Web 的开始阶段是简单的网站(信息中介和信息发布的平台),随着Internet 和Intranent、Extranet的快速发展而发展成为各种应用的主要平台。 Web在商业、工业、银行、财政、教育、政府等领域产生了深远影响,这得益于Web标准化、松散耦合、语言中立、平台无关性、开放性等特性的服务。 Web服务需要XML(可扩展标记语言)、SOAP(简单对象访问协议、WSDL(Web服务描述语言)和UDDL(统一描述、发现和集成协议)四大技术标准的支持[1]。其中UDDI、SOAP和WSDL基于XML,因此XML在Web系统中占有重要位置。
XML扩展标记语言
第1版XML是世界互联网协会(World Wide Web Consortium,WSC)于1998年2月颁布。由于XML源自标准通用标记语言SGML,XML作为一种可扩展的标记语言,目前已成为信息描述的事实标准[2]。因此XML可以方便地描述风险及其相关的属性,这样也就能方便地对风险进行分析,进而选用对应的策略。许多软件提供了对XML的支持,XML可以作为不同用户的异构应用系统之间进行数据交换的标准语言,实现数据交换的透明性。目前,因特网上安全通信的事实标准是传输层安全性(tvansport Layer Security ,TLS)和安全套接字层(SSL)。TLS和SSL不具备加密交换数据的一部分和多方(不止两方)之间的安全会话,而XML涵盖了安全性需求的机制。
XML风险描述的优势在Web风险中的应用
1. Web中的风险
Web中的风险从技术方面主要分为安全漏洞和威胁攻击。安全漏洞主要包括硬件缺陷、软件缺陷和配置不合理;威胁攻击则是利用安全漏洞对系统实施破坏。风险不是孤立的,一个威胁往往由几个威胁组成,一个攻击可以导致其它攻击的发生。这些需要更好的风险描述工具。
2. XML风险描述的优势
传统的风险描述主要包括适于规范数据,较为规范数据的关系数据库描述和适宜于非规范知识的本体描述。关系数据库不方便扩展,风险间的关系不易用二元关系表达且关系表难于设计,本体描述难度大,概念间的关系难确定且一致性差。
XML结合了关系数据库和个体描述,并有效地解决了传统风险描述的缺点。同时,XML Schema易于确定XML文档的格式,使得风险描述更易实施和见效。
3. XML在Web风险描述中的应用
通用漏洞发布(Common Vulnerability Exposures,CVE)推出了漏洞的XML格式文档;OASIS和OWASP分别提出了各自的基于XML漏洞描述语言。若在这些漏洞描述中增加有关风险的发现信息,风险的危害信息和风险的解决信息。这样在漏洞查找和描述的基础上增加了风险性质(发生概率、攻击成本等)的量化分析和策略的自动选择的条件为系统自动防御和策略自动实施创造了可能性。
XML开放性的优势在Web服务中的体现
1. Web Service的特点
Web Service是一种新的面向函数和方法的应用集成技术;它是一种标准的、开放的应用集成技术。它基于XML文档进行服务描述、服务请求和反馈结果,基于HTTP协议进行信息传递易于被访问和返回结果,基于WSC的开放协议,独立于平台和操作系统,实现不同平台操作系统上的互操作性,使得异构平台上的应用易于集成,这些促使了Web的迅猛发展。这些发展对Web的开放性提出了更高的要求。
2. XML开放性的优势
XML的开放性主要指它既与平台无关,又与技术提供厂商无关。它解决了电子数据交换(Electronic Data Interchange,EDI)的缺点。EDI的主要缺点是国际上对于交换数据的格式和语义没有统一标准。尽管国际上各个国家针对不同的行业制订了用于数据交换的EDL标准,然而一个系统为了能够和不同的行业乃至不同的国家的合作伙伴进行数据交换,不得不购买并安装多种进行数据转换的适配软件插件,更何况各个行业具体的用户在实现这些数据时会或多或少加上一些个性化的标准。因此,利用EDI技术实现平台系统成本和复杂度都比较高。
3. XML开放性在Web服务中的应用
XML的开放性,使得许多软件生产商提供的软件产品支持XML,使得XML成为不同用户的异构应用系统之间的数据交换的标准语言,具备了数据交换的透明性、各个用户只要保证自己的信息系统提供的数据符合XML规范,就不用担心数据接收方的解码问题。不同的用户间对XML标识采用统一的约定交互信息的双方不会因为对方使用的系统不同而受到影响。XML可以表达任意层次的结构性数据嵌套并可以进行数据正确性检验,支持用户间复杂的数据交换。XML Schema(XSD)定义了一套标准的数据类型,并给了一种语言来扩展它,从而实现了用户间的数据共享。由于Web Service自身的特点,XML为Web Service的跨平台性、透明地穿越合作用户的防火墙提供了保障。
XML加密优势在Web中的应用
对Web中数据保护的常用技术有数据加密、数字签名和访问控制,而XML作为一种元语言,已经成为Web异构环境下不同类型和不同领域数据交换的开放标准。 XML文档的访问控制机制与一般的访问控制机制不同,传统的访问控制机制不能直接应用于对XML文档的访问控制中。这是因为XML查询语言(Xquery)的存在,能直接寻找到每一个XML语义元素。访问控制模型必须能以多种粒度级别对XML语义元素制定访问权限,一般的访问控制对此没有特殊要求。
在Web中访问的用户具有异构和动态的特点使得传统的基于ID(用户身份)的验证机制不能适于应用。
1. XML加密的优势
XML可完成加密交换数据的一部分,而TLS/SSL的处理方式只能保证通信传输过程中的数据安全,不能对不同的用户施加不同的权限来保证用户信息的安全,即TLS/SSL不用完成对交换数据的一部分进行加密。XML加密可实现多方之间的安全会话,即每一方都可保持与任何通信方的安全或非安全状态,可在同一文档中交换安全或非安全的数据。XML加密可作为SOAP协议的安全性扩展,因为SOAP协议基于XML,可以通嵌入加密了的XML数据的形式来实现在消息传输的应用层灵活采用适当的加密策略。
2. XML加密在Web的应用
在Web中,XML加密的方法可以嵌入到文档内部,并且把安全粒度细化到XML文档元素和属性级别,实现同一文档的不同部分的安全要求。通过XML加密可以使用一文档加密后对不同用户呈现不同视图,用户只能看到被授权的那部分内容。
【编辑推荐】