当前位置：文档库 › XML及相关安全技术的研究

XML及相关安全技术的研究

本文由tyliuhewei贡献
pdf文档可能在WAP端浏览体验不佳。建议您优先选择TXT，或下载源文件到本机查看。
西安电子科技大学硕士学位论文 XML及相关安全技术的研究姓名：傅海英申请学位级别：硕士专业：通信与信息系统指导教师：李晖 20030101
摘
要
ＸＭＬ和Ｗｅｂ服务的应用越来越广泛，相关的安全问题引起了人们的重视。本
文主要对基于ＸＭＬ的各种安全技术进行了研究，重点讨论了基于ＸＭＬ的密钥管
理技术和访问控制技术。最后，对基于ＸＭＬ的安全邮件系统提出了设计方案。
本文得到的主要成果如下：
１．
对ＸＭＬ和相关的技术做了明确的表述，对基于Ⅺ讧Ｌ的Ｗｅｂ服务及
其安全性进行了讨论。
２．
对基于ＸＭＬ的各种安全技术以及它们之间的关系进行了详尽的讨
论，可以看出ＸＫＭＳ是ＸＭＬ加密和ＸＭＬ签名的基础。详细讨论了基于ＸＭＬ的访问控制技术，给出了临时授权模型的概念，
３．
在此基础上，给出了基于ＸＭＬ的访问控制的方案。
４．
提出了基于ＸＭＬ的安全电子邮件系统的设计方案。该方案的特点是邮件是ＸＭＬ格式的，它的安全机制也是基于ＸＭＬ的。提出了基于Ｗｅｂ的邮件系统的设计方案。
５．
关键词：可扩展标记语言，Ｗｅｂ服务，公钥基础设旌，ＸＭＬ密钥管理，ＸＭＬ签名，ＸＭＬ加密，ＸＭＬ访问控制语言，电子邮件
ＡＢＳＴＲＡＣＴ
ＸＭＬａｎｄｗｅｂｓｅｒｖｉｃｅ
ｗｉｄｅｌｙｕｓｅｄｉｎｍａｎｙｐｅｏｐｌｅａｒｅｍｏｒｅ
ａｒｅ
ａｒｅｏｓ，ｓｏ
ａｎｄｍｏｒｅ
ｃｏｎｃｅｒｎｅｄｗｉｍｔｈｅｒｅｌａｔｅｄｓｅｃｕｒｉｔｙｐｒｏｂｌｅｍｓ．Ｉｎｔｈｉｓｐａｐｅｒ，ｔｈｅＸＭＬｒｅｌａｔｅｄｓｅｃｕｒｉｔｙｔｅｃｈｎｉｑｕｅｓ
ａｒｅ
ｍａｉｎｌｙｄｉｓｃｕｓｓｅｄ，ａｎｄＸＭＬｋｅｙｍａｎａｇｅｍｅｎｔａｎｄＸＭＬ
ｓｅｃｕｒｅ
ａｃｃｅｓｓ
ｃｏｎｔｒｏｌ
ｔｅｃｈｎｏｌｏｇｉｅｓ
ｉｓｐｒｏｐｏｓｅｄ．
ａｒｅｔｈｅｅｍｐｈａｓｉｓ．Ｆｉｎａｌｌｙ，ａｓｃｈｅｍｅｏｆ
ｅｍａｉｌｓｙｓｔｅｍｂａｓｅｄ
ｏｎ
ＸＭＬ
ｎｌｅｍａｉｎｒｅｓｅａｒｃｈｒｅｓｕｌＩｓａｒｅ１ｉｓｔｅｄ
ａｓ
ｆｏｌｌｏｗｓ．
（１）ＸＭＬａｎｄｒｅｌａｔｅｄｔｅｃｈｎｏｌｏｇｉｅｓａｒｅｐｒｅｓｅｎｔｅｄｔｈｏｒｏ

ｕｇｈｌｙ．Ｔｈｅｗｅｂｓｅｒｖｉｃｅ
ａｎｄｓｅｃｕｒｉｔｙｐｒｏｂｌｅｍｓｂａｓｅｄ
ｏｎ
ＸＭＬａｒｅｄｉｓｃｕｓｓｅｄ．
（２）ＴｈｅｖａｒｉｏｕｓｓｅｃｕｒｉｔｙｔｅｃｈｎｏｌｏｇｉｅｓｏｆＸＭＬａｎｄｔｈｅｒｅｌａｔｉｏｎｏｆｅａｃｈｏｔｈｅｒ
．
ａｒｅ
ｄｉｓｃｕｓｓｅｄ．Ｔｈｅ
ｃｏｎｃｌｕｓｉｏｎｉＳ恤ａｔＸ日ＭＳｉＳｔｈｅｂａｓｉｓｏｆＸＭＬ
ｅｎｃｒｙｐｔｉｏｎａｎｄ
ＸＭＬｓｉｇｎａｔｕｒｅ．
ａｃｃｅｓｓ
（３）Ｔｈｅｐｒｏｖｉｓｉｏｎａｌａｕｔｈｏｒｉｚａｔｉｏｎｍｏｄｅｌｏｆ
Ｂａｓｅｄ
ｏｎ
ｃｏｎｔｒｏｌｏｆＸＭＬｉｓｇｉｖｅｎ．
ｔｈｉｓ
ｍｏｄｅｌ，ａｎｅｘａｍｐｌｅｏｆａｃｃｅｓｓｃｏｎｔｒｏｌｓｃｈｅｍｅｉｓｐｒｅｓｅｎｔｅｄ．
ｏｎ
（４）
Ａ
ｓｅｃｕｒｅ
ｅｍａｉｌｓｙｓｔｅｍｂａｓｅｄ
ＸＭＬｉｓｐｒｏｐｏｓｅｄ，ｔｈｅｃｈａｒａｃｔｅｒｉｓｔｉｃｓｏｆ
ｗｈｉｃｈａｒｅｔｈａｔｔｈｅｆｏｒｍａｔｏｆｅｍａｉｌｉｓＸＭＬ
ａｎｄ
ｉｔｓｓｅｃｕｒｉｔｙｍｅｃｈａｎｉｓｍｉｓ
ｂａｓｅｄ
ｏｎ
ＸＭＬ．
ｏｎ
（５）
Ａｓｅｃｕｒｅｅｍａｉｌｓｙｓｔｅｍｓｃｈｅｍｅｂａｓｅｄ
ｗｅｂｉｓｐｒｏｐｏｓｅｄ．
Ｋｅｙｗｏｒｄｓ：ＸＭＬ，Ｗｅｂｓｅｒｖｉｃｅ，ＰＫＩ，ＸＭＬ
Ｓｉｇｎａｔｕｒｅ，ＸＭＬＥｎｃｒｙｐｔｉｏｎ，ＸＭＬＡｃｃｅｓｓ
ＫｅｙＭａｎａｇｅ
Ｓｐｅｃｉｆｉｃａｔｉｏｎ，ＸＭＬ
ＣｏｎｔｒｏｌＬａｎｇｕａｇｅ，ｅｍａｉｌ
独创性（或创新性）声明
本人声明所呈交的论文是我个人在导师指导下进行的研究工作及取得的研究
成果。尽我所知，除了文中特别加以标注和致谢中所罗列的内容以外，论文中不
含有其他人已经发表或撰写的研究成果；也不包含为获得西安电子科技大学或其它教育机构的学位或证书而使用过的材料。与我一同工作的同志对本研究所做的
任何贡献均已在论文中作了明确的说明并表示了谢意。申请学位论文与资料若有不实之处，本人承担一切相关责任。
本人签名：盛Ｉ越
日期
型ｉ：！：１２
关于论文使用授权的说明
本人完全了解西安电子科技大学有关保留和使用学位论文的规定，即：研究生在校攻读

学位期间论文工作的只是产权单位属西安电子科技大学。本人保证毕业离校后，发表论文或使用论文工作成果时署名单位仍然为西安电子科技大学。学校有权保留送交论文的复印件，允许查阅和借阅论文：学校可以公布论文的全部或部分内容，可以允许采用影印、缩印或其它复制手段保存论文。（保密的论文在解密后遵守此规定）本学位论文属于保密，在年解密后使用本授权书。
本人签名：！盛！缝
翮签乱窭熨／
日期
日期ｔ！兰：！：竺
第一章绪论
第一章绪论
１．１引言
从来没有任何事物像互联网那样，对人类的生活产生如此深刻的影响。标记
语言在互联网的发展过程中起到了巨大的作用。
网络的发展大约是从８０年代开始，第～代网络标记语言是１９８５年开发出的
ＨＴＭＬ语言，正是它使因特网迅速走出实验室，成为人人皆可使用的工具，以至于Ｗｅｂ几乎成了因特网的全部内涵。在因特网发展早期，ＨＴＭＬ是一门应用广泛的语言。随着因特网的日趋成熟，新的需求已经形成：需要一种语言能满足更复杂和更大规模的用途，如满足企业的功能运转等。ＨＴＭＬ不能满足这种需求，因而被淘汰。
为了弥补ＨＴＭＬ的缺点，万维网联盟（Ｗ３Ｃ，ＷｏｒｌｄＷｉｄｅＷｅｂＣｏｎｓｏｒｔｉｕｍ）于１９９６年开始开发一种新的标记语言，这种新语言比ＳＧＭＬ更易于使用，比ＨＴＭＬ
的结构更严谨，并把它命名为可扩展标记语言（）ＭＬ）。
１．２标记语言的发展
早在印刷出版技术出现时，当时的作者们就曾经在草稿上作出各种说明，指
导印刷工人如何处理版面安排以及其他制作问题，这些说明被称作标记。而协调一致用来定义整套语法和文法的标记集合则被称作语言。这可以说是最早的标记
语言。
ＳＧＭＬ是国际化标准组织（ＩＳＯ）于１９８６年采纳的一项国际性的数据存储和
交换的标准。但它的根基在通用标记语言领域可追溯到较长的历史，它设计用来提供一种方法，来生成平台无关和应用程序无关的文档，保留格式、索引和链接信息。用类似于文法的机制，用户可阱通过创建定制的标记来定义自己的文档格式。要使用ＳＧＭＬ描述一个特定的文档，必须创造一个恰当的元素集和文档结构。
它使用文档类型定义（ＤＴＤ）来定义文件结构。但是ＳＧＭＬ非常复杂，难以使用。
ｓＧＭＬ是一种元语言，可以用来创建其他的语言。ＨＴＭＬ和ＸＭＬ都可看作是ｓＧＭＬ的应用。ＨＴＭＬ纯粹是～门语言，不能进行扩

展或创建子集。与其相反，ｘＭＬ是ＳＧＭＬ的一个子集，并且真正可用来创建其他的语言。也就是说ＸＭＬ也
是一种元语言。正如它的名字所预示的，ＸＭＬ是可扩展的。我们可以用ＸＭＬ来创建描述内容的结构，而不用关心这些内容如何被显示。相反，ＨＴＭＬ描述文档
如何被显示，但不涉及文档的内容。ＨＴＭＬ使因特网迅速走出实验室，成为人人皆可使用的工具，以至于Ｗｅｂ几
ＸＭＬ及相关安全技术的研究
乎成了因特网的全部内涵。因特网发展早期．ＨＴＭＬ是－－１７应用广泛的语言。随
着因特网的日趋成熟，新的需求已经形成：需要一种语言能满足更复杂和更大规模的用途，如满足企业的功能运转等。ＨＴＭＬ不能满足这种需求，因而被淘汰。
我们需要这样的替代语言：当我们把数据写成一个结构化的格式时，它能自
动检查语法的有效性和内容结构的有效性。最理想的情况是，文件的作者能同时定义文件的格式和数据的正确结构。下面我们将会看到这正是ＸＭＬ和ＤＴＤ所能
完成的事情。万维网联盟（ｗ３ｃ，ＷｏｒｌｄＷｉｄｅＷｅｂＣｏｎｓｏｒｔｉｕｍ）于１９９６年开始开发一种新的
标记语言，这种新语言比ＳＧＭＬ更易于使用，比ＨＴＭＬ的结构更严谨，并把它命名为可扩展标记语言（ＸＭＬ）。１９９８年２月ＸＭＬ１．０版正式发布。ＸＭＬ正式规范１．０中阐述了ＸＭＬ的十个设计目标：１．ＸＭＬ应该可以直接用于Ｉｎｔｅｍｅｔ２．ＸＭＬ应该支持广泛的、多样化的应用程序
３．ＸＭＬ应该与ＳＧＭＬ兼容
４．ＸＭＬ文档的处理程序应该容易编写５．ＸＭＬ中的可选项应尽可能少，理想状况下应为零６．ＸＭＬ文档应该清晰明了，可读性强
７．ＸＭＬ应易于设计
８．ＸＭＬ的设计应该正式而且简洁９．ＸＭＬ文档应该易于创建
１０．ＸＭＬ标记的简洁性应以保证前面所有目标要求的前提下予以重视可以看出ＸＭＬ是一种更简单、更轻便的标记语言。它很灵活，易于使用，并可用于国际化文件。ＸＭＬ适宜做数据存储，消息发送，同时根据ＤＴＤ或者模式，ＸＭＬ文件能够被进行有效性检查。可扩展的标记语言（ＸＭＬ）是Ｗｅｂ服务（Ｗｅｂｓｅｒｖｉｃｅ）平台中表示数据的基本格式。除了易于建立和易于分析外，ＸＭＬ主要的优点在于它既是平台无关的，又
是厂商无关的。
１．３安全问题
随着Ｉｎｔｅｍｅｔ的爆炸性的发展，其安全问题日益受到人们的关注。在利用像Ｉｎｔｅｒｎｅｔ这样的

公开性网络进行通信或商业活动时，一个非常重要的和现实的问题是如何保证信息在系统通信中的保密性、完整性和认证性。确保这一点是Ｉｎｔｅｍｅｔ
实用化的关键。
第一章绪论
ＸＭＬ提供了一种与标准和平台无关的方式来描述和管理所有数据类型。因为它是纯文本的，所以能通过几乎所有网络类型，穿过防火墙，也能用于任何平台上的操作系统。ＸＭＬ和ＨＴＭＬ的共同点是：能够通过防火墙而不用重新配置。所以可以使用既有的安全系统，因为它们有着相同的Ｗｅｂ服务器、防火墙和一些传
输和处理协议。
ＨＴＭＬ着重点在于如何对内容进行格式化，而并不管内容是什么、是否敏感。更明确的说，ＨＴＭＬ没有考虑安全问题，无法标记一个元素的安全特性，因此，无法满足基于内容安全的应用需求。而ＸＭＬ的数据内容和显示格式是分开的，我们就可以对ⅪｖＩＬ文档中的元素和元素的内容进行加密和签名等操作，以满足基于内容安全的应用需求。随着越来越多的公司通过网络用ＸＭＬ来传输结构化的数据，文档的安全问题也越来越重要。ＸＭＬ的优势来自于它的语义和结构的灵活性和可扩展性。但是正是这些优点引入了一些重要的安全问题。Ｗ３Ｃ（ｔｈｅＷｏｒｌｄＷｉｄｅＷｅｂＣｏｎｓｏｒｔｉｕｍ）、
ＩＥＴＦ（ｔｈｅＩｎｔｅｍｅｔＥｎｇｉｎｅｅｒｉｎｇＴａｓｋＦｏｒｃｅ）和其他几个团体参与了ＸＭＬ安全标准的开发工作。
１．４论文的内容安排和主要成果
本论文主要针对ＸＭＬ和Ｗｅｂ服务相关的几个热点安全问题进行了研究，并给出了相关的研究结果。在此基础之上，我们对基于ＸＭＬ的安全邮件系统提出了设
计方案。主要内容和安排如下：
第一章对课题的背景和研究内容进行简略的描述。
第二章主要介绍ＸＭＬ和Ｗｅｂ服务以及相关的知识。首先介绍了ＸＭＬ的基础
知识，然后引进了相关的一些重要技术，如ＸＳＬ，ＤＯＭ，ＳＡＸ，模式和名称空间，
这些基础知识和相关技术是后面工作的基础。其次我们介绍了在ＸＭＬ基础上发展
起来的ｗ曲服务，它是一种崭新的分布式计算模型，使得ＸＭＬ语言在Ｗｅｂ上得
到更加广泛的应用。
第三章讨论如何构建可信的Ｗｅｂ服务以及相关的基于Ⅺ“Ｌ的安全技术。首先简单介绍了公钥基础设施ＰＩＧ，其次对基于ＸＭＬ的各种安全技术以及它们之间的关系做了详细的讨论。再次重点讨论了ＸＭＬ访问控制技术ＸＡＣＬ（ｅＸｔｅｎｓｉｂｌｅ
ＡｃｃｅｓｓＣｏ

ｎｔｒｏｌ
Ｌａｌｌｇｕａｇｅ），给出了访问控制的授权模型和基于ＸＭＬ的访问控制策
略和访问决定。
第四章在前面讨论的基于ＸＭＬ的安全机制的基础上，提出了基于ＸＭＬ的安全邮件系统的设计方案，该方案的特点是邮件是ｘＭＬ格式的，它的安全机制也是
基于ＸＭＬ的。同时提出了基于Ｗｅｂ的安全邮件系统的设计方案。
４
ＸＭＬ及相关安全技术的研究
本文得到的主要成果如下：
１．
对ＸＭＬ和相关的技术做了明确的表述．对基于ＸＭＬ的Ｗｅｂ服务及
其安全性进行了讨论。
２．
对基于ＸＭＬ的各种安全技术以及它们之间的关系进行了详尽的讨
论，可以看出ＸＫＭＳ是ＸＭＬ加密和ＸＭＬ签名的基础。
３．
给出了基于ＸＭＬ的访问控制技术中的临时授权模型的概念，在此基
础上，给出了基于）ｍ也的访问控制策略文档。
４．
提出了基于ＸＭＬ的安全电子邮件系统的设计方案。该方案的特点是邮件是ＸＭＬ格式的，它的安全机制也是基于ＸＭＬ的。
５．
提出了基于ｗ曲的邮件系统的设计方案。
第二章ＸＭＬ及Ｗｅｂ服务
第二章ＸＭＬ及Ｗｅｂｌ］ｍ务
ＨＴＭＬ在因特网的诞生时期非常适合它的发展，但是随着因特网成为商业中
心、信息中心、商务运作中心，ＨＴＭＬ不再能够满足因特网的需求。下列因素使
人们在未来很难选择ＨＴＭＬ：符合ＨＴＭＬ标准的因特网浏览器的失败，确认ＨＴＭＬ
文件的困难，链接系统的不灵活，以及缺少国际化的支持。将来在文档化处理复杂系统时，ＳＧＭＬ是一个优秀的、强有力的工具，但不幸的是，ＳＧＭＬ对现在因特网的需求过于复杂。为了适应网络的发展，需要开发一种新的语言来满足需求。
万维网联盟（ｗ３ｃ，ＷｏｒｌｄＷｉｄｅＷｅｂＣｏｎｓｏｒｔｉｕｍ）于１９９６年开始开发一种新的标记
语言，这种新语言比ＳＧＭＬ更易于使用，比ＨＴＭＬ的结构更严谨，并把它命名为
可扩展标记语言（Ⅺ帆）。１９９８年２月ＸＭＬ１．０版正式发布。
２．１基础知识
图２一ｌ，我们表示简单的ＸＭＬ文档的例子。ＸＭＬ文档是由ｘＭＬ元素组成，元素包含开始标签和结束标签。标签之间的信息称之为元素的内容。ＸＭＬ文档中的标签表示数据的含义而不是数据的显示形式。
元素
一个ＸＭＬ元素可以包含子元素。在例１中，＜ｂｏｏｋ＞是＜ｂｏｏｋｓ＞的子元素．
＜ａｕｔｈｏｒ＞，＜ｔｉｔｌｅ＞，＜ｐｒｉｃｅ＞是

＜ｂｏｏｋ＞的子元素。每个ＸＭＬ文档都包含一个根元素一
包含了文档所有内容的文档最外层元素。
‰出＞，＇ｒｅ也ｒｅｎｃｅ＂＜ｂｏｋ
ｃａｔｅｇｏｒｙ＝ｒｅｆｅｒｅｎｃｅ—孑匝
’
１
／Ｉ：：兰
ｐｕｂｌｉｓｈｅｄ＝＇，１９／０４，１９９８，’＞，
‘斗＜ｄｆｉｅ＞ＳａｙｉｎｇｓｔｈｅＣｅｎｔｕｒｙ＜／ｔｉｆｌｅ＞
、（Ｄｒｉｃｅ＞８．９５＜／ｐｒｉｃｅ＞
，—，＜ａｕｔｈｏ纠ｑｉｇｅｌＲｅｅｓ＜／ａｕｔｈｏｒ＞
图２—１
ＸＭＬ文档例子（ｂｏｏｋｓ．ｘｒａｌ）
ＸＭＬ及相关安全技术的研究
ＸＭＬ元素还包含由属性描述的信息。元素的属性内嵌于元素的开始标签里，
由名称和属性值组成。元素＜ｂｏｏｋ＞包含属性ｃａｔｅｇｏｒｙ。
属性：臣堕亟堕至匦］
２．２文档类型定义（ＤＴＤ）和模式
ＸＭＬ和它的祖先ＳＧＭＬ－－样，都支持文档类型定义（ＤＴＤ）的使用。ＤＴＤ将带来一些优越性。首先，通过创建ＤＴＤ，能够正式而精确地定义词汇表，所有词汇表规则都包含在ＤＴＤ中。凡是未在ＤＴＤ中出现的规则都不属于词汇表的一部分。许多解析器可以利用ＤＴＤ验证文档实例的有效性，只要在文档实例中写入一条简单的声明语句，解析器就能够获取ＤＴＤ，并将其中的内容与文档实例进行比较。另外，ＸＭＬ编辑工具也可以通过类似的方式使用ＤＴＤ。一旦选择了ＤＴＤ，编
辑工具就能够实施ＤＴＤ中的规则，它根据ＤＴＤ中说明的结构，仅允许用户在文档
中添加ＤＴＤ允许的元素或属性。ＸＭＬ使用元素类型集来定义文档的类型，这就是所谓的文档类型定义ＤＴＤ
（ＤｏｃｕｍｅｎｔＴｙｐｅ
Ｄｅｆｉｎｉｔｉｏｎｓ）。ＤＴＤ规定了文档的文法结构，让ＸＭＬ解析器去理解
和解释文档的内容。ＤＴＤ包含可以在ＸＭＬ文档里出现的标签的列表，规定标签是什么类型，有什么属性。ＤＴＤ包含了～组规则来控制ＸＭＬ文档的结构，例如，元素应该如何表示以及元素之间的关系。每天在不同的领域都会涌现出大量的ＸＭＬＤＴＤ：在金融领域（Ｆｉｎａｎｃｉａｌ
ｐｒｏｄｕｃｔｓ
ＭａｒｋｕｐＬａｎｇｕａｇｅｓ—ｒｐＭＬ），元数据
（ｍｅｔａｄａｔａ）交换应用领域（ＸＭＬＭｅｔａｄａｔａＩｎｔｅｒｃｈａｎｇｅ－－ＸＭＩ），科学研究应用领
域（ＭａｔｈｅｍａｔｉｃａｌＭａｒｋｕｐＬａｎｇｕａｇｅ－－ＭａｔｈＭＬ），等等。

ＤＴＤ可以作为一个单独的文件，从ＸＭＬ主文档中分离出来一外部ＤＴＤ，或者被包含在ＸＭＬ文档内部一内部ＤＴＤ。图２—２表示了图２—１中ＸｌＶｌＬ文档的外部ＤＴＤ
医翮
／
＜！ＥＮＴＩＴＹ％Ａｔｔｄｅｃ＇ｆｒ‘＇ＣＤＡＴＡ＃ＲＥＱＵＩＲＥＤ＂＞＜！ＥＬＥＭＥＮＴｂｏｏｋｓ（ｂｏｏｋ＋）＞
＜！ＥＬＥＭＥＮＴｂｏｏｋ（ａｕｔｈｏｒ，ｔｉｔｌｅ，ｐｒｉｃｅｐ
＜！ＥＬＥＭＥＮＴａｕｔｈｏｒ（ｆｆＰＣＤＡＴＡ》．一＜］ＥＬＥＭＥＮＴｔｉｔｌｅ删ＰＣＤＡＴＡｐ＜！ＥＬＥＭＥＮＴｐｒｉｃｅ（＃ＰＣＤＡＴＡ＿）＞＜！Ａｒｎ．１ＳＴｂｏｏｋｃａｔｅｇｏｒｙ％Ａｔｔｄｅｅｌ● ’ｐｕｂｌｉｓｈｅｄ％Ａｌｔｄｅｃｌ＞
元素声明
＿●＿＿●＿＿＿－＿＿－＿－＿＿＿＿——
属
性
尸
士
．．．．Ｉ．．．．．．．．一实体引用
明
圈２—２
ＤＴＤ的例子ｂｏｏｋｓ．ｄｔｄ
第二章ＸＭＬ及Ｗｅｂ服务
的例子。在图２—１中的＜！ＤＯＣＴＹＰＥ＞声明将ＸＭＬ文档和相应的ＤＴＤ（ｂｏｏｋｓ．ｄｔｄ）联系起来。ＸＭＬ文档如果有相应的ＤＴＤ，并且文档中的每个元素符合ＤＴＤ中定义的规则，称之为有效的文档。一个ＸＭＬ文档如果符合ＸＭＬ语法，称为良构（ｗｅｌｌ．ｆｏｒｍｅｄ）的文档。图２一ｌ中的文档既是有效的又是良构的文档。ＸＭＬ允许用实体来生成可在文档中包含若干次的信息。实体就是基于声明的
可在文档中进行替换的存储单元。实体可以是文本字符串，也可以是整个文件。实体必须在内部或外部ＤＴＤ中进行声明，但可以在ＤＴＤ和ＸＭＬ文档中调用。图２．２表示了一个实体声明Ａｔｔｄｅｃｌ，来代替内容＿ＣＤＡＴＡ＃ＲＥＱＵＩＲＥＤ”。这里不得不提一下模式。ＤＴＤ存在若干致命的缺点：第一，它是用不同于ＸＭＬ的语言写成的，需要不同的分析器技术：第二，它不支持名称空间；第三，没有
数据类型的概念；第四，它主要被设计来用于文档标记，雨不是数据交换，它是
一种封闭的结构。在认识到ＤＴｃｌ存在的一些缺陷后，Ｗ３Ｃ着手收集各种意见，开始开发模式
（ＸＭＬＳｃｈｅｍａ），于２００１年３月正式发布ＸＭＬＳｃｈｅｍａ１．１推荐标准。类似于ＤＴＤ，
模式也用于描述ＸＭＬ数据文档的内容和结构。同样地，模式也被用于确定ＸＭＬ文档的有效性。模式按标准Ⅺ订Ｌ规则书写，其数据类型丰富，而且支持名称

空间。
由于模式所具有的突出优点，Ⅺｍ旗式将成为未来的主导方向。
在使用模式的时候，常使用两个文档模型，即实例文档和模式文档。模式描述一个ＸＭＬ文档类，数据文档是该类的一个实例。
２．３相关技术
ＸＭＬ不是一项独立的技术，它包含了一些相关技术，例如ＸＬｉｎｋ，ＸＰｏｉｎｔｅｒ，
ＸＰａｔｈ，ＸＳＬ，ＸＭＬ－ＱＬ，ＤＯＭ，ＳＡＸ，ＸＭＬ模式（Ｓｃｈｅｍａ）和名称空间（Ｎ弧ｅｓｐａｃｅ）。
我们对几项关键技术进行讨论。
２．３．１ＸＳＬ
可扩展样式单语言ＸＳＬ（Ｅｘｔｅｎｓｉｂｌｅ
Ｓｔｙｌｅｓｈｅｅｔ
Ｌａｎｇｕａｇｅ）本身便是ＸＭＬ的应
用，它直接架构在ＸＭＬ语法之上，共分为两部分：第一部分转换语言（ＸＳＬ
Ｔｒａｎｓｆｏｒｍａｔｉｏｎ
Ｌａｎｇｕａｇｅ，ＸＳＬＴ）负责将ＸＭＬ文档转换为另一种格式，第二部分格
式化对象（ＦｏｒｍａｔｔｉｎｇＯｂｊｅｃｔ，ＸＳＬ－ＦＯ）提供大量的格式化命令，可用来配合屏幕
显示或进行打印控制，精确地设定外观样式（如字的大小，摆放的位置等）。利用
ＸＳＬ．一个ＸＭＬ文档可以根据不同的表示要求有不同的表示形式。
ＸＭＬ及相关安全技术的研究
图２—３
ＸＳＬ样式单处理器
如图２—３所示，ＸＳＬ样式单处理器读取一个ＸＩｖｌＬ文档和一个ＸＳＬ文档，并输出符台样式单的ＸＭＬ文档的表示形式。这一过程分为两个子过程：树转换（ｔｒｅｅｔｒａｎｓｆｏｒｍａｔｉｏｎ）和格式化（ｆｏｒｍａｔｔｉｎｇ）。树转换包括将一个ＸＭＬ文档（源树）转换成另一个ＸＭＬ文档（结果树），结果树是用ＸＳＬＴ语言表示的。用ＸＳＬＴ表示的转换包含一组模板规则。～个模板规则分为两部分：第一部分是模式（ｐａｔｔｅｒｎ），指定模板规则所适用的ＸＭＬ源文档树形结构，第二部分是模板（ｔｅｒａｐｌａｔｅ），用来在与此模式匹配时，将结果树的一部分进行输出。ＸＳＬＴ用ＸＰａｔｈ语言来选择源树中要进行处理的节点，指定处理该节点的不同方式的条件，产生
插入到结果树中的文本。
格式化的过程包括将ＸＳＬ转换的结果变为可读的形式，它规定了怎样显示一棵树，例如，将描述变为格式化显示。该显示是按照格式化对象（ｆｏｒｍａｔｔｉｎｇｏｂｊｅｃｔ）
和格式化属性（ｆｏｒｍａｔｔｉｎｇｐｒｏｐｅｒｔｙ）描述的。ＸＳＬ格式对象还很不完善，处于试验阶
段。
２．３

．２文档对象模型０ａＯＭ）和ＳＡＸ
文档对象模型（ＤＯＭ）是基于树结构的程序访问和维护Ｈ，ｒＭＬ和Ⅺ“Ｌ文档的应用程序接ｎ（ＡＰＩ）。它以要求的方式处理ＸｌＶＩＬ文档信息，使应用程序或编程语言
可以通过节点树访问文档的内容。ＤＯＭ定义了ｍＭ】友档和ＸＭＬ文档的逻辑结构，
给出了访问和处理文档的方法。在ＤＯＭ中，ＸＭＬ文档具有类似于树的逻辑结构，其中的树的节点表示的是对象而不是数据结构。利用ＤＯＭ，程序开发人员可以动态地创建文档，遍历文档结构，增加，修改或删除元素和文档内容，改变文档的显示方式等等。ＤＯＭ定义了表示和处理一个文档的接口和对象，这些接口和对象的语义，以及这些接口和对象之间的关系。ＤＯＭ包含两个标准。Ｌｅｖｅｌ１包括访问和处理文档结构和内容的方法，包括ＸＭＬ的接口．ＤＴＤ接口和ＨＴＭＬ接口。Ｌｅｖｅｌ２包括联合样式单和文档的接口。设计事件系统的接口，遍历文档子树的接口和访问文档部分内容的接口。
另一个处理ＸＭＬ数据的应用程序接口是ＳＡＸ（Ｓｉｍｐｌｅ
ＡＰＩｓｆｏｒ
ＸＭＬ），由
第二章Ｘ／ｖｌＬ及Ｗｅｂ服务
Ⅺ“Ｌ—．ＤＥＶ邮件列表的成员开发，是事实上的工业标准。
使用ＳＡＸ，解析器通过向应用程序报告解析事件流来告知应用程序文档的内容。ＳＡＸ是基于事件的ＡＰＩ，一旦事情开始发生，你不需要调用解析器，而是解析器调用程序。那么什么时候使用ＤＯＭ，什么时候选择ＳＡＸ呢？当我们的应用只需遍历文档一次、只需查找很少的几项、不太关心你所查找的元素的上下文的文档结构、不需要太多内存时，我们选用ＳＡＸ。当我们需要多次遍历文档、需要对很多元素或属性进行操作、文档的结构和元素的上下文关系对我们来说很重要、占用内存多少无所谓时，我们选用ＤＯＭ。
２．３．３名称空间
几乎所有的编程语言都有一些约定，将一系列名称限定到一个闭合的名称空间（或称命名空间，Ｎａｍｅｓｐａｃｅ）中，这样相同的名称可以在不同的名称空间中和平共处，不至于发生冲突。与编程语言类似，为解决ＸＭＬ中的命名冲突，ＸＭＬ也引入了名称空间的概念。这对于ＸＭＬｊ｝常重要，如果没有它，ＸＭＬ的应用范围将会大大受限制。根据Ｗ３Ｃ发布的关于命名空间的规范要求，名称空间应该是一个合法的ＵＲＩ。一个ＸＭＬ文档可能包含来自多个资源（文档）的元素和属性，在应用中可能会发生名称冲突。在这种情况下，有

必要对其它文档部分进行识别，避免元素含义的混乱，避免元素和属性名称的重复。ＸＬｉｎｋ和ＸＳＬＴ都有对应的名称空间。例如，一个Ｉｌｑ＜ｔｉｔｌｅ＞的标记在被使用于一个人和被使用于一本书时，有不同的含义。如果两个实体（ｐｅｍｏｎ和ｂｏｏｋ）要在同一个文档里定义（例如在图书馆目录的条目里，把书和作者联系起来），我们需要某个机制来区分他们，以此对文档里用到的＜ｔｉｔｌｅ＞标记使用正确的语义描述。命名空间提供了这种机制，使ＸＭＬ文档包含的信息能跟许多软件模块相联系。举个例子：
＜？ｘｍｌｖｅｒｓｉｏｎ＝’１．０’？’ ＜ｌｉｂｒａｒｙ－ｅｎｔｒｙｘｍｌｎｓ：ａｕｔｈｒ＝＂ａｕｔｈｏｒｓ．ｄｔｄ”ｘｍｌｎｓ：ｂｋ＝＇’ｂｏｏｋｓ．ｄｔｆｆ＇＞＜ｂｋ：ｂｏｏｋ＞
＜ｂｋ：ｔｉｔｌｅ＞ＸＭＬ
Ｓａｍｐｌｅ＜／ｂｋ：ｔｉｔｌｅ＞
＜ｂｋ：ｐａｇｅｓ＞２１０＜／ｂｋ：ｐａｇｃｓ＞＜ｂｋ：ｉｓｂｎ＞１．８６８６４０－３４．２＜／ｂｋ：ｉｓｂｎ＞＜ａｕｔｈｒ：ａｕｔｈｏｒ＞＜ａｕｔｈｒ：ｆｉｒｓｍａｍｅ＞Ｊｏｅ＜／ａｕｔｈｒ：ｆｉｒｓｍａｍｅ＞
＜ａｕｔｈｒ：ｌａｓｍａｍｅ＞Ｂｌａｃｋ＜／ａｕｔｈｒ：ｌａｓｍａｍｅ＞
＜ａｕｔｈｒ：ｔｉｔｌｅ＞Ｐｒｏｆｅｓｓｏｒ＜／ａｕｔｈｒ：ｔｉｔｌｅ＞＜／ａｕｔｈｒ：ａｕｔｈｏｒ＞＜／ｂｋ：ｂｏｏｋ＞＜／ｌｉｂｒａｒｙ－ｅｎｔｒｙ＞
我们可以看到，＜ｔｉｔｌｅ＞标记被用到两次，而且是在不同的上下文里，一次是
ＸＭＬ及相关安全技术的研究
在＜ａｕｔｈｏｒ＞元素里，另一次是在＜ｂｏｏｋ＞元素里。但是应用了名称空间这种机制就很容易把它们区别开来。
２．４ｗｅｂ服务
随着ＳＯＡＰ等技术的发展与普及．以及电子商务的迅速崛起，一种新的开发基于Ｗｅｂ的应用模式（更确切的说，应该是思想）正在迅速发展，这就是Ｗｅｂ服务（ＷｅｂＳｅｒｖｉｃｅ）。Ｗｅｂ服务基于一些正在发展中的一些技术，比如ＳＯＡＰ、ＵＤＤＩ、ＷＳＤＬ，提供了以往任何一种技术都不可能提供的不同平台之间的互操作性。Ｗｅｂ服务是一个崭新的分布式计算模型，尽管其思想早就存在．但其得到迅
速发展却是最近的事情，而电子商务的发展更促进了这种发展。Ｗｅｂ服务是一系
列标准的综合，这些标准包括ＸＭＬ、ＳＯＡＰ、ＵＤＤＩ、ＷＳＤＬ和ＷＳＦＬ等；这些标准中许多还不成熟，还处于发展中。Ｗ

ｅｂ服务利用这些标准提供了一个松散耦合的分布式计算环境；在Ｗｅｂ服务的模型中，厂商将其服务封装成一个个相对独立的Ｗｅｂ服务，每个服务提供某类功能；客户（或是其他厂商）可以通过绑定到｝ｒ几Ｔ的ＳＯＡＰ来访问这些服务。
２．４．１
Ｗｅｂ服务架构
Ｏｒｉｅｎｔｅｄ
Ｗｅｂ服务使用ＳＯＡ（面向服务的架构，Ｓｅｒｖｉｃｅ
Ａｒｃｈｉｔｅｃｔｕｒｅ）架构。
该架构由三个参与者和三个基本操作构成。三个参与者分别是服务提供者（ＳｅｒｖｉｃｅＰｒｏｖｉｄｅｒ）、服务请求者（ＳｅｒｖｉｃｅＲｅｑｕｅｓｔｅｒ）和服务代理（ＳｅｒｖｉｃｅＢｒｏｋｅｒ），而三个基本操作分别是发布（Ｐｕｂｌｉｓｈ）、查找（Ｆｉｎｄ）和绑定（Ｂｉｎｄ）。服务提供者将他的
图２—４Ｗｅｂ服务组件
服务发布到服务代理的一个目录上；而服务请求者需要调用该服务时，他首先到服务代理提供的目录上去搜索该服务，得到如何调用该服务的信息，然后根据这些信息去调用服务提供者发布的服务。在Ｗｅｂ服务体系中，使用ＷＳＤＬ来描述服务，ＵＤＤＩ来发布、查找服务，而ＳＯＡＰ用来执行服务调用。正在定义中的ＷＳＦＬ
第二章ＸＭＬ及Ｗｅｂ服务
则将分散的、功能单一的Ｗｅｂ服务组织成一个复杂的有机应用，如图２—４所示。
２．４．２
Ｗｅｂ服务堆栈
２００１年４月份，ｗ３ｃ的Ｗｅｂ服务专题研讨会上提出了Ｗｅｂ服务堆栈（Ｗｅｂ
Ｓｅｒｖｉｃｅ
Ｓｔａｃｋ），这定义了Ｗｅｂ服务使用哪些技术（标准），以及将会如何发展，如
图２．５所示。从图可以看到，Ｗｅｂ服务追求得第一目标是简单性。首先这些协议本身是简单的，无论是ＨＴＴＰ、ＳＭＴＰ等传统ＴＣＰ／ＩＰ系统的网络协议，还是ＳＯＡＰ、ＷＳＤＬ、ＵＤＤＩ、ＷＳＦＬ等基于ＸＭＬ的协议，他们设计原则中的一个最重要点是力求简单性。
圈２—５
Ｗｅｂ服务堆栈
其次，一个可以使用的Ｗｅｂ服务应当按照需要选用若干层次的功能，而无需所有的特性。比如在目前状况下，一个简单应用可能只要使用ＷＳＤＬ／ＳＯＡＰ就可以架构一个符合规范的Ｗｅｂ服务了。最后，所有的机制完全是基于现有的技术，并没有创造一个完全的新体系。无论是坤ｖ４、Ｈ丁ｒＰ、ＦＴＰ这些现有的网络协议，还是ＳＯＡＰ、ＷＳＤＬ等这些基于ＸＭＬ而定义的协议都遵循着一个原则：继承原有的被广泛接受的技术，这样才能使得Ｗｅｂ服务被广

泛接受。从图中还可看出，ＷｅｂＳｅｒｖｉｃｅ的实现要依赖于以下三个方面：
ＱｏＳ。由ＷＳＤＬ描述的使用协议被延伸到ＷｅｂＳｅｒｖｉｃｅ的聚合、跨Ｗｅｂ的事务、工作流等，需要服务质量（ＱｏＳ）的保障。
Ｓｅｒｖｉｃｅ
安全规范。松散耦合的对象环境下，需要运用规范的方法来描述、传输和交换诸如授权认证、数据完整性（比如签名机制）、消息源认证以及事务的不可否认性等。
管理机制。所有层次的处理都是可管理的。
ＸＭＬ及相关安全技术的研究
２．４．３简单对象访问协议
简单对象访问协议（ＳＯＡＰ，ＳｉｍｐｌｅＯｂｊｅｃｔ
Ａｃｃｅｓｓ
Ｐｒｏｔｏｃ０１）是在分散或分布
式的环境中，通过ＸＭＬ交换信息的一种简单协议。当前有多种创建应用程序的平台。但每种平台都习惯于使用自身的协议（本质上通常是二进制代码）来实现机器间的集成。因此，跨平台的应用程序在数据共享方面的能力相当有限。认识到这些限制后，人们一直在致力于建立有关数据格式和数据交换方面的标准，藉此实现“不论服务采用何种软件，使用何种硬件，都能够跨越这一传统的界限，以Ｗｅｂ的形式无缝的将它们集成在一起”这一远景目标。目前，这一目标己迅速发展成为一种新的计算范例。该目标的核心是互操作性概念，即不同系统能够无缝的进行通信和共享数据。这也是Ｗｅｂ服务追求的目标。Ｗｅｂ服务是一种可以用标准Ｉｎｔｅｒｎｅｔ协议来访问的可编程应用逻辑：从另一个角度来说。Ｗｅｂ服务是有关机器间和应用程序间透明通信的、借助于Ｗｅｂ的标准的具体实现。而ＳＯＡＰ，正是实现Ｗｅｂ服务的核心协
议之一。
ＳＯＡＰ为在一个松散的、分布的环境中使用ＸＭＬ对等的交换结构化的和类型
化的信息提供了一个简单的轻量级机制。ＳＯＡＰ本身并不定义任何应用语义，如编
程模型或特定语义实现，它只是定义了一种简单的机制，通过一个模块化的包装模型和对模块中特定格式编码的数据重编码机制来表示应用语义。ＳＯＡＰ的这项能力使得它可被很多类型的系统用于从消息系统到ＲＰＣ（Ｒｅｍｏｔｅ
Ｐｒｏｃｅｄｕｒｅ
Ｃａｌｌ）的
延伸。ＳＯＡＰ也没有定义任何底层的传输协议，尽管在大部分情况下，ＳＯＡＰ被“默认”绑定到Ｈ１＿ｒＰ协议；但也可以用Ｈ＇ＩＴＰ、ＦＴＰ、ＳＭ’ｒＰ甚至是ＪＭＳ，或是您自
己定义的某种Ｐ２Ｐ协议，来传输ＳＯＡＰ消息。从某种意义上说，ＳＯＡＰ可以简

单理解为：ＨＴＴＰ＋Ｘ／ｖｌＬ＋ＲＰＣ．．采用ＨｒｒＰ
作为底层通信协议，ＲＰＣ作为一致性的调用途径，ＸＭＬ作为数据传送的格式，允许服务提供者和服务客户经过防火墙在Ｉｎｔｅｍｅｔ进行通信交互。ＳＯＡＰ被设计的一个主要目的，就是为了实现基于ＸＭＬ的ＲＰＣ（ＲｅｍｏｔｅＰｒｏｃｅｄｕｒｅＣａｌｌ，远程过程调用）。尽管ＨＴＴＰ不是有效率的通信协议，而且ＸＭＬ还需要额外的文件解析，两者使得交易的速度可能大大低于其他方案；但是ＸＭＬ是一个独立于编程语言的、开放、健全、有语义的信息机制，而ＨｒｒＰ是一个广泛又能避免许多关于防火墙的问题，从而使ＳＯＡＰ得到了广泛的应用。ＳＯＡＰ的两个主要设计目标是简单性和可扩展性。这就意味着有一些传统消息系统或分布式对象系统中的某些性质将不是ＳＯＡＰ规范的一部分。比如：分布式
垃圾收集（Ｄｉｓｔｒｉｂｕｔｅｄ
ｇａｒｂａｇｅ
ｃｏＵｅｅｔｉｏｎ）、成批传送消息（ＢｏｘｃａｒｒｉｎｇＯｒｂａｔｃｈｉｎｇ
ｏｆ
ｍｅｓｓａｇｅｓ）、对象引用［Ｏｂｊｅｃｔｓ—ｂｙ－ｒｅｆｅｒｅｎｃｅ（ｗｈｉｃｈ
ｒｅｑｕｉｒｅｓｄｉｓｔｒｉｂｕｔｅｄｇａｒｂａｇｅ
第二童ＸＭＬ及Ｗｅｂ服务
ｃｏｌｌｅｃｔｉｏｎ）］、对象激活［Ａｃｔｉｖａｔｉｏｎ（ｗｈｉｃｈｒｅｑｕｉｒｅｓｏｂｊｅｃｔｓ．ｂｙ－ｒｅｆｅｒｅｎｃｅ）］。
ＳＯＡＰ消息由一个强制的ＳＯＡＰＥｎｖｅｌｏｐｅ、一个可选的ＳＯＡＰＨｅａｄｅｒ和一个强
制的ＳＯＡＰＢｏｄｙ组成的ＸＭＬ文档。ＳＯＡＰ消息应当包含如下部分： ●一个ＳＯＡＰＥｎｖｅｌｏｐｅ。Ｅｎｖｅｌｏｐｅ是表示该消息的ＸＭＬ文档的顶级元素。
●一个ｓ０ＡＰＨｅａｄｅｒ。Ｈｅａｄｅｒ是为了支持在松散环境下在通信方（可能是ＳＯＡＰ
发送者、ＳＯＡＰ接收者或是一个或多个ＳＯＡＰ的传输中食）之间尚未预先达成
．
一致的情况下为ＳＯＡＰ消息增加特性的通用机制，这通常应用在认证、事务管理以及支付等应用中。ＳＯＡＰ定义了很少的一些属性用来指明谁可以处理该特
性以及它是可选的还是强制的。
●一个ＳＯＡＰ
Ｂｏｄｙ。Ｂｏｄｙ为该消息的最终接收者所想要得到的那些强制信息提
供了一个容器，即它包含了ＳＯＡＰ消息的实际内容。此外，ＳＯＡＰ定义了Ｂｏｄｙ
的一个子元素ＦａＭｔ用于报告错误。
通常，刚接触ＳＯＡＰ的用户提出

的第一个问题就是ＳＯＡＰ如何解决安全性
问题。在其早期开发阶段，ＳＯＡＰ被看作是基于ＨＴＴＰ的协议，所以认为ｍＴＰ
的安全性对于ＳＯＡＰ已经足够了。毕竟目前有数以千计的Ｗｅｂ应用程序都在使
用ＨＴＴＰ安全性，所以这对于ＳＯＡＰ确实已经足够。因此，当前的ＳＯＡＰ标准
假定安全性属于传输问题，而并不作为安全性问题处理。当ＳＯＡＰ扩展至更为通用的协议，并运行于众多传输之上时，安全性问题就变得突出了。例如，ＨＴＴＰ提供若干种方法对进行ＳＯＡＰ调用的用户进行身份验
证，但是当消息从ＨＴｌＴ路由到ｓＭＴＰ传输时，怎样传播该身份标识呢？ＳＯＡＰ是作为构造块协议进行设计的，所以幸运的是，已经有了相应的规范以基于ＳＯＡＰ
为ｗ曲服务提供额外的安全保护功能。ＷＳ．Ｓｅｃｕｒｉｔｙ规范定义了一套完整的加密
系统，而ＷＳ—Ｌｉｃｅｎｓｅ规范定义了相应的技术，以保证调用者的身份标识，并确保只有授权用户才可以使用ｗ曲服务。
２．５本章小结
本章主要介绍ＸＭＬ和Ｗｅｂ服务以及相关的技术。第一节介绍了ＸＭＬ的基础知识，给出了ＸＭＬ文档的一个典型实例。第二节简单介绍了文档类型定义（ＤＴＤ）和模式，它们主要是定义ＸＭＬ数据文档的内容和结构，并用于确定ＸＭＬ文档的有效性。第三节主要讨论ＸＭＬ相关的几项重要技术，它们用于ＸＭＬ文档的显示和处理等应用。第四节主要讨论Ｗｅｂ服务，给出了Ｗｅｂ服务堆栈，它定义了Ｗｅｂ
服务使用哪些技术（标准），以及将会如何发展，最后讨论了ＳＯＡＰ，因为它是在
分散或分布式的环境中，通过ＸＭＬ交换信息的～种简单协议。为了更好地研究Ｗｅｂ服务的安全性，需要进一步研究基于ＸＭＬ的各种安全
ＸＭＬ及相关安全技术的研究
技术，当然这需要付出更多的努力。我们希望理解各种ＸＭＬ安全技术之间的关系，有助于我们构建实际的基于ＸＭＬ的安全系统。
第三章ＸＭＬ相关的安全技术研究
第三章ＸＭＬ相关的安全技术研究
随着Ｗｅｂ服务（ＷｅｂＳｅｒｖｉｃｅ）的逐渐普及和升温，人们在享受Ｗｅｂ服务带来的便利的同时，不得不考虑它的安全性如何，值得信赖吗？目前，Ｗｅｂ服务存在
两点缺陷：
没有提供可信任与授权的完整的安全构架，以确保基于ＷｅｂＳｅｒｖｉｃｅ技
术的政务系统和电子商务的安全运作： ?与ＷｅｂＳｅｒｖｉｃｅ相关的现有的标准和规范中，不包括对消息的保护的部分，

即不能保证不被第三方截取或窜改。
下面我们来讨论如何来构建可信的Ｗｅｂ服务。可信来源于信任管理（ｔｒｕｓｔｍａｎａｇｅｍｅｎｔ），基本思想是承认开放系统中安全信息的不完整性，系统的安全决策需要依靠可信任第三方提供附加的安全信息，其意义在于直接揭示了信任与安全之间的关系，并以此提出了一个适合Ｗｅｂ应用系
统开放、分布和动态特性的安全决策框架。可信ＷｅｂＳｅｒｖｉｃｅ技术在安全方面实
现的主要功能就是数据的安全性、身份认证和权限管理，访问控制等。ＰＩＧ和ＰＭＩ是可信性的基本基础保障。ＰＫＩ（Ｐｕｂｌｉｃ
Ｋｅｙ
Ｉｎｆｒａｓｔｒｕｃｔｕｒｅ）提供与
数字证书相关的管理服务，即提供数字证书的颁发、使用、撤销、归档以及在线
证书查询服务等。ＰＭＩ（ＰｒｉｖｉｌｅｇｅＭａｎａｇｅｍｅｎｔＩｎｆｒａｓｔｒｕｃｔｕｒｅ）是建立在ＰＩＧ之上的，
ＰＫＩ提供的是认证服务，ＰＭＩ是通过认证服务，提供权限校验和访问控制。ＸＫＭＳ提供一些基于ＸＭＬ的密钥管理机制。ＸＭＬ加密为ＸＭＬ文件提供了元素级的加密机制。ＸＭＬ签名将提供在ＸＭＬ中建立一个安全签名的表示机制的方法。ＳＡＭＬ是基于ＸＭＬ的安全标准，用来交换认证和授权信息。ＸＡＣＬ为ＸＭＬ
文档提供了精细的访问控制机制。
３．１互联网络的安全要求以及存在的安全威胁
总的来说，网络安全的五个基本的安全要求：１．机密性（Ｃｏｎｆｉｄｅｎｔｉａｌｉｔｙ）：保证没有经过授权的用户，实体或进程无法窃取信息。在一个开放的网络环境里，维护信息机密是全面推广应用的重要保障。因此，要预防非法的信息存取和信息在传输过程中被非法窃取。２．授权（Ａｕｔｈｏｒｉｚａｔｉｏｎ）：授权是确定允许用户傲什么的过程。可将不同的特权
给予不同类型的用户。３。数据完整性（Ｄａｔａｉｎｔｅｇｒｉｔｙ）：保证没有经过授权的用户不能改变或者删除信
息，从而信息在传送的过程中不会被偶然或故意破坏，保持信息的完整、统一。因此，要预防对信息的随意生成、修改和删除，同时要防止数据传送过程中信息
ＸＭＬ及相关安全技术的研究
的丢失和重复。
４原始性证明（ＰｒｏｏｆｏｆＯｒｉｇｍ）：对信息或数据的发送者的进行标识。保证信
息被经过标识的发送者所传送，从而避免以前的数据包被重复发送。５．防止抵赖（Ｎｏｎ；ｅｐｕｄｉａｆｉｏｎ）：保证信息的发送者不能抵赖

或否认对信息的发送，当然信息发送前需要对发送者进行安全认证。要在信息的传输过程中为参与
交易的个人、企业或国家提供可靠的标识。
最后的三个安全要求是彼此相关的，数据完整性与原始性证明的区别在于数据是完整的，并不能保证信息不被重复发送。换句话说，数据完整性不能防止反复攻击。哈希散列算法如ＨＭＡＣ，认证时使用一个经过加密的密钥对于原始性证明来说是合适的，但并不适用于“防止抵赖”。相应的，目前网络存在的威胁主要表现在以下几个方面：１．非授权访问：没有预先经过同意，就使用网络或计算机资源被看作非授权访问。它主要有以下几种形式：假冒、身份攻击、非法用户进入网络系统进行违法操作、合法用户以未授权方式进行操作等。２．信息遗漏丢失：指敏感数据在有意或无意中被泄漏出去或丢失。３．破坏数据完整性：以非法手段窃得对数据的使用权，删除、修改、插入或重发某些重要信息，以取得有益于攻击者的响应；恶意添加，修改数据，以干扰用
户的正常使用。
４．拒绝服务攻击：是一种比较简单，但又日益流行的攻击和禁用企业信息资源的方法。在拒绝服务攻击中，作恶者发送大量的信息流量，使Ｗｅｂ服务器、主机、路由器和其它网络设备负担过重。通过这种方式发送的信息流量非常之大，致使企业的用户、客户和合作伙伴都在好长一段时间内无法访问网络。基于以上的安全威胁以及网络安全的迫切要求，仅仅依靠ＳＳＬ的安全机制不能
解决所有的问题。
虽然ＸＭＬ和ＨＴＭＬ都能够通过防火墙而不用重新配置，可以使用既有的安全系统，因为它们有着相同的Ｗｅｂ服务器、防火墙和一些传输和处理协议。但是ＸＭＬ有其自己的特点，有必要开发一些适合ＸＭＬ文档的安全机制。越来越多的公司通过网络用ＸＭＬ来传输结构化的数据．文档的安全问题也越来越重要。ＸＭＬ的优势来自于它的语义和结构的灵活性和可扩展性。但是正是这些优点引入了一些重要的安全问题。Ｗ３Ｃ（ｔｈｅＷｏｒｌｄＷｉｄｅＷｅｂＣｏｎｓｏｒｔｉｕｍ）、ＩＥｌｒＦ
（ｔｈｅＩｎｔｅｒａｃｔＥｎｇｉｎｅｅｒｉｎｇＴａｓｋ
Ｆｏｒｃｅ）和其他几个团体参与了ⅪⅥＬ安全标准的开发工
作，相关的几个重要标准有ＸＭＬＥｎｃｒｙｐｔｉｏｎ、ＸＭＬＳｉｇｎａｔｕｒｅ、ＸＫＭＳ（ＸＭＬＫｅｙ
ＭａｎａｇｅｍｅｎｔＳｐｅｃｉｆｉｃａｔｉｏｎ）、ＸＡＣＬ（ｅＸｔｅｎｓｉｂｌｅＡｃｃｅｓｓＣｏｎｔｒｏｌＬａｎ

ｇｕａｇｅ）和ＳＡＭＬ
（ＳｅｃｕｒｉｔｙＡｓｓｅｒｔｉｏｎＭａｒｋｕｐ
Ｌａｎｇｕａｇｅ）等。ＸＭＬ加密保证了ＸＭＬ文档的内容保密
性．ｘＭＬ签名保证了ｘＭＬ文档的数据完整性和不可否认，ＳＡＭＬ和ＸＡＣＬ共同来
第三章ＸＭＬ相关的安全技术研究
完成对合法用户进行授权并进行访问控制。
３．２公钥基础设施ＰＫＩ
ＰＫＩ是一种遵循标准的密钥管理平台，它能够为所有网络应用透明地提供采用加密和数字签名等密码服务所必需的密钥和证书管理。ＣＡ是证书的签发机构，它是ＰＫＩ的核心。众所周知，构建密码服务系统的核心内容是如何实现密钥管理，公钥体制涉及到一对密钥，即私钥和公钥，私钥只由持有者秘密掌握，无须在网
上传送，而公钥是公开的，需要在网上传送，故公钥体制的密钥管理主要是公钥
的管理问题，目前较好的解决方案是引进证书（ｃｅｒｔｉｆｉｃａｔｅ）机制。在ＣＡ认证体系中，数字证书是一个经证书认证中心（ｃＡ）数字签名的包含公开密钥拥有者信息以及公开密钥的文件。认证中心（ＣＡ）作为权威的、可信赖的、公正的第三方机构，专门负责为各种认证需求提供数字证书服务。认证中心颁发的数字证书均遵循ｒｒｕ的Ｘ．５０９Ｖ３标准。基于Ｘ．５０９证书的认证技术适用于
开放式网络环境下的身份认证，该技术已被广泛接受，许多网络安全程序都可以
使用Ｘ．５０９证书（如：ＩＰＳｅｃ、ＳＳＬ、ＳＥＴ、Ｓ０ｄＤ伍等）。一个标准的Ｘ．５０９数字证书包含以下一些内容： ?证书的版本信息；－证书的序列号，每个用户都有一个唯一的证书序列号；
一证书所使用的签名算法；
证书的发行机构名称，命名规则一般采用Ｘ．５００格式： ?证书的有效期，现在通用的证书一般采用ＵＴＣ时间格式，它的计时范围为
１９５０－＋２０４９；
证书所有人的名称，命名规则一般采用ｘ．５００格式； ?证书所有人的公开密钥（关于公开密钥的信息详见非对称密码算法的有关内容）；
证书发行者对证书的签名。
此外，Ｘ．５０９证书格式还预留了扩展，用户可以根据自己的需要进行扩展。基于Ｘ．５０９证书的认证实际上是将人与人之间的信任转化为个人对组织机构
的信任，因此这种认证系统需要有ＣＡ的支持。
当用户向某一服务器提出访问请求时，服务器要求用户提交数字证书。收到用户的证书后，服务器利用ＣＡ的公开密钥对ＣＡ的签名进行解密，获得信息的散列码。然后服务

器用与ＣＡ相同的散列算法对证书的信息部分进行处理，得到一个
散列码，将此散列码与对签名解密所得到的散列码进行比较，若相等则表明此证
书确实是ＣＡ签发的，而且是完整的未被篡改的证书。这样，用户便通过了身份认
证。服务器从证书的信息部分取出用户的公钥，以后向用户传送数据时，便以此
ＸＭＬ及相关安全技术的研究
公钥加密，对该信息只有用户可以进行解密。
由于这种认证技术中采用了非对称密码体制，ＣＡ和用户的私钥都不会在网络上传输，避免了基于口令的认证中传输口令所带来的问题。攻击者即使截获了用
户的证书，但由于无法获得用户的私钥，也就无法解读服务器传给用户的信息。
因此有效地保证了通信双方身份的真实性和不可抵赖性。其中，ＣＡ的数字签名保证了证书（实质是持有者的公钥）的合法性和权威性。主体（用户）的公钥可有两种产生方式：
用户自己生成密钥对，然后将公钥
以安全的方式传送给ＣＡ，该过程必须保证用户公钥的可验证性和完整性：ＣＡ替用户生成密钥对，然后将其以安全的方式传送给用户，该过程必须确保密钥对的机密性、完整性和可验证性。该方式下由于用户的私钥为ＣＡ所知，故对ＣＡ的可信
性有更高的要求。
用户Ａ可通过两种方式获取用户Ｂ的证书和公钥，一种是由Ｂ将证书随同发送的正文信息一起传送给Ａ，另一种是所有的证书集中存放于一个证书库中，用
户Ａ可从该地点取得Ｂ的证书。
ＣＡ的公钥可以存放在所有节点处，方便用户使用。公钥必须按规定的用途来使用。一般地，公钥有两大类用途：用于验证数字签名，消息接收者使用发送者的公钥对消息的数字签名进行验证；用于加密信息，消息发送者使用接收者的公钥加密用于加密消息的密钥，进行数据加密密钥的传递。这两对密钥的密钥管理要求存在互相冲突的地方，因此，系统必须针对不同的用途使用不同的密钥对，尽管有的公钥体制算法，如目前使用广泛的ＲＳＡ，既
可以用于加密、又可以用于签名，在使用中仍然必须为用户配置两对密钥、两张证书，其一用于数字签名，另一用于加密。
作为网络环境的一种基础设施，ＰＫＩ必须具有良好的性能，一般地，对ＰＫＩ
的性能有如下要求：
透明性和易用性。这是对ＰＫＩ的最基本要求，ＰＫＩ必须尽可
能地向上层应用屏蔽密码服务的实现细节，向用户屏蔽复杂的安全解决方案，使密码服务对用户而言简单易用，同时便于单位、企业完全控制其信息资源。
３

．３ＸＭＬ密钥管理规范
当ＸＭＬ成为电子商务中信息交换的首选格式之后，需要有标准的机制来对ＸＭＬ元素进行数字签名和加密。当文档中包含敏感信息或财政约定，例如合同、价格表单、报价单或支付交易表单等，这些机制就显得尤为重要。因为数字签名和加密都涉及到秘钥，并且要考虑到该秘钥的可信性，我们立刻想到了在ＸＭＬ应
用中的信任管理问题。
第三章ＸＭＬ相关的安全技术研究
１９
３．３．１
ＸＫＭＳ
为了简化ＰＫＩ和数字证书与ＸＭＬ应用程序的集成，Ｗ３Ｃ制定了一项新标准
ＸＫＭＳ（ＸＭＬ
ＫｅｙＭａｎａｇｅｍｅｎｔ
Ｓｐｅｃｉｆｉｃａｔｉｏｎ）。它定义了分发和注册ＸＭＬ签名所
使用的公钥的方法，有待于与ＸＭＬ加密联合使用。ＸＫＭＳ包含两部分：ＸＭＬ密钥信息服务规范（）［．ＫＩＳＳ，ＸＭＬ
ＫｅｙＩｎｆｏｒｍａｔｉｏｎＳｅｒｖｉｃｅＳｅｒｖｉｃｅ
Ｓｐｅｃｉｆｉｃａｔｉｏｎ）和ＸＭＬ密钥Ｓｐｅｃｉｆｉｃａｔｉｏｎ）。Ｘ－ＫＲＳＳ是用
注册服务规范Ｏ（?ＫＲＳＳ，ＸＭＬＫｅｙＲｅｇｉｓｔｒａｔｉｏｎ
于注册公共密钥的，而Ｘ．ＫＩＳＳ是用在为ＸＭＬ签名提供密钥信息服务方面。 ?ＸＭＬ密钥信息服务规范（Ｘ－ＫＩＳＳ）：Ｘ．ＫＩＳＳ定义了信任服务的协议，它支持应用程序把对与ＸＭＬＳｉｇｎａｔｕｒｅ，ＸＭＬＥｎｃｒｙｐｔｉｏｎ或其他公钥关联的密钥信息的处理任务委托给一个信任服务。它的功能包括定位请求的公钥和绑定该密钥和标识符信息。它解决了在ＸＭＬＳｉｇｎａｔｕｒｅ＠＜Ｋｅｙｌｎｆｏ＞元素包含的公钥信息的问题。 ●ＸＭＬ密钥注册服务规范（Ｘ—ＫＲＳＳ）：该协议支持密钥对持有者向信任服务系统注册密钥对，也就是公钥信息，从而该密钥对随后可以与ＸＭＬ
Ｋｅｙ
ＩｎｆｏｒｍａｔｉｏｎＳｅｒｖｉｃｅＳｐｅｃｉｆｉｃａｔｉｏｎ或更高层的信任断言服务，例如ＸＴＡＳＳ（ＸＭＬＴｒｕｓｔＡｓｓｅｒｔｉｏｎＳｅｒｖｉｃｅＳｐｅｃｉｆｉｃａｔｉｏｎ）联合使用。
这两个协议都定义了信任服务的简单的请求和应答的交换协议，都使用了ＳＯＡＰ，消息之间的关系用ＷＳＤＬ来定义。ＸＫＭＳ的主要目标是，当一个用户用公钥来验证一个数字签名或加密数据时，他可以定位请求的秘钥，并将名字和属性信息同相应的私钥持有者联系起来。
Ｘ－ＫＩＳＳ帮助ＸＭＬ开发者获取与签名或加密的ＸＭＬ文档相关的秘