《電子技術(shù)應(yīng)用》
您所在的位置:首頁(yè) > 其他 > 業(yè)界動(dòng)態(tài) > XML文檔信息的加密方法及其實(shí)現(xiàn)

XML文檔信息的加密方法及其實(shí)現(xiàn)

2008-07-17
作者:王 軍, 李 菊

??? 摘 ? 要: 以XML文檔的結(jié)構(gòu)模型為基礎(chǔ),研究了XML 的加密原理。著重探討了XML文檔的加密及解密機(jī)制,詳細(xì)敘述了運(yùn)用3DES" title="3DES">3DES算法實(shí)現(xiàn)XML文檔信息的加密方法。
??? 關(guān)鍵詞: 加密 XML 3DES

?

??? XML由于其開放性現(xiàn)已成為萬(wàn)維網(wǎng)重要的信息發(fā)布標(biāo)準(zhǔn)和信息交互標(biāo)準(zhǔn),越來(lái)越多的應(yīng)用之間采用XML作為數(shù)據(jù)交換的格式[1],XML的數(shù)據(jù)表示和數(shù)據(jù)交換兩大功能可以很好地滿足各類應(yīng)用的要求。然而,基于Web的數(shù)據(jù)信息服務(wù)中的安全問題卻有待進(jìn)一步解決[2],XML數(shù)據(jù)的安全問題現(xiàn)已成為當(dāng)今各類應(yīng)用的瓶頸之一。
??? 典型安全協(xié)議如SSL/TLS受限于網(wǎng)絡(luò)通信端點(diǎn),只能對(duì)全部信息進(jìn)行加密,而不能有選擇地對(duì)部分信息進(jìn)行加密,傳送大量數(shù)據(jù)時(shí)會(huì)有性能方面的問題,而且SSL只能確保點(diǎn)對(duì)點(diǎn)的安全,無(wú)法保障端到端的安全[3]。GSS-API和基于GSS-API的安全機(jī)制" title="安全機(jī)制">安全機(jī)制SPKM和Kerberos主要是為松散連接的體系結(jié)構(gòu)而設(shè)計(jì)的,GSS-API應(yīng)有獨(dú)立于傳輸?shù)陌踩珯C(jī)制,安全機(jī)制獨(dú)立性意味著密碼技術(shù)、身份表示和數(shù)據(jù)簽名等潛在技術(shù)被完全封裝。VPN的解決方案存在費(fèi)用昂貴,維護(hù)配置煩瑣的缺點(diǎn)[4]。為更好地實(shí)現(xiàn)網(wǎng)絡(luò)數(shù)據(jù)的安全交換,本文討論運(yùn)用3DES加密算法進(jìn)行XML文檔信息的加密及解密,并給出具體實(shí)現(xiàn)方法。
1?XML文檔結(jié)構(gòu)
??? XML文檔結(jié)構(gòu)可以表示成類樹形結(jié)構(gòu)" title="樹形結(jié)構(gòu)">樹形結(jié)構(gòu),稱之為元素樹。樹的頂點(diǎn)由唯一的字符串標(biāo)記,稱為對(duì)象標(biāo)識(shí);樹的邊用Element Tag標(biāo)記;樹的內(nèi)部節(jié)點(diǎn)用一組屬性值標(biāo)記,屬性列表包含了該元素的所有屬性,即屬性名、屬性值和屬性類型,樹只有一個(gè)根節(jié)點(diǎn)。
??? 一棵元素樹就是一個(gè)DTD所包含元素之間的關(guān)系樹,它的葉子節(jié)點(diǎn)表達(dá)式是一個(gè)樹表達(dá)式,該表達(dá)式定義了以葉子節(jié)點(diǎn)的父節(jié)點(diǎn)為根的關(guān)系樹。元素樹的每一個(gè)節(jié)點(diǎn)對(duì)應(yīng)于DTD中的一個(gè)元素。每個(gè)節(jié)點(diǎn)包含屬性列表、子元素列表和其他信息。子元素列表包含該元素的所有子元素,每個(gè)子元素對(duì)應(yīng)一個(gè)新的節(jié)點(diǎn)。其他信息包括:父節(jié)點(diǎn)、元素內(nèi)容模式、元素內(nèi)容出現(xiàn)次數(shù)和元素文本內(nèi)容等[5]。
2 3DES加密算法
??? 加密算法主要分為兩大類:對(duì)稱密碼加密算法與非對(duì)稱" title="非對(duì)稱">非對(duì)稱密碼加密算法[6]。對(duì)稱密碼加密算法如DES、3DES、AES等,非對(duì)稱密碼加密算法如DSA、RSA等。由于算法復(fù)雜度的區(qū)別,采用對(duì)稱密碼進(jìn)行加密和解密的速度通常比采用非對(duì)稱密碼進(jìn)行加密和解密的速度快得多[7]。XML加密支持當(dāng)前流行的一系列加密算法如:塊加密、流加密、對(duì)稱加密、非對(duì)稱加密、消息摘要等??紤]到電子商務(wù)的安全性及加密效率的需求,XML中的數(shù)據(jù)加密" title="數(shù)據(jù)加密">數(shù)據(jù)加密采用對(duì)稱密碼實(shí)現(xiàn)。

??? 3DES(即Triple DES)是DES加密算法的一種模式,是DES向AES過渡的一種加密算法。DES采用分塊加密方式,將明文分割成64bit的塊,使用56bit密鑰對(duì)數(shù)據(jù)塊進(jìn)行加密,并對(duì)64bit的數(shù)據(jù)塊進(jìn)行16輪編碼。3DES使用三條64bit的密鑰對(duì)數(shù)據(jù)進(jìn)行三次加密。加密分為三步,每一步的密鑰都不一樣,破譯將比較復(fù)雜,與DES相比,3DES更為安全。
3 XML文檔加密方法
??? 根據(jù)XML的類樹形結(jié)構(gòu),可以建立符合XML語(yǔ)法規(guī)則的數(shù)據(jù)標(biāo)簽元素,它是XML加密語(yǔ)法的核心。元素從抽象類型派生,與元素一起用來(lái)將加密密鑰從發(fā)起方傳送到已知的接收方。元素描述的加密數(shù)據(jù)可以是根元素對(duì)應(yīng)的非空樹、中間元素對(duì)應(yīng)的非空樹或葉子元素中的數(shù)據(jù)內(nèi)容。
??? 采用元素對(duì)XML數(shù)據(jù)進(jìn)行加密的過程,就是以元素替換XML文檔中的相應(yīng)非空樹的過程。根據(jù)被加密元素在原XML中的層次關(guān)系,加密后的 元素可能成為新的XML文檔的根元素的子元素,但一個(gè)元素不能是另一個(gè)元素的父元素或子元素,即元素不能嵌套使用。在應(yīng)用中,若需要對(duì)元素中的內(nèi)容進(jìn)行加密,則元素將作為的子元素進(jìn)行替代。
4 XML文檔加密實(shí)現(xiàn)
??? 使用對(duì)稱加密算法3DES對(duì)XML文件進(jìn)行加密首先要使用XML 的DOM編程接口技術(shù)選擇需要加密的內(nèi)容,然后使用加密算法對(duì)其進(jìn)行加密。
??? 清單1:
???
???
??? ……
????
?? ???????? 123456789?
??????????? 2007-2-26?
 ?????

???

??? 清單1給出了企業(yè)會(huì)員信息的XML形式樣例。其中,會(huì)員卡號(hào)是屬于保密信息,需采用加密方法進(jìn)行加密。
??? 清單2:
??? ……
??? XmlDocument xmlDoc = new XmlDocument();
??? xmlDoc.PreserveWhitespace = true;
??? xmlDoc.Load("Example.xml");
??? TripleDESCryptoServiceProvider tDESkey = new TripleDES
???????? CryptoServiceProvider();
??? TrippleDESDocumentEncryption xmlTDES = new TrippleDES
???????? DocumentEncryption(xmlDoc, tDESkey);
??? xmlTDES.Encrypt("creditcard");
??? 清單2是XML文檔相關(guān)信息的加密實(shí)現(xiàn)。首先,將Example.xml文件讀入,通過創(chuàng)建用戶自定義類,傳入?yún)?shù)Creditcard進(jìn)行加密。如果要加密XML文件中的其他元素或節(jié)點(diǎn),可以結(jié)合使用XPath表達(dá)式定位該節(jié)點(diǎn)。微軟在.NET框架中擴(kuò)展了W3C的DOM標(biāo)準(zhǔn),對(duì)XmlNode對(duì)象提供了OuterXml、InnerXml和InnerText三個(gè)屬性,分別用來(lái)表示當(dāng)前節(jié)點(diǎn)和它所有子節(jié)點(diǎn)的XML標(biāo)記。
??? 清單3:
??? protected XmlDocument docValue;
??? protected TripleDES algValue;
??? public XmlDocument Doc { set { docValue = value; } get
??????? { return docValue; } }
??? public TripleDES Alg { set { algValue = value; } get {
??????? return algValue; } }
??? public TrippleDESDocumentEncryption(XmlDocument Doc,?
??????? TripleDES Key)
????{if (Doc != null) docValue = Doc;
?????? else throw new ArgumentNullException("Doc");
?????? if (Key != null) algValue = Key;
?????? else throw new ArgumentNullException("Key");  }
??? 清單3列出了Tripple- DESDocumentEncryption類的具體實(shí)現(xiàn)。在清單3的基礎(chǔ)上加入XML文檔的輸入及輸出,即成為一個(gè)完整的XML加密程序。經(jīng)過加密的XML文檔發(fā)送到接收方后,使用相同的密鑰按相同的算法就能進(jìn)行解密,解密過程與加密過程正好相反。
? ?清單4:
????public static void Decrypt(XmlDocument Doc, Symmetric
???????? Algorithm Alg, string KeyName)
??? {?EncryptedXml exml = new EncryptedXml(Doc);
???????? exml.AddKeyNameMapping(KeyName,Alg);
???????? exml.DecryptDocument();  }
??? 清單4列出了XML解密過程的核心算法。其中,參數(shù)Doc指向XML密文;Alg存儲(chǔ)解密該XML密文所需要的3DES Key;字符型變量KeyName說(shuō)明該密鑰的名稱。
??? 清單5:
???
???
??????? Wang Jun
??????? 02512345678
??????? wangjun@sohu.com
????????
???????
???????
??????? QWU8DkJHdmHS2frkeFj414F+b85EQ
???????????? ……?t5ml0DpqO /CipherValue>
???????

???????
??

??? 清單5是加密元素后的XML 文件。在加密后的XML文件中,整個(gè)元素都被元素取代,加密后的數(shù)據(jù)以Base-64編碼格式存放于元素的子元素內(nèi)。
??? 屬性被指定為媒介類型,本例是對(duì)整個(gè)元素進(jìn)行加密的明文替換,所以使用了http:// www.w3.org/2001/04/xmlenc#Element作為屬性值。元素是的一個(gè)子元素,其主要功能是識(shí)別加密算法和可能的輔助參數(shù),如密鑰長(zhǎng)度、填充長(zhǎng)度、加密模式等。加密算法用URI標(biāo)識(shí)符表示。在本例中通過URI表示使用了tripledes加密,并使用CBC進(jìn)行填充。
??? 本文以XML文檔的文檔結(jié)構(gòu)模型為基礎(chǔ),運(yùn)用3DES對(duì)稱加密算法實(shí)現(xiàn)了基于XML文檔的數(shù)據(jù)加密與解密,實(shí)現(xiàn)了對(duì)XML文檔內(nèi)部相關(guān)信息的加密,把加密粒度細(xì)化到XML文檔元素和屬性級(jí)別,同時(shí)還實(shí)現(xiàn)了對(duì)同一文檔的不同信息部分實(shí)施不同的XML安全策略,使得同一文檔加密后對(duì)不同的用戶可以呈現(xiàn)不同視圖,這對(duì)與XML相關(guān)的安全領(lǐng)域應(yīng)用很有意義。
參考文獻(xiàn)
[1] ?曹穎,蘇錦海. 基于XML 的信息加密方法及其實(shí)現(xiàn)[J].計(jì)算機(jī)工程與設(shè)計(jì), 2006,27(6):1045-1047.
[2] ?李斌,陳鐘榮.J2EE平臺(tái)技術(shù)在氣象信息系統(tǒng)中的應(yīng)用研究[J].南京氣象學(xué)院學(xué)報(bào), 2006,29(2):274-281.
[3] ?RESCORLA E. SSL與TLS[M]. 北京:中國(guó)電力出版社,?2002.
[4] ?GUDIVADA V N, RAGHAVAN V V. Content based?image retrieval systems[J]. IEEE Computer, 1995,28(9):
?18-22.
[5] ?SODIUM B. Exploring XML encryption [EB /OL].?http://www.106. ibm. com/developerworks/xml/,2003.
[6] ?HUGHES M. Decryption transform for XML signature?[EB/?OL].http: //www.w3.org/TR /xmlenc-decrypt, 2003.
[7] ?葉曉彤. 基于XML部分加密的局部安全通的實(shí)現(xiàn)[J].四川師范大學(xué)學(xué)報(bào):自然科學(xué)版, 2003,26(4):433-436.

本站內(nèi)容除特別聲明的原創(chuàng)文章之外,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,并不代表本網(wǎng)站贊同其觀點(diǎn)。轉(zhuǎn)載的所有的文章、圖片、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無(wú)法一一聯(lián)系確認(rèn)版權(quán)者。如涉及作品內(nèi)容、版權(quán)和其它問題,請(qǐng)及時(shí)通過電子郵件或電話通知我們,以便迅速采取適當(dāng)措施,避免給雙方造成不必要的經(jīng)濟(jì)損失。聯(lián)系電話:010-82306118;郵箱:aet@chinaaet.com。