XML技術(shù)綜述報告目錄TOC\o"1-3"\h\u18864XML技術(shù)綜述報告 1257191.1XML應(yīng)用領(lǐng)域 29041.2可擴展樣式表語言轉(zhuǎn)換(XSLT) 3267071.3基于XML的加密技術(shù)研究 48751.4基于XML的簽名技術(shù) 8XML是ExtensibleMarkupLanguage（即可擴展標記語言）的縮寫，它是W3C(萬維網(wǎng)聯(lián)盟)于1995年初制定的一種新的描述語言[1][2]，用于描述數(shù)據(jù)文檔中數(shù)據(jù)的組織和安排結(jié)構(gòu)。XML是以一種簡單、標準、并可擴充的方式，將各種信息如文本、表格，以及圖形、圖像等以原始數(shù)據(jù)(RawData)的方式存儲，并加入一些可供標識的標記(Tags)。網(wǎng)絡(luò)中的服務(wù)器(Servers)及客戶端設(shè)備(ClientDevices)根據(jù)這些可供標識的標記將信息內(nèi)容讀取，并作進一步處理，以獲得自己所需的信息。XML的出現(xiàn)給數(shù)據(jù)交換帶來了一場革命，它成為下一代網(wǎng)絡(luò)發(fā)展的基石。作為一種可用來制定具體應(yīng)用語言的元語言，XML既具有強大的描述能力，又具有適合網(wǎng)絡(luò)應(yīng)用的簡潔性。它具有適于異構(gòu)應(yīng)用間數(shù)據(jù)共享，可以進行數(shù)據(jù)檢索和提供多語種支持等優(yōu)點，這些優(yōu)點于XML的數(shù)據(jù)存儲機制緊密相關(guān)。XML主要具有以下優(yōu)點[3][4][5]：1.適于異構(gòu)應(yīng)用系統(tǒng)間的數(shù)據(jù)共享XML具有靈活性和擴展性，可以對不同應(yīng)用甚至是差異很大的應(yīng)用間的數(shù)據(jù)進行描述。XML具有自我描述的特性，數(shù)據(jù)可以在不同的應(yīng)用間交換和處理，而不必要求相應(yīng)的應(yīng)用程序是針對該數(shù)據(jù)定制的。1.強大的數(shù)據(jù)檢索能力XML屬于元標記語言，用戶只要在XML的文檔類型定義文件(Schema或DTD文件)中定義一系列有意義的標記，即可按照任意的條件查詢和檢索，甚至實現(xiàn)自動檢索。而相應(yīng)的檢索引擎可以是通用的，不必局限于具體的應(yīng)用。3.XML數(shù)據(jù)存儲機制在存儲信息時，XML具有如下優(yōu)越性：XML格式是基于文本的，更容易讀寫記錄，也便于調(diào)試；XML文檔可使用已為HTML建立的很多基礎(chǔ)結(jié)構(gòu)，包括HTTP協(xié)議和某些瀏覽器；應(yīng)用程序可依賴XML分析器進行某些機構(gòu)驗證及數(shù)據(jù)類型檢查；XML建立在Unicode基礎(chǔ)上，使得創(chuàng)建國際化文檔更容易。4.XML提供了靈活的數(shù)據(jù)格式，適合于Web傳輸和內(nèi)容集成XML具有豐富的表達格式，容易被裁剪和控制，可以根據(jù)用戶的喜好，以適當?shù)男问皆谝晥D中動態(tài)表現(xiàn)給用戶，它是可以用于本地計算的數(shù)據(jù)，XML解析器可以讀取數(shù)據(jù)，并將它遞交給本地應(yīng)用程序(例如瀏覽器)進一步查看或處理，數(shù)據(jù)也可以由使用XML對象模型的腳本或其他編程語言來處理；5.XML不需要專門的開發(fā)工具和技術(shù)，對操作系統(tǒng)的要求非常簡單。6.跨越防火墻通信。XML文檔可使用己為HTTP建立的很多基礎(chǔ)結(jié)構(gòu)，包括HTTP協(xié)議和某些瀏覽器，HTTP允許穿過防火墻傳輸XML。1.1XML應(yīng)用領(lǐng)域作為SGML的一個子集，XML在SGML的應(yīng)用領(lǐng)域中有廣泛的應(yīng)用空間。除此之外，XML在其他很多方面也有著重要用途。1.XML可以從HTML中分離數(shù)據(jù)通過XML，可以在HTML文件之外存儲數(shù)據(jù)。在不使用XML時，HTML用于顯示數(shù)據(jù)，數(shù)據(jù)必須存儲在HTML文件之內(nèi)，但是使用了XML，數(shù)據(jù)就可以存放在分離的XML文檔中。這種方法可以使精力集中到使用HTML做好數(shù)據(jù)的顯示和布局上，并確保數(shù)據(jù)改動時不會導(dǎo)致HTML文件也需要改動。這樣可以方便維護頁面。XML數(shù)據(jù)同樣可以以“數(shù)據(jù)島”的形式存儲在HTML頁面中。1.XML用于交換數(shù)據(jù)通過XML，可以在不兼容的系統(tǒng)之間交換數(shù)據(jù)。在現(xiàn)實生活中，計算機系統(tǒng)和數(shù)據(jù)庫系統(tǒng)所存儲的數(shù)據(jù)有N*N種形式，對于開發(fā)者來說，最耗時間的就是在遍布網(wǎng)絡(luò)的系統(tǒng)之間交換數(shù)據(jù)。把數(shù)據(jù)轉(zhuǎn)換為XML格式存儲將大大減少交換數(shù)據(jù)的復(fù)雜性，還可使這些數(shù)據(jù)能被不同的程序讀取。3.XML與B2B使用XML，可以在網(wǎng)絡(luò)中交換金融信息。XML正在成為遍布網(wǎng)絡(luò)的商業(yè)系統(tǒng)之間交換金融信息所使用的主要語言。許多與B2B有關(guān)的完全基于XML的應(yīng)用程序正在開發(fā)中。在不遠的將來可以期望看到更多關(guān)于XML和B2B的應(yīng)用。4.XML可用于共享數(shù)據(jù)通過XML，純文本文件可以用來共享數(shù)據(jù)。既然XML數(shù)據(jù)是以純文本格式存儲的，那么XML就提供了一種與軟件和硬件無關(guān)的共享數(shù)據(jù)方法。這樣創(chuàng)建一個能夠被不同的應(yīng)用程序讀取的數(shù)據(jù)文件就變得簡單。同樣，升級操作系統(tǒng)、升級服務(wù)器、升級應(yīng)用程序、更新瀏覽器就容易多了。5.XML可用于存儲數(shù)據(jù)利用XML，純文本文件可以用來存儲數(shù)據(jù)。大量的數(shù)據(jù)可以存儲到XML文件中或者數(shù)據(jù)庫中。應(yīng)用程序可以讀寫和存儲數(shù)據(jù)，一般的程序可以顯示數(shù)據(jù)。6.XML可充分利用數(shù)據(jù)使用XML，數(shù)據(jù)可以被更多的用戶使用。既然XML是與軟件、硬件和應(yīng)用程序無關(guān)的，所以可以使數(shù)據(jù)被更多的用戶、更多的設(shè)備所利用，而不僅是基于HTML標準的瀏覽器。其他客戶端和應(yīng)用程序可以把XML文檔像待數(shù)據(jù)庫一樣作為數(shù)據(jù)源處理，使得數(shù)據(jù)可以被各種閱讀器處理。7.可用于創(chuàng)建新的語言XML還是WAP和WML語言的源語言，XML采用的是XML的標準。無線標記語言WML(TheWirelessMarkupLanguage)可應(yīng)用于手持設(shè)備上的Internet程序。1.2可擴展樣式表語言轉(zhuǎn)換(XSLT)XSLT是擴展樣式表轉(zhuǎn)換語言（ExtensibleStylesheetLanguageTransformations）的簡稱，這是一種對XML文檔進行轉(zhuǎn)化的語言[10][11]。XSLT用于將一種XML文檔轉(zhuǎn)換為另外一種XML文檔，或者可被瀏覽器識別的其他類型的文檔，比如HTML和XHTML。通常，XSLT是通過把每個XML元素轉(zhuǎn)換為(X)HTML元素來完成這項工作的。使用XPath表達式對源文檔樹進行導(dǎo)航。XPath可以定位選擇來自源文檔中的數(shù)據(jù)，XSLT指令元素用于定義如何處理這些數(shù)據(jù)。所有的XSLT表達式必須遵循XPath規(guī)范概括的表達式語法標準，其中定位路徑表達式是XSLT中最常用的一種，可采用絕對或相對的定位路徑表達式，也可以采用縮寫或非縮寫的定位路徑表達式。在XSLT中，XPath表達式的作用主要有：匹配節(jié)點集以執(zhí)行模板；比較節(jié)點集以控制條件處理；選擇節(jié)點集來改變當前的上下文并使執(zhí)行流經(jīng)過整個源文檔；選擇節(jié)點集得到輸出。XSLT文檔本身是一個格式良好的XML文檔，它被鏈接到需要轉(zhuǎn)換的XML文檔，通過XSLT處理器進行處理，實現(xiàn)對XML文檔進行轉(zhuǎn)換。XSLT將要處理的XML文檔視為一個節(jié)點樹，稱為源樹(sourcetree)，將轉(zhuǎn)換結(jié)果也視為一個節(jié)點樹，稱為結(jié)果樹(resulttree)。結(jié)果樹與源樹是分離的，結(jié)果樹的結(jié)構(gòu)可以與源樹完全不同。創(chuàng)建結(jié)果樹時，來自源樹的元素可以被過濾和重排序，并可以添加任意結(jié)構(gòu)。XSLT使用XPath表達式對源文檔樹進行導(dǎo)航。XPath可以定位選擇來自源文檔中的數(shù)據(jù)，XSLT指令元素用于定義如何處理這些數(shù)據(jù)。所有的XSLT表達式必須遵循XPath規(guī)范概括的表達式語法標準，其中定位路徑表達式是XSLT中最常用的一種，可采用絕對或相對的定位路徑表達式，也可以采用縮寫或非縮寫的定位路徑表達式。在XSLT中，XPath表達式的作用主要有：匹配節(jié)點集以執(zhí)行模板；比較節(jié)點集以控制條件處理；選擇節(jié)點集來改變當前的上下文并使執(zhí)行流經(jīng)過整個源文檔；選擇節(jié)點集得到輸出。目前，XSLT有兩個版本分別為：XSLT1.0和XSLT1.0。XSLT1.0在輸入、輸出方面都有很大的局限性。XSLT1.0在XSLT1.0基礎(chǔ)上做了很大的改進，XSLT1.0可以一個輸入一個輸出，也可以支持一個輸入多個輸出。1.3基于XML的加密技術(shù)研究XML加密技術(shù)用于對數(shù)據(jù)進行加密，形成XML格式文件后再安全地發(fā)送給一個或多個接收方。XML加密的目標是用XML描述一個經(jīng)過數(shù)字加密的Web資源，可以是HTML文件、XML文件、JPG文件和其他任何文件，也可以是XML文件中的任何元素和內(nèi)容。XML加密技術(shù)主要用于保證數(shù)據(jù)存儲和交換過程中的保密性。1.3.1XML加密的特點XML加密技術(shù)能夠?qū)φ麄€文件加密，這與其他加密方法類似，但作為一種結(jié)構(gòu)化數(shù)據(jù)，XML加密的優(yōu)點是能夠控制對不同元素的授權(quán)查看。XML加密技術(shù)的主要特點有[12][13]:1.支持包括XML文檔在內(nèi)的任意數(shù)字內(nèi)容的加密。1.確保經(jīng)過加密的數(shù)據(jù)不管是在傳輸過程中還是在存儲時，都不能被未經(jīng)授權(quán)的人員訪問。3.在數(shù)據(jù)傳輸過程中的每個節(jié)點都能保持數(shù)據(jù)的安全性，即不僅要保證數(shù)據(jù)在傳輸?shù)倪^程中的安全性，也要保證數(shù)據(jù)在某個特定節(jié)點停留時的安全性。4.可以XML形式表現(xiàn)被加密的數(shù)據(jù)。5.可以從XML文檔中選出一部分內(nèi)容進行加密。除此之外，XML加密還允許在最終加密的XML文件中說明用于加密的算法，或者加入用于加密的密鑰。XML加密技術(shù)實現(xiàn)這種應(yīng)用的方法是引入了加密顆粒度(EncryptionGranularity)的概念。對每個XML文件的加密顆粒度有[14]：1、整個文件2、文件中的元素3、文件中元素的內(nèi)容4、對加密過的元素或內(nèi)容進行再加密，即超級加密(Super-Encryption)這樣，就能夠選擇對文件內(nèi)的不同信息進行不同的加密處理。使用XML加密技術(shù)生成的文件是格式正規(guī)的XML文件，文件中使用<EncryptedData>元素構(gòu)建加密數(shù)據(jù)，該元素包含與加密或解密信息相關(guān)的數(shù)據(jù)，如加密密鑰的信息(使用<ds:KeyInfo>元素)、算法信息(使用<EncryptionMethod>元素)、加密數(shù)據(jù)(使用<CipherData>元素)以及加密數(shù)據(jù)的引用(使用<CipherReference>元素)等。在生成的加密數(shù)據(jù)文件中，<EncryptedData>元素用來代替加密的數(shù)據(jù)，不管被加密的數(shù)據(jù)是XML文件的根元素或內(nèi)部節(jié)點，在前一種情況下，<EncryptedData>元素實際上變成了文件的根元素，后一種情況下該元素和它的內(nèi)容一起被刪除并用<EncryptedData>元素代替。XML加密對其他非XML文件，如HTML文件、JPG文件等實現(xiàn)加密的方式與加密整個XML文件一樣，但這些文件要先通過Base64編碼轉(zhuǎn)換為XML格式。1.3.2XML加密的方式XML加密為加密結(jié)構(gòu)化數(shù)據(jù)和以標準XML格式表示加密結(jié)果提供了一種標準的方法。XML加密允許加密任何數(shù)據(jù)，這些數(shù)據(jù)既可以是一個完整的XML文檔或是一個文檔中的指定元素。加密結(jié)果隨后被表示為一個XML加密元素，這個XML加密元素既可以直接含有加密的數(shù)據(jù)，也可以直接地從外部引用加密的數(shù)據(jù)。根據(jù)加密顆粒度的描述，XML加密有四種方式:加密整個XML文件、加密XML文件中的元素、加密XML文件中元素的內(nèi)容、對加密過的元素或內(nèi)容進行再加密。以下，通過一個具體文件實例說明這四種加密方式。代碼1.1是一個加密前的XML。<?xmlversion="1.0"encoding="UTF-8"?><Customer><Name>Kenneth</Name><Tel>lt;/Tel><Address>Shanghai</Address><CreditCardLimit='5,000'Currency='USD'><Number>123456</Number><ExpirationDate>2012-12-31</ExpirationDate></CreditCard></Customer>代碼1.1XML文檔1.針對XML文件中元素的加密：在上面代碼中，由于信用卡號即<CreditCard>元素是隱私資料，當我們希望將這個資料隱藏起來時，就針對<CreditCard>這個元素進行加密，加密后<EncryptedData>元素將取代<CreditCard>元素，加密后的資料以Base64格式編碼后存放在<CipherData>的<CipherValue>元素中。這樣，即使這份文件被截獲，竊取者也無法從文件本身得知文件中包含信用卡號以及其他任何有關(guān)信用卡的信息。加密后的文件如圖1.1所示。圖1.1加密XML元素1.針對XML元素內(nèi)容的加密：對于CreditCardLimit=5000，若要公開信用卡額度的上限，則<CreditCardCurrency=USD，>這個信息就必須公開，但是信用卡的其它信息，如號碼和到期日等信息仍須被隱藏。因此可以通過加密<CreditCard>元素的內(nèi)容來達到上述效果，如圖1.2所示：圖1.2加密XML元素的內(nèi)容3.加密整個XML文件XML加密也可以針對整個XML文件，即對XML文件的根元素加密，這時<EncryptedData>element會成為整份文件的根元素，將上面的XML文件加密根元素后，如圖1.3所示。這種加密方式也適用于將其它類型的文件通過Base64編碼后使用XML加密。圖1.3加密整個XML文件4.超級加密XML加密除了能對文件的部分內(nèi)容進行加密之外，還能通過超級加密，即對加密后的數(shù)據(jù)進行再加密，這種加密方式能夠控制文件選定部分內(nèi)容的查閱權(quán)限，將數(shù)據(jù)資料傳遞給不同的當事人，并且保證數(shù)據(jù)的保密性。例如，當傳遞一份訂單資料給某公司，需經(jīng)過公司的銷售部門及財務(wù)部門，可以先利用財務(wù)部門的密鑰去針對付款的元素部份加密，形成一個包含元素加密的XML文件，然后對這一份文件，再利用銷售部門的密鑰將整份文件內(nèi)容加密，形成一個超級加密的XML文件。當傳遞給銷售部門時，銷售部門解開加密過后的文件，也不會看到付款部分的信息，直到該文件被傳遞到財務(wù)部門后，才能了解整份文件的內(nèi)容。1.4基于XML的簽名技術(shù)隨著XML逐漸成為一個非常重要的標準，被廣泛應(yīng)用在應(yīng)用程序之間交換數(shù)據(jù)的各種編程環(huán)境中。在需要交換數(shù)據(jù)的許多環(huán)境中，可能還需要確保數(shù)據(jù)的完整性、身份驗證和不可抵賴性。XML簽名技術(shù)用于對XML格式表示的數(shù)據(jù)進行數(shù)字簽名。XML數(shù)字簽名是一種正在發(fā)展中的數(shù)字簽名技術(shù)，它是數(shù)字簽名技術(shù)發(fā)展的重要方向之一，與傳統(tǒng)的數(shù)據(jù)簽名方式不同，XML簽名可以只簽署敏感數(shù)據(jù)，而不簽署不重要的數(shù)據(jù)部分，而傳統(tǒng)方式簽名則完全忽略了待簽文檔中的數(shù)據(jù)類型和內(nèi)部數(shù)據(jù)結(jié)構(gòu)。XML數(shù)字簽名的主要特點有[15][16]：1.用XML文檔的形式來表現(xiàn)數(shù)字簽名。1.實現(xiàn)對XML文檔的一部分進行簽名，而剩余部分則不簽名。3.實現(xiàn)對同一份XML文檔的不同部分使用多種數(shù)字簽名。4.不僅只在文檔傳送和通信的時候使用簽名，數(shù)字簽名能夠持久保留。5.XML數(shù)字簽名還定義了兩種不同的公鑰管理方式，用于簽名的驗證，公鑰可以嵌入XML文件內(nèi)部作為XML文件的元素進行管理，也可以將公鑰的管理留給應(yīng)用程序進行了。XML數(shù)字簽名包含在<Signature>元素內(nèi)，<Signature>元素除了引用被簽名的數(shù)字內(nèi)容之外，還包括：用于使XML內(nèi)容規(guī)范化的方法；為待簽名的規(guī)范化元素生成簽名的算法；指定在整理之前如何處理待簽名元素的附一加信息；用于創(chuàng)建簽名的密鑰以及存儲任意信息的空間等。XML數(shù)字簽名的格式代碼1.2所示其中，“?”表示0或1次出現(xiàn)，“+”表示1次或多次出現(xiàn)，“*”表示0或多次出現(xiàn)：<Signature><SignedInfo>(CanonicalizationMethod)(SignatureMethod)(<Reference(URI=)?>(Transforms)?(DigestMethod)(DigestValue)</Reference>)+</SignedInfo>(SignatureValue)(KeyInfo)?(Object)*</Signature>代碼1.2XML簽名格式XML數(shù)字簽名有以下三種類型：1.封外簽名(Envelopingsignature)，<Signature>元素中包含了進行數(shù)字簽名的元素，被簽名的元素成為了<Signature>元素的子元素。1.封內(nèi)簽名(Envelopedsignature)，<Signature>元素成為被簽名數(shù)據(jù)的子元素。<Signature>元素通過它其中的<Reference>元素提供的信息引用被簽名的元素。3.分離簽名(Detachedsignature)，<Signature>元素與被簽名的元素各自獨立存在。被簽名的元素和<Signature>元素可以同屬于一個文檔，或<Signature>元素在另一個完全不同的文檔中。XML文件的結(jié)構(gòu)類似于樹型結(jié)構(gòu)，其重要特點之一就是結(jié)構(gòu)化了信息組成，每個信息片都可以看成是信息樹下的一個節(jié)點，同樣的簽名信息也被組織成了一個節(jié)點形式，下面以樹型展開來研究其加密和簽名格式，XML簽名結(jié)構(gòu)代碼1.3所示。[s01]<SignatureId="MyFirstSignature"xmlns="/2000/09/xmldsig#">[s02]<SignedInfo>[s03]<CanonicalizationMethodAlgorithm="/TR/2001/REC-xml-c14n-20010315"/>[s04]<SignatureMethodAlgorithm="/2000/09/xmldsig#dsa-sha1"/>[s05]<ReferenceURI="/TR/2000/REC-xhtml1-20000126/">[s06]<Transforms>[s07]<TransformAlgorithm="/TR/2001/REC-xml-c14n-20010315"/>[s08]</Transforms>[s09]<DigestMethodAlgorithm="/2000/09/xmldsig#sha1"/>[s10]<DigestValue>j6lwx3rvEPO0vKtMup4NbeVu8nk=</DigestValue>[s11]</Reference>[s12]</SignedInfo>[s13]<SignatureValue>MC0CFFrVLtRlk=...</SignatureValue>[s14]<KeyInfo>[s15a]<KeyValue>[s15b]<DSAKeyValue>[s15c]<p>...</p><Q>...</Q><G>...</G><Y>...</Y>[s15d]</DSAKeyValue>[s15e]</KeyValue>[s16]</KeyInfo>[s17]</Signature>代碼1.3XML簽名[s02-12]必需的SignedInfo元素是實際簽名的信息。SignedInfo的核心驗證由兩個必要過程組成：對SignedInfo的簽名驗證和SignedInfo內(nèi)部每個Reference摘要的驗證。計算SignatureValue所使用的算法也包括在已簽名的信息中，而SignatureValue元素在SignedInfo之外。[s03]CanonicalizationMethod標識了一種算法，這種算法被用來規(guī)范化SignedInfo元素，然后該元素作為簽名操作的一部分被編摘。規(guī)范化（Canonicalization）是一種方法，過程使用該方法處理可包含在同一數(shù)據(jù)元素內(nèi)部的不同數(shù)據(jù)流，例如，可以包含兩種不同方法來表示文本。規(guī)范化是解釋原始數(shù)據(jù)以使空格顯示為空格而不顯示為ASCII碼的方法。[s04]SignatureMethod是用于將已規(guī)范化的SignedInfo轉(zhuǎn)換成SignatureValue的算法。這是編摘算法、密鑰從屬算法和可能的其它算法的組合。為算法名簽名以抵抗攻擊，該攻擊是基于替換成效率更低的算法。要提高應(yīng)用程序的互操作性，候選方案指定一組需要實現(xiàn)的簽名算