XML数字签名VS传统数字签名

XML数字签名VS传统数字签名

服

务 讲座培训

Ｎｅｔｗｏｒｋ＆Ｃｏｍｐｕｔｅｒ　Ｓｅｃｕｒｉｔｙ

ＸＭＬ数字签名ＶＳ传统数字签名

韦琳娜

ＸＭＬ（ｅＸｔｅｎｓｉｂｌｅ　Ｍａｒｋｕｐ　Ｌａｎｇｕａｇｅ可扩展标记语言）被认为是网络数据交换和发布的标准格式，目前在电子商务和电子政务等领域得到了广泛的应用。作为ＸＭＬ应用的前提和基础的ＸＭＬ数据安全问题，也越来越受到人们的重视。针对ＸＭＬ特性开发的ＸＭＬ数字签名不仅可以像传统数字签名一样对任意类型的数据签名，保护数据的完整性、不可否认性以及提供身份鉴别，而且在处理ＸＭＬ文档签名的时候，表现出了许多传统数字签名所不可比拟的技术优势，从而满足更深层次的签名需求。

鉴于ＸＭＬ数字签名的开发目的是为了更好地利用和发挥ＸＭＬ的特性以满足实际签名的需要，本文首先从安全的角度对ＸＭＬ的特性做一个简单分析，然后给出ＸＭＬ数字签名和传统数字签名的定义，并在此基础上从数据建模、密钥表示、验证模型等方面对ＸＭＬ数字签名和传统数字签名进行详尽的对比研究，同时指出ＸＭＬ数字签名中容易引起安全隐患的签名变换问题，力图对ＸＭＬ数字签名的应用和发展有所帮助，也对发展中的一系列ＸＭＬ安全技术提供理论借鉴。

张连宽段新东

随着信息技术的发展和网络应用的深入，曾经辉煌一时的ＨＴＭＬ超文本标记语言由于不可扩充、不能描述语义，越来越无法满足Ｂ２Ｂ、Ｂ２Ｃ等网络深层次应用的需要。为了适应时代需求开发的新一代标记语言ＸＭＬ具有许多优良的特性，在数据交换和发布中表现出强大的生命力。

１、描述性

ＸＭＬ可以用来描述或产生另一种语言。利用ＸＭＬ，任何组织或个人都可以根据自身的需要开发特定语义的标记或制定新的行业规范。描述性是ＸＭＬ数字签名建立的基础。

２、结构性

与语法松散的ＨＴＭＬ不同，　ＸＭＬ文档具有严格的结构，应用程序可以根据ＤＴＤ或Ｓｃｈｅｍａ定义的文档结构规则来自动解析ＸＭＬ文档，整合不同来源的ＸＭＬ数据，实现智能搜索。

３、互操作性

ＸＭＬ独立于任何操作系统和开发语言。ＸＭＬ基于文本格式，任何操作系统和开发语言都能够读取文本数据，只要安装了相应的ＸＭＬ解析器，就可以正确地对ＸＭＬ文档进行解析。良好的互操作性使ＸＭＬ被广泛地用于分布式网络的信息交换和发布。

一、　ＸＭＬ的特性

（接上页）

序系统。这样对于某些系统而言，如果端口关闭，两个ＩＰ包的ＩＤ字段值相差将不是１，而是２５６，这就必须再做一些额外的处理。

这个程序一个大的缺点就是扫描速度较慢，这可以通过开多个进程或线程的办法来得到一定的解决。但是这也同时带来了进程同步和通信的问题，增加了程序实现的复杂度。

４、可扩充性

种端口扫描技术的一个重要组成部分。更一般地讲，源地址伪造也是网上众多ＤｏＳ、ＤＤｏＳ攻击的主要屏障。不对ＩＰ源地址进行验证，这也是目前Ｉｎｔｅｒｎｅｔ最大的安全隐患。所以，从某种意义上说，网络安全重在管理。当前情况下，主要通过以下两方面的措施来做好网络级防御：

（１）通过路由器（或防火墙）过滤掉源地址是内部网络的外来包；

（２）通过路由器（或防火墙）过滤掉源地址不是内部网

三、端口扫描的防御

针对这种类型的扫描，防御也可以分为两类：主机级和网络级。

１、主机级防御

主机级的防御主要就是做好自己的主机不被黑客用作攻击的跳板。这主要靠利用一些日志工具，定期做好网络数据的分析和备份来实现。幸好网上有大量的这种安全工具下载，可以找到适合自己系统的日志分析软件。

络的输出包。

当然，一种较好的方法是采用入侵检测系统（ＩＤＳ），网上也有许多这样的软件下载。例如开放源码的Ｂｒｏ，不仅免费，还可以针对自己特定的网络对之进行细调。

在今天快速发展的Ｉｎｔｅｒｎｅｔ中，黑客攻击方法层出不穷。要保证计算资源的保密性、有效性、完整性也变得约来越困难。端口扫描作为黑客攻击的一个重要方面，也在不停地向前发展。本文提出的这种利用ＴＣＰ／ＩＰ协议簇本身的缺陷进行端口扫描的方法，可以用在入侵检测系统（ＩＤＳ）和入侵预防系统（ＩＰＳ）设计方面，以便对这些系统进行更好的测试、评估。（作者单位　Ｓ

２、网络级防御

分析以上这种端口扫描方法，可以看到源地址伪造是这

７０

计算机安全　　２００４ ９

XML数字签名VS传统数字签名

讲座培训 服

务

Ｎｅｔｗｏｒｋ＆Ｃｏｍｐｕｔｅｒ　Ｓｅｃｕｒｉｔｙ

在保持文档结构的前提下，ＸＭＬ允许向文档的任意位置添加任意的自定义元素。该特性为信息处理流程中的不同个体向同一份ＸＭＬ文档添加不同的签名提供了可能。

三、　ＸＭＬ数字签名和传统数字签名的对比研

究

基于ＸＭＬ特性开发的ＸＭＬ数字签名和传统数字签名相比，它们在处理任意类型的数据签名时，都能满足数据完整性、不可否认性、身份识别和认证等基本的安全要求。但是在处理ＸＭＬ文档签名时，ＸＭＬ数字签名能够实现传统数字签名所不能实现的签名粒度，表现出强大的功能和技术优势，下面我们将对这方面进行重点研究。

５、内容和形式分离

ＸＭＬ更关注数据本身的意义，它把显示的任务交给ＸＳＬ可扩展样式语言，使得相同的数据可以有不同的表现形式。内容和形式分离既提高了数据的重复利用率，也有利于我们排除形式多样性的干扰，集中精力保护数据本身的安全。

二、　ＸＭＬ数字签名和传统数字签名

数字签名用来保护数据的完整性、不可否认性以及提供身份鉴别。它对保障ＸＭＬ数据的安全也起到了关键的作用。尽管不基于ＸＭＬ的数字签名，如ＰＫＣＳ＃７（Ｐｕｂｌｉｃ　Ｋｅｙ　Ｃｒｙｐ－ｔｏｇｒａｐｈｙ　Ｓｔａｎｄａｒｄｓ　＃７），也能够保证整个ＸＭＬ文档的完整性、不可否认性、身份识别和认证，但是它们都难以满足诸如对ＸＭＬ文档的特定部分签名，多人对同一ＸＭＬ文档签名的实际需要，也难以保持和发挥ＸＭＬ数据的优良性质。　为此，Ｗ３Ｃ定义了一个标准的、基于ＸＭＬ的数字签名表示格式（如图１所示，　其中“＊”表示出现零个或多个，“＋”表示出现一个以上，“？”表示出现零个或一个），并为签署数字内容定义了一个标准的处理模型，我们称之为ＸＭＬ数字签名。相对于Ｗ３Ｃ定义的ＸＭＬ数字签名，我们可以把其他不基于ＸＭＬ的数字签名称为传统数字签名（尽管这不是一个标准称谓）。两者主要的区别在于，ＸＭＬ数字签名返回的是用＜Ｓｉｇｎａｔｕｒｅ＞元素表示的ＸＭＬ格式的签名结果，而传统数字签名返回的是一串原始或经过编码的二进制数据。

＜Ｓｉｇｎａｔｕｒｅ　　ＩＤ？＞＜ＳｉｇｎｅｄＩｎｆｏ＞

＜ＣａｎｏｎｉｃａｌｉｚａｔｉｏｎＭｅｔｈｏｄ／＞＜ＳｉｇｎａｔｕｒｅＭｅｔｈｏｄ／＞（＜Ｒｅｆｅｒｅｎｃｅ　　ＵＲＩ？＞（　＜Ｔｒａｎｓｆｏｒｍｓ＞　）？＜ＤｉｇｅｓｔＭｅｔｈｏｄ＞＜ＤｉｇｅｓｔＶａｌｕｅ＞＜／Ｒｅｆｅｒｅｎｃｅ＞）＋＜／ＳｉｇｎｅｄＩｎｆｏ＞＜ＳｉｇｎａｔｕｒｅＶａｌｕｅ＞（　＜ＫｅｙＩｎｆｏ＞）？（＜Ｏｂｊｅｃｔ　　ＩＤ？＞）＊＜／Ｓｉｇｎａｔｕｒｅ＞

　　　　　　　　　　　　　图１　ＸＭＬ数字签名的结构 …… 此处隐藏：6346字，全部文档内容请下载后查看。喜欢就下载吧 ……