基于XKMS系统的XML密钥管理系统的研究和实现Word文档下载推荐.docx
《基于XKMS系统的XML密钥管理系统的研究和实现Word文档下载推荐.docx》由会员分享,可在线阅读,更多相关《基于XKMS系统的XML密钥管理系统的研究和实现Word文档下载推荐.docx(62页珍藏版)》请在冰豆网上搜索。
Inthepastfewyears,theExtensionMakeupLanguage(XML)hasbeenavaluablemechanismtoexchangedatainInternet.Italsobecomesastrandardwhichenterpiseusetoexchangedata.
XMLcancreatepowerfulprogramwhichpeoplecanuseorvisiteanywhere,itexpendprogram’sfunctionandenablesoftware’suninterruptedtransmission.ALLtheseimproveshouldthankstotightcouplingandhighefficiencyofcomputertechnologywhichcombinedwithfacingmessagerelaxWebconcept.
DuetoanyenterpriseorpersoncanuseWebServiceviaInternet,identityauthenticationandsafetytransfer’ssecuritybecomemoreimportant.BecauseWebServiceuseXMLasit’scurrentdataexchangelanguage,it’snaturetosafeguardWebService‘ssecuritybymeansofXML.PKIhasbeenamaturetechnology,butit’scomplexitypreventpeopleusingiteasily.XKMScanreducecomplexitywhenpeopleusePKI,soitmakesWebServiceeasiertocombinesecuritymechanism,thenApplicationprogramcanassignallPKIprocesstasktothird--parttrustservice.
UsingXMLlanguagetorepresentXKMSandsupportingWSDLandSOAPmessage,ithelpXKMScanbeusednomatterwhatplatform,providerandtransferprotocol.XKMSissuitforWebServiceenvironment.ThispaperdiscussbasicknowledgeandprincipleofXKMSandcarryouttheXKMSsystemonthebasisoftheseknowledge.Themajorworkincluding:
●Analysingdigitalsecurity,XMLtechnologyandXML’ssecurity
●StudyingPKItechnologyandXKMSmodel
●DevelopingXKISSandXKRSSaccordingtoW3Cstrandard
Keywords:
WebService,DigitalSecurity,PKI,XKMS
第一章:
序言7
1.论文研究背景7
1.1Web服务的广泛运用7
1.2XML技术的发展背景7
1.3PKI及XKMS技术的产生的背景8
2论文研究内容8
2.1研究内容8
2.2实际工作8
3论文的组织形式9
第二章:
数字安全基础10
1密码学基本理论10
2对称与非对称密钥算法10
3数字签名与认证12
3.1认证12
3.2数字签名13
第三章:
XML技术及其安全性14
1XML概念14
2XML安全的介绍15
3XML加密16
3.1XML加密概述16
3.2基本XML加密结构16
3.3XML加密语法17
3.4加密处理过程18
4XML签名19
4.1XML签名概述19
4.2XML签名结构19
4.3XML签名语法20
4.4XML签名处理过程22
第四章PKI和Web服务23
1PKI技术介绍23
1.1PKI概念简介23
1.2PKI的组成24
1.3PKI的基本工作过程24
2Web服务技术25
2.1Web服务概述25
2.2SOAP简单对象访问协议26
3PKI和Web服务的联系27
第五章XKMS技术模型29
1.XKMS概述29
1.1XKMS服务30
1.2XKMS的命名空间和优点30
2XML密钥信息规范31
2.1XKISS定位服务31
3XML密钥注册规范34
3.1XML密钥注册规范服务34
3.2密钥注册34
3.3重发密钥39
3.4取消密钥39
3.5密钥恢复39
4XKMS服务示例40
第六章基于XKMS的密钥信息管理系统的实现41
1密钥信息管理系统的结构和设计41
1.1系统的总体结构41
1.2系统构架平台的分析45
2密钥管理系统的安全性分析49
2.1共享密钥的安全存储49
2.2重放攻击49
2.3密钥吊销与密钥恢复时的身份认证49
2.4密钥吊销的身份认证49
2.5密钥吊销的身份认证50
第七章XKMS系统的实现和应用51
1XKRSS模块的实现51
1.1密钥注册51
1.2取消密钥52
1.3密钥恢复53
1.4密钥的更新服务54
1.5密钥的重发54
2XKISS模块的实现55
2.1定位服务55
2.2验证服务56
3应用实例的分析57
第八章结论59
序言
1.论文研究背景
1.1Web服务的广泛运用
简而言之,Web服务就是通过Web提供的服务,另一方面Web服务也是一种软件应用程序,它在基于Internet的协议前提下利用基于XML的消息与其他应用程序进行交互。
XML、RPC、SOAP、WSDL、PKI、XKMS是一些常用的Web服务标准技术之一。
当今的IT领域,Web服务技术受到了普遍的关注。
所以一种理念已经出现,既通过网络将各种服务链接在一起,合并业务应用程序,最终达到占领市场和提高竞争力的目的。
但是那些快速发展的公司已经遭遇了互操作性、体系结构、特别是安全性等方面的难题。
普遍调查显示,Web服务的安全性已经成为绝大多数公司的最大关注点。
黑客、病毒制造者、以及其他业界敌人造成了安全方面的挑战的随之增加。
人们正在研究诸如证书、加密、传输层安全保障等各种方法解决安全性方面的难题。
1.2XML技术的发展背景
1.2.1XML技术的需求发展
XML的前身是70年代发展起来的标准统一置标语言(StandardGeneralizedMakeupLanguage).SGML虽然功能强大,但是过于复杂,不利于传输和处理。
因此IETF在SGML的基础上删繁就简,在1989年提出了简洁的超文本标志语言(HyperTextMakeupLanguage即HTML)。
并很快在WEB应用中取得了巨大的成功。
然而在Web应用的深入发展的大环境下,HTML也逐渐暴露出数据显示描述能力不强、无法描述数据内容、可扩展性差等缺点,对于日益复杂的Web应用显得力不从心。
于是W3C成立了工作组,通过对于SGML的进一步改进,在1998年2月推出XML。
XML具有以下的优点:
●可扩展性:
XML允许客户根据应用的需要,自行定义元素和需要。
●结构化:
XML文档呈树型结构,通过元素的嵌套,可以描述任意层次的文档结构。
●平台无关:
XML文档是一种完全的文本文档,不依赖于任何操作平台。
1.2.2XML技术的安全性问题
XML技术发展至今面临着一系列诸如数据的完整性、可靠性、和不可否认性等问题。
W3C-IETFXML工作组发布了XML签名和XML加密的规范来解决部分XML的数据安全性问题。
本文将在以后的篇章中做具体介绍。
1.3PKI及XKMS技术的产生的背景
在XML加密和签名过程中我们都需要使用到密钥来完成相应的功能。
计算机安全这一主题有了很大的发展,他已经超出了我们的常识,比如不要在钱包中保存信用卡的密码和在所有需要密码的地方使用相同的密码等。
意识到密码的良好习惯并不足以在当前的计算机环境中提供充分的安全后,我们必须借助于某种分布式的技术来构建一个结构,这个结构至少能够建立起一个用于安全计算的构架。
这就是公钥体系结构(PublicKeyInfrastuactue简写PKI)。
为了方便PKI和数字证书与XML应用程序以及使用这些程序的WEB服务的集成。
Microsoft、VeriSign、WebMethods共同开发了一个开放规范,既XMLKeyManagementSpecifiaction(XML密钥管理规范,XKMS)。
2论文研究内容
2.1研究内容
由于XML的优点及越来越多的应用都转到XML上来,所以迫切需要解决XML应用的安全问题。
目前许多专门提供认证服务的企业已经投入了大量的人力和物力来构建基于PKI的CA,并且发放管理着大量的证书。
为了方便PKI数字证书和XML应用程序以及使用这些程序的Web服务进行集成,W3C提议并由Microsoft、VersignWebMethods三家公司共同发起,制定了XKMS密钥管理系统。
XKMS能消除使用PKI的复杂性,使WEB服务在它们各自的应用程序中结合安全机制变得更加容易。
本文将讨论XKMS的有关于注册、发布和处理公钥的协议,使XKMS为XML加密和XML签名提供直接的支持。
2.2实际工作
首先我们分析数字安全基础、XML技术以及其安全性,进而讨论分析PKI技术和XKMS技术模型。
随后我们根据W3C的规范开发XKRSS密钥注册系统和XKISS密钥信息管理系统。
我们首先设计系统框架模型和具体的系统设计,在系统设计的基础上实现了该系统。
最后开发了一个应用来验证该系统工作的重点是如何利用XKMS技术结合XML签名规范和XML加密规范结合使用为XML应用提供安全认证服务。
3论文的组织形式
本文共分六章除第一章绪论外大致内容如下
第二章介绍数字安全技术及其安全性着重介绍密钥的基础知识和数字签名的常识。
第三章深入分XML技术及其安全性
第四章分析XKMS技术模型是本课题的主要的研究内容
第五章结合XKMS和XML技术的解决方案的系统设计该部分是本课题的重
点
第六章在系统设计的基础上实现该系统并开发一个应用实例来验证该系统
最后给出本课题的总结
数字安全基础
1密码学基本理论
现代通讯系统的数据安全是建立在密码学理论和技术基础上面的。
其中密码算法是所有密码技术的基础。
将密码算法的合理运用与组合构成了使用目的不同的安全技术,诸如数据加密、签名、身份认证、密钥管理和数字证书等等。
等安全技术的实施涉及到网络上多个实体时,就需要以安全协议的方式让各方进行有序的协同工作,从而发挥出各种密码算法与安全技术的特点,来保障安全的通讯过程。
基本概念:
●密码学:
密码学是对信息进行编码,实现信息隐藏的一门学科。
●明文(PaintText):
采用密码方法可以隐藏和保护需要保密的信息,使未授权者不能提取信息。
被隐藏的消息叫做明文。
●密文(CipherText):
加密后的结果称为密文。
●加密(Encryption):
用某种方法伪装消息以隐藏其内容的过程称为加密
●解密(Decryption):
把密文转变为明文的过程叫做解密。
●加密算法(EncryptionAlgorithm):
在加密时使用的一组规则,叫做加密算法。
●解密算法(DecryptionAlgorithm
):
解密时使用的规则叫做解密算法。
加密操作和解密操作通常都是在一组密钥(Key)的控制下进行的。
用于加密和解密的数学函数称为密码算法,其安全性都是基于密钥的安全性,而不是依赖于对算法设计细节的保密性。
2对称与非对称密钥算法
根据密码算法使用的密钥,可以将其分为两大类:
对称密钥算法(SymmetricAlgorithm)和公开密钥算法既非对称密钥算法(Public-KeyAlgorithm)。
1.1.1对称密钥算法
对称算法又称为传统的密钥算法。
它的加密密钥和解密密钥可以互相推导得出(这两个密钥在大多数算法中是相同的),由通讯双方通过预共享方式获得。
对称密钥算法的安全完全依赖于密钥的安全,泄露密钥意味着泄露信息。
对称密钥又分为两类:
●序列算法(StreamAlgorithm):
将明文中的单个位(有时对字节)加密运算的算法称为序列算法。
●分组算法(BlockAlgorithm):
将明文消息分组,逐组进行加密运算的密码算法称为分组算法。
现代计算机密码算法的典型分组长度为64位。
对称密钥算法不仅可以用于数据加密,也可以用于消息的认证。
目前常见的对称密钥加密算法有DES、3DES、IDEA、RCS等。
以对称密钥算法为基础的密钥体制称为对称密码体制。
对称密钥的体制的优点是效率高、速度快、系统开销少、适合加密大量的数据。
但是随着网络用户的增加,数据加密所需的密钥数量会以几何级数的增长,众多密钥的分发、共享和管理将会成为一个非常复杂和困难的问题,并容易带来安全隐患。
1.1.2非对称密钥算法
非对称密钥算法的加密密钥不同于解密密钥。
在这种加密方式下,加密密钥也被称为公钥(PublicKey),解密密钥也被称为私钥(PrivateKey).通常私钥不能在合理的时间长内根据公钥推导而出。
当使用私钥加密而使用公钥解密的时候,由于私钥的保密性,解密的一方就能明确消息的传递来源,判断对方的身份,并验证消息的篡改。
非对称加密的这一特性是对称加密所不具备的,它被运用到数字签名技术之中。
以非对称密码算法为基础的密码体制称为公钥密码体制。
公钥密码体制是密码学上划时代的事件,它为解决计算机信息网中的安全问题提供了新的理论和技术基础。
它弥补了对称密码体制的缺点,密钥管理简单,基本解决了抗否认性问题。
但是非对称密钥算法处理速度慢,使用效率低。
因此,通常把对称密钥算法和公开密钥算法结合起来使用。
既用非对称密钥技术在通讯双方之间加密传递对称密钥,而使用对称密钥算法对实际传送的数据进行解密处理。
目前比较常见的公开密钥算法有RSA、DSA等,本论文就是使用RSA算法对XKMS消息以及消息中的元素进行加密。
1.1.3HASH函数
HASH函数又被称为杂凑函数、哈希函数、单向散列函数。
它是把任意长度的输入串M(称为预映射)转换为固定长度(通常是更短)输出串(称为散列值或消息摘要)的函数。
当预映射发生变换的时候,散列值也发生相应的变换。
HASH函数具有单向性,所谓的单向性就是根据预映射的值计算散列值很容易,但是相反的要找到散列值等于特定值的预运算是不可行的。
单向散列函数的安全性就在于他的单向性。
好的单向散列函数还是无冲突的,既他们难以产生两个预映射的值。
还有一类带有秘密密钥的单向散列函数,被称为消息鉴别码(MessageAuthenticationCode简称MAC)其散列值是预映射的值和密钥的函数。
由于与密钥有关,只有持有次密钥的人才能计算出相应的散列值,因此消息鉴别码具有身份验证的功能。
单向散列函数通常比加密和数字签名的算法快,散列值也比原文档小,因此一般通过对消息进行单向散列运算来实现完整性检查和数字签名。
目前常用的单向散列函数有MD5、和SHA等,其中MD5产生128位的散列值。
3数字签名与认证
3.1认证
认证又被称为鉴别,是防止入侵者对系统进行主动攻击的重要技术。
认证是最主要的安全技术之一,甚至可以说,其他的安全技术都要建立在认证的基础上,认证的主要目的有两个:
●实体认证:
验证信息发送者的真实性,防止伪装和假冒。
包括信源、信宿等的认证与识别。
●消息认证:
验证信息的完整性,检查数据在传送或存储过程中是否被篡改、重放或迟延。
由G.J.Simmons发展的认证系统信息理论,是研究认证问题的理论基础,上节介绍的HASH函数是认证算法的基本组成部分,而在这之上的数字签名技术则是实现认证的重要工具和手段。
3.2数字签名
简单地说,所谓数字签名就是附加在数据单元上的一些数据,或是对数据单元所作的密码变换。
这种数据或变换允许数据单元的接收者用以确认数据单元的来源和数据单元的完整性并保护数据,防止被人(例如接收者)进行伪造。
它是对电子形式的消息进行签名的一种方法,一个签名消息能在一个通信网络中传输。
数字签名在身份认证、数据完整性、抗否认性等方面有着重要的应用。
他必须满足以下要求:
●接受者能够核实发送者对报文的签名
●发送者事后不能抵赖对报文的签名
●接受者不能伪造对报文的签名
基于公钥密码体制和私钥密码体制都可以获得数字签名,目前主要是基于公钥密码体制的数字签名。
包括普通数字签名和特殊数字签名。
普通数字签名算法有RSA、ElGamal、Fiat-Shamir、Guillou-Quisquarter、Schnorr、Ong-Schnorr-Shamir数字签名算法、Des/DSA,椭圆曲线数字签名算法和有限自动机数字签名算法等。
特殊数字签名有盲签名、代理签名、群签名、不可否认签名、公平盲签名、门限签名、具有消息恢复功能的签名等,它与具体应用环境密切相关。
显然,数字签名的应用涉及到法律问题,美国联邦政府基于有限域上的离散对数问题制定了自己的数字签名标准(DSS)。
一些国家如法国和德国已经制定了数字签名法。
以下我们使用了一个示例来阐明数字签名的具体过程:
为了使用公钥加密对消息进行数字签名,甲方首先将哈希算法应用于该消息以创建消息摘要。
该消息摘要是数据的紧凑且唯一的表示形式。
然后,甲方用她的私钥加密该消息摘要以创建她的个人签名。
在收到该消息和签名时,乙方使用甲方的公钥解密签名以恢复该消息摘要,并使用与甲方所使用的相同的哈希算法来散列该消息。
如果乙方计算的消息摘要与从甲方那里收到的消息摘要完全一致,乙方就可以确定该消息来自私钥的持有人,并且数据未被修改过。
如果乙方相信甲方是私钥的持有人,则他知道该消息来自甲方。
XML技术及其安全性
1XML概念
XML的全名是ExtensibleMarkupLanguage(可扩展的标记语言)。
它的语法类似HTML,都是用标签来描述数据。
HTML的标签是固定的我们只能使用不能修改,XML则不同它没有预先定义好的标签可以使用,而是依据设计上的需要自行定义标签、是可扩展的。
XML的设计思想是用来描述数据,XML可以自我描述、XML用文档类型定义的方式来正式的定义约束XML文档。
XML是一个元语言,根据不同的行业和语义由它可以派生出许许多多的协议和规范。
比如文档格式化标准、文档显示模式定义、文档查询标准、文档解析标准和文档链接标准等等。
而且基于XML这个低层的规范还有很多高层的应用协议,比如开放贸易协议SOAPBizTalk等等.
2XML安全的介绍
XML日益成为在Internet上交换数据的有价值形式,从而实现互操作性。
因此要保证WebServices的安全性,必须先保证XML的安全性。
在WebServices中,服务的请求和响应主要是利用XML消息。
为了更好适应WebServices这种环境,为XML消息制定了一个特有的协议。
这种基于XML的协议称为SOAP(SimpleObjectAccessProtocol)协议。
SOAP是用于数据交换的轻量级的以XML为基础的协议。
它促进了由远程过程调用和响应产生的数据传送。
它设计成用于分布式和远程应用程序中,并且它是WebServices的主要组件。
因为SOAP是基于XML的,所以用于XML安全的规范和方法也能用于SOAP.
目前,加密整个XML文档、测试其完整性和确认其发送方的可靠性是一个简单的过程.使用公开密钥基础设施和数字证书等技术就可以达到目的。
但是,由于WebServices这种新型分布式应用的特点,越来越有必要对文档的某些部分也使用这些功能,以便以任意顺序加密和认证以及涉及不同用户或发起方。
因为WebServices的SOAP消息可能必须经过多方传输,但在发送方到接收方的整个过程中要保证端到端的安全性。
如果将整条XML消息或SOAP消息进行加密的话,那么中转方将不能获得对其中转行为有帮助的信息,其必须在中转之前对消息进行解密,获得下一目的地的信息才能继续发送。
在这一过程中,就有可能泄漏了消息的某些重要信息。
因此在WebServices环境中,不能对整条消息进行加密,只能根据需要对某些元素或属性进行加密。
另外WebServices环境中的多个通讯方对某一条具体的消息可能有不同的权限,也就是说,不同人对于同一条消息的不同部分可获得的权限都不
升级会员 