迫切要求，所采取的安全措施有加密技術(shù)（對(duì)稱加密、非對(duì)稱加密、不可逆加密等）、數(shù)字簽名和認(rèn)證技術(shù)、VPN技術(shù)、IPSe技術(shù)等。由于還沒(méi)有專門用于DSL安全的規(guī)范，因此本文采用3的XL規(guī)范（如XLD

4、igitalSignature,XLenryptin）5,6,7來(lái)解決DSL安全問(wèn)題。3DSL的加密和簽名XL加密語(yǔ)法的核心元素是EnryptedData元素，它是從EnryptedType抽象類型派生的。要加密的數(shù)據(jù)可以是任意數(shù)據(jù)、XL文檔、XL元素或XL元素內(nèi)容；加密數(shù)據(jù)的結(jié)果是一個(gè)包含或引用密碼數(shù)據(jù)的XL加密元素。當(dāng)加密元素或元素內(nèi)容，EnryptedData元素替換XL文檔加密版本中的該元素或內(nèi)容。當(dāng)加密的是任意數(shù)據(jù)時(shí)，EnryptedData元素可能成為新XL文檔的根，或者可能成為一個(gè)子代元素。當(dāng)加密整個(gè)XL文檔時(shí)，EnryptedData元素可能成為新文檔的根。此外，Enrypte

5、dData不能是另一個(gè)EnryptedData元素的父代或子代元素。清單2表示對(duì)清單1中difyRequest和addRequest子元素進(jìn)行加密的結(jié)果bathRequestxlns:xsd=”.3.rg/2001/XLShea”xlns:xsi=.3.rg/2001/XLShea-instane;xlns=urn:asis:naes:t:DSL:2:0:reEnryptedDataType=”.3.rg/2001/04/xlen#Eleent”xlns=”.3.rg/2001/04/xlen”ipherDataipherValue86B12D79/ipherValue/ipherData/E

6、nryptedDatadelRequestdn=N=Lisi,U=HR,D=Testdain,D=ntrl./ntrlntrl./ntrl/delRequestsearhRequestntrl./ntrl./searhRequest/bathRequest清單3為對(duì)清單1中bathRequest元素進(jìn)行加密的結(jié)果。EnryptedDataxlns=”.3.rg/2001/04/xlen”Type=”./in-ntes/iana/assignents/edia-types/text/xl”ipherDataipherValue86B12D79/ipherValue/ipherDat

7、a/EnryptedData清單4為對(duì)清單1中bathRequest元素進(jìn)行簽名的結(jié)果。Signaturexlns=”.3.rg/2000/09/xldsig#”SignedInfannializatinethdAlgrith=”.3.rg/TR/2001/RE-xl-14n-20010315”/SignatureethdAlgrith=”.3.rg/2000/09/xldsig#dsa-sha1”/RefereneURI=”#bathRequest”TransfrsTransfrAlgrith=”.3.rg/TR/2001/RE-xl-14n-20010315”/TransfrsDigest

8、ethdAlgrith=”.3.rg/2000/09/xldsig#sha1”/DigestValuep26x3rvEP00vKtup4NdUv5jil=/DigestValue/Referene/SignedInfSignatureValue0FFrVLtRlk=/SignatureValueKeyInfKeyValueDSAKeyValuep/pQ/QG/GY/Y/DSAKeyValue/KeyValue/KeyInfbjetSignaturePrpertiesSignaturePrpertyId=AadeUpTieStaptiestapxlns=.ietf.rg/rf1889.txt;d

9、ate20020305/datetie12:55:34:34/tie/tiestap/SignaturePrperty/SignaturePrperties/bjet/SignatureSignedInf元素是實(shí)際簽名的信息。annializatinethd標(biāo)識(shí)了一種算法，該算法用來(lái)規(guī)范化SignedInf元素。Signatureethd用于將已規(guī)范化的SignedInf轉(zhuǎn)換成SignatureValue的算法。Referene的URI屬性標(biāo)識(shí)要簽名的數(shù)據(jù)對(duì)象。Transfrs可以包括規(guī)范化、編碼解碼、XSLT和XPath等操作。Digestethd是在應(yīng)用Transfrs之后對(duì)數(shù)據(jù)應(yīng)用以產(chǎn)生DigestValue的算法。DigestValue的簽名是將資源內(nèi)容與簽名者密鑰綁定的機(jī)制。KeyInf表示用于驗(yàn)證簽名的密鑰，標(biāo)識(shí)機(jī)制可以包