（计算机应用技术专业论文）基于xml安全技术的研究与应用.pdf

武汉理i ：人学硕+ 学位论文 摘要 i n t e r n e t 的发展，使越来越多的信息进入到互联网，信息的传输、交换、 保存、检索等方面的需求持续增加，同时互联网也面临着各种各样的安全 威胁，如信息窃取、恶意欺骗、伪装、非法修改以及各种扰乱破坏等。特 别是在对信息比较敏感或者对某些信息有保密要求的系统服务中尤为明 显，网络安全已经成为全世界关注的重要问题，虽然目前常用的网络安全 技术基本满足信息存储和传输的保密性、完整性、不可否认性等要求，但 在某些方面或多或少都存在着不足。 可扩展标记语言x m l 因其结构化、良好的可扩展性和自描述性迅速发 展，已经逐步成为i n t e r n e t 中描述数据的标准，x m l 的数据加密、解密、 签名等安全技术的发展也促使x m l 文档能够成为数据信息交换的重要载 体，x m l 数据交换技术在电子商务平台中能够得到充分应用。 本文主要针对x m l 相关的安全技术进行研究，并将其与当前采用的安 全技术进行比较，总结出x m l 安全技术在各方面的优势和特点，设计出基 于x m l 的数据安全交换架构。最后通过应用与一个具体的电子商务系统中 体现出x m l 安全技术的实践价值。 本文的主要工作如下： 分析当前网络数据安全框架，包括信息加密、数字签名和密钥管理服 务等，总结归纳出此安全框架的特点和存在的问题，然后根据对x m l 安全 技术的研究设计出一套基于x m l 安全技术的信息交换平台，构建此平台的 实现框架，然后与当前网络数据安全框架进行对比分析，如x m l 加密相对 于普通文件加密具有可操作性的优点，x m l 数字签名对比传统数字签名呈 现出的灵活性和多样性，x m l 密钥管理服务采用x m l 技术与p k i 结合的 方式实现了密钥管理的简易性等。突出x m l 安全架构的特点和实用性。 通过研究m i c r o s o f t 的n e t 平台对x m l 安全技术的支持，在本人参与的实 际电子商务项目中应用x m l 安全架构，实现系统中关键信息交换的安全性，如 客户端与服务端之问的电子订单的传递等。并根据b s 架构的特点设计出能够 运行在客户端与服务器端的不同的x m l 安全模块，此模块还具有独立性。 关键词：x m l 安全，x m l 加密，x m l 签名，电子商务。 武汉理。1 ：大学硕：十学位论文 a b s t r a c t d e v e l o p m e n to fi n t e r a c tm a k e sm o r ea n dm o r ei n f o r m a t i o nt u r ni n t oi n t e r n e t ， e v e r ya s p e c tn e e ds u c ha st r a n s f e r r i n g ，e x c h a n g i n g ，p r e s e r v i n g ，s e a r c h o f i n f o r m a t i o nt h a ti sc o n t i n u i n gi n c r e a s i n g ，i n t e r a c ti sa l s oc o n f r o n t e dw i t ht h ea l lk i n d s o fs a f et h r e a ta tt h es a m et i m e ，f o re x a m p l e ，i n f o r m a t i o ns t e a l ，b e a ri l lw i l lt oc h e a t ， p r e t e n d ，r e v i s ei l l e g a l l ya sw e l la sv a r i o u sd i s t u r bd e s t r o ya n ds oo n b ee s p e c i a l l y o b v i o u se s p e c i a l l yi nt h es y s t e ms e r v i c et h a ti sc o m p a r a t i v e l ys e n s i t i v et oi n f o r m a t i o n o rh a v i n gk e e p i n gs e c r e tt os o m ei n f o r m a t i o n ，t h en e t w o r ks a f e t ya l r e a d yb e c o m e st h e i m p o r t a n tp r o b l e mt h a tt h ew h o l ew o r l dp a yc l o s ea t t e n t i o nt o ，a l t h o u g hp r e s e n t t h e t e c h n o l o g yo fn e t w o r ks a f e t yi n c o m m o nu s eb a s i c a l l ys a t i s f i e sr e q u e s t so f i n f o r m a t i o ns t o r a g ea n dt r a n s m i s s i o ns e c r e c y , d a t ai n t e g r i t y , u n d e n i a b l e ，b u tm o r eo r l e s sh a st h ei n s u f f i c i e n c yi nc e r t a i na s p e c t s e x t e n s i o nm a r k - u pl a n g u a g ex m ld e v e l o p sr a p i d l y b e c a u s eo fw h o s e s t r u c t u r e r i z a t i o n ，f i n ee x t e n s i o na n ds e l fd e s c r i p t i o n ，i tb e c o m e st h es t a n d a r d o f d a t a sd e s c r i b i n gs t e pb ys t e p ，d e v e l o p m e n to fs a f et e c h n o l o g i e ss u c ha sx m l d a t a e n c r y p t ，d e c i p h e r i n g ，s i g n a t u r ea l s ou r g e st h ex m l d o c u m e n tt ob ea b l et ob e c o m e t h e - i m p o r t a n tm e d i ao f 4 n f o r m a t i o ne x c h a n g i n g , x m ld a t ae x c h a n g i n gt e c h n o l o g y c a nb ea b l et ob ea p p l i e ds u f f i c i e n t l yi ne l e c t r o n i cc o m m e r c ep l a t f o r m t h et h e s i ss t u d i e dm a i n l yf o rt h er e l a t i v e so fx m l s e c u r i t yt e c h n o l o g y , a n d c o m p a r e di t w i t ht h en e t w o r ks a f e t yt e c h n o l o g yu s e da tp r e s e n t s u m e du po u t a d v a n t a g ea n dc h a r a c t e r i s t i co fx m l s e c u r i t yt e c h n o l o g yi ne v e r ya s p e c t s ，d e s i g e da x m l - b a s e dd a t as a f e t ye x c h a n g e sf r a m e a tl a s ta p p l y e dx m l - s e c u r i t yt e c h n o l o g y t oac o n c r e t ee l e c t r o nb u s i n e s ss y s t e mt h a tp r o v e di t sv a l u eo fp r a c t i c e t h em a i n p a r tw o r k so f t h et h e s i sa sf o l l o w s ： t h et h e s i sr e s e a r c h e dt h ec u r r e n tn e t w o r ks e c u r i t yf r a m e w o r k i n c l u d i n g e n c r y p t i o n ，d i g i t a ls i g n a t u r e sa n dk e ym a n a g e m e n ts e r v i c e s ，e t c ，a n d s u m m a r i z d c h a r a c t e r i s t i c sa n dp r o b l e m so ft h es e c u r i t yf r a m e w o r k t h e na c c o r d i n gt or e s e a r c h i n g x m l s e c u r i t yt e c h n o l o g y , t h et h e s i sd e s i g n e dai n f o r m a t i o ne x c h a n g ep l a t f o r mb a s e 武汉理t 大学硕士学位论文 o nx m l - s e c u f i t y ，a n db u i l tt h e i m p l e m e n t e df r a m e w o r ko ft h ep l a t f o r ma n d c o m p a r e di tw i t ht h ec u r r e n to n e ，s u c ha sx m l e n c r y p t i o nh a st h ea d v a n t a g e so f o p e r a t i o n a lt og e n e r a lf i l ee n c r y p t i o n x m ld i g i t a ls i g n a t u r es h o w sf l e x i b i l i t ya n d d i v e r s i t y i nc o m p a r i s o nw i t ht r a d i t i o n a l d i g i t a ls i g n a t u r e x m lk e ym a n a g e m e n t s e r v i c eu s i n g ) ( m la n dp k it e c h n o l o g yt oa c h i e v es i m p l i c i t yo f k e y m a n a g e m e n t 1 1 1 et h e s i sa p p l y e dt h es a f ef r a m eo fx m li n t oa c t u a le l e c t r o n i cc o m m e r c e p r o j e c tb ys t u d y i n gt h es u p o r t i n go fm i c r o s o f t n e t p l a t f o r m t o x m l s e c u r i t y t e c h n o l o g y , a n dt h es e c u r i t yo ft h ee x c h a n g eo fk e yi n f o r m a t i o ni nt h es y s t e mi s e n s u r e d ，f o re x a m p l e ，d e l i v e r yo fe l e c t r o n i co r d e r sb e t w e e nt h ec l i e n ta n ds e r v i c e i n a c c o r d a n c ew i t ht h ec h a r a c t e r i s t i c so fb ss t r u c t u r e d i f f e r e n tx m l s e c u r i t ym o d u l e s w h i c hl - u no nt h ec l i e n ta n ds e r v e r - s i d ea r ed e s i g n e d ，a n dt h e s em o d u l e sa l s oh a v e i n d e p e n d e n c e k e yw o r d s ：x m l s e c u r i t y ，x m le n c r y p t ，x m ls i g n a t u r e ，e l e c t r o n i cc o m m e r c e 1 1 1 独创性声明 本人声明，所呈交的论文是本人在导师指导下进行的研究工作及取得的研 究成果。尽我所知，除了文中特别加以标注和致谢的地方外，论文中不包含其 他人已经发表或撰写过的研究成果，也不包含为获得武汉理工大学或其它教育 机构的学位或证书而使用过的材料。与我一同工作的同志对本研究所做的任何 贡献均已在论文中作了明确的说明并表示了谢意。 签名： 学位论文使用授权书 本人完全了解武汉理工大学有关保留、使用学位论文的规定，即：学校有 权保留并向国家有关部门或机构送交论文的复印件和电子版，允许论文被查阅 和借阅。本人授权武汉理工大学可以将本学位论文的全部内容编入有关数据库 进行检索，可以采用影印、缩印或其他复制手段保存或汇编本学位论文。同时 授权经武汉理工大学认可的国家有关机构或论文数据库使用或收录本学位论 文，并向社会公众提供信息服务。 ( 保密的论文在解密后应遵守此规定) 研究生( 签名) ：堕导师( 签名) ：三蛆趔l 日期：砬螋臼 i 武汉理1 ：人学硕+ 学位论文 1 1 课题研究的背景 第1 章绪论 可扩展标记语言( e x t e n s i b l em a r k u pl a n g u a g e ，x m l ) 在i n t e r n e t 中的地位已 经确立，而对x m l 的研究和应用正在兴起并在i n t e m e t 时代的背景下迅速发展。 h t m l 作为i n t e r n e t 上传统的描述语言，曾经发挥着巨大的作用，但随着网 络应用的深入，特别是面对越来越复杂的网站内容和大型的商业发布应用时显 的力不从心，其种种缺陷如难以扩展、缺乏交互性、缺乏语义定义等都促使一 个新的标记语言的诞生，即x m l 的产生。x m l 保留了标准通用标记语言 ( s t a n d a r dg e n e r a l i z e dm a r k u pl a n g u a g e ，s g m l ) 的一些特点，并克服了h t m l 的局限性，凭借其简单易用、可扩展、结构化、自定义描述等诸多优点在大型 商业网站中，如电子商务中发挥着重要的作用【i 】。 在企业与企业进行商务活动过程中，需要传送各种数据，这些数据分别由不 同的商业应用产生，具有不同的数据格式和商业意义。如何在不同行业、不同领 域和不同企业之间传输这些商业数据，实现企业之间的交互( i n t e r o p e r a b i l i t y ) ，是企 业需要解决的一个关键问题，同时在信息交换的过程中出现的安全威胁，如： 关键信息的泄露、信息的篡改、交易双方身份的伪造和交易的抵赖等会给企业 造成不可估量的损失，安全威胁也成为企业构建商业信息交换平台急需解决的 重要问题2 1 。 目前网络安全技术的高代价、易用性差、互操作性差已经成为了解决大型 商业系统信息安全的瓶颈，在这种情况下x m l 安全技术的出现改变了这种现状， 它结合了网络安全和x m l 技术解决x m l 数据交换的安全性能问题。并且它以 低成本、良好的交互性和部署实施简易的特点被越来越多的企业、组织等所接 受，x m l 安全技术已成为新一代网络安全技术的标准【3 】。 1 2 课题研究的意义 本文针对x m l 的安全技术进行研究，包括由w 3 c 和i e t f 提出的一系列 武汉理：1 ：人学硕+ 学位论文 x m l 安全协议和标准，如：x m l 加密与解密、x m l 签名与签名验证、x m l 公 钥管理规范( x k m s ) 、授权与文件资源权限控制等，目前这些x m l 安全规范 仍在完善中。本课题研究的意义在于寻找一套新的网络数据安全交换方式，当 今互联网对信息交换的需求越来越大，对信息传输的安全性要求也越来越高， 而信息交换的方式和信息交换的安全结构却相对固定，随着i n t e r n e t 的发展，这 种相对固定的模式引发了一系列弊端，如不同平台的应用程序不易交互、信息 传输的格式多样化造成通信接口需要经常更改，传统的加密方式不够灵活、认 证机构实施部署的复杂性和高代价等。x m l 技术的迅速崛起使这些问题的解决 变为可能，首先x m l 采用了一种固定的文件格式，这给通信双方发送或者接收 信息提供了便利性，不需要定义过多的接口来处理这种文件格式。其次x m l 安 全技术标准灵活的运用了当今各项网络安全技术，它将x m l 与网络安全技术结 合起来形成了一整套基于x m l 的安全技术标准，这对于即将采用x m l 作为信 息交换方式的企业来说非常重要。x m l 安全技术从数据加密、数字签名、资源 访问控制和密钥管理等技术上进行了改变，不仅消除传统安全技术应用的不足， 而且突出了采用这套安全技术建立新的数据交换平台的优势。相信随着w e b 服 务的更深入推广，x m l 安全技术的发展会有一个更广阔的天地。 此外本文还将对目前网络安全交换采用的安全技术进行分析总结，然后提 出基于x m l 安全技术的数据交换安全架构，针对此架构进行研究分析，体现出 新安全架构的诸多优点和实践价值。最后本文会将此架构在一个实际的商业项 目的中部署实施，然后分析项目案例，验证x m l 安全技术的应用价值。 1 3 国内外研究现状 随着互联网的广泛应用，网络安全技术已经成为各国计算机专家的研究重 点，目前对网络安全技术的研究主要在3 个方面：l 、网络安全协议，包括密钥 交换、数字签名、身份验证等；2 、数据加密技术，研究内容包括数据加密的理 论、算法实现等；3 、存取控制，即对资源的授权使用【4 】。随着w 3 c 和i e t f 继 续推出一系列x m l 安全协议规范和对当前x m l 安全协议规范的逐步完善，基 于x m l 的安全技术的应用前景不断扩展，许多国内外大公司都吸取了x m l 安 全技术，并推出了自己的产品，如： i b ma l p h a w o r k s 提供的x m ls e c u r i t ys u i t 系列软件包产品，可以访问它的 2 武汉理i ：人学硕十学位论文 官方网站了解产品( h t t p ：w w w a ! p h a w o r k s i b m c o m t e c h x m l s e c u r i t y s u i t e ) 。 v e r i s i g n 提供的t r u s ts e r v i c ei n t e g r a t i o nk i t ，可以访问它的官方网站了解相 关产品( h t t p ：w w w v e r i s i g n c o r n ) 。 软件巨头m i c r o s o f t 也在其软件战略部署平台n e t 中加入了对x m l 安全协 议的支持，在n e tf r a m e w o r k 2 0 中加入了一整套x m l 加密、解密、x m l 签名 等命名空间和类。 目前x m l 安全技术的相关协议规范还出于完善中，相信随着对其研究的逐 步深入，各项标准制订的规范化，会有更多的企业、公司和个人加入到这一系 列技术的使用中，x m l 安全技术将会有一个更加美好的应用前景。 1 4 论文的主要内容 本文的主要工作包括两个方面： 第一：研究x m l 安全协议规范和当前电子商务中运用的安全技术，提出一 套基于x m l 安全技术的数据交换架构，针对架构的各个部分进行分析研究。 具体内容包括： x m l 相关标准的研究，包括x m l 加密、解密、签名和权限控制的特点、 优点及应用。 x m l 密钥管理规范( 删s ) 的研究，包括x k m s 的特点及部署实施， 研究轻量级目录协议( l d a p ) ，构建x k m s 服务的密钥证书库。 对目前网络数据交换的安全性分析，突出x m l 安全技术架构与之对比的 优势。 第二：采用m i c r o s o f t 公司的v i s u a ls t u d i 0 2 0 0 5 软件开发平台和 s q l s e r v e r 2 0 0 0 数据库实现基于x m l 安全技术的商务系统基于i n t e r n e t 的 石材信息检索与图片比对系统。 具体内容包括： 商务系统的前台后台各种功能的实现。 将x m l 安全技术应用到系统中，包括各种商务信息的x m l 规范化、文 件传输方式、x m l 文件的加密解密、x m l 签名与验证。 采用n e t 平台实现x k m s 服务，即实现电子商务中的身份认证和密钥发 放机制。 武汉理f 大学硕十学位论文 第三：对“基于i n t e m e t 的石材信息检索与图片比对系统”的运行测试。 1 5 论文结构 本文共包括五章 第1 章，绪论，说明了选题的目的和意义、国内外研究现状以及研究的主 要内容和论文的结构。 第2 章，介绍和分析x m l 规范和相关的技术。着重分析x m l 安全技术规 范。 第3 章，研究当前网络数据交换技术，针对目前的信息安全交换框架设计 出基于x m l 安全技术的数据交换架构，并突出其特点。 第4 章，对x m l 安全技术的实现与应用。包括各个模块的设计与实现和系 统中的应用。 第5 章，工作总结及工作设想展望。 1 6 论文的主要创新点 第一，本文针对目前网络中应用的数据交换模型，分析其特点与不足，然 后针对此不足利用x m l 相关技术构建了一种基于x m l 安全技术的数据交换平 台。将此平台的特点与当前安全平台进行对比突出了x m l 安全交换架构的特点， 这也是本文的设计思想。 第二，本文在设计实现的时候充分考虑到客户端与服务器端的不同，即浏 览器端无法执行后台代码的问题，在n e t 开发平台上制作了适合浏览器运行的 c o m 组件，并将此组件封装成a c t i v e x 控件形式，提供给浏览器端安装运行， 此控件包含了x m l 安全技术的一系列操作，具有通用性和独立性，能够在任何 浏览器端的实现x m l 安全技术操作。 4 武汉理1 ：人学硕士学位论文 第2 章x m l 技术与安全体系 2 1x m l 的概述 x m l 是可扩展标记语言( e x t e n s i b l em a r k u pl a n g u a g e ) 的缩写，是w c 3 组织 于1 9 9 8 年2 月发布的标准。其目的是为了定义一种在互联网上交换数据的标准 【5 1 。这是一种可以用来创建标记语言的元语言，它可以用来标记任何一种所能想 见的事物。数学公式、化学分子结构、音乐符号这些行业信息都在x m l 中得以 结构化地表示，跨平台的信息交换也可以制订基于x m l 的通信协议 x m l 是由一系列规则所组成的描述性语言，其本质是一种标记语言。标记 语言不同于一般的控制流程序设计语言，它基本上可以被视为一种数据流的文 档结构描述语言。在计算机处理过程中，标记语言的标记既可以作为数据，也 可以作为控制语句来使用。x m l 作为w e b 服务的基石，其重要性自然是不言而 喻的，它正日益被开发人员所重视。就像h t m l 在w e b 和全球数据发布所起中 所起的作用一样，x m l 在电子商务和数据交换中起着重要的作用。x m l 不仅已 广泛用于与计算机和网络有关的各个方面，还可以用于数学、化学、生物、机 械、物理、音乐制作等各个领域，它的在跨平台、跨应用程序和跨语言中的作 用，坡它在未来分布式解决方案中发挥重要作用。 ( 1 ) x m l 的定义与特点 曲x m l 的文档定义 x m l 文件是由标签组成的m a r k u p 文件，x m l 是针对信息内容，由 开发人员自行定义标签( 以“ 结束) ，用来组织信息的一种 置标语言( m a r k u pl a n g u a g e ) 。x m l 的文档结构与h t m l 的结构基本相 同，均可分为：元素、属性、值【6 】。下面是一个简单的x m l 文档例子： x m l 文档声明 根元素 元素”c u s t o m e r 包含属性”c o u n t y b o b l9 8 3 4 2 0 9 武汉理i ：人学硕十学位论文 0 2 0 2 2 0 10 b ) x m l 的特点 x m l 不仅做到了精简实用，而且相对于h t m l 具有很多的优势 7 1 ，主要特 点如下： 良好的可扩展性 x m l 允许各个不阿行业根据自己的需要制定标记，具有良好的可扩展性。 它允许开发者定义自己的d t d ，有效地创建可多种应用的标志集合。并且可以 利用几个附加的标准对x m l 进行扩展，比如向x m l 功能集增加样式、链接等。 实际上，许多不同的行业、机构都利用x m l 定义了自己的置标语言。 内容与形式的分离 x m l 晦内容与表现形式是分丌的，x m l 定义标记不必仅限于对显示格式的 描述，显示样式从数据文档中分离来，放在样式表文件中。这样，如需改动信 息的表示方式，只要改动样式表文件可。而且在x m l 中，搜索引擎不必遍历整 个x m l 文档，只需查找相关标记就可以找到感兴趣的内容。 自描述性 x m l 文档通常包含一个文档类型声明，因而它是自描述性的，x m l 文档中 的数据可以被任何能够对x m l 数据进行解析的应用所提取、分析和处理，并以 所需格式显示，并且做到了真正独立于应用系统。有了x m l ，各种不同系统之 间可以采用x m l 作为交流媒介。x m l 不仅简易读，而且可以标注各种文字、 图像甚至二进制信息，这使得x m l 成为一种非常理想的网际语言。 数据集成通用性 使用x m l ，可以描述和集成来自多种应用程序的不同格式的数据，使其能 够传递给其它应用程序，做进一步的处理，这样使x m l 具备文件传输格式的通 用性。 此外，x m l 可用于现有的w e b 协议( 如h r r p 和m i m e ) 和机制( 如u r l ) ， 与h t m l 文档一样，x m l 文档易于创建，文档内容和结构清晰易懂，与s g m l 兼容，所以大多数s g m l 应用都可以向x m l 转化。 6 武汉理i ：人学硕士学位论文 2 2x m l 相关技术规范 w 3 c 和i e t f 组织不仅定义了x m l 文档的技术规范，而且还定义了一 系列相关的技术规范，提供对x m l 的支持，x m l 可以通过d t d ( d o c u m e n t t y p ed e f i n i t i o n ，文档类型定义) 和x m ls c h e m a 对其结构进行定义和验证。 x m l 技术支持d o m ( d o c u m e n to b j e c tm o d e l ，文档对象模型) 和s a x ( s i m p l e a p p l i c a t i o nf o rx m l ，x m l 简单应用程序) 两种编程接口技术， 还能使用x p a t h 语言对数据内容进行查询。x m l 技术支持x s l t ( e x t e n s i b l e s t y l e s h e e tl a n g u a g et r a n s f o r m a t i o n s ，可扩展样式表语言转换) 格式转换， 利用x s l t 技术能将x m l 文件转换为各种不同的格式，如格式不同的x m l 文件、h t m l 文件、文本文件、无线标记语言( w m l ) 和s v g 文件等。 ( 1 ) x m l 文档类型定义文件( d t d ) d t d ( d o c u m e n tt y p ed e f i n e ，文档类型定义) 是一套关于标记符的语法规则， 它定义了可用在x m l 文档中的元素、属性和实体，以及这些内容之间的相互关 系。 它最初的应用对象是s g m l ，而x m l 是s g m l 的一个精简子集，所以d t d 同样可以定义x m l 文档的词汇和语法。利用币则表达式，d t d 除了可以说明 x m l 文件中哪些元素是必须的，哪些是可选的，元素所能包含的属性等元素本 身信息外，还可以描绘元素之间的结构信息，比如某个元素可以嵌套哪些子元 素、子元素的个数以及出现次序、是否可选等等1 8 】。 d t d 尽管能够定义x m l 文档，但在实际应用中却出现一些问题。如：难 以理解、不支持命名空间、不支持数据类型、不支持继承等。 ( 2 ) x m l 模式定义文件( s c h e m a ) 针对d t d 出现的不足，一种新的规范机制x m ls c h e m a 开始逐渐替代d t d 。 它由w 3 c 管理的两个规范组成x m ls c h e m ap a r t l ：s t r u c t u r e 和x m ls c h e m a p a r t 2 ：d a t a t y p e ，这两个规范已经为w 3 c 所推荐。x m ls c h e m a 的特点在于：完 全符合x m l 的规范，具有丰富的数据类型，良好的可扩展性，易被d o m 所处 理，具有良好的可读性。与d t d 相比，x m l 模式具有如下的几个优点： a ) d t d 是一种与x m l 不同的语法编写的，而x m l 模式是用一种类x m l 的语言表述的。 b ) d t d 中所有的声明都是全局声明，而x m l 模式既有全局声明也有局部 声明，视情况而定。 7 武汉理i ：人学硕十学位论文 c 1d t d 不能对给定的元素或属性的数据型进行定义，而x m l 模式具有一 整套完整的数据转换类型，它允许对数据类型如整型、字符串型等进行详细定 义【9 】。可以使用s c h e m a 验证x m l 文档结构证确性。 ( 3 ) 命名空间( n a m e s p a c e ) 命名空i 日j 是w 3 c 推荐标准提供的一种统一命名x m l 文档中元素和属性的 机制。使用命名空间可以明确标识和组合x m l 文档中来自不同标记词汇表的元 素和属性，避免了名称之问冲突而带来的问题。 在x m l 文档中使用命名空问：命名空问既可以限定整个x m l 文档，也可 以只针对x m l 文档中的一部分。 ( 4 ) x m l 转换( x s u 似s l ) 可扩展样式语( e x t e n s i b l es t y l el a n g u a g ex s l ) 是一种基于它被设计用来转 换x m l 文档到另一种x m l 文档或其它可翻译对象。x s l 的样式语言中的转换 语言被称为x s l 转换工具( x s lt r a n s f o r m a t i o n ) 。x s l t 将x m l 文档转化为x s l 格式词汇描述的目标文档，x m l 描述了转式词汇( 包含在目标文档中) 描述了目 标文档的表现。x s l t 并没有被设计成一种通用的转换语言，它的设计主要用来 识以便使用x s l 样式。但是x s t l 同时也是独立于x s l 的。x s l 结构转换的重 要思想就是要把x m l 文档视为一种源树，转换的过程就是源树生成结果树的过 程。x s l 样式单就定义了源树和结果树中对应部分的转换规则，每条规则中包 含了一个模板，同时对应着一种模式。模式规定了需要进行转换的元素或属性 对象，而模板则定义了转换的结剩1 0 1 。 ( 5 ) x m l 数据接e i ( d o m ) 文档对象模型( d o c u m e n to b j e c tm o d e l ，d o m ) 是由w 3 c 提出的标准化的 编程接口。d o m 是一种独立于语言和平台的定义，即：它定义了构成d o m 的不 同对象的定义，却没有提供特定的实现。d o m 提供了在不同环境和应用中的标 准程序接口，可以用任何语言实现。d o m 为文档导航以及操作h t m l 和x m l 文档的内容和结构提供了标准函数。当使用d o m 对x m l 文档进行操作时，首 先，与d o m 兼容的解析器读取并解析整个文档，将文档内容分解为独立的元素、 属性和注释等。然后，它通过在内存中构造一个对象树( 节点树) 而提供x m l 文 档的一个视图表示，其中文档的主要组件结构是对象树中的节点。此后，开发 人员对对象树访问文档内容，并根据需要修改文档。利用d o m ，开发人员可以 动态地创建x m l 、遍历文档，增加、删除和修改文档内容。其面向对象的特性， 武汉理一r 大学硕+ 学位论文 使人们在处理与x m l 解析相关的事务时节省大量精力，是一种符合代码重用思 想的强有力编程工具【l l 】。 2 3 简单对象访问协议( s o a p ) s o a p 是一个工业标准，它以x m l 的形式为在一个松散的、分布的环境中 对等地交换结构化和类型化的信息提供一个简单而轻量级的机制，用于在w e b 上提高跨平台的互通性。 s o a p 允许在h t t p 客户端和服务器端之间使用x m l 编码传递参数和命令， 并与客户端、服务器端的平台以及应用程序完全无关。h t t p 可以连接整个世界 的所有计算机，能够穿透防火墙，它是任何计算机传递消息的最简单方式。s o a p 设计为使用h 1 y r p 进行请求响应消息传送，s o a p 包的信息就用于调用某个方 法。s o a p 是把成熟的基于h 1 v r p 的w e b 技术与x m l 的灵活性和可扩展性组 合在了一起。 s o a p 规范定义了几个s o a p 元素用于请求n l ；, i 应，如信封( e n v e l o p e ) 、头 ( h e a d ) 、体( b o d y ) 。头中包含了关于s o a p 元素的消息，体中包含实际消息， 信封则是头和体的容器【1 2 1 。以下是s o a p 消息的代码框架： 可以看出，一条s o a p 消息就是以信封为根元素的x m l 文件，该信封元素 必须包含有两个属性：s o a p 的命名空间和编码形式。为严格起见，应用时应参 考w 3 c 的关于s o a p 消息的x m l 模式文件定义。 9 武汉理1 ：大学硕十学位论文 2 4 网络服务描述语言( w s d l ) w s d l ( w e bs e r v i c e sd e s c r i p t i o nl a n g u a g e ) 是- - f - j 基于x m l 的语言，用 于描述w e bs e r v i c e 及其函数、参数和返回值。因为是基于x m l 鲰所以w s d l 既是机器可阅读的，又是人可阅读的。一些最新的开发工具既能根据你的w 曲 s e r v i c e 生成w s d l 文档，又能导入w s d l 文档，生成调用相应w e bs e r v i c e 的 代码。这样减少了某些基于w e bs e r v i c e 应用开发的难度和周期，如实现x m l 密钥管理服务( x k m s ) 就需要运用w s d l 文档生成服务原型代码【l 3 1 。 w s d l 文档是利用某些元素来描述某个w e bs e r v i c e 的，如表2 1 所示： 表2 1w s d l 文档结构元素 元素定义 w e bs e r v i c e 执行的操作 w e bs e r v i c e 使用的消息 w e bs e r v i c e 使用的数据类型 w e bs e r v i c e 使用的通信协议 一个w s d l 文档的主要结构如下： d e f i n i t i o no f t y p e s d e f i n i t i o no fam e s s a g e d e f i n i t i o no fap o r t d e f i n i t i o no fab i n d i n g 1 0 武汉理1 1 j 人学硕士学位论文 2 5 网络服务( w e bs e r v i c e ) w e b 服务是描述一些操作的接口，可以利用标准化的x m l 消息传递机制通 过网络访问这些操作。该接口隐藏了实现服务的细节，允许跨硬件和软件平台 以及跨编程语言使用服务。支持w e b 服务的四个核心技术是x m 可扩展的标l ( 记语言) ，s o a p ( 简单对象访问协议) ，w s d l ( w e b 服务描述语言) 和u d d i ( 1 艮务 发布、发现和绑定) ，分别用于信息的表示、服务请求响应消息的传递、服务的 描述和服务信息的发布。w e b 服务的提出主要是针对当前分布式对象模型( 如 c o b r a 、d c o m 等) 已经不能胜任异构的i n t e r n e t 环境，因为基于这些对象模 型的应用平台之间很难进行通信，而且服务器端与客户端必须紧密耦合，一旦 服务端的接口发生变化，那么客户端也得跟着修改，否则无法访问到服务端。 w e b 服务的主要目标是在现有的各种异构平台上构筑一个与平台无关语言 无关的中间层，它允许基于服务的应用程序成为松散耦合、面向组件和跨技术 实现。它简单的运用了i n t e m e t 协议实现了各种异构平台之间的交互，这对于 c o b r a 或者d c o m 来说是做不到得，它们都各自拥有私有协议，在平台之间 进行交互时很难做到接口统一。w e b 服务不仅具有松散耦合的特点，而且还与 语言设备都无关，只要系统支持这个标准，那么都能在互联网上随时与其他w e b 服务进行通信。随着i n t e m e t 的发展，w e b 服务会利用的更加广泛。 2 6 网络安全技术基础 2 6 1 加密技术 目i j ，加密技术可分为对称加密和非对称加密两类。在对称加密体系中，对 信息的加密和解密都使用相同的密钥。这种方法简化了加密的处理，每个参与 者都不必彼此研究和交换专用的加密算法，而是采用相同的加密算法并只需交 换共享的专用密钥。在非对称加密体系中，密钥被分解为一个公开密钥和一个 秘密密钥。这对密钥中的任何一个都可以作为公丌密钥( a n 密密钥) 通过非保密方 式向他人公开，而另一个则作为秘密密钥( 解密密钥) a n 以保存。 ( 1 ) 对称密码 对称密码：即对称加密体系，对称密码包括两种变体；分组密码和流密码。 武汉理r 人学硕十学位论文 分组密码加密固定分组长度的铭文。分组长度与具体的对称密码以及密钥长度 有关。它们使用很普遍，并且在x m l 加密中得到广泛支持。流密码与分组密码 稍有不同，它利用密钥推导函数来产生一个密钥流。然后在铭文的每一个字节 和密钥流的每一个字节之问进行异或操作来生成密文。x m l 加密中使用的两种 重要的分组密码是3 d e s 和a e s ；3 d e s 是数据加密标准( d e s ) 算法的一种变 体；a e s 是高级加密标准【1 4 】。 a )3 d e s 3 d e s 是一种改进的密码，因为它实际上是d e s 的变体，d e s 使用6 4 比特 的密钥，其中包括5 6 个有效密钥比特和8 个效验比特。d e s 密钥的长度从不变 化，它总是6 4 比特。3 d e s 的分组长度是8 字节，这说明它以长度为8 字节的 分组形式来加密数据。3 d e s 通常被称为3 d e se d e ，意思是加密，解密，再加 密。已证明最初的d e s 密码容易受到强力密文文本的攻击。强力密文文本攻击 是指尝试用d e s 密钥空间内每一个可能的密钥来对密文进行分析，直到找到正 确的明文为止。为了抵抗这种类型的攻击，就需要更大的密钥空间。这一需要 可由3 d e s 来实现，即执行d e s 算法三次。将密钥长度增加到1 9 2 比特。 在上图中使用d e s 算法对明文进行加密，密钥为1 9 2 比特3 d e s 的前6 4 比 特，此后使用中间的6 4 比特密钥对密文进行解密( 注：不是针对先前加密的部 分解密，因为使用了不同的密钥) 。最后使用最初的3 d e s 最后8 个字节对分组 进行加密，加密过程结束，因此3 d e s 是一种速度较慢的密码，因为对于每一个 明文分组，它要执行三次d e s 密码。3 d e s 常用于需要加剖、量数据的加密过 程中