Министерство Образования Российской Федерации
Волгоградский Государственный Технический Университет
(ВолгГТУ)
Кафедра ЭВМ и Систем
Семестровая работа по предмету Методы и средства защиты информации
«Методы шифрования документов XML формата»
Выполнил: студент группы ивт-466
Проверил: старший преподаватель
Быков Д. В.
Волгоград 2010
Содержание
Введение
1. Реализация защиты XML-документов
Цивровые подписи XML
Шифрование XML
2. Пакеты реализации защиты XML
2.1. XML Security Suite (IBM)
2.2. XML Security (Apache)
3. SAML
Заключение
Список литературы
Введение
XML (англ. eXtensible Markup Language — расширяемый язык разметки) — язык разметки, фактически представляющий собой свод общих синтаксических правил. XML — текстовый формат, предназначенный для хранения структурированных данных (взамен существующих файлов баз данных), для обмена информацией между программами, а также для создания на его основе более специализированных языков разметки (например, XHTML), иногда называемых словарями. XML является упрощённым подмножеством языка SGML.
XML — мощное средство, часто применяемое для обмена данными через Интернет. Но, к сожалению, само по себе оно не обеспечивает необходимую защиту данных, которые «перевозит». Иными словами, существуют серьезные проблемы безопасности при применении формата XML (как, впрочем, и при использовании других форматов).
XML может быть легко использован для передачи сообщений-транзакций между банком и банкоматом, конфиденциальных или полуконфиденциальных сведений о физических лицах, сведений об электронных сделках или просто для передачи закрытых документов в этом формате. Но при этом нужно обеспечить защиту информации от непроизвольных или намеренных искажений как со стороны пользователей информационных систем, так и при передаче по каналам связи. Защита должна быть основана на выполнении следующих функций:
аутентификации взаимодействующих сторон;
подтверждении подлинности и целостности информации;
криптографическом закрытии передаваемых данных.
Для обеспечения указанной защиты информации целесообразно применять методы электронной цифровой подписи (ЭЦП) и шифрования данных. Причем, как правило, ЭЦП обеспечивает аутентификацию, подтверждение подлинности и целостности, а закрытие данных достигается шифрованием.
Реализация защиты XML-документов
Цивровые подписи XML
Разработчики XML уже давно поняли важность механизма контроля над данными, передаваемыми и представляемыми в транзакциях XML. Основные требования, предъявляемые к транзитным данным, — это полнота и точность (целостность). Проще всего этого добиться с помощью подписи XML.
Спецификация XML Signature (подпись XML) определяет синтаксис, необходимый для подписывания всего экземпляра XML или его части. Язык XML, несмотря на все свои богатые возможности и чрезвычайную гибкость, не вполне удобен для применения цифровых подписей, где из-за пробела, стоящего не на месте, может получиться совершенно новое значение подписи, не поддающееся проверке. Чтобы избавиться от этих проблем, была предложена концепция канонизации (XML-C14N), описанная в предварительной спецификации W3C под названием Canonical XML (канонический XML). Она использует заранее определенный набор правил обработки, по которым можно структурировать экземпляр для приведения его к простейшей форме. Такая стандартизация позволила гарантировать, что экземпляры всякий раз будут структурироваться одинаково, и это предотвратило возможную путаницу с цифровыми подписями вследствие стилистических различий, например иначе поставленными пробелами. Заметьте, что даже при использовании C14N необходимо указать используемый набор правил или метод для обеспечения дополнительных гарантий.
Операция XML должна предоставить достаточно информации для того, чтобы можно было проверить подпись, и таким образом гарантировать необходимую целостность, аутентификацию и предотвращение отказа от авторства. Подписанный экземпляр XML содержит следующую информацию.
Метод канонизации определяет конкретный набор правил C14N для упрощения и структурирования экземпляра XML до составления подписи. Эти сведения обеспечивают надлежащий вид подписываемых данных, чтобы алгоритм проверки дал положительный результат, если содержательные данные не были изменены.
Метод подписи определяет алгоритм подписи дайджеста сообщения. Дайджест сообщения — это уникальная символьная строка фиксированного размера, она является результатом обработки данных с помощью односторонней хэш-функции, задаваемой методом дайджеста. Цифровая подпись удостоверяет личность или процесс, подписывающий данные, тем самым обеспечивая аутентификацию и защиту от дезавуирования авторства.
Метод дайджеста — алгоритм составления дайджеста сообщения, подписываемого с помощью заданного метода подписи. Задание определенного метода дайджеста гарантирует обработку данных одним и тем же способом.
Значение дайджеста — собственно дайджест сообщения, т. е. строка фиксированной длины, выдаваемая в результате обработки данных с помощью алгоритма дайджеста. Такая строка является уникальной и необратимой: ее практически невозможно получить из другого содержимого, как и невозможно воссоздать по ней исходные данные. Это как бы «отпечаток пальцев» для подписываемых данных; положительный результат сравнения значений дайджеста гарантирует целостность содержимого.
Справочная информация — некоторые сведения о подписываемых данных. В частности, здесь может быть указан тип подписанных данных, если это не данные XML.
Свойства подписи дополняют подпись определенным контекстом, в который вносятся отметка времени или порядковый номер. Такие элементы могут сами быть подписаны и включены в справочную информацию относительно самой подписи.
Манифест группирует несколько ссылок и создает общее значение дайджеста для подписей одного или нескольких пользователей. Это, например, позволяет супервизору подтвердить несколько индивидуально подписанных транзакций в совокупности, не выделяя каждую транзакцию в отдельности.
Процесс «базовой генерации» подписи экземпляра XML начинается с канонизации, т. е. упрощения структуры данных. Дальнейшие действия аналогичны стандартному процессу добавления цифровой подписи: для данных создается значение дайджеста с помощью заданного метода. Затем это значение подписывается закрытым ключом субъекта.
Для проверки подписи в спецификации XML Signature предусмотрен процесс «базовой проверки подлинности», состоящий из двух шагов. Вначале проверяется сама подпись, чтобы обеспечить аутентификацию ее владельца и предотвратить отказ от авторства. Затем происходит проверка значения (или значений) дайджеста, чтобы убедиться, что данные не изменились, и подтверждается целостность содержимого. [1]