Web 的開始階段是簡單的網(wǎng)站（信息中介和信息發(fā)布的平臺），隨著Internet 和Intranent、Extranet的快速發(fā)展而發(fā)展成為各種應(yīng)用的主要平臺。 Web在商業(yè)、工業(yè)、銀行、財政、教育、政府等領(lǐng)域產(chǎn)生了深遠(yuǎn)影響，這得益于Web標(biāo)準(zhǔn)化、松散耦合、語言中立、平臺無關(guān)性、開放性等特性的服務(wù)。 Web服務(wù)需要XML（可擴(kuò)展標(biāo)記語言）、SOAP（簡單對象訪問協(xié)議、WSDL（Web服務(wù)描述語言）和UDDL（統(tǒng)一描述、發(fā)現(xiàn)和集成協(xié)議）四大技術(shù)標(biāo)準(zhǔn)的支持[1]。其中UDDI、SOAP和WSDL基于XML，因此XML在Web系統(tǒng)中占有重要位置。

XML擴(kuò)展標(biāo)記語言

第1版XML是世界互聯(lián)網(wǎng)協(xié)會（World Wide Web Consortium，WSC）于1998年2月頒布。由于XML源自標(biāo)準(zhǔn)通用標(biāo)記語言SGML，XML作為一種可擴(kuò)展的標(biāo)記語言，目前已成為信息描述的事實(shí)標(biāo)準(zhǔn)[2]。因此XML可以方便地描述風(fēng)險及其相關(guān)的屬性，這樣也就能方便地對風(fēng)險進(jìn)行分析，進(jìn)而選用對應(yīng)的策略。許多軟件提供了對XML的支持，XML可以作為不同用戶的異構(gòu)應(yīng)用系統(tǒng)之間進(jìn)行數(shù)據(jù)交換的標(biāo)準(zhǔn)語言，實(shí)現(xiàn)數(shù)據(jù)交換的透明性。目前，因特網(wǎng)上安全通信的事實(shí)標(biāo)準(zhǔn)是傳輸層安全性（tvansport Layer Security ，TLS）和安全套接字層（SSL）。TLS和SSL不具備加密交換數(shù)據(jù)的一部分和多方（不止兩方）之間的安全會話，而XML涵蓋了安全性需求的機(jī)制。

XML風(fēng)險描述的優(yōu)勢在Web風(fēng)險中的應(yīng)用

1. Web中的風(fēng)險

Web中的風(fēng)險從技術(shù)方面主要分為安全漏洞和威脅攻擊。安全漏洞主要包括硬件缺陷、軟件缺陷和配置不合理；威脅攻擊則是利用安全漏洞對系統(tǒng)實(shí)施破壞。風(fēng)險不是孤立的，一個威脅往往由幾個威脅組成，一個攻擊可以導(dǎo)致其它攻擊的發(fā)生。這些需要更好的風(fēng)險描述工具。

2. XML風(fēng)險描述的優(yōu)勢

傳統(tǒng)的風(fēng)險描述主要包括適于規(guī)范數(shù)據(jù)，較為規(guī)范數(shù)據(jù)的關(guān)系數(shù)據(jù)庫描述和適宜于非規(guī)范知識的本體描述。關(guān)系數(shù)據(jù)庫不方便擴(kuò)展，風(fēng)險間的關(guān)系不易用二元關(guān)系表達(dá)且關(guān)系表難于設(shè)計，本體描述難度大，概念間的關(guān)系難確定且一致性差。
XML結(jié)合了關(guān)系數(shù)據(jù)庫和個體描述，并有效地解決了傳統(tǒng)風(fēng)險描述的缺點(diǎn)。同時，XML Schema易于確定XML文檔的格式，使得風(fēng)險描述更易實(shí)施和見效。

3. XML在Web風(fēng)險描述中的應(yīng)用

通用漏洞發(fā)布（Common Vulnerability Exposures，CVE）推出了漏洞的XML格式文檔；OASIS和OWASP分別提出了各自的基于XML漏洞描述語言。若在這些漏洞描述中增加有關(guān)風(fēng)險的發(fā)現(xiàn)信息，風(fēng)險的危害信息和風(fēng)險的解決信息。這樣在漏洞查找和描述的基礎(chǔ)上增加了風(fēng)險性質(zhì)（發(fā)生概率、攻擊成本等）的量化分析和策略的自動選擇的條件為系統(tǒng)自動防御和策略自動實(shí)施創(chuàng)造了可能性。

XML開放性的優(yōu)勢在Web服務(wù)中的體現(xiàn)

1. Web Service的特點(diǎn)

Web Service是一種新的面向函數(shù)和方法的應(yīng)用集成技術(shù)；它是一種標(biāo)準(zhǔn)的、開放的應(yīng)用集成技術(shù)。它基于XML文檔進(jìn)行服務(wù)描述、服務(wù)請求和反饋結(jié)果，基于HTTP協(xié)議進(jìn)行信息傳遞易于被訪問和返回結(jié)果，基于WSC的開放協(xié)議，獨(dú)立于平臺和操作系統(tǒng)，實(shí)現(xiàn)不同平臺操作系統(tǒng)上的互操作性，使得異構(gòu)平臺上的應(yīng)用易于集成，這些促使了Web的迅猛發(fā)展。這些發(fā)展對Web的開放性提出了更高的要求。

2. XML開放性的優(yōu)勢

XML的開放性主要指它既與平臺無關(guān)，又與技術(shù)提供廠商無關(guān)。它解決了電子數(shù)據(jù)交換（Electronic Data Interchange，EDI）的缺點(diǎn)。EDI的主要缺點(diǎn)是國際上對于交換數(shù)據(jù)的格式和語義沒有統(tǒng)一標(biāo)準(zhǔn)。盡管國際上各個國家針對不同的行業(yè)制訂了用于數(shù)據(jù)交換的EDL標(biāo)準(zhǔn)，然而一個系統(tǒng)為了能夠和不同的行業(yè)乃至不同的國家的合作伙伴進(jìn)行數(shù)據(jù)交換，不得不購買并安裝多種進(jìn)行數(shù)據(jù)轉(zhuǎn)換的適配軟件插件，更何況各個行業(yè)具體的用戶在實(shí)現(xiàn)這些數(shù)據(jù)時會或多或少加上一些個性化的標(biāo)準(zhǔn)。因此，利用EDI技術(shù)實(shí)現(xiàn)平臺系統(tǒng)成本和復(fù)雜度都比較高。

3. XML開放性在Web服務(wù)中的應(yīng)用

XML的開放性，使得許多軟件生產(chǎn)商提供的軟件產(chǎn)品支持XML，使得XML成為不同用戶的異構(gòu)應(yīng)用系統(tǒng)之間的數(shù)據(jù)交換的標(biāo)準(zhǔn)語言，具備了數(shù)據(jù)交換的透明性、各個用戶只要保證自己的信息系統(tǒng)提供的數(shù)據(jù)符合XML規(guī)范，就不用擔(dān)心數(shù)據(jù)接收方的解碼問題。不同的用戶間對XML標(biāo)識采用統(tǒng)一的約定交互信息的雙方不會因?yàn)閷Ψ绞褂玫南到y(tǒng)不同而受到影響。XML可以表達(dá)任意層次的結(jié)構(gòu)性數(shù)據(jù)嵌套并可以進(jìn)行數(shù)據(jù)正確性檢驗(yàn)，支持用戶間復(fù)雜的數(shù)據(jù)交換。XML Schema（XSD）定義了一套標(biāo)準(zhǔn)的數(shù)據(jù)類型，并給了一種語言來擴(kuò)展它，從而實(shí)現(xiàn)了用戶間的數(shù)據(jù)共享。由于Web Service自身的特點(diǎn)，XML為Web Service的跨平臺性、透明地穿越合作用戶的防火墻提供了保障。

XML加密優(yōu)勢在Web中的應(yīng)用

對Web中數(shù)據(jù)保護(hù)的常用技術(shù)有數(shù)據(jù)加密、數(shù)字簽名和訪問控制，而XML作為一種元語言，已經(jīng)成為Web異構(gòu)環(huán)境下不同類型和不同領(lǐng)域數(shù)據(jù)交換的開放標(biāo)準(zhǔn)。 XML文檔的訪問控制機(jī)制與一般的訪問控制機(jī)制不同，傳統(tǒng)的訪問控制機(jī)制不能直接應(yīng)用于對XML文檔的訪問控制中。這是因?yàn)閄ML查詢語言（Xquery）的存在，能直接尋找到每一個XML語義元素。訪問控制模型必須能以多種粒度級別對XML語義元素制定訪問權(quán)限，一般的訪問控制對此沒有特殊要求。

在Web中訪問的用戶具有異構(gòu)和動態(tài)的特點(diǎn)使得傳統(tǒng)的基于ID（用戶身份）的驗(yàn)證機(jī)制不能適于應(yīng)用。

1. XML加密的優(yōu)勢

XML可完成加密交換數(shù)據(jù)的一部分，而TLS/SSL的處理方式只能保證通信傳輸過程中的數(shù)據(jù)安全，不能對不同的用戶施加不同的權(quán)限來保證用戶信息的安全，即TLS/SSL不用完成對交換數(shù)據(jù)的一部分進(jìn)行加密。XML加密可實(shí)現(xiàn)多方之間的安全會話，即每一方都可保持與任何通信方的安全或非安全狀態(tài)，可在同一文檔中交換安全或非安全的數(shù)據(jù)。XML加密可作為SOAP協(xié)議的安全性擴(kuò)展，因?yàn)镾OAP協(xié)議基于XML，可以通嵌入加密了的XML數(shù)據(jù)的形式來實(shí)現(xiàn)在消息傳輸?shù)膽?yīng)用層靈活采用適當(dāng)?shù)募用懿呗浴?

2. XML加密在Web的應(yīng)用

在Web中，XML加密的方法可以嵌入到文檔內(nèi)部，并且把安全粒度細(xì)化到XML文檔元素和屬性級別，實(shí)現(xiàn)同一文檔的不同部分的安全要求。通過XML加密可以使用一文檔加密后對不同用戶呈現(xiàn)不同視圖，用戶只能看到被授權(quán)的那部分內(nèi)容。

【編輯推薦】

1. J2EE中XML配置文件的讀取處理
2. 如何使用C#與XML創(chuàng)建動態(tài)分層菜單
3. 使用PHP與XML進(jìn)行網(wǎng)站編程