Web 的開始階段是簡單的網站(信息中介和信息發布的平台),隨著Internet 和Intranent、Extranet的快速發展而發展成為各種應用的主要平台。Web在商業、工業、銀行、財政、教育、政府等領域產生了深遠影響,這得益於Web標准化、松散耦合、語言中立、平台無關性、開放性等特性的服務。Web服務需要XML(可擴展標記語言)、SOAP(簡單對象訪問協議、WSDL(Web服務描述語言)和UDDL(統一描述、發現和集成協議)四大技術標准的支持。其中UDDI、SOAP和WSDL基於XML,因此XML在Web系統中占有重要位置。
一、XML擴展標記語言
第1版XML是世界互聯網協會(World Wide Web Consortium,WSC)於1998年2月頒布。由於XML源自標准通用標記語言SGML,XML作為一種可擴展的標記語言,目前已成為信息描述的事實標准。因此XML可以方便地描述風險及其相關的屬性,這樣也就能方便地對風險進行分析,進而選用對應的策略。許多軟件提供了對XML的支持,XML可以作為不同用戶的異構應用系統之間進行數據交換的標准語言,實現數據交換的透明性。目前,因特網上安全通信的事實標准是傳輸層安全性(tvansport Layer Security ,TLS)和安全套接字層(SSL)。TLS和SSL不具備加密交換數據的一部分和多方(不止兩方)之間的安全會話,而XML涵蓋了安全性需求的機制。
二、XML風險描述的優勢在Web風險中的應用
Web中的風險
Web中的風險從技術方面主要分為安全漏洞和威脅攻擊。安全漏洞主要包括硬件缺陷、軟件缺陷和配置不合理;威脅攻擊則是利用安全漏洞對系統實施破壞。風險不是孤立的,一個威脅往往由幾個威脅組成,一個攻擊可以導致其它攻擊的發生。這些需要更好的風險描述工具。
XML風險描述的優勢
傳統的風險描述主要包括適於規范數據,較為規范數據的關系數據庫描述和適宜於非規范知識的本體描述。關系數據庫不方便擴展,風險間的關系不易用二元關系表達且關系表難於設計,本體描述難度大,概念間的關系難確定且一致性差。XML結合了關系數據庫和個體描述,並有效地解決了傳統風險描述的缺點。同時,XML Schema易於確定XML文檔的格式,使得風險描述更易實施和見效。
XML在Web風險描述中的應用
通用漏洞發布(Common Vulnerability Exposures,CVE)推出了漏洞的XML格式文檔;OASIS和OWASP分別提出了各自的基於XML漏洞描述語言。若在這些漏洞描述中增加有關風險的發現信息,風險的危害信息和風險的解決信息。這樣在漏洞查找和描述的基礎上增加了風險性質(發生概率、攻擊成本等)的量化分析和策略的自動選擇的條件為系統自動防御和策略自動實施創造了可能性。
三、XML開放性的優勢在Web服務中的體現
Web Service的特點
Web Service是一種新的面向函數和方法的應用集成技術;它是一種標准的、開放的應用集成技術。它基於XML文檔進行服務描述、服務請求和反饋結果,基於HTTP協議進行信息傳遞易於被訪問和返回結果,基於WSC的開放協議,獨立於平台和操作系統,實現不同平台操作系統上的互操作性,使得異構平台上的應用易於集成,這些促使了Web的迅猛發展。這些發展對Web的開放性提出了更高的要求。
XML開放性的優勢
XML的開放性主要指它既與平台無關,又與技術提供廠商無關。它解決了電子數據交換(Electronic Data Interchange,EDI)的缺點。EDI的主要缺點是國際上對於交換數據的格式和語義沒有統一標准。盡管國際上各個國家針對不同的行業制訂了用於數據交換的EDL標准,然而一個系統為了能夠和不同的行業乃至不同的國家的合作伙伴進行數據交換,不得不購買並安裝多種進行數據轉換的適配軟件插件,更何況各個行業具體的用戶在實現這些數據時會或多或少加上一些個性化的標准。因此,利用EDI技術實現平台系統成本和復雜度都比較高。
XML開放性在Web服務中的應用
XML的開放性,使得許多軟件生產商提供的軟件產品支持XML,使得XML成為不同用戶的異構應用系統之間的數據交換的標准語言,具備了數據交換的透明性、各個用戶只要保證自己的信息系統提供的數據符合XML規范,就不用擔心數據接收方的解碼問題。不同的用戶間對XML標識采用統一的約定交互信息的雙方不會因為對方使用的系統不同而受到影響。XML可以表達任意層次的結構性數據嵌套並可以進行數據正確性檢驗,支持用戶間復雜的數據交換。XML Schema(XSD)定義了一套標准的數據類型,並給了一種語言來擴展它,從而實現了用戶間的數據共享。由於Web Service自身的特點,XML為Web Service的跨平台性、透明地穿越合作用戶的防火牆提供了保障。
四、XML加密優勢在Web中的應用
對Web中數據保護的常用技術有數據加密、數字簽名和訪問控制,而XML作為一種元語言,已經成為Web異構環境下不同類型和不同領域數據交換的開放標准。XML文檔的訪問控制機制與一般的訪問控制機制不同,傳統的訪問控制機制不能直接應用於對XML文檔的訪問控制中。這是因為XML查詢語言(Xquery)的存在,能直接尋找到每一個XML語義元素。訪問控制模型必須能以多種粒度級別對XML語義元素制定訪問權限,一般的訪問控制對此沒有特殊要求。
在Web中訪問的用戶具有異構和動態的特點使得傳統的基於ID(用戶身份)的驗證機制不能適於應用。
XML加密的優勢
XML可完成加密交換數據的一部分,而TLS/SSL的處理方式只能保證通信傳輸過程中的數據安全,不能對不同的用戶施加不同的權限來保證用戶信息的安全,即TLS/SSL不用完成對交換數據的一部分進行加密。XML加密可實現多方之間的安全會話,即每一方都可保持與任何通信方的安全或非安全狀態,可在同一文檔中交換安全或非安全的數據。XML加密可作為SOAP協議的安全性擴展,因為SOAP協議基於XML,可以通嵌入加密了的XML數據的形式來實現在消息傳輸的應用層靈活采用適當的加密策略。
XML加密在Web的應用
在Web中,XML加密的方法可以嵌入到文檔內部,並且把安全粒度細化到XML文檔元素和屬性級別,實現同一文檔的不同部分的安全要求。通過XML加密可以使用一文檔加密後對不同用戶呈現不同視圖,用戶只能看到被授權的那部分內容。
五、結束語
本文從XML的特性出發,提出了XML的三大優勢,並從原理的角度簡述了這三大優勢在Web中的應用。