web 的開始階段是簡單的**(資訊中介和資訊發布的平台),隨著internet 和intranent、extranet的快速發展而發展成為各種應用的主要平台。web在商業、工業、銀行、財政、教育、**等領域產生了深遠影響,這得益於web標準化、鬆散耦合、語言中立、平台無關性、開放性等特性的服務。web服務需要xml(可擴充套件標記語言)、soap(簡單物件訪問協議、wsdl(web服務描述語言)和uddl(統一描述、發現和整合協議)四大技術標準的支援。其中uddi、soap和wsdl基於xml,因此xml在web系統中占有重要位置。
一、xml擴充套件標記語言
第1版xml是世界網際網路協會(world wide web consortium,wsc)於2023年2月頒布。由於xml源自標準通用標記語言sgml,xml作為一種可擴充套件的標記語言,目前已成為資訊描述的事實標準。因此xml可以方便地描述風險及其相關的屬性,這樣也就能方便地對風險進行分析,進而選用對應的策略。許多軟體提供了對xml的支援,xml可以作為不同使用者的異構應用系統之間進行資料交換的標準語言,實現資料交換的透明性。目前,網際網路上安全通訊的事實標準是傳輸層安全性(tvansport layer security ,tls)和安全套接字層(ssl)。tls和ssl不具備加密交換資料的一部分和多方(不止兩方)之間的安全會話,而xml涵蓋了安全性需求的機制。
二、xml風險描述的優勢在web風險中的應用
web中的風險
web中的風險從技術方面主要分為安全漏洞和威脅攻擊。安全漏洞主要包括硬體缺陷、軟體缺陷和配置不合理;威脅攻擊則是利用安全漏洞對系統實施破壞。風險不是孤立的,乙個威脅往往由幾個威脅組成,乙個攻擊可以導致其它攻擊的發生。這些需要更好的風險描述工具。
xml風險描述的優勢
傳統的風險描述主要包括適於規範資料,較為規範資料的關聯式資料庫描述和適宜於非規範知識的本體描述。關聯式資料庫不方便擴充套件,風險間的關係不易用二元關係表達且關係表難於設計,本體描述難度大,概念間的關係難確定且一致性差。xml結合了關聯式資料庫和個體描述,並有效地解決了傳統風險描述的缺點。同時,xml schema易於確定xml文件的格式,使得風險描述更易實施和見效。
xml在web風險描述中的應用
通用漏洞發布(common vulnerability exposures,cve)推出了漏洞的xml格式文件;oasis和owasp分別提出了各自的基於xml漏洞描述語言。若在這些漏洞描述中增加有關風險的發現資訊,風險的危害資訊和風險的解決資訊。這樣在漏洞查詢和描述的基礎上增加了風險性質(發生概率、攻擊成本等)的量化分析和策略的自動選擇的條件為系統自動防禦和策略自動實施創造了可能性。
三、xml開放性的優勢在web服務中的體現
web service的特點
web service是一種新的面向函式和方法的應用整合技術;它是一種標準的、開放的應用整合技術。它基於xml文件進行服務描述、服務請求和反饋結果,基於http協議進行資訊傳遞易於被訪問和返回結果,基於wsc的開放協議,獨立於平台和作業系統,實現不同平台作業系統上的互操作性,使得異構平台上的應用易於整合,這些促使了web的迅猛發展。這些發展對web的開放性提出了更高的要求。
xml開放性的優勢
xml的開放性主要指它既與平台無關,又與技術提供廠商無關。它解決了電子資料交換(electronic data interchange,edi)的缺點。edi的主要缺點是國際上對於交換資料的格式和語義沒有統一標準。儘管國際上各個國家針對不同的行業制訂了用於資料交換的edl標準,然而乙個系統為了能夠和不同的行業乃至不同的國家的合作夥伴進行資料交換,不得不購買並安裝多種進行資料轉換的適配軟體外掛程式,更何況各個行業具體的使用者在實現這些資料時會或多或少加上一些個性化的標準。因此,利用edi技術實現平台系統成本和複雜度都比較高。
xml開放性在web服務中的應用
xml的開放性,使得許多軟體生產商提供的軟體產品支援xml,使得xml成為不同使用者的異構應用系統之間的資料交換的標準語言,具備了資料交換的透明性、各個使用者只要保證自己的資訊系統提供的資料符合xml規範,就不用擔心資料接收方的解碼問題。不同的使用者間對xml標識採用統一的約定互動資訊的雙方不會因為對方使用的系統不同而受到影響。xml可以表達任意層次的結構性資料巢狀並可以進行資料正確性檢驗,支援使用者間複雜的資料交換。xml schema(xsd)定義了一套標準的資料型別,並給了一種語言來擴充套件它,從而實現了使用者間的資料共享。由於web service自身的特點,xml為web service的跨平台性、透明地穿越合作使用者的防火牆提供了保障。
四、xml加密優勢在web中的應用
對web中資料保護的常用技術有資料加密、數字簽名和訪問控制,而xml作為一種元語言,已經成為web異構環境下不同型別和不同領域資料交換的開放標準。xml文件的訪問控制機制與一般的訪問控制機制不同,傳統的訪問控制機制不能直接應用於對xml文件的訪問控制中。這是因為xml查詢語言(xquery)的存在,能直接尋找到每乙個xml語義元素。訪問控制模型必須能以多種粒度級別對xml語義元素制定訪問許可權,一般的訪問控制對此沒有特殊要求。
在web中訪問的使用者具有異構和動態的特點使得傳統的基於id(使用者身份)的驗證機制不能適於應用。
xml加密的優勢
xml可完成加密交換資料的一部分,而tls/ssl的處理方式只能保證通訊傳輸過程中的資料安全,不能對不同的使用者施加不同的許可權來保證使用者資訊的安全,即tls/ssl不用完成對交換資料的一部分進行加密。xml加密可實現多方之間的安全會話,即每一方都可保持與任何通訊方的安全或非安全狀態,可在同一文件中交換安全或非安全的資料。xml加密可作為soap協議的安全性擴充套件,因為soap協議基於xml,可以通嵌入加密了的xml資料的形式來實現在訊息傳輸的應用層靈活採用適當的加密策略。
xml加密在web的應用
在web中,xml加密的方法可以嵌入到文件內部,並且把安全粒度細化到xml文件元素和屬性級別,實現同一文件的不同部分的安全要求。通過xml加密可以使用一文件加密後對不同使用者呈現不同檢視,使用者只能看到被授權的那部分內容。
五、結束語
本文從xml的特性出發,提出了xml的三大優勢,並從原理的角度簡述了這三大優勢在web中的應用。
spring在web中的應用
示例 contextconfiglocation springcontextservlet org.springframework.web.context.contextloaderservlet1 action org.apache.struts.action.actionservlet conf...
CDATA在XML資料中的應用
xml extensible markup language可擴充套件標記語言 也被稱為副檔名,是一種具有結構性的標記語言,可以用來傳遞資料 定義資料型別及作為生成各類檔案的萬能模板,是一種允許使用者對自己的標記語言進行自定義的源語言。字元轉義字元 apos 備註 cdata是由 結束的文字資料,表...
基於Web窗體的Web應用程式的優勢
1.它支援在http上儲存狀態的事件模型,這有益於line of business的web應用程式 開發。2.基於web窗體的應用程式提供了大量的事件,它們被數以百計的伺服器控制項所支援。它使用了乙個page controller模式來為單個頁面新增功能。3.它使用了檢視狀態或者基於伺服器的表單,這...