基于xml的安全数据交换模型 - 第23卷第6期.pdf

《基于xml的安全数据交换模型 - 第23卷第6期.pdf》由会员分享，可在线阅读，更多相关《基于xml的安全数据交换模型 - 第23卷第6期.pdf（5页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、第2 3卷第6期 V0 1 2 3 No 6 重 庆 工 学 院 学 报(自然科学)J o u r n a l o f C h o n g q i n g I n s t i t u t e o f T e c h n o l o g y(N a t u r a l S c i e n c e)2 0 0 9年 6月 J u n 2 o o 9 基 于 X ML的安全数 据交换模型 朱庆生，戴刚(重庆大学 计算机学院，重庆4 0 0 0 4 4)摘要：基于 X ML技术设计了一种安全高效的数据交换模型，实现了数据和密钥的安全传输和存 储 该模型结合 X K MS 简化了公钥注册与管理，能够为跨

2、系统的多方数据交换提供统一、安全的 服务 介绍了模型建立的具体方案，包括 X M L文档的加解密、数据加密密钥 D E K的生成、数据加 密密钥存储管理，讨论了该模型使用 X K MS 管理公钥的方法和提供的安全机制 关键词：X ML；对称加密；非对称加密；X K MS；数据交换 中图分类号：T P 3 0 9 2 文献标识码：A 文章编 号：1 6 7 1 一o 9 2 4(2 0 0 9)0 6 0 0 3 6 0 4 Re s e a r c h o n Se c u r e Da t a Ex c ha ng e M o de l b a s e d o n XM L Z HU Q i

3、 n g s h e n g，D A I G a n g (C o l l e g e o f C o m p u t e r S c i e n c e，C h o n g q i n g U n i v e r s i t y，C h o n g q i n g 4 0 0 0 4 4，C h i n a)Abs t r a c t：Th i s a r t i c l e d e s i g ns a s e c u r e a n d e ffi c i e n t d a t a e x c h a ng e mo d e l b a s e d o n XML t o i mp l

4、 e me n t s e c u r e t r a n s p o r t a t i o n a n d s t o r a g e o f d a t a a n d k e y s C o mb i n e d w i t h XKMS，t h i s mo d e l s i mp l i fi e s t h e r e g i s t r a t i o n a n d ma n a g e me n t o f p u b l i c k e y s，a n d i s c a p a b l e o f p r o v i d i n g u n i fie d a nd

5、s a f e s e r v i c e f o r d a t a e x c h a n g e o f t r a ns o p e r a t i o n s y s t e m Be s i d e s，t h i s p a p e r i n t r o d u c e s c o n c r e t e p l a ns for t he mo d e l i n g i n c l u d i n g the e n c i p h e ri I 喀 a n d d e c i p h e ri n g o f XML d o c u me n t s，the g e n

6、e r a t i o n o f e n c o d e d k e y o f DE K，t h e s t o r a g e ma n a g e me n t o f e n c i p h e r e d d a t a k e y s，a n d d i s c u s s e s t h e me t h o d s i n t h i s mo d e l f o r XKMS t o ma na g e p u b l i c k e y s a n d t h e s e c u rit y me c h a ni s m p r o v i d e d Ke y wo

7、r d s：XML；s y mme t ric e n c i p h e rin g；a s y mme t ric c i p h e r；XKMS；da t a e x c h a n g e 随着计算机技术特别是 网络技术 的发展，许 多企业、单位和部门内部逐步实现了业务、信息的 计算机化管理 这些企 业和单位的具体业务和功 能不同，因此都根据 自身需要构建 了许多相互独 立的信息服务和管理系统 但随着信息化的发展，各部门之间协同合作 日益频繁，在各个环节之间 的数据交流及集成共享情况也 日益增加，同时随 着分布式应用系统 的广泛应用，在这样 的环境下，无论硬件还是软件平台都不可能做到

8、统一，因此，迫切需要一种基于标准的，独立于操作系统平 台、数据库和硬件系统 的数据交换平 台，以提供安全 可靠的消息通讯手段，实现不同操作系统平台、数 收稿 日期：2 0 0 8 0 2 2 6 作者简介：朱庆生(1 9 5 7 一)，男，安徽人，教授，博士生导师，主要从事多媒体数据处理和电子商务研究 朱庆生，等：基 于 X ML的安全数据交换模型 3 7 据库和硬件系统 的数据交换 J 传统的基于S S L 技术的方案是通过建立安全 通道，对数据进行整体加密来保证数据传输的机 密性，满足双方数 据交换 的安全要求 然而，随着 分布式应用 系统 日益广泛 的应 用，越来越 多的应 用系统采用

9、X ML为作为数据交换格式，所以 需要考虑以文件为基础 的安全 机制，不仅要保证 文件资料传输的安全，同时也要保证文件存储的 安全 本研究结合对称和非对称加密技术及 X K MS 公钥管理，建立了一种安全、稳定的基于 X M L文 档的数据交换模型，为不 同系统或不 同部 门之 间 提供统一和通用的安全数据交换 机制，以满足各 种分布式系统的数据交换和系统集成的要求 1 基于 X ML的数据交换模型设计 为了在跨平 台的多语言环境 中实现灵 活通用 的安全数 据交换 服务，本 研究 利用 X ML安全 技 术，结合对称与非对称加密算法，设计 了一种易管 理的、可扩展 的、安全 的数据交 换模型

10、，其 逻辑结 构如图 1所示 ：网络：II 图 1 数据交换模型逻辑结构 整个数据交换模型的构建是基于 X ML安全技 术之上，通过使用X M L 技术实现与平台无关的数据 描述方式，以进行跨系统交换数据 该数据交换模 型由数据交换区、X M L加解密、签名、X M L公钥管 理、X M L解析器、S O A P通讯模块等组成 数据交换 区用来进行应用系统与交换模型之间进行数据交 换；X ML加解密模块提供数据的 X ML加密和解密，根据应用的需要选择加密粒度，实现多种加密解密 访问；X ML签名模块对 X M L数据进行签名及签名 验证，提供数据确认性、不可否认性及完整性服务；X M L 密

11、钥管理模块提供类似于 P K I 的密钥管理功 能，简化公钥 的注册与管理；X ML解析器模块提供 X ML文档的解析功能，定义 与 X ML加解密和签名 相关的模式；S O A P通讯模块根据应用系统的要求，处理 X ML数据和进行远程对象调用，实现应用程序 间的 X M L文档的传递和数据交换 1 1 X ML文档的加解密 采用 以 X M L为基础 的文件作 为数 据交换格 式，需要保证文件资料传输 中的安全 和存储安全 同时，在分布式环境中，既需要对数据的不同部分 使用不同的密钥和方法进行加密和签名，又需要对 多用户共享数据进行有效的加密和管理-4 卜引 采 用对称加密方法对数据进行加

12、密，保证 了数据传输 中的安全，却降低 了密码的存储安全；而采用非对 称加密方法，保证 了数据与密钥在传输和存储 中安 全，却增加了数据加密的时间复杂度，同时也不 能 让多用户共享同一加密数据 有学者提 出了一种采 用对称加密算法实现X M L 加密，使用非对称加密算 法实现密钥的加密交换，从而实现安全数据交换 的 方法 J 本研究在采用对称加密和非对称加密相结 合 的方式分别对 数据、密钥进行加 密保 护的基础 上，增加了数据加密的随机性和加密密钥的存储管 理，加强了数据在网络中传输和存储的安全性 1 2 数据加密密钥 D E K的生成 采用对称加密算法实现 x ML数据加密时，数 据加密密

13、钥关系到加密数据在传输中的安全性，因 此，数据加密密钥的生成应具有随机性，任何一个 数据加密密钥都是不确定的，并且加密后的数据都 应是不同的，以便有效抵御同一攻击 同时密钥长 度应大于等于 1 2 8 位，以抵御穷尽攻击 在对 X M L 文档中的数据进行加密时，由X ML加密模块随机产 3 8 重 庆 工 学 院 学 报 生一 组 数 字 串(将 其 称 为 数 据 加 密 密 钥，d a t a e n c r y p t i o n k e y，D E K)，将该数字 串作 为密钥对文档 中的数据采用对称加密算法进行加密 代码 1 示 为以系统启动时间为基 础随机生成 1 2 8位 的

14、D E K 核心代码 1)通过 G e tT i c k C o u n t 函数获取系统启动时间 d w S t a r t 2)取 d w S t a r t 中第 1 位到第 4位的值作为 4个 不同的 随机数(如果 d w S t a r t中包含 0，则 在通过 G e t T i c k C o u n t函数 获 取 另 一 个 系 统 启 动 时 间 d w S t a r t 2，d w S t a r t 与 d w S t a r t 2进行 或运 算，以此类 推，直 到 d w S t a r t中不含 0)，由前 面所 得 到 的值 d w S t a r t 分别除

15、以这4 个值得到4个商数和余数，商 数与余数相加，然后将其连接成数据串 3)对所得到的数据字 串计算 MD 5 值，得到 1 2 8 位的数字摘要 数据加密密钥的生成应根据应用的 需要进行设计，以抵御各种攻击 核心代码(代码 1)如下：f 0 r(，i=0；i(i 4)&O x O O O f)=0)d w S t a r t 2=G e t T i c k C o u n t()；d wS t a r t d wS t a r t I d wS t a r t 2：i=0；F o r(i=0；i(i 4)&0 x O 0 0 f；F o r(i n t i=0；i 4；i+)d w Q u

16、o t ie n t=d w S t a r t R i ；d w R e m a i n d e r=d w S t a r t R i ；d w V a l u e+=(d w Q u o t i e n t+d w R e m a i n d e r)8；DEK=Get D a t a E n c r y p t i o n K e y(1 2 8,d w V a l u e)；1 3 数据加密密钥存储管理 在对 X M L文档数据采用随机和高强度的密钥 进行对称加密后，数据交换安全的核心就是密钥交 换的安全了 采用非对称加密算法加密对称加密算 法的密钥，可以保证密钥交换的安全，再使用对

17、称 加密算法进行文件的加密和解密 这虽然解决了双 方数据交换睛况下的安全要求，但是随着分布式应 用的推广，在多个应用协 同工作的环境 中产生的“多方安全会话”情况下，需要对数据加密密钥及不 同用户进行有效管理 对此，笔者在加密的 X ML文 档 的最 后 构 建 了 一 个 数 据 加 密 信 息 块(d a t a e n c r y p t i o n i n f o r ma t i o n，D E I)，用 于记录 X ML文档 中的这些加密信息，如图2 所示 数据加密信息块的 构建步骤如下：第 1步，为每一个待加密的数据块建立一个加 密 描 述 信 息 块(E D I，e n c r

18、 y p t i o n d e c r y p ti o n i n f o r m a t i o n)，不同的数据块采用不相同的数据加密 密钥对 X ML文档的数据块进行加密 第 2步，确定访 问加密数据块 的用户，并 为每 个用户建立一个密钥块(k e y e n t r i e s)，实现数据的 访 问控制 第 3步，构建用户密钥信息，包括用户 I D(唯一 标识一个用户)、数据块加密算法 I D(记录数据块对 称加密算法)、用户公钥 H A S H值(帮助用户选择合 适的私钥进行解密)和加密后的 D E K(采用 R A S算 法和用户公钥对 D E K进行加密)在数据加密信息 块

19、中，保存 了每一个数据加密块的信息，对访问每 个数据块的数据进行 了有效管理，既能实现用户访 问控制，又能实现用户共享数据访问 头 信 息 J 基 本 描 述 信 息 l 用 户I D 校验 值 U s e r-o o 9 4 数据加密块1 E D I 密钥数 日 数据决加密算法I D (O x 6 6 0 1-D E s】数据信息块 _ P r o_N a x n e=央视精品 C h a n n e l=2 0 5 4 0 O O 3 m Enc r y p t i o n 一个注册公钥的请求，注册成功后，就可以通过 X K M S 提供的服务进行公钥信息的查询，从而完成 对用户公钥的管理

20、 工作流程如图3 所示 D e c r y p t i。n I n f 0 r ma t i。n 图3 x K Ms工作 流程。j 6 1 w x 3 r v E P O 0 v K t M u p 4 N b e V u 8 n k 2 U s e r一 0 0 9 4 1)客服端生成一个密钥对，将公钥和包含私钥 的所 有 证 明(P r o o f o f P o s s e s s i o n，P O P)发 送 至 X K MS进行注册 2)应用服务器端对公钥进行查询，向 X K MS发 送欲查找公钥的名称 3)X K MS服务器连接到 P K I 服务器进行注册、验证等工作 4)根据

21、查找到的公钥对数据进行加密，然后发 送到客服端 0 x 6 6 01 2 0 8 a 5 d O o 7 0 2 d 0 巧 3 O 6 d 0 8 f 3 d d 3 数据交换模型提供 的安全机制 4a 9 3 5 d c b 3 a 8 a 7 5 9 2 0 8 4 1 97 51 1 3 2c 2 a 8 7 d e 3 5 2 b 7 2 使用 X K MS管理公钥 采用非对称加密算法需要解决一个很重要的 问题一对 X M L密钥的管理 X M L密钥管理规范(X K MS)为开发者提供了身份鉴别、数据签名和加 密等服务，同时可以依靠可信任的第三方来实现数 据签名处理，减少客户端程序

22、的复杂度l6】用户首先在客户端生成一对公私钥，然后将用 户私钥的所 有证 明(p m o f o f p o s s e s s i o n，P O P)以 S O A P消息格式封装，通过 We b服务向X K M S 发出 在该数据交换模型中，提供以下安全机制：1)数据的安全加密 对数据采取随机密钥的方 式进行加 密，保 证所有加密后 的数 据都是不相 同 的，而对数据加密密钥采取非对称加密方式进行保 护，实现数据在网络中传输和存储的安全l生 2)数据加密管理 对每一个加密数据块定义一 个加密信息块E D I 来描述，并将数据块的加密密钥 采用用户公钥进行加密后存储其中 当多个用户共 享同

23、一加密数据时，可以在加密信息块中定义多个 密钥入口，保存不同用户的信息，实现共享数据在 多方会话间的交换 3)用户认证和公钥密钥管理 采用X K M S 提供 类似于P K I 的密钥管理功能，使得安全性基础设施 的使用及其与应用程序的集成比较容易，将密钥的 管理委托给相应的 We b服务 (下转5 6 页)5 6 重 庆 工 学 院 学 报 表 3 浪涌(冲击)抗扰度试验结果 袁 4 射频 电磁场 辐射抗扰度试验 结果 1 5 0 k Hz一1 GHz 正 常 4 结束语 本文中针对电子设备在 电磁环境恶劣的工业 环境中不能正常稳定 工作 的问题，从 P C B板、屏 蔽、接地三方面对 网络

24、数 据交换设备进行针对性 设计，开发了 E P A网桥的硬件平 台 按照 国家电磁 兼容抗扰度测试规范对网桥进行电磁兼容抗扰度 测试表明，按 照本文 中所提 出方案设计 的 E P A网 桥具有 良好 的电磁兼容抗 扰度性能，能够长期稳 定工作在电磁环境恶劣的工业环境中 参考文献：1 白同云，吕晓德电磁兼容设计 M 北京：北京邮 电大学出版社，2 0 0 1 2 区健 昌，林守霖，吕英华电磁兼容设计 M 北京：电 子 工 业 出版 社，2 0 0 3 3 A t me l C o r p o r a t i o n T h e D a t a s h e e t s o f A T 9 1 S

25、 A M S m a r t A R M b a s e d Mi c r o c o n t r o l l e r s f o r A T 9 1 R 4 0 0 0 8E B O L 2 0 0 81 21 5 h t t p：w w w a t m e 1 c o r n pr o du c t s a t 91 2 00 2 4 A S I X C o rpo r a t i o n E l e c t r o n i c s T h e D a t a s h e e t s o f A X 8 8 7 9 6 F a s t E t h e me t C o n t r o ll

26、 e r E B O L 2 0 0 8 1 1 一o 5 h t t p：w w w a s i x c o m t w 2 0 0 4 5 G B-T 1 7 6 2 6 1 0 21 9 9 8，电磁兼容 试验和测量技 术 s 6 G B-T 1 7 6 2 6 1 0 31 9 9 8，电磁兼容 试验和测量技 术 s 7 G B-T 1 7 6 2 6 1 0 41 9 9 8，电磁兼容 试验和测量技 术 s 8 G B-T 1 7 6 2 6 1 0 51 9 9 9，电磁兼容 试验和测量技 术 s (责任编辑刘舸)(上接第 3 9页)4)系统实现的统一与规范 采用 了与平台无 关

27、的 X ML语 言对 数 据进 行 描述，遵循 W3 C和 I E T F等机构制定安全标准和规范，易于与其他系 统的整合 4 结束语 本文 中基 于 X ML安 全技术设计 了安 全高效 的数据交换模型，并结合 X K MS简化 了公 钥注册 与管理，实现 了跨系统 的多方数据交换服务 该数 据交换模型实现方法简单、快捷，既能保证数据的 传输安全，又能保证数据存储的安全，并且易于与 其他应用系统整合，以提高系统整体安全性 参考文献：1 陈天煌，邹青梅 基于XM L的异构数据库信 息共享 技术研究 J 武汉理工大学学报，2 0 0 5，2 9(1)：1 3 0 1 3 2 2 张奇勇，王东 基

28、于X ML及 S O A P的信息交换平台研 究 J 计算机应用与软件，2 0 0 7，1 0(2 4)：3 9 4 1 3 叶枝平，李振坤，刘竹松，等 基于 X ML的数据交换 平台的研究与设计 J 微计 算机信 息，2 0 0 8，3 (2 4)：2 4 3 2 4 4 4 金坚 X ML：下一代 网络的基石 E B O L 2 0 0 6 0 1 0 5 h t t p：t e c h c c i d e n t c o m p u b a r t i c l e c l l l O a 7 5 8 2 7_p1 h t m1 5 耿建勇，鲁士文 基于 X ML加 密规范的安全数据交 换的实现 J 计算机应用与软件，2 0 0 5，2(2)：9 9 1 01 6 X MLK e yMa n a g e m e n t(X K M S 2 0)E B O L 2 0 0 6 0 1-0 5 h t t p：w w w w 3 o r g T R x k m s 2一r e q 7 李芳，陈勇，吕向风 基 于 X ML的网络安全的研究 J 网络安全技术与应用，2 0 0 8(5)：1 9 2 0 8 张福军 J A V A与X ML技术的数据交换工具的设计 J 科技创新导报，2 0 0 8(9)：2 1 2 3 (责任编辑刘舸)